Glandos a écrit 1345 commentaires

Je vais quand même présenter doublement mes excuses.

D'une part, pour avoir quand même nourri le troll.

D'autre part, et surtout, pour avoir écrit une phrase qui me semble plus désobligeante que ce à quoi elle s'adressait. Je ne connais pas Zenitram, et c'était une faiblesse que je me suis accordé sous le coup de l'émotion.

Après une bonne douche, je suis dit que je devrais éditer mon commentaire, mais il était trop tard.

J'assume, mais je préfère quand même dire ce que je pense de moi-même…

Ah, Zenitram. Je vais essayer de pas nourrir le troll qui est en toi. Oui, j'ai envie d'y croire au moins une fois.

On est bien d'accord qu'en général, l'emmerdement est maximum. D'ailleurs, quand ça m'est arrivé, il a fallu bousculer les priorités, j'ai eu entre 2 et 3 jours de stress. Je n'ai perdu aucun email (oui, je sais, difficile de savoir ce qui n'est pas arrivé, hein).

Venons-en au cœur. Les emails, c'est comme les SMS. Aucune garantie de délivrance. Aucune. Que tu sois chez GMail, chez toi, ou chez un hébergeur qui fait du HAProxy sur du RAID-278 sur CloudFlare, un email peut se perdre, et ne pas être délivré. En général, l'expéditeur reçoit un « Mail Delivery System » qu'il ne comprend pas, parce qu'il faut avoir déjà installé son serveur SMTP pour comprendre ce que ça veut dire. Et c'est perdu.

Par contre, j'ai déjà eu des échos de Free qui a perdu des emails, et restauré des sauvegardes. GMail, quand ça ne marche pas, tout le monde lève les bras au ciel en hurlant. Pourtant, ce sont des experts, non ?

Mes emails, c'est ma correspondance privée. Ce n'est pas un jeu, c'est très vexant de dire ça, mais en fait, c'est autant un jeu de s'auto-héberger que d'aller sur GMail, où une bonne centaine de personnes que tu connais pas lisent tes mails. Dont tes contrats. Et c'est autrement plus sérieux.

L'email est une dernière chose que j'ai décidé de prendre en main il y a 8 ans, parce que justement, je savais que c'était difficile, et qu'il ne fallait pas se louper. J'ai eu des ratés mineurs. Mais pas de mails perdus.

Ça fait 8 ans, j'ai maintenant un enfant, donc beaucoup moins de temps à passer dessus, et bizarrement, ça va toujours.

On va donc terminer par une pique (je ne résiste pas) : si tu ne te sens pas capable de gérer, ne le fais pas. Ne vient pas insulter les autres de ta jalousie d'incompétent.

Sauf que n'importe qui ne peut pas faire du MitM. C'est compliqué techniquement quand même de se mettre entre moi et GMail par exemple. Le plus simple serait de se mettre sur mon serveur, auquel cas, plus besoin de faire un faux certificat.

Après, on peut imaginer plutôt un re-routage de trafic, mais ça veut dire qu'il faut soit faire mentir les DNS qui me répondent (cache poisoning, ou bien MitM, mais on retombe sur la même problématique), soit faire mentir l'ARP. Et là encore, ce sont deux voies qui demandent du temps et des moyens pour un résultat très faibles. Juste mes emails. Il vaut mieux venir me cambrioler ;)

Alors que pirater une CA. Miam. Du web partout, des centaines de boîtes mails directement accessibles, glop glop.

Bon, c'est quand même bien pour ça qu'on recommande d'activer la PFS partout.

D'accord. Soit. Mais franchement, quelle est la proportion de SPAM dont le SPF est valide ? Ou le DKIM (je n'en ai pas, par manque de temps là) ?

Je ne sais pas si Postfix permet de faire ça, mais ça ne m'étonnerait pas qu'on puisse enchaîner les vérifications dans ce sens :

• Présence de SPF
  • Oui : Si hôte valide, connexion acceptée, fin des vérifications, sinon, on échoue.
  • Non : Tant pis, on poursuit
• Présence dans une liste noire
  • Oui : On échoue
  • Non : On continue

Comme dit plus haut, la liste noire est vraiment une tronçonneuse.

Pour la petite histoire, j'avais réglé Postfix pour faire certaines vérifications basiques sur la correspondance entre les enregistrements A, PTR et MX. J'ai dû le virer, parce que les emails envoyés par dl.free.fr étaient bloqués. Donc bon… Un bon antispam est de toutes façons nécessaire.

C'est pas très clair sur leur page d'accueil. Visiblement, tout est en hors taxe, mais on peut remplir une fiche d'inscription en tant que particulier. Je ne suis pas allé plus loin.

C'est vrai. Je ne cite pas de source (j'ai trop la flemme), mais c'est Nerim le pionnier de l'IPv6 au grand public. Après, c'est sûr que vu le nombre d'abonné chez Free, quand ils ont mis en place l'IPv6, ça n'a pas eu la même portée…

Pour rappel, quand même : http://ipv6pourtous.free.fr/accueil/

En effet, ce n'est donc pas une question de date, mais de plage d'adresses.

Sur ton NRA, il y a des plages qui ont été adressées un petit peu avant moi, et qui ne sont pas listées sur SEM-BLACK. De la même manière, sur mon NRA, il y a des IP non listées. Je vais donc me concocter un petit script qui va faire deux ou trois vérifications.

Merci pour la piste !

Ah. C'est très intéressant. Abonné récemment ? Un NRA récent ou pas ?

Pour les détails (adresse réelle), on peut peut-être en discuter sur XMPP. Je viens de modifier mon profil pour l'afficher :)

Ah ben oui, évidemment. Le FAI n'est pas parfait, mais le côté « Rejetons joyeusement tous les gens dans des listes noires dont on ne connaît pas la fiabilité », c'est pas terrible.
Aujourd'hui, on pourrait par exemple autoriser l'accès si le SPF est correct, sinon, on regarde une liste noire. Juste comme ça.

Bof, non, changer d'adresse IP pour ces clients, c'est foutre en l'air son plan d'adressage, qui est souvent géographique.

C'est sûr, le VPN en relais, c'est pas une mauvaise idée. Ça nécessite quand même un dédié quelque part, au moins, c'est juste un relais sans mémoire.

Après, pour la blague, non, je n'ai quand même pas un P2 400 ;) Ça consomme beaucoup trop ça. J'ai un Intel Atom en Mini-ITX avec une PicoPSU, c'est très bien. Bon, depuis le RaspberryPi, on fait encore mieux, en rapport performance/Watt, mais je vais pas me racheter du matériel tous les jours non plus ;)

La bonne blague qui ne tient pas devant les faits : tu as plus de chances de te faire piquer ton disque chez toi (une pauvre petite serrure) que chez un hébergeur (surveillance 24/24, et plus d'une serrure).

Bon, on s'éloigne du sujet. Je pense que donc que je ne vais pas traîner. J'ai dit : à mon insu. Je sais qu'un professionnel entraîné pourra rentrer chez moi, à mon insu, en refermant tout bien comme il faut, mais c'est pas la majorité. Dans un datacenter, plein de gens ont les clés. Je sais que la sécurité est largement meilleure que chez moi, je n'ai même pas de serrure 3 points, ni de porte blindée. Mais en général, si quelqu'un vient chez moi par effraction, je vais le savoir.

J'espère pour toi que tu as tes emails aussi ailleurs que chez toi, ou que tu es assez riche pour avoir 2 chez toi, car si ils sont que chez toi un point unique, ça serait très rigolo comme sécurité. Surtout en réception (ne pas en perdre quand ton FAI est en carafe).

Je ne sais pas trop sur quel ton répondre. Comme l'a dit Tanguy, le SMTP est extrêmement résilient. 5 jours, je ne sais pas, mais au moins 3, je l'ai testé sur mon dernier déménagement. Au pire, j'ai un ami qui peut faire MX d'urgence, juste au cas où. Et bizarrement, ça suffit. En fait, on accepte beaucoup plus facilement les pannes qui viennent de soi-même, et qu'on comprends, que les pannes des autres. Les pannes, ça arrive, et l'email est vraiment le dernier des services qui perd des données quand ça arrive.

Ah ben dis donc, en plus d'OVH, j'avais même oublié Nerim :) Un membre de FFDN, j'ai bien vu aussi, il y en a un dans ma région, mais disons que bon, il faut investir un peu plus de temps. Enfin, c'est ce que je crois, je parle à l'instinct là.

C'est vrai, et merci de recentrer le débat. Le problème est que personne ne semble joignable chez eux. Je cherche en vain un moyen alternatif de les contacter, mais pour l'instant, j'ai pas trouvé. Je n'ai pas encore fait le tour ceci dit.

OK, merci pour l'info. Je vais quand même tenter ma chance, hein, mais bon, j'en arriverai probablement à la même conclusion…

C'est pas faux. J'avais oublié OVH dans tout ça. Bon, ça ferait râler ma moitié parce qu'on perdrait la télévision… Personnellement, je m'en passerais, mais effectivement, OVH est probablement un meilleur choix que Free.

Surtout avec le retour que je viens de lire, ça a l'air engageant.

Ils ont planifiés des offres fibres ?

C'est vrai que, sans rentrer dans un débat de fond, l'asymétrie de l'ADSL a fait très mal à la nature même du réseau Internet. Mais c'est comme ça, et avec la fibre, ça changera (je sais qu'il y en a pour 10 ans minimum, mais on parle de long terme là).

Donc en attendant, je m'amuse, et je m'entraîne. Y en a qui bricole dans leur garage, moi je bricole sur mon serveur, et je trouve ça chouette.

Comme répondu plus haut, un VPS ne m'appartient pas, donc ça ne répondra pas à mon besoin…

Je vais faire court : non.

Ce n'est pas l'argent le problème. C'est la mentalité. Je paye pour une connexion Internet, qui est déjà de qualité. C'est juste que non, je n'accepte pas qu'on vienne me dire que c'est un service pour professionnel. L'échange par email, c'est la base, ça existait avant le Web. Je sais que presque personne ne s'auto-héberge, parce que c'est compliqué, mais ce sont mes emails, ils restent chez moi.

Un serveur dédié, je dois payer en plus pour une machine qui ne m'appartient pas, et des données qui peuvent donc être volées à mon insu. Physiquement je veux dire (il est possible que je me sois déjà fait pwner sans le savoir ;) ).

Et j'assume totalement le fait d'avoir des souci de matériel de temps en temps. Depuis 8 ans, ça a dû m'arriver deux fois. En fait, les problèmes sont plus souvent logiciels que matériels :)

Je ne serais pas aussi émotif dans ma réponse, mais c'est pour ça que j'ai dit que j'avais arrêté de relayer mes courriels (emails, c'est pas le sujet aujourd'hui) via le SMTP officiel. Qui ne sait pas faire de TLS lors de la réémission.

Même réponse que tout le monde : change de FAI.

OK. Donnez-moi un FAI qui le permette, et je regarderai.

Je réponds en masse, donc je dis également ici aussi que je suis déjà chez Free. Oui, j'ai ouvert le port 25 dans l'interface de gestion, et c'est très bien que ce soit bloqué par défaut.

Maintenant, je ne sais même pas qui accuser. Free parce qu'ils n'ont pas mis à jour leur liste ? SpamEatingMonkey parce qu'ils n'ont pas mis à jour leur liste ?

On peut imaginer des critères plus techniques.

Là, actuellement (attention, je vais faire mon Jacky), j'ai quand même du SPF avec DNSSEC. Donc techniquement, c'est quand même faisable de voir que je fais pas n'importe quoi avec une simple requête DNS.

Non, c'est Free. C'est d'ailleurs le FAI grand public qui permet le plus de choses en auto-hébergement, à ma connaissance. Vous êtes libres de me dire si je me trompe, je n'ai pas fait de comparatif sérieux depuis longtemps. Mais j'avoue que j'utilise le reverse DNS, le port 25 ouvert, et l'IPv6 me permet de faire tout un tas de tests.

Je n'ai pas approfondi, mais si l'auteur original dit : « or any similar software, method or code », c'est bien qu'on ne parle que de logiciels là.

Bon, après, je ne peux pas donner plus d'avis, parce que je ne connais pas le sujet abordé techniquement…

Réponse de Kaamelott : « C'est pas faux ».

Effectivement, en France, c'est pas non plus une sinécure de se faire attaquer par plus gros que soi.

Cependant, les dommages-intérêts que l'attaquant peut en tirer sont très souvent nettement plus faibles. Le système judiciaire américain favorise grandement les accords « à l'amiable », souvent tenus secrets, avec des gros montants.

Mais je suis d'accord pour rajouter qu'en plus du problème financier, il y a le problème du temps disponible. Un procès, c'est forcément chronophage pour tout le monde. Ceux qui ont les moyens de s'offrir du temps sont très avantagés dans cette lutte.