Ah, si SpamAssassin est déjà installé et remplit son rôle, il ne faut pas changer, c'est évident. Je suis pourtant assez friand de nouveautés (même au prix d'instabilité), mais pour les emails, j'ai toujours été conservateur. Ça marche : on touche à rien :)
C'est dur pour moi de répondre à ça de manière comparative, je n'ai pas essayé SpamAssassin. Je ne l'ai pas essayé, parce que j'avoue, j'ai fait du délit de sale gueule : c'est codé en Perl. Et si je dois y toucher un jour (j'ai déjà regardé dspam), ça va me faire grave suer.
Quand je dis que c'est architecturé pareil, c'est surtout d'un point de vue utilisateur : des modules, qui donnent des scores, qui s'ajoutent. Addition qui donne une note finale.
Après, le cœur est un gros binaire en C, extensible par des modules en lua. En fait, le développeur principal a même commencé à arrêter de rajouter des modules en C, et préfère le lua. Et le lua, c'est lisible. On retombe dans le délit de sale gueule, mais bon.
Et pour conclure, le développeur affirme que grâce à différentes techniques, il optimise le temps de traitement en faisant d'abord passer les règles qui ne prennent pas de temps et qui permettent de définir quand même l'état du message par exemple. Personnellement, le temps m'a déjà manqué pour mettre en place l'antispam, alors faire des benchmarks, ça va pas être possible :)
Ta solution élimine beaucoup de problèmes, mais apporte un inconvénient de taille : la simplicité. L'e-mail est devenu populaire, et le reste, parce que tout le monde peut en envoyer à n'importe qui.
Le concept que tu cites est celui des cercles de confiance. Or, si j'ai bien suivi (merci de me corriger), GPG ne permet pas vraiment la transitivité (les amis de mes amis de mes amis, je ne les connais pas), et ça deviendrait très dure de joindre quelqu'un pour la première fois. Par exemple, je vais chez mon réparateur de vélo, qui peut m'envoyer la facture par e-mail directement. Mais c'est un petit commerçant, il n'a pas de clé GPG.
Et comment quelqu'un qui est lointain pourrait m'envoyer sa clé GPG, sans que je l'ai rencontré par un autre moyen ?
Je suis même suffisamment laxiste au point de ne pas refuser les mails. Je les marque juste comme spam. Pourtant rspamd permet de refuser la connexion. Peut-être que j'y viendrais, avec des scores très élevés…
Ceci dit, je partage une partie de ton point de vue : GPG résoudrait un certain nombres de problème, mais plus pour l'intégrité et la confiance. Parfois, on a besoin de recevoir du courrier, électronique ou pas, et notre cerveau hautement malléable saura s'adapter.
Je sais que c'est inévitable, hein. Mais quand même.
Utiliser Twitter pour publier une histoire la rend totalement illisible. Y a des boîtes entre les lignes, les phrases sont coupées entre les mots.
Un système de fédération de blog aurait tellement été plus pratique. Et pas que pour les geeks barbus…
Et du coup, on se retrouve à perdre notre temps à écrire des logiciels qui débitent des mots en petits tronçons pour les faire rentrer dans des boîtes trop petites pour exprimer nos idées.
Mais je sais, utiliser Twitter est aujourd'hui inévitable. Je n'ai pas de compte, mais je me retrouve à devoir lire les contenus de ce site… Dommage.
L'utilisation du conditionnel veut donc parfaitement dire que ces commentaires n'ont pas de valeur.
Je ne suis pas un fan de Free, même si j'en suis client, c'est juste que c'est un débat éternel, et on entend constamment autant de problèmes remontés, quel que soit le fournisseur. Ils sont différents chez l'un de chez l'autre, c'est tout.
Mais il y a aussi un mail sur la liste de Ergodis, qui promeut des solutions ergonomiques pour l'informatique, notamment le Bépo (autour duquel s'est formée Ergodis, ça tourne en boucle ;) ).
Oui, ceci est un commentaire inutile. Mais puisque tu as pris le temps de bien écrire une dépêche de qualité, j'ai trouvé normal de prendre un peu de temps pour formuler des compliments aussi sincères que profonds.
Ah, j'oubliais, c'est très intéressant aussi à lire. Surtout quand on voit les exemples de phrases ambiguës, ça donne à réfléchir sur sa propre langue maternelle.
ansible -i hosts -l localhost -m file -a "path=/tmp/test state=touch" all
Normalement, on l'écrit :
ansible -i hosts -m file -a "path=/tmp/test state=touch" localhost
C'est plus dans l'esprit de la commande ansible. Par contre, dans le cas de ansible-playbook, on est obligé d'utiliser -l localhost puisque qu'il n'y a pas d'équivalent. C'est un peu incohérent, mais bon…
Je me suis mis à utiliser ansible après avoir codé un outil qui permettait de lancer la même commande sur plusieurs serveurs. Et je me suis retrouvé avec un outil qui marchait, mais bon, pour la maintenance, autant passer sur quelque chose d'utilisé par tout le monde qui remplit également mon besoin. Et y a pas à dire, mettre seulement 1 minutes pour obtenir la différence de synchronisation NTP sur plus de 500 serveurs, c'est efficace.
Le côté sans agent est un plus non-négligeable quand on ne maîtrise pas l'administration des machines.
J'avoue qu'en dehors de proxad.* je n'y vais pas trop :)
Mais sinon, je passe par le serveur de mon fournisseur d'accès bien sûr ! (news.free.fr) L'accès n'est pas le meilleur, mais il a l'avantage d'être gratuit et rapide.
En revanche, IPv6 permettrait de faire plus facilement des réseaux multiples, par exemple pour séparer le réseau des invités, ou bien pour avoir un réseau de l'employeur, étendu à la maison via un VPN, mais séparé du réseau personnel.
Mais il faut lire l'article en entier. C'est un projet, ce n'est pas encore là, mais le but est réaliste, si tous les acteurs s'y mettent. On a beaucoup plus de recul aujourd'hui qu'au moment de la création de l'IPv4, qui a malgré tout incroyablement bien rempli son rôle, et bien plus encore.
J'allais rechercher l'article de Stéphane Bortzmeyer, mais j'ai vu qu'il a déjà été posté, c'est super :)
Sinon, avec ma freebox en mode bridge, j'ai effectivement tenté de l'IPv6 en auto-configuration depuis mon serveur-routeur. Et il faut bricoler. Je ne sais pas si je vais être clair…
En gros, toutes les machines à la maison sont donc dans un /64. Y compris la Freebox, qui a sa propre adresse, en […]:1. Et donc quand un paquet arrive de l'extérieur, pour une machine derrière le routeur, disons […]:dead:beef, la freebox envoie un paquet de découverte du voisinage en lien-local, puisque l'adresse de destination est dans le même /64. La Freebox n'étant connecté qu'au routeur, c'est celui-ci qui reçoit le paquet. En lien-local, qui lui demande s'il possède l'adresse […]:dead:beef. Théoriquement, il ne la possède pas, et donc ne répond pas.
Sous Linux, un gentil développeur-bidouilleur a codé NPD6, qui triche : il renvoie OK aux requêtes de découverte de voisinage pour tout un préfixe, afin de tromper le modem. C'est bien sûr réservé à ce genre d'usage.
Bon, faut être honnête, c'est pas hyper-bloquant. Mais c'est vrai que si on veut son propre routeur à la maison, c'est un peu gênant.
Je ne sais pas pour son propre modem, mais ma Freebox (v5) est en mode bridge oui.
Et contrairement aux autres fournisseurs, en mode bridge, on garde téléphone et télévision.
Je vais quand même présenter doublement mes excuses.
D'une part, pour avoir quand même nourri le troll.
D'autre part, et surtout, pour avoir écrit une phrase qui me semble plus désobligeante que ce à quoi elle s'adressait. Je ne connais pas Zenitram, et c'était une faiblesse que je me suis accordé sous le coup de l'émotion.
Après une bonne douche, je suis dit que je devrais éditer mon commentaire, mais il était trop tard.
J'assume, mais je préfère quand même dire ce que je pense de moi-même…
Ah, Zenitram. Je vais essayer de pas nourrir le troll qui est en toi. Oui, j'ai envie d'y croire au moins une fois.
On est bien d'accord qu'en général, l'emmerdement est maximum. D'ailleurs, quand ça m'est arrivé, il a fallu bousculer les priorités, j'ai eu entre 2 et 3 jours de stress. Je n'ai perdu aucun email (oui, je sais, difficile de savoir ce qui n'est pas arrivé, hein).
Venons-en au cœur. Les emails, c'est comme les SMS. Aucune garantie de délivrance. Aucune. Que tu sois chez GMail, chez toi, ou chez un hébergeur qui fait du HAProxy sur du RAID-278 sur CloudFlare, un email peut se perdre, et ne pas être délivré. En général, l'expéditeur reçoit un « Mail Delivery System » qu'il ne comprend pas, parce qu'il faut avoir déjà installé son serveur SMTP pour comprendre ce que ça veut dire. Et c'est perdu.
Par contre, j'ai déjà eu des échos de Free qui a perdu des emails, et restauré des sauvegardes. GMail, quand ça ne marche pas, tout le monde lève les bras au ciel en hurlant. Pourtant, ce sont des experts, non ?
Mes emails, c'est ma correspondance privée. Ce n'est pas un jeu, c'est très vexant de dire ça, mais en fait, c'est autant un jeu de s'auto-héberger que d'aller sur GMail, où une bonne centaine de personnes que tu connais pas lisent tes mails. Dont tes contrats. Et c'est autrement plus sérieux.
L'email est une dernière chose que j'ai décidé de prendre en main il y a 8 ans, parce que justement, je savais que c'était difficile, et qu'il ne fallait pas se louper. J'ai eu des ratés mineurs. Mais pas de mails perdus.
Ça fait 8 ans, j'ai maintenant un enfant, donc beaucoup moins de temps à passer dessus, et bizarrement, ça va toujours.
On va donc terminer par une pique (je ne résiste pas) : si tu ne te sens pas capable de gérer, ne le fais pas. Ne vient pas insulter les autres de ta jalousie d'incompétent.
Sauf que n'importe qui ne peut pas faire du MitM. C'est compliqué techniquement quand même de se mettre entre moi et GMail par exemple. Le plus simple serait de se mettre sur mon serveur, auquel cas, plus besoin de faire un faux certificat.
Après, on peut imaginer plutôt un re-routage de trafic, mais ça veut dire qu'il faut soit faire mentir les DNS qui me répondent (cache poisoning, ou bien MitM, mais on retombe sur la même problématique), soit faire mentir l'ARP. Et là encore, ce sont deux voies qui demandent du temps et des moyens pour un résultat très faibles. Juste mes emails. Il vaut mieux venir me cambrioler ;)
Alors que pirater une CA. Miam. Du web partout, des centaines de boîtes mails directement accessibles, glop glop.
Bon, c'est quand même bien pour ça qu'on recommande d'activer la PFS partout.
D'accord. Soit. Mais franchement, quelle est la proportion de SPAM dont le SPF est valide ? Ou le DKIM (je n'en ai pas, par manque de temps là) ?
Je ne sais pas si Postfix permet de faire ça, mais ça ne m'étonnerait pas qu'on puisse enchaîner les vérifications dans ce sens :
Présence de SPF
Oui : Si hôte valide, connexion acceptée, fin des vérifications, sinon, on échoue.
Non : Tant pis, on poursuit
Présence dans une liste noire
Oui : On échoue
Non : On continue
Comme dit plus haut, la liste noire est vraiment une tronçonneuse.
Pour la petite histoire, j'avais réglé Postfix pour faire certaines vérifications basiques sur la correspondance entre les enregistrements A, PTR et MX. J'ai dû le virer, parce que les emails envoyés par dl.free.fr étaient bloqués. Donc bon… Un bon antispam est de toutes façons nécessaire.
C'est pas très clair sur leur page d'accueil. Visiblement, tout est en hors taxe, mais on peut remplir une fiche d'inscription en tant que particulier. Je ne suis pas allé plus loin.
C'est vrai. Je ne cite pas de source (j'ai trop la flemme), mais c'est Nerim le pionnier de l'IPv6 au grand public. Après, c'est sûr que vu le nombre d'abonné chez Free, quand ils ont mis en place l'IPv6, ça n'a pas eu la même portée…
En effet, ce n'est donc pas une question de date, mais de plage d'adresses.
Sur ton NRA, il y a des plages qui ont été adressées un petit peu avant moi, et qui ne sont pas listées sur SEM-BLACK. De la même manière, sur mon NRA, il y a des IP non listées. Je vais donc me concocter un petit script qui va faire deux ou trois vérifications.
Ah ben oui, évidemment. Le FAI n'est pas parfait, mais le côté « Rejetons joyeusement tous les gens dans des listes noires dont on ne connaît pas la fiabilité », c'est pas terrible.
Aujourd'hui, on pourrait par exemple autoriser l'accès si le SPF est correct, sinon, on regarde une liste noire. Juste comme ça.
C'est sûr, le VPN en relais, c'est pas une mauvaise idée. Ça nécessite quand même un dédié quelque part, au moins, c'est juste un relais sans mémoire.
Après, pour la blague, non, je n'ai quand même pas un P2 400 ;) Ça consomme beaucoup trop ça. J'ai un Intel Atom en Mini-ITX avec une PicoPSU, c'est très bien. Bon, depuis le RaspberryPi, on fait encore mieux, en rapport performance/Watt, mais je vais pas me racheter du matériel tous les jours non plus ;)
La bonne blague qui ne tient pas devant les faits : tu as plus de chances de te faire piquer ton disque chez toi (une pauvre petite serrure) que chez un hébergeur (surveillance 24/24, et plus d'une serrure).
Bon, on s'éloigne du sujet. Je pense que donc que je ne vais pas traîner. J'ai dit : à mon insu. Je sais qu'un professionnel entraîné pourra rentrer chez moi, à mon insu, en refermant tout bien comme il faut, mais c'est pas la majorité. Dans un datacenter, plein de gens ont les clés. Je sais que la sécurité est largement meilleure que chez moi, je n'ai même pas de serrure 3 points, ni de porte blindée. Mais en général, si quelqu'un vient chez moi par effraction, je vais le savoir.
J'espère pour toi que tu as tes emails aussi ailleurs que chez toi, ou que tu es assez riche pour avoir 2 chez toi, car si ils sont que chez toi un point unique, ça serait très rigolo comme sécurité. Surtout en réception (ne pas en perdre quand ton FAI est en carafe).
Je ne sais pas trop sur quel ton répondre. Comme l'a dit Tanguy, le SMTP est extrêmement résilient. 5 jours, je ne sais pas, mais au moins 3, je l'ai testé sur mon dernier déménagement. Au pire, j'ai un ami qui peut faire MX d'urgence, juste au cas où. Et bizarrement, ça suffit. En fait, on accepte beaucoup plus facilement les pannes qui viennent de soi-même, et qu'on comprends, que les pannes des autres. Les pannes, ça arrive, et l'email est vraiment le dernier des services qui perd des données quand ça arrive.
[^] # Re: Comparé à Spamassassin
Posté par Glandos . En réponse au journal Antispam, une solution. Évalué à 1.
Ah, si SpamAssassin est déjà installé et remplit son rôle, il ne faut pas changer, c'est évident. Je suis pourtant assez friand de nouveautés (même au prix d'instabilité), mais pour les emails, j'ai toujours été conservateur. Ça marche : on touche à rien :)
[^] # Re: Comparé à Spamassassin
Posté par Glandos . En réponse au journal Antispam, une solution. Évalué à 2.
C'est dur pour moi de répondre à ça de manière comparative, je n'ai pas essayé SpamAssassin. Je ne l'ai pas essayé, parce que j'avoue, j'ai fait du délit de sale gueule : c'est codé en Perl. Et si je dois y toucher un jour (j'ai déjà regardé dspam), ça va me faire grave suer.
Quand je dis que c'est architecturé pareil, c'est surtout d'un point de vue utilisateur : des modules, qui donnent des scores, qui s'ajoutent. Addition qui donne une note finale.
Après, le cœur est un gros binaire en C, extensible par des modules en lua. En fait, le développeur principal a même commencé à arrêter de rajouter des modules en C, et préfère le lua. Et le lua, c'est lisible. On retombe dans le délit de sale gueule, mais bon.
Et pour conclure, le développeur affirme que grâce à différentes techniques, il optimise le temps de traitement en faisant d'abord passer les règles qui ne prennent pas de temps et qui permettent de définir quand même l'état du message par exemple. Personnellement, le temps m'a déjà manqué pour mettre en place l'antispam, alors faire des benchmarks, ça va pas être possible :)
[^] # Re: spam et signature
Posté par Glandos . En réponse au journal Antispam, une solution. Évalué à 3.
Ta solution élimine beaucoup de problèmes, mais apporte un inconvénient de taille : la simplicité. L'e-mail est devenu populaire, et le reste, parce que tout le monde peut en envoyer à n'importe qui.
Le concept que tu cites est celui des cercles de confiance. Or, si j'ai bien suivi (merci de me corriger), GPG ne permet pas vraiment la transitivité (les amis de mes amis de mes amis, je ne les connais pas), et ça deviendrait très dure de joindre quelqu'un pour la première fois. Par exemple, je vais chez mon réparateur de vélo, qui peut m'envoyer la facture par e-mail directement. Mais c'est un petit commerçant, il n'a pas de clé GPG.
Et comment quelqu'un qui est lointain pourrait m'envoyer sa clé GPG, sans que je l'ai rencontré par un autre moyen ?
Je suis même suffisamment laxiste au point de ne pas refuser les mails. Je les marque juste comme spam. Pourtant rspamd permet de refuser la connexion. Peut-être que j'y viendrais, avec des scores très élevés…
Ceci dit, je partage une partie de ton point de vue : GPG résoudrait un certain nombres de problème, mais plus pour l'intégrité et la confiance. Parfois, on a besoin de recevoir du courrier, électronique ou pas, et notre cerveau hautement malléable saura s'adapter.
# Gaz factory
Posté par Glandos . En réponse au journal Forthlift: envoyer des statuts depuis son éditeur de texte. Évalué à 8.
Je sais que c'est inévitable, hein. Mais quand même.
Utiliser Twitter pour publier une histoire la rend totalement illisible. Y a des boîtes entre les lignes, les phrases sont coupées entre les mots.
Un système de fédération de blog aurait tellement été plus pratique. Et pas que pour les geeks barbus…
Et du coup, on se retrouve à perdre notre temps à écrire des logiciels qui débitent des mots en petits tronçons pour les faire rentrer dans des boîtes trop petites pour exprimer nos idées.
Mais je sais, utiliser Twitter est aujourd'hui inévitable. Je n'ai pas de compte, mais je me retrouve à devoir lire les contenus de ce site… Dommage.
[^] # Re: ex-Free
Posté par Glandos . En réponse au journal Free Mobile: C'est quoi leur projet?. Évalué à 4.
L'utilisation du conditionnel veut donc parfaitement dire que ces commentaires n'ont pas de valeur.
Je ne suis pas un fan de Free, même si j'en suis client, c'est juste que c'est un débat éternel, et on entend constamment autant de problèmes remontés, quel que soit le fournisseur. Ils sont différents chez l'un de chez l'autre, c'est tout.
[^] # Re: Bépo
Posté par Glandos . En réponse au sondage Ma disposition de clavier préférée. Évalué à 1. Dernière modification le 16 juillet 2015 à 12:23.
Il y plus d'adeptes, c'est sûr.
Mais il y a aussi un mail sur la liste de Ergodis, qui promeut des solutions ergonomiques pour l'informatique, notamment le Bépo (autour duquel s'est formée Ergodis, ça tourne en boucle ;) ).
# Encore un commentaire inutile
Posté par Glandos . En réponse à la dépêche Grammalecte, correcteur grammatical. Évalué à 10.
Oui, ceci est un commentaire inutile. Mais puisque tu as pris le temps de bien écrire une dépêche de qualité, j'ai trouvé normal de prendre un peu de temps pour formuler des compliments aussi sincères que profonds.
Ah, j'oubliais, c'est très intéressant aussi à lire. Surtout quand on voit les exemples de phrases ambiguës, ça donne à réfléchir sur sa propre langue maternelle.
# Syntaxe de la ligne de commande
Posté par Glandos . En réponse à la dépêche Présentation d'Ansible et version 2 à venir. Évalué à 4.
Petite précision :
Normalement, on l'écrit :
C'est plus dans l'esprit de la commande
ansible. Par contre, dans le cas de ansible-playbook, on est obligé d'utiliser-l localhostpuisque qu'il n'y a pas d'équivalent. C'est un peu incohérent, mais bon…Je me suis mis à utiliser ansible après avoir codé un outil qui permettait de lancer la même commande sur plusieurs serveurs. Et je me suis retrouvé avec un outil qui marchait, mais bon, pour la maintenance, autant passer sur quelque chose d'utilisé par tout le monde qui remplit également mon besoin. Et y a pas à dire, mettre seulement 1 minutes pour obtenir la différence de synchronisation NTP sur plus de 500 serveurs, c'est efficace.
Le côté sans agent est un plus non-négligeable quand on ne maîtrise pas l'administration des machines.
[^] # Re: Un vieux de la veille
Posté par Glandos . En réponse au journal L'autohébergement, c'est presque gagné. Évalué à 2.
J'avoue qu'en dehors de proxad.* je n'y vais pas trop :)
Mais sinon, je passe par le serveur de mon fournisseur d'accès bien sûr ! (news.free.fr) L'accès n'est pas le meilleur, mais il a l'avantage d'être gratuit et rapide.
[^] # Re: adresses résidentielles
Posté par Glandos . En réponse au journal L'autohébergement, c'est pas gagné. Évalué à 2.
De la lecture pour toi. Extrait :
Mais il faut lire l'article en entier. C'est un projet, ce n'est pas encore là, mais le but est réaliste, si tous les acteurs s'y mettent. On a beaucoup plus de recul aujourd'hui qu'au moment de la création de l'IPv4, qui a malgré tout incroyablement bien rempli son rôle, et bien plus encore.
[^] # Re: adresses résidentielles
Posté par Glandos . En réponse au journal L'autohébergement, c'est pas gagné. Évalué à 1.
J'allais rechercher l'article de Stéphane Bortzmeyer, mais j'ai vu qu'il a déjà été posté, c'est super :)
Sinon, avec ma freebox en mode bridge, j'ai effectivement tenté de l'IPv6 en auto-configuration depuis mon serveur-routeur. Et il faut bricoler. Je ne sais pas si je vais être clair…
En gros, toutes les machines à la maison sont donc dans un /64. Y compris la Freebox, qui a sa propre adresse, en […]:1. Et donc quand un paquet arrive de l'extérieur, pour une machine derrière le routeur, disons […]:dead:beef, la freebox envoie un paquet de découverte du voisinage en lien-local, puisque l'adresse de destination est dans le même /64. La Freebox n'étant connecté qu'au routeur, c'est celui-ci qui reçoit le paquet. En lien-local, qui lui demande s'il possède l'adresse […]:dead:beef. Théoriquement, il ne la possède pas, et donc ne répond pas.
Sous Linux, un gentil développeur-bidouilleur a codé NPD6, qui triche : il renvoie OK aux requêtes de découverte de voisinage pour tout un préfixe, afin de tromper le modem. C'est bien sûr réservé à ce genre d'usage.
Bon, faut être honnête, c'est pas hyper-bloquant. Mais c'est vrai que si on veut son propre routeur à la maison, c'est un peu gênant.
[^] # Re: Juste pour info...
Posté par Glandos . En réponse au journal L'autohébergement, c'est pas gagné. Évalué à 1.
Je ne sais pas pour son propre modem, mais ma Freebox (v5) est en mode bridge oui.
Et contrairement aux autres fournisseurs, en mode bridge, on garde téléphone et télévision.
[^] # Re: Juste pour info...
Posté par Glandos . En réponse au journal L'autohébergement, c'est pas gagné. Évalué à 2.
Voilà, c'est fait.
S'il y en a qui veulent s'amuser, le résultat est là : http://dl.free.fr/newVyhg7p
Grosso modo, un quart des DSLAMs sont blacklistés. Et pas les autres. J'ai pas trouvé de corrélation.
[^] # Mille excuses
Posté par Glandos . En réponse au journal L'autohébergement, c'est pas gagné. Évalué à 2.
Je vais quand même présenter doublement mes excuses.
D'une part, pour avoir quand même nourri le troll.
D'autre part, et surtout, pour avoir écrit une phrase qui me semble plus désobligeante que ce à quoi elle s'adressait. Je ne connais pas Zenitram, et c'était une faiblesse que je me suis accordé sous le coup de l'émotion.
Après une bonne douche, je suis dit que je devrais éditer mon commentaire, mais il était trop tard.
J'assume, mais je préfère quand même dire ce que je pense de moi-même…
[^] # Re: Un contournement ...
Posté par Glandos . En réponse au journal L'autohébergement, c'est pas gagné. Évalué à 7.
Ah, Zenitram. Je vais essayer de pas nourrir le troll qui est en toi. Oui, j'ai envie d'y croire au moins une fois.
On est bien d'accord qu'en général, l'emmerdement est maximum. D'ailleurs, quand ça m'est arrivé, il a fallu bousculer les priorités, j'ai eu entre 2 et 3 jours de stress. Je n'ai perdu aucun email (oui, je sais, difficile de savoir ce qui n'est pas arrivé, hein).
Venons-en au cœur. Les emails, c'est comme les SMS. Aucune garantie de délivrance. Aucune. Que tu sois chez GMail, chez toi, ou chez un hébergeur qui fait du HAProxy sur du RAID-278 sur CloudFlare, un email peut se perdre, et ne pas être délivré. En général, l'expéditeur reçoit un « Mail Delivery System » qu'il ne comprend pas, parce qu'il faut avoir déjà installé son serveur SMTP pour comprendre ce que ça veut dire. Et c'est perdu.
Par contre, j'ai déjà eu des échos de Free qui a perdu des emails, et restauré des sauvegardes. GMail, quand ça ne marche pas, tout le monde lève les bras au ciel en hurlant. Pourtant, ce sont des experts, non ?
Mes emails, c'est ma correspondance privée. Ce n'est pas un jeu, c'est très vexant de dire ça, mais en fait, c'est autant un jeu de s'auto-héberger que d'aller sur GMail, où une bonne centaine de personnes que tu connais pas lisent tes mails. Dont tes contrats. Et c'est autrement plus sérieux.
L'email est une dernière chose que j'ai décidé de prendre en main il y a 8 ans, parce que justement, je savais que c'était difficile, et qu'il ne fallait pas se louper. J'ai eu des ratés mineurs. Mais pas de mails perdus.
Ça fait 8 ans, j'ai maintenant un enfant, donc beaucoup moins de temps à passer dessus, et bizarrement, ça va toujours.
On va donc terminer par une pique (je ne résiste pas) : si tu ne te sens pas capable de gérer, ne le fais pas. Ne vient pas insulter les autres de ta jalousie d'incompétent.
[^] # Re: Que dois-je faire ?
Posté par Glandos . En réponse au journal L'autohébergement, c'est pas gagné. Évalué à 2.
Sauf que n'importe qui ne peut pas faire du MitM. C'est compliqué techniquement quand même de se mettre entre moi et GMail par exemple. Le plus simple serait de se mettre sur mon serveur, auquel cas, plus besoin de faire un faux certificat.
Après, on peut imaginer plutôt un re-routage de trafic, mais ça veut dire qu'il faut soit faire mentir les DNS qui me répondent (cache poisoning, ou bien MitM, mais on retombe sur la même problématique), soit faire mentir l'ARP. Et là encore, ce sont deux voies qui demandent du temps et des moyens pour un résultat très faibles. Juste mes emails. Il vaut mieux venir me cambrioler ;)
Alors que pirater une CA. Miam. Du web partout, des centaines de boîtes mails directement accessibles, glop glop.
Bon, c'est quand même bien pour ça qu'on recommande d'activer la PFS partout.
[^] # Re: Si j'étais FAI
Posté par Glandos . En réponse au journal L'autohébergement, c'est pas gagné. Évalué à 2. Dernière modification le 21 mars 2015 à 19:44.
D'accord. Soit. Mais franchement, quelle est la proportion de SPAM dont le SPF est valide ? Ou le DKIM (je n'en ai pas, par manque de temps là) ?
Je ne sais pas si Postfix permet de faire ça, mais ça ne m'étonnerait pas qu'on puisse enchaîner les vérifications dans ce sens :
Comme dit plus haut, la liste noire est vraiment une tronçonneuse.
Pour la petite histoire, j'avais réglé Postfix pour faire certaines vérifications basiques sur la correspondance entre les enregistrements A, PTR et MX. J'ai dû le virer, parce que les emails envoyés par dl.free.fr étaient bloqués. Donc bon… Un bon antispam est de toutes façons nécessaire.
[^] # Re: Certes
Posté par Glandos . En réponse au journal L'autohébergement, c'est pas gagné. Évalué à 1.
C'est pas très clair sur leur page d'accueil. Visiblement, tout est en hors taxe, mais on peut remplir une fiche d'inscription en tant que particulier. Je ne suis pas allé plus loin.
[^] # Re: adresses résidentielles
Posté par Glandos . En réponse au journal L'autohébergement, c'est pas gagné. Évalué à 1.
C'est vrai. Je ne cite pas de source (j'ai trop la flemme), mais c'est Nerim le pionnier de l'IPv6 au grand public. Après, c'est sûr que vu le nombre d'abonné chez Free, quand ils ont mis en place l'IPv6, ça n'a pas eu la même portée…
Pour rappel, quand même : http://ipv6pourtous.free.fr/accueil/
[^] # Re: Juste pour info...
Posté par Glandos . En réponse au journal L'autohébergement, c'est pas gagné. Évalué à 1.
En effet, ce n'est donc pas une question de date, mais de plage d'adresses.
Sur ton NRA, il y a des plages qui ont été adressées un petit peu avant moi, et qui ne sont pas listées sur SEM-BLACK. De la même manière, sur mon NRA, il y a des IP non listées. Je vais donc me concocter un petit script qui va faire deux ou trois vérifications.
Merci pour la piste !
[^] # Re: Juste pour info...
Posté par Glandos . En réponse au journal L'autohébergement, c'est pas gagné. Évalué à 1.
Ah. C'est très intéressant. Abonné récemment ? Un NRA récent ou pas ?
Pour les détails (adresse réelle), on peut peut-être en discuter sur XMPP. Je viens de modifier mon profil pour l'afficher :)
[^] # Re: Si j'étais FAI
Posté par Glandos . En réponse au journal L'autohébergement, c'est pas gagné. Évalué à 1.
Ah ben oui, évidemment. Le FAI n'est pas parfait, mais le côté « Rejetons joyeusement tous les gens dans des listes noires dont on ne connaît pas la fiabilité », c'est pas terrible.
Aujourd'hui, on pourrait par exemple autoriser l'accès si le SPF est correct, sinon, on regarde une liste noire. Juste comme ça.
[^] # Re: Si j'étais FAI
Posté par Glandos . En réponse au journal L'autohébergement, c'est pas gagné. Évalué à 1.
Bof, non, changer d'adresse IP pour ces clients, c'est foutre en l'air son plan d'adressage, qui est souvent géographique.
[^] # Re: Un contournement ...
Posté par Glandos . En réponse au journal L'autohébergement, c'est pas gagné. Évalué à 2.
C'est sûr, le VPN en relais, c'est pas une mauvaise idée. Ça nécessite quand même un dédié quelque part, au moins, c'est juste un relais sans mémoire.
Après, pour la blague, non, je n'ai quand même pas un P2 400 ;) Ça consomme beaucoup trop ça. J'ai un Intel Atom en Mini-ITX avec une PicoPSU, c'est très bien. Bon, depuis le RaspberryPi, on fait encore mieux, en rapport performance/Watt, mais je vais pas me racheter du matériel tous les jours non plus ;)
[^] # Re: Un contournement ...
Posté par Glandos . En réponse au journal L'autohébergement, c'est pas gagné. Évalué à 1.
Bon, on s'éloigne du sujet. Je pense que donc que je ne vais pas traîner. J'ai dit : à mon insu. Je sais qu'un professionnel entraîné pourra rentrer chez moi, à mon insu, en refermant tout bien comme il faut, mais c'est pas la majorité. Dans un datacenter, plein de gens ont les clés. Je sais que la sécurité est largement meilleure que chez moi, je n'ai même pas de serrure 3 points, ni de porte blindée. Mais en général, si quelqu'un vient chez moi par effraction, je vais le savoir.
Je ne sais pas trop sur quel ton répondre. Comme l'a dit Tanguy, le SMTP est extrêmement résilient. 5 jours, je ne sais pas, mais au moins 3, je l'ai testé sur mon dernier déménagement. Au pire, j'ai un ami qui peut faire MX d'urgence, juste au cas où. Et bizarrement, ça suffit. En fait, on accepte beaucoup plus facilement les pannes qui viennent de soi-même, et qu'on comprends, que les pannes des autres. Les pannes, ça arrive, et l'email est vraiment le dernier des services qui perd des données quand ça arrive.