Forum général.général Orange ne prend pas (complètement) en charge le TLS - Comment les contacter quand on 'est pas client

Posté par  . Licence CC By‑SA.
5
4
sept.
2021

Bonjour,

Depuis quelques temps mes contacts m'écrivant depuis une adresse de courriel en @orange.fr ne peuvent plus me joindre ; les messages n'arrivent pas dans ma boîte de réception @posteo.de.
Je n'ai aucun souci avec les courriels provenant d'autres « hébergeurs » de courriels.

Après quelques recherches je me suis rappelé avoir activé la « garantie de réception par TLS » dans ma boîte Posteo : celle-ci permet de refuser « la réception d’un e-mail lorsqu’un serveur essaie de le distribuer sans chiffrement à jour lors de l’acheminement » d'après la page d'aide chez Posteo. Cela m'a paru une bonne chose et j'ai coché la case sans chercher plus loin.

Toujours d'après Posteo, moins de 5% des serveurs actifs ne sont pas encore mis à jour vers TLS 1.2 ou TLS 1.3. Surprise, ceux d'Orange en font apparemment partie. En cherchant un peu j'ai trouvé des notifications du serveur Posteo qui m'informe effectivement avoir rejeté la réception de multiples courriel en l'absence d'une connexion TLS.

(Ça m'a rappelé leur paramétrage surprenant, sur lequel j'étais tombée il y a une dizaine d'année, qui donnait libre accès à la boîte de courriel liée à l'abonnement du moment qu'on avait pu se connecter à la livebox du domicile.)

Je pourrais évidemment désactiver cette « protection TLS » mais ça ne me semble pas une bonne idée. Si tous les autres fournisseurs ont fait le choix d'implémenter une version récente de TLS ça ne doit âs être juste pour faire joli ? Ou bien ?

Bref, je me suis mise en tête de leur envoyer un courriel pour le leur signaler et leur suggérer de faire la bascule - c'est mon côté Don Quichotte - mais pas moyen de trouver une adresse de courriel. Je tourne en rond sur orange.fr avec toujours le même résultat : il faut être abonné Orange pour arriver à les contacter par courriel.

Sauriez-vous où trouver cette adresse ? Au pire je passerai à l'enveloppe cachetée si je retrouve ma plume et mon encrier.

Merci d'avance !

  • # abuse

    Posté par  (site Web personnel) . Évalué à 5.

    abuse@orange.fr

    J'ai récemment eu un problème de mails aussi avec eux, mais d'une autre nature : mon enregistrement SPF est en -all, donc un client ayant un mail avec un nom de domaine refusait mes mails parce que les serveurs Orange font relay (vu dans l'avis de non-expédition), donc forcément le serveur final voit le mail venir d'un serveur d'Orange au lieu de mon serveur SMTP, donc refus.
    J'ai eu l'explication (que Orange faisait relay pour les mails de ce domaine) en contactant cette adresse abuse, qui a répondu plutôt vite (3 jours après).

    • [^] # Re: abuse

      Posté par  . Évalué à 2.

      et du coup tu as modifié ton SPF pour autoriser les serveurs Orange-Relay ?

      • [^] # Re: abuse

        Posté par  (site Web personnel) . Évalué à 2.

        Non, sinon le SPF ne sert plus à grand-chose… je ne considère pas que les serveurs Orange comme sources fiables pour mes mails.
        Je pourrais certes le mettre à ~all et laisser le serveur du client décider si c'est du spam ou pas. J'ai fait le fainéant, j'ai utilisé une autre adresse mail. C'est juste pour un seul client, je ne vais pas perdre trop de temps là-dessus.

    • [^] # Re: abuse

      Posté par  . Évalué à 1.

      Merci pour l'adresse, je vais essayer.

  • # Demander à tes contacts

    Posté par  . Évalué à 3. Dernière modification le 04/09/21 à 13:05.

    Salut,

    Pourquoi ne pas demander à tes contacts qu'ils se plaignent directement à leur fournisseur ?

    C'est quand même eux qui vont être écoutés au final. S'ils ne sont pas satisfaits du service, ils iront voir ailleurs.

    Tu leurs fait le mail type, qu'ils peuvent copier/coller vu qu'ils sont clients, et hop !

    Note : une méthode n'empêche pas une autre…

    Matricule 23415

    • [^] # Re: Demander à tes contacts

      Posté par  . Évalué à 4. Dernière modification le 04/09/21 à 13:12.

      C'est quand même eux qui vont être écoutés au final.

      J'en serai pas si sûr.
      Après même en étant chez Orange je n'utilise pas leur serveur SMTP (ni leur e-mail d'ailleurs).

      Si quelqu'un fait un mail type, je serai partant pour le transférer.

      PS: Microsoft filtre les e-mails d'orange depuis le mois d'Avril à cause du non-respect de la norme TLS 1.2. Ça fait un paquet de société qui ne sont donc plus contactable depuis Orange

      Les vrais naviguent en -42

      • [^] # Re: Demander à tes contacts

        Posté par  . Évalué à 1.

        Je retire ce que j'ai dit à propos de Microsoft, je viens de faire un essai depuis le webmail d'orange en direction d'une boîte hébergée par Outlook365 et c'est passé.

        Je ne sais pas si Orange a corrigé le problème ou si Microsoft est devenu plus permissif

        Les vrais naviguent en -42

      • [^] # Re: Demander à tes contacts

        Posté par  . Évalué à 3.

        J'en serai pas si sûr.

        Je suis peut-être légèrement catégorique, sans en avoir de preuves, en effet.

        En tout cas, j'aurais du mal à croire que cet état des choses soit non intentionnel (mais je n'ai clairement pas la raison), car techniquement j'ai de gros doutes sur leur potentielle incapacité à ce niveau (en interne, ou en moyens de financement via prestation externe dans le grand pire des cas).

        Il y a pour moi un intérêt (je suspecte un gros client qui "doit" rester avec un vieux protocole, mais ça, c'est plutôt du pifométrique), et qu'ils ne souhaitent pas pressurer pour le moment.

        Après même en étant chez Orange je n'utilise pas leur serveur SMTP (ni leur e-mail d'ailleurs).

        Un individu seul n'est pas un problème, d'autant plus que tu es déjà parti. Tu n'entre plus en compte dans des calculs de churn à priori.

        Ça fait un paquet de société qui ne sont donc plus contactable depuis Orange

        Et oui :) C'est peut-être simplement pas leur créneau l'offre mail grand public.

        Matricule 23415

    • [^] # Re: Demander à tes contacts

      Posté par  . Évalué à 2.

      Bonjour,

      Posteo propose un courriel type que je me propose d'envoyer à mes contacts dans un second temps en leur expliquant la démarche. Je tenais néanmoins à amener mon gravillon à l'édifice en faisant remonter le souci moi aussi. Ça m'étonnerait que j'aie une réponse mais bon…

      Posteo propose aussi d'entrer en contact avec les prestataires en retard pour causer entre gens du métier, ça aurait sans doute plus de poids, ce sera la troisième voie à essayer.

      Concernant mes contacts qui sont clients Orange et ont une adresse en @orange.fr: ils font partie de cette grosse tranche de la population ayant à peu près zéro connaissances en informatique. Ce n'est juste pas leur truc, ils étaient pour la plupart chez France Télécom avant, Orange leur propose un truc facile à utiliser qui juste marche et ça leur suffit. Je ne leur jette pas la pierre, je suis comme ça moi aussi dans pleins d'autres domaines.

      Les problématiques liées à la vie privée et au secret des correspondances leurs passent bien au-dessus de la tête - Fouettez-moi avec des orties, je n'ai pas été capable de leur faire comprendre tout ça depuis toutes ces années que nous échangeons !

      Même situation de fond pour ceux de mes contacts avec une adresse @hotmail, @yahoo, @gmail, etc. sauf qu'avec eux pas de souci de TLS, la mise à jour a été faite.

      Et puis de toute façon ils n'ont rien à cacher alors hein !

      Allez hop, abuse@orange.fr me voilà.

  • # À vérifier

    Posté par  . Évalué à 3.

    Toujours d'après Posteo, moins de 5% des serveurs actifs ne sont pas encore mis à jour vers TLS 1.2 ou TLS 1.3. Surprise, ceux d'Orange en font apparemment partie.

    J'ai des serveurs Postfix configurés pour n'accepter que TLS 1.2 et 1.3 et il n'ont aucun problème pour recevoir les courriels provenant d'orange.fr ou wanadoo.fr.
    Cela peut aussi se vérifier avec une commande openssl qui indiquera le protocole utilisé (TLSv1.2 pour smtp.orange.fr)

    Le problème vient peut-être de posteo.de et de la manière dont ils tentent de forcer le chiffrement.

    Il faut donc voir si ce réglage bloque d'autres expéditeurs : free.fr, laposte.net, outlook.com, etc.

    • [^] # Re: À vérifier

      Posté par  . Évalué à 1.

      Posteo propose par défaut comme tu le dis TLS 1.2 ou 1.3 sans pour autant bloquer toutes les versions antérieures, sauf si on a activé l'option, ce que j'ai fait.
      C'est donc bien "de ma faute", il suffirait que je désactive l'option pour que ça remarche !

      Je note quand même qu'à côté de ça, je n'ai de problème avec AUCUN des autres prestataires, hormis les courriels venant d'orange.fr tout passe, ce que je trouve étrange. Orange n'est pas une petite entreprise, ils ont littéralement des millions de clients et de comptes de courriels à gérer. Si plus de 95% des serveurs sont passés à TLS 1.2 ou 1.3 parce que presque tout le monde pense que c'est une bonne chose pourquoi pas les leurs ?

      Il y a sûrement de bonnes raisons mais je ne les connais pas. Le coût ? Un risque non-négligeable de planter les serveurs ? Autre chose ?

      Si quelqu'un a des contacts chez eux qui ont envie expliquer…

      • [^] # Re: À vérifier

        Posté par  (site Web personnel) . Évalué à 2.

        C'est donc bien "de ma faute", il suffirait que je désactive l'option pour que ça remarche !

        Pas du tout.

        TLS 1.1 ne permet pas de garantir l'usage algorithme de chiffrement assez sûrs.
        En gros, tu crois que l'échange est sécurisé, mais il ne l'est pas.

        Il n'y a pas beaucoup de raisons (lesquelles?) pour ne pas passer à TLS 1.2 au minimum. Surtout que ça fait des années que les problèmes de TLS 1.0 et TLS 1.1 sont connus.

        Un extrait de https://github.blog/2017-02-27-crypto-deprecation-notice/

        Cryptographic standards are ever evolving. It is the canonical game of security cat and mouse, with attacks rendering older standards ill-suited, and driving the community to develop newer and stronger standards to take their place. There have been a number of cryptographic attacks over the past of couple of years. These include, but are not limited to, attacks such as POODLE and Logjam . And, while there have been workarounds for some of these attacks, they demonstrated that several cryptographic standards in wide deployment are showing their age and should be retired.

        Notez que ça date de 2017.

        Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html

  • # chez moi c'est l'inverse :)

    Posté par  . Évalué à 1.

    je suis aussi chez posteo et mes mails vers business orange ne passe pas, je n'ai pas activer le fameux tls

    message d'erreur :

    his is the mail system at host mout01.posteo.de.

    THIS IS A WARNING ONLY. YOU DO NOT NEED TO RESEND YOUR MESSAGE.

    Your message could not be delivered for more than 8 hour(s).
    It will be retried until it is 1 day(s) old.

    For further assistance, please send mail to postmaster.

    If you do so, please include this problem report. You can
    delete your own text from the attached returned message.

    The mail system
    unnomdedomainepro@enpointfr: connect to
    mx.relay.orange-business.com[adresse IP]:25: Connection timed out

    • [^] # Re: chez moi c'est l'inverse :)

      Posté par  . Évalué à 1.

      J'ai eu ça une fois ou deux par le passé mais de manière très ponctuelle et puis ça a disparu tout seul… Essaie de contacter Posteo pour leur poser la question ?

    • [^] # Re: chez moi c'est l'inverse :)

      Posté par  (site Web personnel) . Évalué à 2.

      Le serveur SMTP de Posteo va essayer pendant plusieurs jours de distribuer ton message.
      Il t'indique qu'il n'a pas réussi les premières fois, et t'informe que le message n'a pas encore été distribué. Il faut patienter.

      Si au bout de quelques jours il n'arrive toujours pas à distribuer ton message, tu recevras un autre message.

      Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.