🚲 Tanguy Ortolo a écrit 12091 commentaires

Évidemment, tu es simple utilisateur sur ton système, qui vérifie les droits. Fais ça en root, maintenant…

http://tools.ietf.org/html/rfc1855

J'ai vu qu'on parlait de NFS, plus haut. Attention !

NFS n'intègre de base pas de contrôle d'accès sur le serveur, donc le poste client doit être sous contrôle sinon un utilisateur peut faire n'importe quoi avec les droits de n'importe qui. Le réseau doit également être sous contrôle parce que sinon n'importe qui peut brancher un ordinateur perso et faire n'importe quoi.

La sécurisation de NFS utilise Kerberos. Comme c'est une grosse usine à gaz, autant oublier tout de suite, c'est un enfer à mettre en place.

Du coup, pour faire du service de fichiers avec contrôle d'accès basé sur une identification, je conseillerais plutôt Samba, qui exporte très bien les unixeries telles que les liens symboliques et les permissions.

Exim ! Tu cherches la complexité, toi…

Dans les bons endroits, ce n'est pas à coup de parpaings, qu'ils sont reçus, mais à coup de fusil, il me semble.

En outre, l'idée est de dériver de la branche Testing, pour pouvoir proposer une distribution en « rolling release »

En fait, Debian testing n'est pas une rolling release. Enfin, la plupart du temps, si, sauf en période de gel, comme maintenant.

Il y a un bouquin sur Debian qui utilise l'étude d'un cas semblable au tien pour former à Debian : les cahiers de l'admin Debian Lenny, de Raphaël Hertzog et Roland Mas.

Il va sans dire que je te conseille vivement d'acheter ce livre, qui te forcément sera très utile…

On parle du modem-routeur ou du décodeur vidéo, là ?

Non, ils n'obligent pas. Ils ont eu un problème avec un fournisseur de blackliste de type mafieux, ce qui les a conduit à un compromis ennuyeux pour les auto-hébergés, mais ce n'est pas bloquant.

* Respect de la compatibilité LSB, ce qui implique l'utilisation des paquets RPM

Ou la possibilité de les convertir puis de les utiliser. Debian est par exemple compatible avec la LSB, via l'outil alien, pour les paquets.

Merci. :-)

Euh, doucement, sur les Neufbox, on peut les modifier quand on en est propriétaires. Évitez de faire n'importe quoi avec celles en location, SFR risquerait de ne pas apprécier.

Mon FAI ne me fournit pas de reverse DNS.

Alors pour le coup, c'est vraiment un boulet hors norme.

Par contre envoyer ses mails depuis une IP dynamique sans passer par un relais fixe ca oui ca empêche de publier une politique SPF efficace!

Oui, pardon, j'oubliais ça, il s'agit d'adresses dynamiques. Dans ce cas, rien à redire au relais, c'est la seule solution à un problème plus profond : l'attribution dynamique, c'est mal, ça déresponsabilise les gens.

En quoi le fait de bloquer le port 25 empêche de publier une politique SPF efficace??

Sans blocage, je mets une politique qui dit que seule mon adresse IP est autorisée à poster pour mon nom de domaine.

Avec blocage, je ne peux rien mettre de mieux qu'une politique autorisant tous les clients de mon FAI à poster pour mon nom de domaine.

Qui a parlé de tunnelé quoique ce soit... je te parles d'utiliser le port de submission, ce que devrait faire tous les MUA en lieu et place du port 25... tel que défini dans la RFC 4409!

Oui, bien sûr. Mais on parlait de : mon FAI m'interdit de poster directement, donc je prends un service externe pour le faire. En ce sens, l'envoi à un relais externe sur connexion sécurisée et identifiée n'est rien d'autre qu'un tunnel de contournement d'une restriction arbitraire de mon FAI.

Pour le reste, il ne faudrai pas oublier que l'on est et que l'on reste des animaux comme les autres, même si nous sommes éduqués pour ne pas l'être.

Ah non, pas comme les autres. Nous, on fait de l'informatique, de la philo, de l'art, à un point impossible à atteindre sans moyens de stocker l'information. Donc sans mains ou organes équivalents permettant… d'écrire.

Alors premièrement, si on ne laissait qu'Ubuntu, en fait on ne laisserait rien du tout, comme distribution, puisqu'Ubuntu n'est pas autonome mais dépend de Debian.

Et ensuite, je ne suis pas sûr qu'une telle situation soit meilleure. Si c'est pour récupérer tous les analphabètes informatiques sans avoir eu le temps de les éduquer, j'aime autant qu'ils ne viennent pas nous polluer d'un coup.

Oups, je n'avais pas fini. À la suite de ma dernière phrase : mais je me faisais un plaisir de faire ainsi en résidence étudiante, et c'était presque devenu une habitude spontanée. Une amie me l'avait fait remarquer, que c'était chouette d'être une fille dans un tel contexte.

J'ai ri. :-)

Non, là où ça devient de la galanterie, c'est quand on est derrière quelqu'un, et qu'en arrivant près de la porte d'entrée, on accélère pour dépasser l'autre, ouvrir la porte et pouvoir la tenir et repasser derrière. Ok, c'est rarement faisable au boulot, ce genre de truc. :-)

Des français qui veulent construire des églises en Arabie, je ne sais pas. Qui aimeraient envoyer des missionnaires, oui, sûrement, comme dans d'autre pays où il y a déjà des missionnaires clandestins. Des soldats qui, pendant la guerre du golfe, auraient aimé pouvoir assister à des messes autrement qu'en avion parce que c'est interdit sur le sol arabe.

Des saoudiens qui financent des mosquées en France, oui, carrément, qu'il y en a.

La diversité étant une richesse, je ne voudrais pas d'un truc comme ça même si ça devait apporter des tas d'utilisateurs.

D'ailleurs la monoculture n'est jamais une bonne chose.

Linux Mint, distribution traditionnellement basée sur Ubuntu

Tout va très vite en informatique, voilà une tradition qui a quatre ans. ;-)

Enfin cela ne limite en rien le client qui peut toujours envoyer des mails en utilisant notre relais

Ce qui, pour le coup, s'il s'agit de quelqu'un qui avait des raisons d'utiliser son serveur, nuit vraiment à la lutte contre le spam. En effet il ne peut alors plus publier de politique SPF efficace, par exemple.

ou un relais externe via un port alternatif

Super, mon FAI me fournit une sous-connexion donc je dois faire un tunnel vers un service que je loue ailleurs et qui a une vraie connexion. Youpi ?

Tanguy, à l'évidence tu oublies un principe qu'il me semble difficile de contredire: l'administration est plus simple lorsqu'elle est centralisée.

Pas forcément. On parle de lutte contre le spam, pas d'administration.

Voyons-le du côté du destinataire :
— s'il reçoit des spams depuis 42.0.2.168.rev.adsl.orange.fr et 12.0.2.168.rev.adsl.orange.fr, il peut appliquer une mesure très simple : bloquer tout courrier en provenance de ces adresses ;
— s'il reçoit des spams depuis smtp.orange.fr, il ne peut pas bloquer cette machine sans gros effets secondaires, et doit trouver quelque chose de plus compliqué.

Voyons-le du côté de l'opérateur :
— si un de ses abonnés envoie directement du spam, et qu'il reçoit un signalement sur abuse@orange.fr, il peut écrire à l'abonné responsable de cela, l'avertir, puis au besoin le déconnecter ;
— si un de ses abonnés envoie du spam en passant par son serveur relais, cela peut amener le serveur relais à être bloqué, et s'il reçoit un signalement, il doit chercher dans ses logs l'abonné responsable pour pouvoir l'avertir et au besoin le bloquer.

Si tu sécurises correctement ton serveur de relais il est peu probable qu'il se retrouve blacklisté

Je ne crois pas. Les serveurs relais d'Orange sont utilisés par des millions d'internautes qui l'utilisent pour relayer tout leur courrier. Ça doit faire des dizaines de millions de messages par jour. Si seulement un millième de ces messages est du spam, cela fait dix mille spams par jour. Largement de quoi se faire bloquer.

Pour l'"auscultation", il est bien plus efficace de parcourir des logs SMTP (tu vas directement à l'essentiel) que de se coltiner des rapports d'analyse de trafic et de les confronter à des bases d'accounting Radius.

Gné ? À la réception d'un signalement de spam, il suffit de regarder dans les en-têtes du message d'origine le premier champ Received, pour avoir l'adresse IP, donc l'identité, de l'abonné responsable…

Donc non forcer à passer par un relais n'aggrave pas le problème

Si, ça l'aggrave. Aujourd'hui le relais SMTP d'Orange est bloqué par Darty, pour une raison tout à fait légitime : il envoie plein de spam. Ils vont devoir le débloquer, et donc affaiblir leur niveau de lutte contre le spam.

1% des ordinateurs connectés à Internet tournent sous Linux

Et consultant des sites web.

En effet, j'imagine mal des postes Linux sans accès Internet

Et pourtant il y en a plein, dans des tas de systèmes embarqués. Et plein qui sont connectés à Internet mais ne consultent pas de sites web, dans des modems-routeurs par exemple.

Mais c'est hors-sujet, vu qu'on parlais d'ordinateurs de bureau. :-)