Journal L'autohébergement, c'est pas gagné

Posté par . Licence CC by-sa
17
19
mar.
2015

Voilà, je vais encore râler.

Bon, ça fait maintenant des années (presque 8 ans) que j'auto-héberge mon serveur de mails. Évidemment, j'ai eu quelques soucis, mais souvent, c'était de ma faute, une configuration mal faite, on apprend de ses erreur.

Il y a quelques mois, j'ai arrêté d'utiliser le SMTP de mon FAI en tant que relais, parce qu'il ne fournit ni TLS, ni rien du tout de sécurisé, ce qui implique que les serveurs réceptionnaires voient les emails arriver directement de chez moi. L'avais fait un tour sur MX Toolbox pour voir si je n'étais pas dans des listes noires. Par hasard. Et bien oui, j'y étais, sans trop savoir pourquoi. J'ai donc fait le tour, et demander à ce qu'on me retire des listes noires. Ça a plutôt bien marché.

Sauf SpamEatingMonkey. Je suis dans SEM-BLACK, qui a pour objectif, je cite :

The goal of this list is to have zero false positives.

OK, j'attends 2 mois, et je réitère ma demande de retrait. Toujours rien. J'envoie un email dans le formulaire de contact. Rien du tout.

En quoi est-ce grave ? Le développeur principal de obnam a décider d'héberger les listes d'utilisateurs sur un site qui utilise cette liste noire. Je viens d'avoir un échange avec le gestionnaire, il ne changera pas de position. Je ne peux donc tout simplement pas envoyer d'emails à cette liste.

Pourquoi suis-je listé ? Et bien, c'est la politique de mon FAI, qui, paraît-il, a décrété que les adresses IP qui lui sont attribuées ne devront jamais envoyer d'emails.

Que dois-je faire ? Je ne sais plus. Si jamais vous avez une idée, elle est la bienvenue. Je n'ai pas réussi à trouver un contact (salon IRC, usenet, je prends tout) chez SpamEatingMonkey. J'ai tenté un contact à l'assistance de mon FAI, mais, ah, je n'y crois pas trop.

Bref, l'auto-hébergement, c'est pas gagné.

  • # Que dois-je faire ?

    Posté par (page perso) . Évalué à 10.

    Change de FAI. Ou devient ton propre FAI.

    • [^] # Re: Que dois-je faire ?

      Posté par . Évalué à -2.

      Utilise un autre protocole ou invente un nouveau protocole !

      Sérieux SMTP2 c'est pour quand ?

      • [^] # Re: Que dois-je faire ?

        Posté par . Évalué à 2.

        Ça existe déjà, ça s'appelle XMPP et c'est pas bloqué parce que les FAI ne proposent pas encore de service XMPP centralisé.

        splash!

        • [^] # Re: Que dois-je faire ?

          Posté par . Évalué à 4.

          Alors, oui, très bien. Franchement, j'adorerais : ça résoudrait en effet un grand nombre de problèmes de l'actuel couple SMTP/IMAP. Sauf que ça ne s'occupe pour l'essentiel que de la première moitié du couple.

          Sérieusement, le jour où l'écosystème XMPP propose une solution pour stocker et classer les (anciens) messages sur le serveur, permettant au client de choisir de manière souple ce qu'il synchronise ou pas, ce jour-là XMPP aura gagné cette bataille-là. Même s'il n'y a qu'un seul couple client/serveur qui supporte la fonctionnalité au début. Mais on en est loin, non? Il y a déjà un XEP qui va en ce sens? des gens qui ont commencé à l'implémenter?

          • [^] # Re: Que dois-je faire ?

            Posté par (page perso) . Évalué à -1.

            Ça m'intéresserait bien de bosser là-dessus.
            Malheureusement, je n'en ai pas le temps. :(

          • [^] # Re: Que dois-je faire ?

            Posté par . Évalué à 2.

            Ce que je voulais dire dans mon message c'est que c'est pas forcément un nouveau protocole qui va changer la situation (à mon avis).

            splash!

          • [^] # Re: Que dois-je faire ?

            Posté par (page perso) . Évalué à 0.

            permettant au client de choisir de manière souple ce qu'il synchronise ou pas

            Qu'entends par là?

            Le sujet m'intéresse de plus en plus. Si l'intérêt grandi encore, ça pourrait me motiver à dégager du temps pour le faire.

            • [^] # Re: Que dois-je faire ?

              Posté par (page perso) . Évalué à 3. Dernière modification le 20/03/15 à 17:47.

              Je veux pas être méchant et briser tes élans mais…

              Ça fait 10 ans qu'il y a une XEP qui existe pour ça (la 136) et le résultat que ça a donné c'est : elle est engluée depuis des années dans le process de standardisation (pas de mouvement depuis 2010…), son support serveur se borne à 2-3 plugins qui marchent mal voire ont été abandonnés pour ejabberd et openfire, et côté client c'est pas mieux. Comme d'hab pour les features utiles y a que Google qui a ça qui marche (et depuis des années).

              Alors c'est un peu plus compliqué que « ah tiens un DLFPien veut de l'historisation, j'ai rien à faire le WE prochain j'vais lui faire ça » et t'as intérêt à avoir un sacré paquet de temps si tu veux faire mieux que tout ce beau monde.

              • [^] # Re: Que dois-je faire ?

                Posté par (page perso) . Évalué à 4.

                J'ai jamais dit que je voulais faire en un weekend quelque chose d'utilisable par Mme Michou.
                Je commence surtout par de l'expérimentation, par simple curiosité.

                Après on verra, ça peut dépendre de pleins de choses.
                Soit ça reste une expérience, soit ça devient un outils sérieux.

                Depuis quand on sape la curiosité d'un bidouilleur juste par ce qu'il a pas l'ambition d'un future PDG?

      • [^] # Re: Que dois-je faire ?

        Posté par (page perso) . Évalué à 5.

        Sérieux SMTP2 c'est pour quand ?

        Quel est le besoin que remplirait ce nouveau protocole qui ne serait déjà pas rempli par SMTP ? La taille des échanges ? C'est loin d'être un problème pour la plupart des gens. La durée de la transaction ? Pareil. L'antispam ? Comment avoir un antispam efficace quand on veut que n'importe qui puisse nous écrite ?

        « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

        • [^] # Re: Que dois-je faire ?

          Posté par . Évalué à 2.

          L'authentification et le chiffrement ?

          Please do not feed the trolls

          • [^] # Re: Que dois-je faire ?

            Posté par (page perso) . Évalué à 4.

            Le chiffrement est possible avec TLS, c'est juste que personne ne l'utilise. Et si les méthodes utilisée ne conviennent pas, on peut tout à fait faire évoluer TLS sans avoir besoin de changer SMTP. Pour l'authentification, je ne vois pas ce que je tu veux dire, tu peux déjà authentifier les messages avec PGP ou x509, si tu veux authentifier le serveur, il y a des trucs comme DKIM ou SPF.

            « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

            • [^] # Re: Que dois-je faire ?

              Posté par (page perso) . Évalué à 3.

              Le chiffrement est possible avec TLS, c'est juste que personne ne l'utilise.

              C’est de plus en plus utilisé, au contraire. Par exemple, Google observe qu’à mi-2014, 58% des échanges SMTP entre ses serveurs et le reste du monde étaient chiffrés.

              Ça devient d’ailleurs tellement utilisé qu’on cherche de plus en plus à casser ou contourner ça.

              • [^] # Re: Que dois-je faire ?

                Posté par (page perso) . Évalué à 2.

                Le problème de ce qu'observe Google, c'est qu'ils ne disent pas en quel proportion il y a un certificat signé par une autorité de confiance qui empêcherait1 de faire un MitM.


                1. pas pour tout le monde, il est vrai, mais c'est un autre problème. 

                « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

                • [^] # Re: Que dois-je faire ?

                  Posté par (page perso) . Évalué à 3.

                  En quoi un auto-signé est-il plus susceptible de laisser passer les attaques MitM qu’un certificat approuvé par un CA ?

                  • [^] # Re: Que dois-je faire ?

                    Posté par (page perso) . Évalué à 4.

                    Parce que l'émetteur ne peut pas vérifier à qui il parle. Avec un auto-signé, n'importe qui peut se faire passer pour le destinataire. C'est le même problème que pour les sites web.

                    « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

                    • [^] # Re: Que dois-je faire ?

                      Posté par (page perso) . Évalué à 1.

                      l'émetteur ne peut pas vérifier à qui il parle.

                      Le certificat signé par un CA ne change rien à ce niveau-là, si ?
                      Pour passer outre ce problème de confiance, je ne vois que l’échange de fingerprints entre l’administrateur du serveur et le client (pour du Web comme pour du mail d’ailleurs).

                      • [^] # Re: Que dois-je faire ?

                        Posté par (page perso) . Évalué à 7.

                        Si, parce que les CA sont des organisations de confiance. Ça change tout.

                        Elles n’émettraient jamais de certificats illégitimes, encore moins de certificats permettant de faire du MITM. Et de toute façon si une CA faisait une chose pareille, les éditeurs de navigateurs n’hésiteraient pas une seconde à lui retirer leur confiance.

                        Aucun risque non plus qu’une CA se fasse pirater.

                        En plus, il y a plusieurs dizaines de CA et plusieurs centaines (voire milliers) de sous-CA là-dehors. Si c’est pas rassurant de savoir que tout ce monde veille à la sécurité de nos communications…

                        • [^] # Re: Que dois-je faire ?

                          Posté par (page perso) . Évalué à 3.

                          Je suis bien d'accord que les CA sont d'être la solution absolue, cependant elles offrent plus de sécurité d'un certificat autosigné qui peut être contrefait par n'importe qui.

                          « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

                          • [^] # Re: Que dois-je faire ?

                            Posté par . Évalué à 2.

                            Sauf que n'importe qui ne peut pas faire du MitM. C'est compliqué techniquement quand même de se mettre entre moi et GMail par exemple. Le plus simple serait de se mettre sur mon serveur, auquel cas, plus besoin de faire un faux certificat.

                            Après, on peut imaginer plutôt un re-routage de trafic, mais ça veut dire qu'il faut soit faire mentir les DNS qui me répondent (cache poisoning, ou bien MitM, mais on retombe sur la même problématique), soit faire mentir l'ARP. Et là encore, ce sont deux voies qui demandent du temps et des moyens pour un résultat très faibles. Juste mes emails. Il vaut mieux venir me cambrioler ;)

                            Alors que pirater une CA. Miam. Du web partout, des centaines de boîtes mails directement accessibles, glop glop.

                            Bon, c'est quand même bien pour ça qu'on recommande d'activer la PFS partout.

                            • [^] # Re: Que dois-je faire ?

                              Posté par (page perso) . Évalué à 3.

                              J’ai l’impression que tu mélanges un peu tout, là.

                              Alors que pirater une CA. Miam. Du web partout, des centaines de boîtes mails directement accessibles, glop glop.

                              Le simple fait de pirater une CA ne te donne pas automatiquement accès aux communications de tous les sites web et tous les serveurs SMTP qui ont fait signer leurs certificats chez cette CA. Tu n’as pas accès aux clefs privées des certificats des clients.

                              Pirater une CA te met en position de pouvoir faire du MITM sans être détecté par les clients qui vérifient l’origine des certificats.

                              Du coup, oui, en théorie les CA apportent une sécurité supplémentaire, puisqu’il faut non seulement être en position de monter une attaque MITM et avoir obtenu un certificat de la part d’une CA (soit en la piratant, soit en demandant gentiment à des CA comme Trustwave). En pratique, la barrière ajoutée ne constitue pas un gros obstacle pour quiconque a déjà les moyens de faire du MITM — je pense même qu’obtenir le certificat illégitime est la partie facile.

                              Bon, c'est quand même bien pour ça qu'on recommande d'activer la PFS partout.

                              La PFS ne protège pas contre un homme du milieu qui a un certificat auquel le client fait confiance. Le client parle directement à l’homme du milieu, et c’est avec lui (et non avec le vrai serveur à qui il croit parler) qu’il procède à l’échange de clef initial.

                              La PFS protège contre la compromission de la clef privée du serveur TLS, qui n’est pas menacée par les agissements ou les vulnérabilités des CA.

  • # Juste pour info...

    Posté par . Évalué à 10.

    C'est qui ce FAI qui t'empêche d'utiliser ta connection internet ?

    • [^] # Re: Juste pour info...

      Posté par . Évalué à 6.

      Ça sent le Misericâble, ça.

      splash!

    • [^] # Re: Juste pour info...

      Posté par . Évalué à 2.

      Non, c'est Free. C'est d'ailleurs le FAI grand public qui permet le plus de choses en auto-hébergement, à ma connaissance. Vous êtes libres de me dire si je me trompe, je n'ai pas fait de comparatif sérieux depuis longtemps. Mais j'avoue que j'utilise le reverse DNS, le port 25 ouvert, et l'IPv6 me permet de faire tout un tas de tests.

      • [^] # Re: Juste pour info...

        Posté par (page perso) . Évalué à 5.

        OVH sont à peu près au même niveau, un peu mieux à mon avis parce qu'ils ne sont pas encore devenu un fournisseur de contenus et qu'ils ont donc encore un certain engagement de neutralité. Et qu'ils sont par ailleurs hébergeurs, ces sujets faisant donc partie de leur culture d'entreprise.

        • [^] # Re: Juste pour info...

          Posté par . Évalué à 3.

          Je confirme qu'ils sont mieux, ports non filtrés, ça rame pas sur YouTube, possibilité d'utiliser son propre modem-routeur, etc. Il y a quelques petits manques, du genre pas encore de possibilité de reverse DNS en IPv6, mais bon, ça reste à mon avis le mieux derrière les FAI associatifs.
          Sur leurs kimsufi par contre, leurs IP souffrent de filtrages ; sur YouTube, ils demandent un captcha, sur Wikipédia, interdiction de modifier quelque page que ce soit (même si on s'identifie ! inadmettable !). Là par contre, ça pèche un peu, mais bon, ce n'est plus de l'auto-hébergement.

          • [^] # Re: Juste pour info...

            Posté par (page perso) . Évalué à 4.

            Pour info, le problème pour Wikipédia (et probablement aussi YouTube et Google en général) c'est que les plages d'IP utilisées pour l'accès internet et celles utilisées pour les serveurs Kimsufi ne sont pas différenciées. Elles le sont peut-être chez OVH, mais ils ne le communiquent pas.

            Sur Wikipédia, l'interdiction arrive régulièrement à expiration (tous les six mois peut-être ?), dans les quelques jours qui suivent des centaines de serveurs Kimsufi compromis postent du spam sans discontinuer, et le ban est remis. OVH ne répond pas aux demandes d'informations qui pourraient permettre de bannir les serveurs et pas les clients FAI.

          • [^] # Re: Juste pour info...

            Posté par . Évalué à 3.

            Je confirme qu'ils sont mieux, ports non filtrés, ça rame pas sur YouTube, possibilité d'utiliser son propre modem-routeur, etc.

            Qu'est qui t'empêche d'utiliser un autre modem/routeur chez les autres FAI ? le seul problème que je vois c'est que tu n'auras pas forcément accès à tous les services proposé par le FAI ( encore qu'en bidouillant on s'en sort… ) qui ne sont de toute façon pas proposé par OVH ( genre tout ce qui est relatif à la tv )

            • [^] # Re: Juste pour info...

              Posté par . Évalué à 1.

              Qu'est qui t'empêche d'utiliser un autre modem/routeur chez les autres FAI ?

              Le simple fait que les équipements de Free et consorts ne donneront pas d'accès Internet à autre chose que leur matériel (MAC + auth). C'est d'ailleurs explicitement dit dans leurs conditions.

              • [^] # Re: Juste pour info...

                Posté par . Évalué à 5.

                Ce n'est pas vrai chez free : on peut utiliser son propre modem adsl. Par contre on perd la télévision et le téléphone fixe, mais à l'ère du téléphone mobile illimité, ce n'est pas gênant.

                À défaut, on peut aussi configurer la box en mode bridge, si je ne me trompe pas, et mettre son propre routeur derrière.

                • [^] # Re: Juste pour info...

                  Posté par . Évalué à 1.

                  Je ne sais pas pour son propre modem, mais ma Freebox (v5) est en mode bridge oui.
                  Et contrairement aux autres fournisseurs, en mode bridge, on garde téléphone et télévision.

        • [^] # Re: Juste pour info...

          Posté par . Évalué à 1.

          C'est pas faux. J'avais oublié OVH dans tout ça. Bon, ça ferait râler ma moitié parce qu'on perdrait la télévision… Personnellement, je m'en passerais, mais effectivement, OVH est probablement un meilleur choix que Free.

          Surtout avec le retour que je viens de lire, ça a l'air engageant.

          Ils ont planifiés des offres fibres ?

          • [^] # Re: Juste pour info...

            Posté par . Évalué à 2.

            J'avais OVH a un moment donné. Il me semble qu'il n'y a pas le souci de l'IP qui est indiqué en spam, contrairement a Free. On peut vraiment auto héberger un serveur de mail chez eux.

      • [^] # Re: Juste pour info...

        Posté par (page perso) . Évalué à 3.

        Non, c'est Free.

        Bizarre, j'ai aussi un adresse IP free et je ne fais pas partie d'aucune blacklist d'après mxtoolbox.

        • [^] # Re: Juste pour info...

          Posté par . Évalué à 1.

          Ah. C'est très intéressant. Abonné récemment ? Un NRA récent ou pas ?

          Pour les détails (adresse réelle), on peut peut-être en discuter sur XMPP. Je viens de modifier mon profil pour l'afficher :)

          • [^] # Re: Juste pour info...

            Posté par (page perso) . Évalué à 3.

            Ah. C'est très intéressant. Abonné récemment ? Un NRA récent ou pas ?

            J'ai cette IP depuis 7 ans environ. Pour connaitre mon IP tu peux regarder ma page perso ;)

            • [^] # Re: Juste pour info...

              Posté par . Évalué à 1.

              En effet, ce n'est donc pas une question de date, mais de plage d'adresses.

              Sur ton NRA, il y a des plages qui ont été adressées un petit peu avant moi, et qui ne sont pas listées sur SEM-BLACK. De la même manière, sur mon NRA, il y a des IP non listées. Je vais donc me concocter un petit script qui va faire deux ou trois vérifications.

              Merci pour la piste !

  • # adresses résidentielles

    Posté par (page perso) . Évalué à 10. Dernière modification le 19/03/15 à 23:35.

    Salut,

    Les FAI indiquent publiquement quelles sont les adresses "résidentielles". C'est le cas chez la plupart des FAI.

    Les blacklists notent pour la plupart les adresses résidentielles comme n'ayant pas à envoyer directement des e-mails, ceci pour réduire (très efficacement, d'ailleurs) le nombre de spams : bien souvent, les e-mails reçus directement d'adresses résidentielles proviennent de robots spammeurs sur des machines infectées.

    Alors soit tu utilises un FAI professionnel qui te fournit une adresse qui n'est pas indiquée comme résidentielle, soit tu utilises un serveur dédié intermédiaire.

    https://www.domotego.com/ | https://www.maccagnoni.eu/ | https://www.smm-informatique.fr/

    • [^] # Re: adresses résidentielles

      Posté par . Évalué à 10.

      Ca ne me choque pas que ce soit fait par défaut, mais ça devrait être débrayable.

      • [^] # Re: adresses résidentielles

        Posté par (page perso) . Évalué à 2.

        Ca ne me choque pas que ce soit fait par défaut, mais ça devrait être débrayable.

        Oui mais sur quel critère ?

        • [^] # Re: adresses résidentielles

          Posté par (page perso) . Évalué à 6. Dernière modification le 20/03/15 à 08:49.

          Acte de l'utilisateur (une option à cocher "je souhaite envoyer des mails et payerait, de manière illimité, tous les dégats causés par un blacklistage de l'IP à cause de spam que j'enverrai même si c'était pas voulu")

          Après, les options ont un coût pour le FAI, donc il faut voir si les gens sont prêts à payer aussi pour le développement d'une telle option, et si ce n'est pas le cas bon ben c'est normal de ne pas avoir l'option, une offre est toujours avec une rentabilité en face ou la loi mais pour le moment la loi n'oblige pas ça.

          • [^] # Re: adresses résidentielles

            Posté par (page perso) . Évalué à 4.

            Free.fr propose cette option, pour débloquer les envoies d'e-mails depuis l'ip domiciliaire.

            Et, généralement avec Free, on a une ip fixe, ça permet pas mal de choses.

            Qu'en Asie l'ip fixe soit ultra-chère, je comprends, mais en France, vu la quantité disponible, je ne comprends pas les autres FAI de ne pas attribuer une IP fixe à ses abonnés.

            Et pour l'IPv6, c'est aussi disponible chez Free.fr

            Y a pas que Free pour proposer ça.

            • [^] # Re: adresses résidentielles

              Posté par . Évalué à 2.

              Il me semble que l'IP fixe est dipo également chez Boygues. J'avais demandé une fois. Celà dit, dans les faits, je n'ai rien pour le confirmer, juste la parole d'une commercialme au bout du fil.

              • [^] # Re: adresses résidentielles

                Posté par (page perso) . Évalué à 4. Dernière modification le 20/03/15 à 15:34.

                Il me semble que l'IP fixe est dipo également chez Boygues. J'avais demandé une fois. Celà dit, dans les faits, je n'ai rien pour le confirmer, juste la parole d'une commercialme au bout du fil.

                Oulà, ça ne vaut rien du tout ça ! La plupart ne savent même pas ce que c'est qu'une adresse IP… La dernière fois qu'un commercial m'a indiqué que oui, on pouvait avoir une adresse IP fixe, il se référait à la possibilité de définir des baux DHCP fixes pour les adresses IPv4 locales.

                • [^] # Re: adresses résidentielles

                  Posté par . Évalué à 1.

                  C'est amusant, j'ai eu un commercial de Bouygues hier. Il ma dit que c'était la première fois qu'on lui posait ces questions et m'a donné le numéro du service technique… joignable après avoir donné son numéro de client…
                  Mais bon, chez Free pionnier de l'ipV6 c'est pas mieux. Après 2 discutions en chat avec le service technique (passage de linux à windows entre les 2), on m'a renvoyé sur le service par téléphone ou dixit mon interlocuteur "on est pas formé à l'ipV6". Enfin il vont vérifier ma ligne (????) et peut être que quelqu'un pourra faire un traceroute et regarder pourquoi les routeurs de free ne connaisse pas l'ipv6 de ma box.

                  • [^] # Re: adresses résidentielles

                    Posté par . Évalué à 4.

                    Mais bon, chez Free pionnier de l'ipV6 c'est pas mieux

                    Il me semble que c'est nerim, qui le premier proposait une connection ipv6.

                    • [^] # Re: adresses résidentielles

                      Posté par . Évalué à 1.

                      C'est vrai. Je ne cite pas de source (j'ai trop la flemme), mais c'est Nerim le pionnier de l'IPv6 au grand public. Après, c'est sûr que vu le nombre d'abonné chez Free, quand ils ont mis en place l'IPv6, ça n'a pas eu la même portée…

                      Pour rappel, quand même : http://ipv6pourtous.free.fr/accueil/

              • [^] # Re: adresses résidentielles

                Posté par (page perso) . Évalué à 3.

                Théoriquement, l'IP n'est pas fixe chez Bouygues. En pratique, en 5 ans, je n'ai changé qu'une seule fois d'IP (quand j'ai déménagé). Je connais quelqu'un qui est exactement dans le même cas (changement d'IP en déménageant).

            • [^] # Re: adresses résidentielles

              Posté par . Évalué à 1.

              Je réponds en masse, donc je dis également ici aussi que je suis déjà chez Free. Oui, j'ai ouvert le port 25 dans l'interface de gestion, et c'est très bien que ce soit bloqué par défaut.

              Maintenant, je ne sais même pas qui accuser. Free parce qu'ils n'ont pas mis à jour leur liste ? SpamEatingMonkey parce qu'ils n'ont pas mis à jour leur liste ?

              • [^] # Re: adresses résidentielles

                Posté par . Évalué à 2.

                Oui, tu peux accuser Free ; j'ai déjà essayé de me faire retirer des listes noires en contactant leurs gestionnaires, réponse : la demande doit venir de Free. J'ai demandé à Free, réponse : lolz cours toujours ! Du coup, je suis passé chez OVH.

                • [^] # Re: adresses résidentielles

                  Posté par . Évalué à 1.

                  OK, merci pour l'info. Je vais quand même tenter ma chance, hein, mais bon, j'en arriverai probablement à la même conclusion…

            • [^] # Re: adresses résidentielles

              Posté par . Évalué à 2.

              Et pour l'IPv6, c'est aussi disponible chez Free.fr

              Avec un prefixe à la con pas compatible avec les radvd des routeurs de base, yay \o/

              • [^] # Re: adresses résidentielles

                Posté par (page perso) . Évalué à -3.

                Il y a une obligation de préfixe? Si ce n'est pas le cas, le truc à la con, c'est le routeur, pas Free.

                • [^] # Re: adresses résidentielles

                  Posté par (page perso) . Évalué à 2.

                  Franchement un prefix en 64bits c'est … limitant non ?

                  • [^] # Re: adresses résidentielles

                    Posté par . Évalué à 1.

                    Tu as 264 machines chez toi ?

                    • [^] # Re: adresses résidentielles

                      Posté par . Évalué à 3.

                      ce n'est absoluent pas le problème.

                      Free n'est pas standard

                      Les recommandations liées à IPv6 précisent que les 64 premiers bits sont utilisées pour addresser le réseau et les 64 derniers bits sont là pour adresser les hosts. Il est également recommandé aux provider de fournir une adresse avec un masque de 60 bits pour que les utilisateur puissent avoir au moins 16 réseaux chez eux. Free fourni une adresse avec un masque de 64 bits, donc un seul réseau. On peut tout de même faire plusieurs réseaux, mais on sort des standards.

                      voir http://www.arpalert.org/free_ipv6.html

                      Utiliser un /64 oblige à passer par des truc du style broute. En gros on sort d'un bricolage qu'est NAT pour un autre bricolage.

                      • [^] # Re: adresses résidentielles

                        Posté par (page perso) . Évalué à 2. Dernière modification le 23/03/15 à 17:09.

                        Les recommandations (…) on sort des standards.

                        recommandations ou standards? tu dis 2 choses très différentes.
                        Sortir des standards est mal (ça casse)
                        Sortir des recommandations n'est pas mal (c'est juste non recommandé, mais standard, parfaitement valide)

                        Utiliser un /64 oblige à passer par des truc du style broute.

                        Si tu veux plus d'un réseau, si j'ai bien compris.
                        donc un usage bien rare (on parle de résidentiel, pas d'entreprise avec 10 sites).

                        Bref, pour le moment je ne suis pas convaincu qu'ils soient si horribles.
                        (sans compter que ça m'amuse de voir se répéter l'histoire : IPv4, on pouvait aussi consommer autant d'adresses qu'on voulait et filer des /8 à qui demande, de toutes façons on changera de protocole avant de vider les adresses IPv4… enfin, c'est ce qu'on pensait, et personne ne peut garantir qu'on changera de protocole IPv6 avant de coloniser l'univers)

                        • [^] # Re: adresses résidentielles

                          Posté par . Évalué à 2.

                          Je ne fais que citer une partie de ce qui est donné en lien. Je n'ai pasd vérifié en détail (je n'ai plus mes notes/doc sur IPV6 sur moi). Je voulais juste faire comprendre que le problème n'est pas le nombre de machines, mais la possibilité de scinder en sous--réseau.

                          Si tu veux plus d'un réseau, si j'ai bien compris.
                          donc un usage bien rare (on parle de résidentiel, pas d'entreprise avec 10 sites).

                          Ce n'est pas si rare que ça pour un particulier. Loin d'être la majorité, certes, mais pas si rare.

                          Bref, pour le moment je ne suis pas convaincu qu'ils soient si horribles.

                          Personnellement ce n'est pas ce que je dis (c'est encore toi qui interprête) : je dis seulement que fournir un /64 est limitant si tu veux faire un peu plus que du web.

                          (sans compter que ça m'amuse de voir se répéter l'histoire : IPv4, on pouvait aussi consommer autant d'adresses qu'on voulait et filer des /8 à qui demande, de toutes façons on changera de protocole avant de vider les adresses IPv4… enfin, c'est ce qu'on pensait, et personne ne peut garantir qu'on changera de protocole IPv6 avant de coloniser l'univers)

                          Pas forcément besion d'un /48. Entre un /48 et un /64 on peut peut-être trouver un juste millieu non ?

                          • [^] # Re: adresses résidentielles

                            Posté par (page perso) . Évalué à 0.

                            je dis seulement que fournir un /64 est limitant si tu veux faire un peu plus que du web.

                            J'ai besoin d'un exemple qui est limitant avec ce que fournit Free.
                            Un exemple concret ("Je ne peux pas faire 2 réseaux" n'est pas un exemple concret, je ne comprend pas pourquoi j'ai besoin de 2 réseaux à la maison, je parle bien de la maison, puisqu'on parle de résidentiel mis je peux accepter un usage très poussé de lieu résidentiel genre avoir une baie de serveurs à soit mais je vois toujours pas le besoin de 2 réseaux).

                            • [^] # Re: adresses résidentielles

                              Posté par . Évalué à 1.

                              J'allais rechercher l'article de Stéphane Bortzmeyer, mais j'ai vu qu'il a déjà été posté, c'est super :)

                              Sinon, avec ma freebox en mode bridge, j'ai effectivement tenté de l'IPv6 en auto-configuration depuis mon serveur-routeur. Et il faut bricoler. Je ne sais pas si je vais être clair…

                              En gros, toutes les machines à la maison sont donc dans un /64. Y compris la Freebox, qui a sa propre adresse, en […]:1. Et donc quand un paquet arrive de l'extérieur, pour une machine derrière le routeur, disons […]:dead:beef, la freebox envoie un paquet de découverte du voisinage en lien-local, puisque l'adresse de destination est dans le même /64. La Freebox n'étant connecté qu'au routeur, c'est celui-ci qui reçoit le paquet. En lien-local, qui lui demande s'il possède l'adresse […]:dead:beef. Théoriquement, il ne la possède pas, et donc ne répond pas.

                              Sous Linux, un gentil développeur-bidouilleur a codé NPD6, qui triche : il renvoie OK aux requêtes de découverte de voisinage pour tout un préfixe, afin de tromper le modem. C'est bien sûr réservé à ce genre d'usage.

                              Bon, faut être honnête, c'est pas hyper-bloquant. Mais c'est vrai que si on veut son propre routeur à la maison, c'est un peu gênant.

                            • [^] # Re: adresses résidentielles

                              Posté par . Évalué à 3.

                              "Je ne peux pas faire 2 réseaux" n'est pas un exemple concret, je ne comprend pas pourquoi j'ai besoin de 2 réseaux à la maison, je parle bien de la maison, puisqu'on parle de résidentiel mis je peux accepter un usage très poussé de lieu résidentiel genre avoir une baie de serveurs à soit mais je vois toujours pas le besoin de 2 réseaux).

                              C'est tellement pas concret ni utile pour le particulier et le grand public qu'on ne trouve pas de modem-routeur en vente dans les supermarchés.

                              Ne pas pouvoir faire 2 réseaux est un exemple concret, même si toi tu ne t'en sers pas.

                              Accessoirement tu as une réponse plus bas sur les limites qu'un simple /64 apporte, et des bricolages nécessaires pour le contourner.

                              Maintenant on a compris que pour toi un accès internet, c'est juste un accès au web. Dans ce cas utilise ton téléphone ou ta tablette, et si ce genre de problèmatique ne te concerne pas, ignore les messages et va jouer ailleurs.

                              • [^] # Re: adresses résidentielles

                                Posté par (page perso) . Évalué à -4. Dernière modification le 24/03/15 à 09:29.

                                c'est juste un accès au web

                                Avec une seule et unique adresse IPv4 (même pas besoin d'IPv6 et un /64), je peux faire du mail (pas du web), du Jabber (pas du web) et j'en passe (je peux même faire serveur web, c'est dire!).
                                Pas que du web client.

                                en fait, le hic, c'est peut-être que les gens arrivent très bien à faire tout ce qui est dit impossible, du coup ils rigolent.

                                Bref : toujours pas d'exemple concret, c'est bien le soucis de ceux qui disent que "c'est pas possible".

                                ignore les messages et va jouer ailleurs.

                                désolé de t'informer que ce que tu dis impossible est possible.
                                Saloperie de réalité.

                                Je ne comprendrai jamais pourquoi les gens ont un tel besoin de (se) mentir.

                                • [^] # Re: adresses résidentielles

                                  Posté par . Évalué à 3.

                                  désolé de t'informer que ce que tu dis impossible est possible.

                                  Prouve-le, ou si tu ne te sens pas concerné, va jouer ailleurs.

                              • [^] # Re: adresses résidentielles

                                Posté par (page perso) . Évalué à 3.

                                Ne pas pouvoir faire 2 réseaux est un exemple concret, même si toi tu ne t'en sers pas.

                                Non c'est pas un exemple concret. C'est un moyen, pas un besoin. D'ailleurs comme tu dis Zenitram ne s'en sert pas. Moi quand j'ai besoin d'accrocher un tableau je me sers d'un marteau pour enfoncer le clou : ce que je veux c'est voir mon tableau, je me suis pas réveillé une nuit « putain j'ai trop envie d'un marteau ! ».

                                Alors c'est quoi l'exemple concret répandu chez les particuliers (enfin on les connais les particuliers types fantasmés sur DLFP… ils ont tous un doctorat en informatique et un cluster) qui nécessite deux réseaux ?

                                • [^] # Re: adresses résidentielles

                                  Posté par . Évalué à 4.

                                  L'exemple concret, c'est que ce que free propose ne marche pas out of the box avec les routeurs du commerce. Soit tu utilises la freebox avec tout ce que cela implique, soit tu bricoles. Ca va à l'encontre la philosophie d'IPv6. Après que ce soit conforme avec la norme peut-être, oui, mais est-ce le problème ?

                                  Pour en revenir sur le besoin de x réseaux, aujourd'hui ce n'est pas le cas, par contre, perso, je me demande si l'on ne sera pas obligé d'y venir dans x années avec le fléau annoncé de "l'internet des objets", ou l'on aurait d'un côté un réseau personnel et de l'autre un truc super contraint en entrée et sortie pour les machins.

                                  • [^] # Re: adresses résidentielles

                                    Posté par (page perso) . Évalué à -6.

                                    Après que ce soit conforme avec la norme peut-être, oui, mais est-ce le problème ?

                                    Oui : tu accuses Free et pas le routeur, en décidant arbitrairement qui est le coupable en fonction de critères qui te plaisent; Pourquoi ne pas accepter les critères qui plaisent à Free?
                                    Si Free est conforme à la norme, le problème vient du routeur. Bizarrement tu n'accuses pas le routeur.

                                    L'exemple concret, c'est que ce que free propose ne marche pas out of the box avec les routeurs du commerce.

                                    Qu'est-ce qui ne marche pas out of the box?
                                    Le routeur est un moyen (le marteau), pas un objectif (accrocher un tableau), tu n'as toujours pas donné d'exemple concret de chose que tu voudrais faire (non, "je veux utiliser un routeur" n'est pas un exemple de chose que tu voudrais faire, tu parles de moyen pour faire une chose dont tu ne parles pas).


                                    On n'arrivera pas à avoir d'exemples concrets! bizarrement, je ne suis pas surpris.

                                    • [^] # Re: adresses résidentielles

                                      Posté par . Évalué à 2.

                                      De la lecture pour toi. Extrait :

                                      En revanche, IPv6 permettrait de faire plus facilement des réseaux multiples, par exemple pour séparer le réseau des invités, ou bien pour avoir un réseau de l'employeur, étendu à la maison via un VPN, mais séparé du réseau personnel.

                                      Mais il faut lire l'article en entier. C'est un projet, ce n'est pas encore là, mais le but est réaliste, si tous les acteurs s'y mettent. On a beaucoup plus de recul aujourd'hui qu'au moment de la création de l'IPv4, qui a malgré tout incroyablement bien rempli son rôle, et bien plus encore.

                                    • [^] # Re: adresses résidentielles

                                      Posté par . Évalué à 3.

                                      T'es saoulant.

                                      Pour filer ton analogie sur les marteaux, indépendamment de la norme (oui, je sais que tu n'es pas d'accord), quand un clou pose problème à tous les marteaux connus, c'est peut-être qu'il est pourri.

                                      Ici le marteau, c'est le routeur. L'accroche de tableau est : vouloir accéder à Internet en IPv6. On peut avoir envie de faire ça sans la freebox car son mode routeur est assez basique, notamment, il n'y a pas de firewall.

                                      Un argument technique a été donné plus haut pourquoi Free a pris un clou pas malin.

                                      On n'arrivera pas à avoir d'exemples concrets! bizarrement, je ne suis pas surpris.

                                      google://free.fr ipv6 broute.
                                      T'as des centaines de résultats qui t'expliquent le problème, dont certains même ici.

                                      Maintenant, je n'ai pas grand chose de plus à dire.

                                      • [^] # Re: adresses résidentielles

                                        Posté par (page perso) . Évalué à -1. Dernière modification le 25/03/15 à 00:03.

                                        Pour filer ton analogie sur les marteaux, indépendamment de la norme (oui, je sais que tu n'es pas d'accord), quand un clou pose problème à tous les marteaux connus, c'est peut-être qu'il est pourri.

                                        Quelle est ta position sur celle de pulseaudio qui n'a pas voulu implémenter de hack pour contourner les innombrables bugs de tous les
                                        drivers audio et a plutôt dit "moi je fonctionne correctement, si vous voulez qu'on cause comportez-vous correctement" ?

                                        Quelle est ta position sur celle de KDE 4 qui n'a pas voulu implémenter de hack pour contourner les innombrables bugs de tous les drivers video et a plutôt dit "moi je fonctionne correctement, si vous voulez qu'on cause comportez-vous correctement" ?

                                        etc.

                                        son mode routeur est assez basique, notamment, il n'y a pas de firewall.

                                        Ca tombe bien, les deux n'ont rien à voir.

                            • [^] # Re: adresses résidentielles

                              Posté par (page perso) . Évalué à 1.

                              J'ai besoin d'un exemple qui est limitant avec ce que fournit Free.

                              Tu oublie la phrase de base sur laquelle tu réagis :

                              pas compatible avec les radvd des routeurs de base

                              Il te sert à quoi le routeur si tu n'as … qu'un réseau ? A peut près … à rien.

                              Donc oui, si tu veux mettre un routeur sur ton réseau, n'avoir qu'un réseau est très fortement limitant.

                              • [^] # Re: adresses résidentielles

                                Posté par . Évalué à 3.

                                Il te sert à quoi le routeur si tu n'as … qu'un réseau ? A peut près … à rien.

                                Il te sert éventuellement à pallier certaines limites de la Freebox en matière de routage (genre tu veux une tête de pont VPN sur ton routeur, ou un filtrage spécifique, ou …). Et dans ces cas-là, oui, il semble qu'il te faille deux réseaux (un entre Freebox et routeur, l'autre entre routeur et LAN).

                                Et oui, d'expérience c'est un rien chiant, leur technique. Leur IPv6, il marche très bien si tu ne t'en sers pas vraiment. Si tu veux que tous les PCs de ton domicile soient proprement raccordés en IPv6, protégés indépendamment de leurs capacités de filtrage propres ET sans t'imposer de passer paramétrer chaque poste à la main, ben tu range l'IPv6 Free pour l'instant.

                      • [^] # Re: adresses résidentielles

                        Posté par (page perso) . Évalué à 3.

                        Les recommandations liées à IPv6 précisent que les 64 premiers bits sont utilisées pour addresser le réseau et les 64 derniers bits sont là pour adresser les hosts.

                        En fait, ça a l’air plus compliqué que ça. De ce que je comprends, c’était supposé être plus souple, mais l’usage a sanctifié l’idée d’utiliser 64 bits pour identifier la machine et maintenant l’IETF entérine l’usage.

                        • [^] # Re: adresses résidentielles

                          Posté par (page perso) . Évalué à 0. Dernière modification le 23/03/15 à 17:59.

                          En fait, ça a l’air plus compliqué que ça.

                          Merci pour le lien, ça réfraichi la mémoire et c'est surtout bien moin binaire "Free caca".

                          Et se souvenir de l'histoire qui se répète :
                          Classe d'adresse IPv4 qu'il a fallu "casser" pour pouvoir tenir (merci CIDR).

                          Bref, c'est loin d'être aussi simple, en effet : il n'y a pas de règles, ça bouge déjà tout le temps et ça bougera encore plus tard, sans doutes.

          • [^] # Re: adresses résidentielles

            Posté par . Évalué à 2.

            On peut imaginer des critères plus techniques.

            Là, actuellement (attention, je vais faire mon Jacky), j'ai quand même du SPF avec DNSSEC. Donc techniquement, c'est quand même faisable de voir que je fais pas n'importe quoi avec une simple requête DNS.

        • [^] # Re: adresses résidentielles

          Posté par (page perso) . Évalué à 5.

          Le critère je fais une demande en bonne et due forme? Et pour éviter les oublis, je dois confirmer tous les ans que j'utilise toujours mon @IP pour envoyer des mails et cliquant sur un lien dans un mail que je reçois automatiquement?

          ⚓ À g'Auch TOUTE! http://afdgauch.online.fr

    • [^] # Re: adresses résidentielles

      Posté par . Évalué à 0.

      Pas ce genre de problème chez Nerim ; je pense que c'est OK chez OVH également.

  • # Certes

    Posté par . Évalué à 1. Dernière modification le 20/03/15 à 00:16.

    c'est la politique de mon FAI, qui, paraît-il, a décrété que les adresses IP qui lui sont attribuées ne devront jamais envoyer d'emails.

    Si j'étais un FAI grand public, et que je devais estimer le nombre de clients qui cherchent à envoyer des mails -sans mon SMTP- par rapport au nombre susceptible d'avoir une machine infestée capable de faire n'importe quoi, j'aurais pris la même décision. Tu comprends ça ou pas du tout ? Même réponse que tout le monde : change de FAI.

    • [^] # Re: Certes

      Posté par . Évalué à 10.

      Si j'étais un vendeur de voiture, et que je devais estimer le nombre d'acheteurs qui font de la conduite sportive sur circuit par rapport au nombre susceptible de faire des excès de vitesse sur les routes nationales, j'aurais limité tous mes modèles à 130 km/h.

      Ça n'est vraiment pas acceptable qu'un FAI interdise (ou empêche grandement) l'envoi de mail à partir d'une connection internet. D'autant plus que là, il n'y a vraiment pas de vies en danger.

      Si on veut combattre le Spam, y'a une solution toute simple : Le FAI désactive l'envoi de mails par défaut, et laisse une option à activer dans une interface d'administration pour le pourcent de geek qui veut héberger son mail.
      Nan, parce jusqu'à preuve du contraire, on lui a vendu un accès internet, et on est pas censé lui dicter quoi faire avec.

      • [^] # Re: Certes

        Posté par . Évalué à -10. Dernière modification le 20/03/15 à 01:13.

        Sauf que le constructeur a tout intérêt à faire des voitures rapides car les gens aiment bien ça. L'envoi de mail avec sa propre IP, statistiquement on est bien plus proche du néant que de 1%.

        y'a une solution toute simple : Le FAI désactive l'envoi de mails par défaut, et laisse une option à activer dans une interface d'administration pour le pourcent de geek qui veut héberger son mail.

        Ce n'est pas "tout simple". Gérer un serveur mail n'est pas tout simple. Le geek si il veut s'amuser avec les mails il passe par le smtp de son FAI, si il veut s'en passer on est plus dans la paranoïa qu'autre chose, et je comprends que personne ne veuille soutenir ça. Il doit surement y avoir des hébergeurs de niche pour ça, ça serait la moindre des choses de reconnaitre que ça n'a rien à faire chez un FAI grand public.

        • [^] # Re: Certes

          Posté par (page perso) . Évalué à 10.

          Le geek si il veut s'amuser avec les mails il passe par le smtp de son FAI

          Woaw, en 2015, utiliser le SMTP de son FAI, c’est un truc de geek.

          T’imagine, utiliser thunderbird sans passer par un webmail (et donc faire du SMTP) c’est un truc de geek!

          si il veut s'en passer [smtp de son FAI] on est plus dans la paranoïa qu'autre chose, et je comprends que personne ne veuille soutenir ça.

          Woaw, en 2015 tu es déjà suspect si tu fait du mail sans donner le courrier à ton FAI !

          Au fait, le SMTP du FAI est un service dont on peut se servir… ou pas. Et sans même aller jusqu’à l’argument de l’autohébergement, l’internaute mobile de 2015 n’est pas tous les jours derrière le même FAI, comment qu’il fait ?

          ce commentaire est sous licence cc by 4 et précédentes

          • [^] # Re: Certes

            Posté par (page perso) . Évalué à -1.

            L'utilisation du SMTP de ton FAI se configure sur ton serveur SMTP chez toi en tant que serveur relais (relayhost sur postfix). Et non sur le client. Il y a un peu plus de 10 ans, lorsque je m'étais essayé à l'auto-hébergement, je partais trop souvent dans les spams si j'envoyais sans passer par le smtp de mon provider.

      • [^] # Re: Certes

        Posté par . Évalué à 4.

        C'est une question d'impact. Les 99.9% de spammeurs affectent serieusement le reseau. Et si les voitures roulant a plus de 130 causait des centaines d'accidents par jour, croit moi que le gouvernement aurait vite fait de les interdire.

        Les constructeurs vendent aussi plus cher des voitures qui vont plus vite, comme t'es libre de payer plus pour une ip qui n'est pas blackliste. Et accessoirement, les fai ne sont pas responsables du maintien de ces blacklists, donc tu parles un peu dans la vide.

        Linuxfr, le portail francais du logiciel libre et du neo nazisme.

        • [^] # Re: Certes

          Posté par (page perso) . Évalué à 0.

          C'est une question d'impact. Les 99.9% de spammeurs affectent serieusement le reseau. Et si les voitures roulant a plus de 130 causait des centaines d'accidents par jour, croit moi que le gouvernement aurait vite fait de les interdire.

          Justement, le gouvernement pas les constructeurs ! C'est justement ça le problème, ici, la décision de blocage provient de la même entité qui fournit l'accès internet web.

          • [^] # Re: Certes

            Posté par . Évalué à 6.

            La decision de blocage vient de spam eating monkey, et de ceux qui utilisent ses listes, pas du FAI.

            Faut t'en prendre a spam eating monkey ou ceux qui utilisent ses services.

            Linuxfr, le portail francais du logiciel libre et du neo nazisme.

            • [^] # Re: Certes

              Posté par . Évalué à 0.

              C'est vrai, et merci de recentrer le débat. Le problème est que personne ne semble joignable chez eux. Je cherche en vain un moyen alternatif de les contacter, mais pour l'instant, j'ai pas trouvé. Je n'ai pas encore fait le tour ceci dit.

        • [^] # Re: Certes

          Posté par . Évalué à 1.

          Le vendeur de voiture s'en fout de ce que l'on fait avec sa voiture. Il n'est jamais emmerdé par qui que ce soit des conséquences de l'utilisation de sa voiture (en dehors de défauts).
          Par contre, le propriétaire de l'adresse IP doit traiter les problèmes liés à l'utilisation de l'adresse et ca lui coûte de l'argent de traiter ces problèmes.

    • [^] # Re: Certes

      Posté par (page perso) . Évalué à 10.

      ok - je peux comprendre cela.

      Mais c'est un peu rapide comme raisonnement. 99.9999% des machines infectés sont des windows, pourtant aucun FAI n'exclue les machines sous windows dans son réseau.

      Tu vois le miens de fai, sur mon secteur (campagne) il partage les connexions et la bande passante, ce qui fait qu'à 20 heures tu as le droit à un 56Ko un peu boosté. Si tu ne peux pas comprendre qu'il a des impératifs économique. j'ai qu'à changer de fai.

      Tu vois les fai ils ont comme clients, en majorité, des mme michu qui regardent facebouc et des vidéos de chaton, si tu ne peux pas comprendre qu'ils prioritisent le réseau pour des consultations plus intéressantes (leur réseau de vod), tout le monde n'aura qu'à changer de fai et les linuxiens qui font des installs, y n'auront qu'a changer de fai car télécharger des isos de systèmes alors que les ordis sont déjà livré avec un os et cela représente combien en pourcentage le téléchargement de gros fichiers légaux par rapport aux illégaux ?

      Ce que je n'aime pas dans ta réponse c'est que tu justifies cette politique parce que cela ne TE dérange pas : on est bien arrivé à ce moment ou tout le monde se cogne des problèmes des autres tant qu'ils ne sont pas concernés. Si tu ne comprends pas que c'est exactement cela qui entretient et forge l'égoïsme ambiant…

      • [^] # Re: Certes

        Posté par . Évalué à 0.

        Non, il justifie la politique parce que 99.9% pourri serieusement le reseau avec des activites illegales, parce que laisser passer le .1% qui reste a un cout technique et economique delirant pour tout le monde face aux alternatives, tout en ayant un impact serieux sur la qualite du service.
        Si t'as une solution efficace au probleme qui permet d'eviter le transfert de centaines de millions de spams par jour entre tous les smtps de la planete, on sera ravi de l'entendre et l'appliquer.

        C'est pas une question de liberte ou quoi. Telecharger des ISOs c'est pas illegal et ca pourrit pas le reseau, au contraire, c'est meme plus dur de prioriser certains flux face a d'autre.

        Linuxfr, le portail francais du logiciel libre et du neo nazisme.

        • [^] # Re: Certes

          Posté par . Évalué à 9.

          Si t'as une solution efficace au probleme qui permet d'eviter le transfert de centaines de millions de spams par jour entre tous les smtps de la planete, on sera ravi de l'entendre et l'appliquer.

          Chez certains FAI le SMTP est bloqué au niveau de la box, y'a une petite case à décocher pour le débloquer.

          Mais évidemment ça nécessite pour le FAI de s'assurer que la box est bien sécure par défaut, que les logiciels sont à jour et qu'elle est pas pourrie de failles, c'est chiant :/

          splash!

      • [^] # Re: Certes

        Posté par . Évalué à 3.

        Ce que je n'aime pas dans ta réponse c'est que tu justifies cette politique parce que cela ne TE dérange pas : on est bien arrivé à ce moment ou tout le monde se cogne des problèmes des autres tant qu'ils ne sont pas concernés. Si tu ne comprends pas que c'est exactement cela qui entretient et forge l'égoïsme ambiant…

        Ben ouais il pourrait porter plainte à l'ARCEP et s'engluer dans un procès à la con pendant 5 ans au bout duquel le FAI sera condamné à verser 0,000001% de son chiffre d'affaires.

        Ou changer de FAI.

        splash!

        • [^] # Re: Certes

          Posté par (page perso) . Évalué à 5.

          C'est pas un ou exclusif. Tu peux faire un procès et changer de FAI. Tout comme tu peux aller aux prud'hommes et changer de taf. Tu peux remplir un rapport de bug et changer de logiciel.

        • [^] # Re: Certes

          Posté par (page perso) . Évalué à 1.

          Ben ouais il pourrait.

          Comme je l'ai dit je m'en cogne fortement, j'ai un serveur smtp sur un serveur hébergé et donc le smtp de mon fai… ou le fait de ne pas pouvoir mettre un smtp derrière ma box….

          Vous acceptez toutes les servitudes qui vous sont imposées et vous raillez ceux qui trouvent que ce n'est pas juste : vous allez avoir exactement la société que vous défendez : un internet bridé par les fai, des autorités administratives en tant que juge, des entreprises qui feront la loi et une population de mouton.

          Ben on s'en fout de toute façon yaurakaa changé de pays.

          Si torvald publiait les sources de son minix aujourd'hui, il se ferait envoyé bouler et stalman insulter.

          C'est déprimant, mais l'avantage c'est que vous n'avez pas grand monde à aider, un tout petit cercle d'amis, le reste ils ont qu'a …. aller se faire voir changer de fai.

          • [^] # Re: Certes

            Posté par . Évalué à 1.

            Ben on s'en fout de toute façon yaurakaa changé de pays.

            Ouais enfin créer un nouveau FAI sans tuer tout plein de gens c'est plutôt facile. Un pays, c'est plus compliqué.

            Si torvald publiait les sources de son minix aujourd'hui, il se ferait envoyé bouler et stalman insulter.

            Hein ?
            "torvald" ? minix ? "stalman" ?

            wtf o_O

            C'est déprimant, mais l'avantage c'est que vous n'avez pas grand monde à aider, un tout petit cercle d'amis, le reste ils ont qu'a …. aller se faire voir changer de fai.

            C'est pas un tout petit cercle d'amis, la plupart je les connais pas, tout ce que je sais c'est que c'est des gens intelligents qui savent où est leur intérêt, stoo.

            splash!

          • [^] # Re: Certes

            Posté par (page perso) . Évalué à 0. Dernière modification le 20/03/15 à 15:46.

            Vous acceptez toutes les servitudes qui vous sont imposées

            Et sinon, tu proposes quoi pour combattre le spam, toi, à la place de partir sur de grandes théories?

            un internet bridé par les fai,

            Est-ce que ton FAI a fait quoi que ce soit contre toi?
            Il informe juste que ce sont des IP "résidentielles", ce qui est vrai.
            Ha oui, il vaut mieux des principes sans prendre en compte les impacts mêmes chiants (genre le spam).
            Saloperie de gens qui fournissent un service qui marche plutôt que de la théorie qui ne marche pas…

            Pour le reste, c'est du bla bla qui ne prend pas en compte la réalité (les problèmes) et/ou est totalement HS.

            Pas sûr que le "mouton" soit à l'endroit que tu crois.

    • [^] # Re: Certes

      Posté par . Évalué à 2.

      Même réponse que tout le monde : change de FAI.

      OK. Donnez-moi un FAI qui le permette, et je regarderai.

      • [^] # Re: Certes

        Posté par . Évalué à 3.

        OVH, Nerim, un de la fédération FDN.

        • [^] # Re: Certes

          Posté par . Évalué à 1.

          Ah ben dis donc, en plus d'OVH, j'avais même oublié Nerim :) Un membre de FFDN, j'ai bien vu aussi, il y en a un dans ma région, mais disons que bon, il faut investir un peu plus de temps. Enfin, c'est ce que je crois, je parle à l'instinct là.

          • [^] # Re: Certes

            Posté par (page perso) . Évalué à 0.

            Ah ben dis donc, en plus d'OVH, j'avais même oublié Nerim :)

            La preuve par l'exemple que être un "gentil FAI" n'est pas vendeur, même ceux qui cherchent un "gentils FAI" s'en foutent en fait quand on en parle (ils font ça depuis le début, à chaque fois les mêmes noms reviennent, à chaque fois c'est oublié 2 jours après et en fait personne dans les gens qui se plaignent ne passe chez eux).

            • [^] # Re: Certes

              Posté par . Évalué à 2.

              Il me semble que Nérim ne fait plus d'accès internet pour les particuliers.

              • [^] # Re: Certes

                Posté par . Évalué à 1.

                C'est pas très clair sur leur page d'accueil. Visiblement, tout est en hors taxe, mais on peut remplir une fiche d'inscription en tant que particulier. Je ne suis pas allé plus loin.

  • # Auto-test

    Posté par . Évalué à 3.

    M'auto hébergeant aussi j'ai testé mon domaine aussi. Je ne suis aucunement listé :-þ
    Pour info je passe par le relai de mon FAI «gratuit/libre» pour 2 raisons.
    1. Bouyges n'accepte qu'une liste blanche de serveur mail sans moyen de se mettre dessus
    2. Le reverse DNS n'est pas renseignable avec la fibre. En ADSL je n'avais pas ce problème

    Pour le rDNS le «problème» est connu du coté du FAI mais la population intéressé est tellement faible et avec la solution facile du relai interne que je ne pense pas qu'il se bouge avant un bon moment. Je les avais embêté sur la ligne chaude sans succès. Surtout qu'une partie des lignes fibre l'on de renseigné et qu'une valeur bidon est suffisant.

    • [^] # Re: Auto-test

      Posté par . Évalué à 3.

      Donc tous tes emails passent d'abord sur les serveurs de ton FAI et ça ne te choque pas plus que ça ? Quelle est l'intérêt de s'auto-héberger si c'est pour au final laisser la possibilité à n'importe-qui de regarder tes emails ? Seulement d'être indépendant du FAI ? Pourquoi ne pas aller chez gmail dans ce cas ? Rien n'a configuré, c'est encore mieux.

      • [^] # Re: Auto-test

        Posté par . Évalué à 2.

        Je ne serais pas aussi émotif dans ma réponse, mais c'est pour ça que j'ai dit que j'avais arrêté de relayer mes courriels (emails, c'est pas le sujet aujourd'hui) via le SMTP officiel. Qui ne sait pas faire de TLS lors de la réémission.

      • [^] # Re: Auto-test

        Posté par (page perso) . Évalué à 3.

        Parfois on a pas le choix (sauf changer de FAI encore une fois)

        Et de toute façon, même si tu ne passes pas par le relais SMTP de ton FAI, tu ne contrôles pas les relais utilisés pour acheminer vers tes destinataires.

        Et si tes contacts utilisent gmail/hotmail/etc c'est un peu mort pour la confidentialité :D

        Encore une fois, si on ne veut pas (en théorie…) que le contenu soit lu, utiliser GPG…

  • # Un contournement ...

    Posté par (page perso) . Évalué à 9.

    Comme les gens le disent sur le reste de ce thread, une connection grand public n'est effectivement pas faites pour émettre des mails … du moins dans l'imaginaire des FAIs et des sites de blacklist.

    Dès lors, il ne te reste guère qu'une solution: passer par un relais extérieur.

    Celui de ton FAI ne te convient pas, la faute à l'absence de TLS… n'aurais tu pas un ami avec un serveur dédié qui pourrait faire office de relay pour toi ?
    Ou mieux, n'as tu pas 5€/mois à dépenser pour louer un dédié ou un dédié virtuel et y installer un postfix qui ferait relais (en utilisant soit un lien VPN entre les deux et n'autoriser que le relais provenant de la plage d'adresse de ton VPN, soit en utilisant de l'authentification SASL entre les deux).

    Le gros problème des connections ADSL & co offerte par les FAI grand public, c'est qu'elles ne sont pas vouées à héberger de genre de service considérés comme "professionnels".
    Si, à un instant t, cela fonctionne, rien ne garantit qu'il en sera de même à t+1 mois ou t+2 ans… cette incertitude fait que, à mon sens, l'hébergement de mail sur une ADSL ou autre est à proscrire…

    Si tu passes par un relais externe, pense bien à mettre à jour les enregistrements SPF & co …

    • [^] # Re: Un contournement ...

      Posté par (page perso) . Évalué à 1.

      Je suis assez pour un dédié aussi. Rien de plus pénible d'avoir à remonter un serveur de mail à 2h du mat une veille de départ en vacances parce que la machine vient de lacher (du vécu…)

      les pixels au peuple !

      • [^] # Re: Un contournement ...

        Posté par . Évalué à 7.

        Je vais faire court : non.

        Ce n'est pas l'argent le problème. C'est la mentalité. Je paye pour une connexion Internet, qui est déjà de qualité. C'est juste que non, je n'accepte pas qu'on vienne me dire que c'est un service pour professionnel. L'échange par email, c'est la base, ça existait avant le Web. Je sais que presque personne ne s'auto-héberge, parce que c'est compliqué, mais ce sont mes emails, ils restent chez moi.

        Un serveur dédié, je dois payer en plus pour une machine qui ne m'appartient pas, et des données qui peuvent donc être volées à mon insu. Physiquement je veux dire (il est possible que je me sois déjà fait pwner sans le savoir ;) ).

        Et j'assume totalement le fait d'avoir des souci de matériel de temps en temps. Depuis 8 ans, ça a dû m'arriver deux fois. En fait, les problèmes sont plus souvent logiciels que matériels :)

        • [^] # Re: Un contournement ...

          Posté par (page perso) . Évalué à 2.

          L'échange par email, c'est la base, ça existait avant le Web.

          Ça existait même avant Internet.

        • [^] # Re: Un contournement ...

          Posté par (page perso) . Évalué à -5. Dernière modification le 20/03/15 à 17:13.

          Un serveur dédié, je dois payer en plus pour une machine qui ne m'appartient pas, et des données qui peuvent donc être volées à mon insu. Physiquement je veux dire (il est possible que je me sois déjà fait pwner sans le savoir ;) ).

          La bonne blague qui ne tient pas devant les faits : tu as plus de chances de te faire piquer ton disque chez toi (une pauvre petite serrure) que chez un hébergeur (surveillance 24/24, et plus d'une serrure).
          tu aimes l'auto-hébergement, OK, mais pas la peine de (te) mentir à son sujet si tu l'aimes pour de bonnes raisons.

          ce sont mes emails, ils restent chez moi.

          J'espère pour toi que tu as tes emails aussi ailleurs que chez toi, ou que tu es assez riche pour avoir 2 chez toi, car si ils sont que chez toi un point unique, ça serait très rigolo comme sécurité. Surtout en réception (ne pas en perdre quand ton FAI est en carafe).

          Après, si tu t'en fous des mails et/ou que c'est jsute pour le fun… Les gens ont un usage plus important des mails, de manière générale, qui ne permet pas ce que tu fais.

          • [^] # Re: Un contournement ...

            Posté par (page perso) . Évalué à 3.

            La bonne blague qui ne tient pas devant les faits : tu as plus de chances de te faire piquer ton disque chez toi (une pauvre petite serrure) que chez un hébergeur (surveillance 24/24, et plus d'une serrure).

            Il a peut-être chiffré son disque dur.

            J'espère pour toi que tu as tes emails aussi ailleurs que chez toi, ou que tu es assez riche pour avoir 2 chez toi, car si ils sont que chez toi un point unique, ça serait très rigolo comme sécurité. Surtout en réception (ne pas en perdre quand ton FAI est en carafe).

            En cas de panne de réception, les serveurs expéditeurs réessaient pendant 5 jours, ça laisse un peu de temps pour trouver une solution.

          • [^] # Re: Un contournement ...

            Posté par . Évalué à 1.

            La bonne blague qui ne tient pas devant les faits : tu as plus de chances de te faire piquer ton disque chez toi (une pauvre petite serrure) que chez un hébergeur (surveillance 24/24, et plus d'une serrure).

            Bon, on s'éloigne du sujet. Je pense que donc que je ne vais pas traîner. J'ai dit : à mon insu. Je sais qu'un professionnel entraîné pourra rentrer chez moi, à mon insu, en refermant tout bien comme il faut, mais c'est pas la majorité. Dans un datacenter, plein de gens ont les clés. Je sais que la sécurité est largement meilleure que chez moi, je n'ai même pas de serrure 3 points, ni de porte blindée. Mais en général, si quelqu'un vient chez moi par effraction, je vais le savoir.

            J'espère pour toi que tu as tes emails aussi ailleurs que chez toi, ou que tu es assez riche pour avoir 2 chez toi, car si ils sont que chez toi un point unique, ça serait très rigolo comme sécurité. Surtout en réception (ne pas en perdre quand ton FAI est en carafe).

            Je ne sais pas trop sur quel ton répondre. Comme l'a dit Tanguy, le SMTP est extrêmement résilient. 5 jours, je ne sais pas, mais au moins 3, je l'ai testé sur mon dernier déménagement. Au pire, j'ai un ami qui peut faire MX d'urgence, juste au cas où. Et bizarrement, ça suffit. En fait, on accepte beaucoup plus facilement les pannes qui viennent de soi-même, et qu'on comprends, que les pannes des autres. Les pannes, ça arrive, et l'email est vraiment le dernier des services qui perd des données quand ça arrive.

            • [^] # Re: Un contournement ...

              Posté par . Évalué à 2.

              Au pire, j'ai un ami qui peut faire MX d'urgence, juste au cas où. Et bizarrement, ça suffit.

              Un truc à savoir, au moins avec postfix : un MX secondaire, en mode relai vers son MX primaire a aussi une queue qui expire, dans des délais (de base) sensiblement identiques à 5 jours. Ca fait mal le jour où l'on s'en rend compte.

            • [^] # Re: Un contournement ...

              Posté par (page perso) . Évalué à -3.

              Au pire, j'ai un ami qui peut faire MX d'urgence, juste au cas où. Et bizarrement, ça suffit.

              C'est comme les issues de secours : en avoir qui ne marchent pas bien, 1 fois sur 10, ça suffit tant qu'il n'y a pas de problème. Et quand tu attends en a besoin, hop ça ne suffit plus (loi de Murphi, il y a eu assez d'exemples de quand ça merde dans la vraie vie).

              Mais bon, si les mails ne sont qu'un jeu pas important où tu peux perdre des mails quand ça merde, pourquoi pas.
              (perso, je reçois des mails avec des contrats, donc en perdre un n'est pas acceptable, et les amis c'est fiable, jusqu'au jour où tu ne reçois pas alors que tu en as besoin mais il était parti en vacances et son serveur a planté, et il n'a pas envie de revenir le rebooter parce que bon, tu gonfle, il est en vacances)

              Les pannes, ça arrive, et l'email est vraiment le dernier des services qui perd des données quand ça arrive.

              lol.
              (bizarrement, les admins que je connais, la dernière chose qu'ils font c'est de gérer les mails chez eux, peut-être parce qu'ils connaissent ce que ça vaut…)

              Chacun son truc, certes. Amusez-vous bien (c'est un classique, ça dure quelques années comme délire et puis on se le fait héberger, car on a alors l'expérience que ça ne marche jamais quand on a besoin + on a autre chose à faire, rien de nouveau le discours était le même et les gens les mêmes il y a 10 ans, c'est intemporel).

              • [^] # Re: Un contournement ...

                Posté par . Évalué à 7.

                Ah, Zenitram. Je vais essayer de pas nourrir le troll qui est en toi. Oui, j'ai envie d'y croire au moins une fois.

                On est bien d'accord qu'en général, l'emmerdement est maximum. D'ailleurs, quand ça m'est arrivé, il a fallu bousculer les priorités, j'ai eu entre 2 et 3 jours de stress. Je n'ai perdu aucun email (oui, je sais, difficile de savoir ce qui n'est pas arrivé, hein).

                Venons-en au cœur. Les emails, c'est comme les SMS. Aucune garantie de délivrance. Aucune. Que tu sois chez GMail, chez toi, ou chez un hébergeur qui fait du HAProxy sur du RAID-278 sur CloudFlare, un email peut se perdre, et ne pas être délivré. En général, l'expéditeur reçoit un « Mail Delivery System » qu'il ne comprend pas, parce qu'il faut avoir déjà installé son serveur SMTP pour comprendre ce que ça veut dire. Et c'est perdu.

                Par contre, j'ai déjà eu des échos de Free qui a perdu des emails, et restauré des sauvegardes. GMail, quand ça ne marche pas, tout le monde lève les bras au ciel en hurlant. Pourtant, ce sont des experts, non ?

                Mes emails, c'est ma correspondance privée. Ce n'est pas un jeu, c'est très vexant de dire ça, mais en fait, c'est autant un jeu de s'auto-héberger que d'aller sur GMail, où une bonne centaine de personnes que tu connais pas lisent tes mails. Dont tes contrats. Et c'est autrement plus sérieux.

                L'email est une dernière chose que j'ai décidé de prendre en main il y a 8 ans, parce que justement, je savais que c'était difficile, et qu'il ne fallait pas se louper. J'ai eu des ratés mineurs. Mais pas de mails perdus.

                Ça fait 8 ans, j'ai maintenant un enfant, donc beaucoup moins de temps à passer dessus, et bizarrement, ça va toujours.

                On va donc terminer par une pique (je ne résiste pas) : si tu ne te sens pas capable de gérer, ne le fais pas. Ne vient pas insulter les autres de ta jalousie d'incompétent.

                • [^] # Mille excuses

                  Posté par . Évalué à 2.

                  Je vais quand même présenter doublement mes excuses.

                  D'une part, pour avoir quand même nourri le troll.

                  D'autre part, et surtout, pour avoir écrit une phrase qui me semble plus désobligeante que ce à quoi elle s'adressait. Je ne connais pas Zenitram, et c'était une faiblesse que je me suis accordé sous le coup de l'émotion.

                  Après une bonne douche, je suis dit que je devrais éditer mon commentaire, mais il était trop tard.

                  J'assume, mais je préfère quand même dire ce que je pense de moi-même…

                • [^] # Re: Un contournement ...

                  Posté par (page perso) . Évalué à -4. Dernière modification le 22/03/15 à 08:49.

                  On va donc terminer par une pique (je ne résiste pas) : si tu ne te sens pas capable de gérer, ne le fais pas. Ne vient pas insulter les autres de ta jalousie d'incompétent.

                  En fait, cette pique te concerne : elle montre que tu n'as même pas lu ce que j'ai écrit, car je n'ai jamais parlé de te compétances (je ne les connais pas, tu es peut-être un surhomme). Ca ne concerne pas la compétance de l'humain, à part dans choisir.
                  Car ici, le problème n'est pas logiciel.

                  J'aime bien l'exemple de Free qui perd des mails, eux sont nuls mais toi tu es meilleur (contre le matériel défaillant).
                  Tu joues à la roulette russe, OK ça marche parfois et en est fier, mais c'est un mensonge de dire que c'est plus sûr.

                  Le plus rigolo dans cette histoire est de savoir que les gens qui ont l'admin de serveur mail comme métier évitent surtotu d'avoir un servuer chez eux. Mais bon, ils sont incompétants… (ou alors ils savent les statistiques de risque global, genre panne matériel / incendie / vol / QoS ADSL / temps à passer pour gérer les merdes …, au choix).

                  si tu ne te sens pas capable de perdre des mail, ne le fais pas. Ne vient pas insulter les autres de ta jalousie qu'ils ont moins de problèmes en global.
                  (et je ne m'excuserai pas, simplement parce que je reprend ton message, et espère qu'au moins il sera utile à ceux qui se pose la question de faire ou pas : si vous y pensez, renseignez vous d'abord sur les taux de défaillance hardware et sur les containtes genre vacances, car loi de Murphi oblige, les merdes arrivent toujours quand vous êtes loin de votre machine. N'écoutez pas les gens qui sont tellement dedans et veulent tellement en faire la publicité qu'ils fotn un truc "trop bien sans problèmes" qu'ils en "oublient" de parler des risques, parce que eux, ils sont tellement forts qu'il ne leur arrive jamais rien d'extérieur).

          • [^] # Re: Un contournement ...

            Posté par (page perso) . Évalué à 5.

            tu as plus de chances de te faire piquer ton disque chez toi (une pauvre petite serrure) que chez un hébergeur (surveillance 24/24, et plus d'une serrure).

            Méé oui, c’est pour cela que y a des gens qui nourrissent des canaris prêts à clamser le jour où un agent vient demander d’ouvrir la serrure.

            ce commentaire est sous licence cc by 4 et précédentes

          • [^] # Re: Un contournement ...

            Posté par . Évalué à 4.

            La bonne blague qui ne tient pas devant les faits : tu as plus de chances de te faire piquer ton disque chez toi (une pauvre petite serrure) que chez un hébergeur (surveillance 24/24, et plus d'une serrure).
            tu aimes l'auto-hébergement, OK, mais pas la peine de (te) mentir à son sujet si tu l'aimes pour de bonnes raisons.

            Les gens qui veulent voler beaucoup d'argent braquent des banques, pas des mémés. C'est pareil pour les données.

            Please do not feed the trolls

            • [^] # Re: Un contournement ...

              Posté par . Évalué à 3.

              Sauf que les banques, ça devient de plus en plus difficile à braquer, donc au final ils se rabattent sur les mémés ou les pépés qui gardent leurs lingots et bas de laine à la maison.

        • [^] # Re: Un contournement ...

          Posté par (page perso) . Évalué à 4.

          Je paye pour une connexion Internet, qui est déjà de qualité.

          Pas tant que ça visiblement …

          C'est juste que non, je n'accepte pas qu'on vienne me dire que c'est un service pour professionnel.

          Utiliser les emails != auto-héberger ses emails.

          Puisque les comparaisons avec l'automobile semblent être de mise, je dirai que je conduis une voiture, parfois je fais ma vidange et 2/3 autres opérations de maintenance moi-même, mais si jamais un jour je dois changer un joint de culasse ou faire la distribution, je passerai probablement par les services d'un professionnel.
          Pour la bonne et simple raison qu'utiliser une voiture ne fais pas de moi un mécanicien.

          Bein les mails c'est la même chose… Mme Michu utilise le mail, mais n'a aucune envie de s'emmerder à les héberger.

          Si un jour, 99% des utilisateurs de voiture demandent aux constructeurs automobile à ce que le changement de courroie de distribution soit facilité, peut être qu'ils feront en sorte de leurs prochains modèles puissent voir leurs distributions changée en deux coups de cuillère à pot.

          Si un jour, 99% des internautes français décidaient d'héberger leurs email sur un vieux P2 400 raccordé à leurs ADSL, peut être que le micro-système des industriels de l'internet changerait un peu de point de vue quant au bloc d'ip résidentiel & co.

          Un serveur dédié, je dois payer en plus pour une machine qui ne m'appartient pas, et des données qui peuvent donc être volées à mon insu. Physiquement je veux dire (il est possible que je me sois déjà fait pwner sans le savoir ;) ).

          Bon … tu sembles manquer d'imagination "technique" …. voici un petit exemple de setup qui résoud tout tes problèmes de mails:

          _ 1 serveur dédié faisant tourner OpenVPN sur, par exemple, le réseau 10.42.42.0/24. Son adresse est 10.42.42.1.
          _ Ton "serveur" sur ADSL (loool) qui fait tourner un client OpenVPN vers ton dédié. Son adresse est 10.42.42.2.
          _ Ton postfix configuré pour n'être qu'un relais sur ton domain: tout les mails reçus sont automatiquement rebalancés au MX primaire: ton serveur sur ADSL, 10.42.42.2

          Résultat: tes mails ne passent qu'un poulième de secondes sur le serveur dédié… et finissent très rapidement au chaud dans ton salon, à l'abri des vilains chinois du FBI !
          Ce setup est on ne peut plus robuste, on ne peut plus "standard" et s'appuie sur des technos OpenSource grandement éprouvée…
          En plus, le jour ou ton ADSL ou ton vieux P2 400 est en carafe, les mails restent bien au chaud sur ton dédié, patientant sagement le retour de copain MX primaire …

          Après, si cela n'est pas suffisant pour toi, je t'invite à te demander:
          _ Ce que peut faire ton FAI en terme d'inspection de ta vie numérique.
          _ Ce que peut faire ton FAI quand un de ses routeurs voit un paquet à destination de ton IP et le port 25.
          _ Ce qu'il est possible de faire en mode "man-in-the-middle" dans le cas d'un serveur qui viendrait faire coucou au tiens en TLS.

          La sécurité doit toujours être considérée en fonction des données à protéger…
          Je peux comprendre que tu sois un peu parano, et c'est d'ailleurs une qualité à mon sens en informatique, mais penses tu réellement que les contraintes que tu t'imposes correspondent réellement à tes besoins ? :)

          • [^] # Re: Un contournement ...

            Posté par . Évalué à 2.

            C'est sûr, le VPN en relais, c'est pas une mauvaise idée. Ça nécessite quand même un dédié quelque part, au moins, c'est juste un relais sans mémoire.

            Après, pour la blague, non, je n'ai quand même pas un P2 400 ;) Ça consomme beaucoup trop ça. J'ai un Intel Atom en Mini-ITX avec une PicoPSU, c'est très bien. Bon, depuis le RaspberryPi, on fait encore mieux, en rapport performance/Watt, mais je vais pas me racheter du matériel tous les jours non plus ;)

          • [^] # Re: Un contournement ...

            Posté par . Évalué à 4.

            Si un jour, 99% des internautes français décidaient d'héberger leurs email sur un vieux P2 400 raccordé à leurs ADSL, peut être que le micro-système des industriels de l'internet changerait un peu de point de vue quant au bloc d'ip résidentiel & co.

            Oula, faut pas la faire à l'envers. Si le SMTP est bloqué techniquement en sortie et/ou que les plages résidentielles sont dans toutes les RBL, c'est parce que les machines de particuliers sont des nids à merdes. 99% autohebergés @home ou pas. Tant que ce point là ne sera pas réglé, faut pas s'attendre à ce que la position des FAI change. Le SPAM est une plaie mondiale.

    • [^] # Re: Un contournement ...

      Posté par (page perso) . Évalué à 9.

      Ou mieux, n'as tu pas 5€/mois à dépenser pour louer un dédié ou un dédié virtuel et y installer un postfix qui ferait relais

      J’approuve, mais il faut quand même noter que même ça ne te garantit pas de ne pas te retrouver dans une blacklist.

      Mon serveur n’a jamais envoyé le moindre spam, il respecte complètement le protocole SMTP, l’enregistrement DNS inverse correspond bien au nom annoncé de la machine, son adresse correspond à la seule adresse mentionnée dans l’enregistrement SPF de mon domaine, les mails sortants sont signés par DKIM, j’accepte les rapports DMARC, mon serveur peut faire du TLS opportuniste (et les autres serveurs peuvent vérifier la validité du certificat par DANE)… Bref, je crois sincèrement avoir un serveur bien géré (et je ne peux pas en dire autant de tous les fournisseurs de messagerie).

      Ça n’a pas empêché, d’une part, une certaine DNSBL de blacklister tout le réseau dans lequel mon serveur se trouve, et d’autre part, au moins un fournisseur de messagerie de rejeter inconditionnellement tous les messages en provenance de mon serveur sur la seule base de la présence dans une blacklist apparemment connue pour blacklister des /24 entiers.

      C’est surtout le deuxième point qui m’énerve. Je veux bien que la présence d’une adresse dans une DNSBL soit un critère de spam, mais pas que ce soit le seul. Ça sent vraiment l’administrateur flemmard qui pense qu’il a fait son boulot de lutte contre le spam parce qu’il a mis une ligne reject_rbl_client dans son fichier de configuration…

  • # Abusé !

    Posté par (page perso) . Évalué à 2.

    Je trouve cela abusé et vraiment frustant, surtout si tu ne peux pas rectifier le tir. Le problème avec l'autohébergement, c'est que les acteurs ne jouent pas le jeu et très peu de personnes tentent de faire bouger les choses. J'ai eu le même souci avec mon FAI, mis à part qu'après avoir fait une demande auprès du responçable de la liste noire, j'ai pu de nouveau envoyer des mails après une ou deux heures. J'ai arrêté l'autohébergement, car ma connexion ADSL est trop instable et le débit montant inssufisant pour mes besoins. Alors bien sûr, faire de l'autohébergement pour ses mails, ça n'a rien de bien compliquer et ne demande pas trop de ressources, mais j'avoue que quand on rentre pour la première fois dans les fichiers de configurations de postfix et dovecot, il y a de quoi s'arracher les cheveux d'autant plus que coulé à postfixadmin, il faut créer ses propres requêtes sql. A chaque fois que je dois reconfigurer un serveur de mail, ça me prend plusieurs heures avant de capter mes erreurs.

    Enfin cela dit, j'aurais adoré vivre pleinement l'autohébergement, mais tant que j'aurais de l'ADSL c'est pas la peine d'y penser. En ce moment je travail sur une application type Facebook, et ne serait-ce que pour les albums photos des membres, ma bande passante serait exploser.

    Dans ton cas je pense que la meilleure solution c'est d'avoir son propre vps.

    • [^] # Re: Abusé !

      Posté par . Évalué à 4.

      C'est vrai que, sans rentrer dans un débat de fond, l'asymétrie de l'ADSL a fait très mal à la nature même du réseau Internet. Mais c'est comme ça, et avec la fibre, ça changera (je sais qu'il y en a pour 10 ans minimum, mais on parle de long terme là).

      Donc en attendant, je m'amuse, et je m'entraîne. Y en a qui bricole dans leur garage, moi je bricole sur mon serveur, et je trouve ça chouette.

      Comme répondu plus haut, un VPS ne m'appartient pas, donc ça ne répondra pas à mon besoin…

  • # Si j'étais FAI

    Posté par (page perso) . Évalué à 1.

    Si j'étais FAI, j'aurais un range d'IP (avec une bonne réserve) que je ne ferais pas mettre dans une liste noir. Après tout, j'ai besoin d'IP pour mes propres infrastructures.

    Après, si occasionnellement un client ou deux en ont besoin, ça ne me couterait rien de leur en céder une. Ou de moins, ce cout serait négligeable.

    Mais j'ai comme l'impression que le sens du service envers ses clients est une notions d'un autre temps, d'un autre monde.

    • [^] # Re: Si j'étais FAI

      Posté par (page perso) . Évalué à 9.

      J’en vois ici qui tirent sur le FAI, mais ce n’est pas lui le principal problème à mon avis.

      Le principal problème, ce sont les administrateurs de serveurs mail qui prennent les blacklists comme une solution de facilité « clef-en-main » contre le spam, sans même y réfléchir une seconde.

      Un exemple : je prends un tuto au hasard (un des premiers résultats sur une recherche Google « linux mail server »), et voilà ce que contient la section sur la configuration de Postfix :

      Now we can specify some restrictions. Be carefull that each setting is on one line only.

      ...
      smtpd_client_restrictions = reject_rbl_client sbl.spamhaus.org,
            reject_rbl_client blackholes.easynet.nl
      ...
      

      Hop, on envoie paître les clients listés dans l’une ou l’autre des deux DNSBL mentionnés. Peu importe que toutes les autres vérifications montrent que le client est correct, si son IP est blacklisté, il va se faire voir, point. Non mais. C’est pas comme si le but de ce tuto était d’encourager les gens à monter leur propre serveur mail.

      (Encore plus grave, de mon point de vue : à aucun moment l’auteur de ce document n’explique ce que fait la configuration qu’il propose.)

      • [^] # Re: Si j'étais FAI

        Posté par . Évalué à 1.

        Ah ben oui, évidemment. Le FAI n'est pas parfait, mais le côté « Rejetons joyeusement tous les gens dans des listes noires dont on ne connaît pas la fiabilité », c'est pas terrible.
        Aujourd'hui, on pourrait par exemple autoriser l'accès si le SPF est correct, sinon, on regarde une liste noire. Juste comme ça.

        • [^] # Re: Si j'étais FAI

          Posté par . Évalué à 1.

          En même temps, si tu t'autohéberges (et c'est mon cas), va faire un tour dans /var/log/mail.info. Chez moi ça fait le ménage dans 99%+ du spam que je reçois.

          • [^] # Re: Si j'étais FAI

            Posté par (page perso) . Évalué à 4.

            En même temps, si tu rejettes le client dès la connection, tu n’as aucune certitude qu’il allait te donner du spam. Tout ce que tu as, c’est la présence de son adresse dans une blacklist.

            C’est précisément cette approche à la tronçonneuse que je condamne. Et autant je pourrais à la limite la comprendre de la part d’un gros fournisseur de messagerie qui doit faire face à des millions de connexion et n’a pas de temps à perdre avec des dommages collatéraux (même si ce n’est pas une excuse ; si on tient absolument à utiliser une blacklist, la bonne procédure consiste à combiner ses résultats avec d’autres indicateurs de spamicité), autant je la trouve inadmissible venant de ceux qui se font les champions de l’auto-hébergement.

          • [^] # Re: Si j'étais FAI

            Posté par . Évalué à 2. Dernière modification le 21/03/15 à 19:44.

            D'accord. Soit. Mais franchement, quelle est la proportion de SPAM dont le SPF est valide ? Ou le DKIM (je n'en ai pas, par manque de temps là) ?

            Je ne sais pas si Postfix permet de faire ça, mais ça ne m'étonnerait pas qu'on puisse enchaîner les vérifications dans ce sens :

            • Présence de SPF
              • Oui : Si hôte valide, connexion acceptée, fin des vérifications, sinon, on échoue.
              • Non : Tant pis, on poursuit
            • Présence dans une liste noire
              • Oui : On échoue
              • Non : On continue

            Comme dit plus haut, la liste noire est vraiment une tronçonneuse.

            Pour la petite histoire, j'avais réglé Postfix pour faire certaines vérifications basiques sur la correspondance entre les enregistrements A, PTR et MX. J'ai dû le virer, parce que les emails envoyés par dl.free.fr étaient bloqués. Donc bon… Un bon antispam est de toutes façons nécessaire.

    • [^] # Re: Si j'étais FAI

      Posté par . Évalué à 1.

      Bof, non, changer d'adresse IP pour ces clients, c'est foutre en l'air son plan d'adressage, qui est souvent géographique.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.