Journal OVH et le DPI, ou comment se faire débrancher son serveur mail parce qu’on reçoit du spam

Posté par (page perso) . Licence CC by-sa
Tags :
31
1
oct.
2014

Sommaire

Le bureau de poste

Cher journal, comme beaucoup de monde, je fais de la redirection de mail, cela a un avantage certain :

  • M. John Doe qui travaille pour l’entité MaPetiteEntreprise et l’entité MonMagasin peut facilement avoir plusieurs adresses john-doe@entreprise.tld et john-doe@monmagasin.tld qui redirigent vers une unique boîte mail john@doe.tld qui peut-être hébergé ailleurs.

  • L’adresse mail secretariat@entreprise.tld permet d’écrire à tous les secrétaires de MaPetiteEntreprise : tom-smit@entreprise.tld et john-doe@entreprise.tld.

  • Si un jour John Doe change d’entreprise et est remplacé par Mme Julie LaFleur, je retire john-doe@entreprise.tld et met à la place julie-lafleur@entreprise.tld comme alias de secretariat@entreprise.tld.

Techniquement c’est très simple, il suffit en général de rediriger les MX de ses domaines sur son serveur et de faire une liste d’alias de ce type, selon le format de votre serveur SMTP préféré:

john-doe@monmagasin.tld: john@doe.tld
john-doe@entreprise.tld: john@doe.tld
tom-smit@entreprise.tld: tom@smit.tld
secretariat@entreprise.tld: john-doe@entreprise.tld, tom-smit@entreprise.tld

Et le DPI dans tout ça ?

Le problème, c’est que techniquement je renvoie tout spam que je reçois puisque je fais le travail du livreur.

En fait je n’envoie pas de mail que je n’ai pas déjà reçu, et je n’émet aucun mail de ma propre initiative. De plus je n’envoie de mails qu’à une sélection prédéfinie d’adresses mail (les utilisateurs). Je ne fais que livrer.

Ce qui signifie donc que tout spam qui est vu en sortie de mon SMTP est un spam que j’ai d’abord reçu et que je livre. Je suis la victime du spam dans l’affaire, mais techniquement j’ai du spam qui sort de mon SMTP en direction des boîtes de mes utilisateurs.

Quand mon livreur prend son fourgon pour partir distribuer le courrier, il y a du spam dedans, c’est inévitable.

Voici le schéma de ce qui se passe :

                                   | Hébergeur                  : DPI      :   |
                                   |                            : AntiSpam :   |
                                   |     ___________________    :          :   |
                                   |    [                   ]   :          :   |
de:julie@fournisseur.tld --[mail]-----> [ serveur  de       ] -----[mail]-----------
a:john-doe@entreprise.tld          |    [                   ]   :          :   |    \
                                   |    [ redirections      ]   :          :   |     \
de:olivier@acheteur.tld ---[mail]-----> [                   ] -----[mail]----------------> john@doe.tld
a:john-doe@monmagasin.tld          |    [ mx.entreprise.tld ]   :          :   |     /
                                   |    [ mx.monmagasin.tld ]   :          :   |    /
de:spammeur@toto.tld -----{{spam}}----> [                   ] ----{{spam}}----------
a:joh-doe@magasin.tld              |    [___________________]   :          :   |
                                   |                            :          :   |
                                   |                            :          :   |

Tout cela devrait très bien marcher mais mon hébergeur a un pare-feu très intelligent qui décortique les paquets SMTP en émission, et les soumet à un détecteur de spam.

À la croisée d’un chemin, un douanier siffle mon livreur et lui demande d’ouvrir son fourgon !

Là où ça se passe mal…

Cas de réception de mail normal :

  • Un des utilisateurs reçoit un mail sur une des ses adresses publiques, je le redirige vers sa boîte mail.

Cas de réception de spam :

  • Un des utilisateurs reçoit un spam sur une des ses adresses publiques, je le redirige vers sa boîte mail.
    • Mon hébergeur détecte le spam, et bloque le trafic du serveur en émission.
    • Tous les utilisateurs arrêtent de recevoir leurs mails.

Notez bien que ce n’est pas doe.tld qui me bloque comme spammeur, mais l’hébergeur que je paie pour me fournir de gros tuyaux. C’est mon hébergeur qui m’empêche de livrer mes mails à mes utilisateurs parce qu’il y a du spam dedans.

Je suis blacklisté à cause du spam que je reçois, le DPI voit peut-être beaucoup de chose mais il ne saisit pas du tout cette nuance fondamentale, je ne fais que du transit de mail que je reçois ! Je ne fais que livrer !

Ne tirez pas sur le livreur !

La réponse de l’hébergeur est de filtrer les spams, le problème c’est que je suis obligé de délivrer les spams quoi qu’il arrive car en cas de faux positif il faut que l'utilisateur puisse retrouver ses billes, je peux les marquer comme spam dès le passage au serveur de redirection mais ça ne servirait à rien. Et puis il y a déjà un antispam à la réception.
Je ne vais pas fournir un webmail sur doe.tld pour les mails, et un webmail sur entreprise.tld pour les spams et demander aux utilisateurs de surveiller la deuxième boîte s’il y a des faux positifs !

Bref, je n’ai pas de solution. Je me fais bloquer parce que je reçois du spam, et les seules réponses du support de mon hébergeur ne concernent que ceux qui émettent du spam.

Je n’émet pas de prospectus mais je livre le courrier, et un agent a mis en garde à vue mon livreur parce qu’il transportait des prospectus dans son fourgon.

Mauvais fournisseur, changer de fournisseur ?

Cher journal, as-tu une solution (technique ou non technique) à ce problème ?

Est-ce que je ne risque pas de retrouver ce problème partout ailleurs maintenant que l’habitude de tirer sur le messager est acquise ? D’ailleurs si mon hébergeur fait ça c’est que certainement il se protège lui-même vis à vis d’un plus gros !

La morale de l’histoire, vous l’aurez deviné, c’est que si vous devez investir dans un dédié et qu’une de vos missions est de livrer du courrier, il vous faut éviter OVH. Vraiment.

  • # Commentaire supprimé

    Posté par . Évalué à 10.

    Ce commentaire a été supprimé par l'équipe de modération.

    • [^] # Re: STARTTLS ?

      Posté par (page perso) . Évalué à 6.

      J'y ai pensé dès que j'ai lu "décortique les paquets SMTP en émission, et les soumet à un détecteur de spam".
      En effet, en chiffrant la connexion entre les deux serveurs, il sera impossible pour eux d'analyser ce trafic.

      Étrange de pas y avoir pensé Oo
      Quelque chose l'en empêche ?

      • [^] # Re: STARTTLS ?

        Posté par . Évalué à 4.

        Quelque chose l'en empêche ?

        Il faut que doe.tld le supporte.

        • [^] # Re: STARTTLS ?

          Posté par . Évalué à 4.

          Ou un VPN. Qui permetterait de faire passer autre chose tant qu'on y est.

        • [^] # Re: STARTTLS ?

          Posté par (page perso) . Évalué à 10.

          En 2014, un hébergeur de courrier qui n'a pas TLS ? Cela me parait une raison largement suffisante pour en changer.

          • [^] # Re: STARTTLS ?

            Posté par . Évalué à 1.

            Étrange ce moinssage. Exchange supporte le TLS?

            • [^] # Re: STARTTLS ?

              Posté par . Évalué à 5.

              Un rapide EHLO avec socat sur le serveur de mail de la boîte m’indique que oui.

          • [^] # Re: STARTTLS ?

            Posté par . Évalué à 2.

            Encore faut-il un certificat signé par une autorité reconnue, ou alors va falloir faire rajouter ton certificat dans tous les serveurs de mail dans de tes destinataires.

            Ou alors, le STARTTLS de serveur à serveur n'authentifie que le serveur "serveur" et pas le serveur "client" (à l'instar de ce qui se fait de client à relai normalement)?
            (vraie question)

            • [^] # Re: STARTTLS ?

              Posté par (page perso) . Évalué à -1.

              Encore faut-il un certificat signé par une autorité reconnue, ou alors va falloir faire rajouter ton certificat dans tous les serveurs de mail dans de tes destinataires.

              Un peu comme HTTPS. On me dit dans l'oreille qu'à part LinuxFr, les gens qui ont des serveurs publics ont des certificats signés par une autorité reconnue…

              Bref, pas un problème (d'ailleurs, STARTTLS est déjà beaucoup utilisé par pas mal de monde, Thunderbird, Android… Avec un magasin de certificats qui va bien).

    • [^] # Re: STARTTLS + IPv6

      Posté par (page perso) . Évalué à 3.

      Je ne fais pas forcément de gros volumes, mais de mon côté avec TLS & IPv6 activé, je contourne assez efficacement ce filtre. Car oui, semblerait que le filtrage ne concerne qu'IPv4.

      Reste le problème des fournisseurs ne gérant ni l'un ni l'autre…

      alf.life

  • # Donc...

    Posté par . Évalué à 10.

    Donc OVH, quand tu leur a posé le problème, t'a répondu d'aller te faire voir, c'est ça ?

    • [^] # Re: Donc...

      Posté par . Évalué à 9.

      C'est ce que Tatave répond à tous ceux qui ont le même problème, en tous cas.

  • # Filtrer le plus gros

    Posté par (page perso) . Évalué à 3.

    Je crois savoir que tu peux configurer les filtres à spam de sorte qu'ils ne rejettent que les spams les plus flagrants. De cette manière, tu ne serais déjà plus blacklisté je pense, et tes utilisateurs recevraient quand même l'essentiel des faux-positifs non ?

    • [^] # Re: Filtrer le plus gros

      Posté par (page perso) . Évalué à 9.

      Logique floue donc: c'est peut-être un spam mais comme je ne suis pas sûr je renvoie en espérant que mon FAI sera d'accord avec moi, ça peut marcher mais de toute façon c'est faux: le problème c'est que dans ce schéma le livreur de mail ne fait plus de la simple redirection et le FAI ne se limite pas à son rôle d'offrir de la bande passante. A partir du moment où les parties sortent de leur rôle respectifs les problèmes arrivent.

      • [^] # Re: Filtrer le plus gros

        Posté par (page perso) . Évalué à 1.

        mais de toute façon c'est faux: le problème c'est que dans ce schéma le livreur de mail ne fait plus de la simple redirection et le FAI ne se limite pas à son rôle d'offrir de la bande passante. A partir du moment où les parties sortent de leur rôle respectifs les problèmes arrivent.

        C’est exactement ça…

        ce commentaire est sous licence cc by 4 et précédentes

        • [^] # Re: Filtrer le plus gros

          Posté par (page perso) . Évalué à 5.

          Mais là on en arrive à la question du "Pourquoi?".
          Le spam est une vraie plaie qui provoque à la foi une surconsommation de la bande passante et l'énervement des destinataires (qui n'est en outre pas compensé par un accroissement de leur pénis).
          Les utilisateurs se sont plaints et les fournisseurs d'accès ont apporté des solutions.
          Mettre en place des solutions pour contourner ses limitations est contreproductif car tu risques de te retrouver dans un problème "munitions vs blindage".
          Plutôt que de transférer le courrier reçu vers des boîtes mail, me peux-tu pas envisager de mettre en place un webmail sur ton serveur permettant à tes clients de consulter les adresses qui leur sont réservées?

          • [^] # Re: Filtrer le plus gros

            Posté par . Évalué à 2.

            … ou leur proposer un client mail qui est capable de récupérer le courrier sur toutes ces adresses ?

      • [^] # Re: Filtrer le plus gros

        Posté par . Évalué à 2.

        Ça fait des années que tout le monde sort de son rôle respectif, il serait temps de s'en rendre compte.

        Si chacun s'en tenait à son rôle, le Kevin qui envoie du spam (volontairement ou pas) depuis son dédié OVH se ferait sortir de là à grands coups de pieds au cul pour non-respect de la nétiquette, et se verrait refuser l'accès aux serveurs dédiés pour une durée arbitrairement longue. Le spam, à la différence de la foudre, est la conséquence de comportements humains. Le rôle d'un administrateur de serveur mail est de faire en sorte de ne pas en envoyer. Et le rôle d'un hébergeur, dans l'Internet des bisounours, est de dégager de son réseau les gens qui chient sur la nétiquette en envoyant du spam.

        Mais Tatave préfère gérer et encaisser des milliers de Kevin quitte à susciter quelques remous sur TrollFR. Parce que le but d'OVH est de gagner des sous en faisant éventuellement un morceau d'Internet, pas de faire un morceau d'Internet en gagnant éventuellement des sous.

        On pourrait peut-être revenir à un monde où chacun prend ses responsabilités, mais on n'en prend pas le chemin.

        THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

    • [^] # Re: Filtrer le plus gros

      Posté par . Évalué à 2.

      Nan mais le problème c'est que dès qu'il y a UN seul spam, son serveur redirecteur est blacklisté donc bon…

      • [^] # Re: Filtrer le plus gros

        Posté par (page perso) . Évalué à 4.

        Non ce n’est pas aussi violent, le schéma ci-dessus est simplifié (je n’ai pas non-plus qu’un seul utilisateur et il ne s’appelle pas John Doe).

        Mais j’ai des utilisateurs qui sont très spammés. Clairement, la majorité du trafic est du spam.

        C’est du spam qu’on reçoit mais c’est sûr qu’à la sortie d’une redirection ça ressemble à un envoi, et avec le détecteur actuel de l’hébergeur, ça pète en quelques minutes.

        ce commentaire est sous licence cc by 4 et précédentes

  • # LMTP vs SMTP

    Posté par . Évalué à 9.

    en fait il ne faudrait pas faire de SMTP mais du LMTP pour faire uniquement la livraison, le stockage de l'email, plutot que la reexpedition d'un email

    reste à savoir si le FAI va faire du DPI sur ce protocole.

  • # Plusieurs choses à fair et à voir.

    Posté par . Évalué à 10.

    Mauvais fournisseur, changer de fournisseur ?

    Tu fais comme tu veux, mais l'excuse "je ne suis que le transitaire, et je dois transmettre les mails aux clients que me payent" est l'excuse numéro un des spammeurs pro. Donc tu risques clairement de retrouver le problème ailleurs.

    Cher journal, as-tu une solution (technique ou non technique) à ce problème ?

    La première chose à faire est d'ajouter des black-list sur ton serveur mail. Je ne saurais que trop te recommander les sbl de spamhaus. Vérifie également que tu n'es pas inscrit sur certaines base de données de spammeurs/abuser connus. La éthode la plus simple est simplement de se rendre ici
    http://www.anti-abuse.org/multi-rbl-check-results.

    Ensuite vu ce que tu décris, j'imagine que tu as une solution clef en main chez OVH (i.e soit les adresses mails fournies avec un domaine, soit un pack hosting exchange, mais en tout cas OVH administre le système mail).

    Si ce n'est pas le cas, il te suffit effectivement d'ouvrir un port non standard avec chiffrement ssl (par exemple avec du starttls) sur ton serveur mail terminal. Ton serveur transitaire utilisera cette voie pour acheminer le mail. Le certificat n'a pas besoin d'être validé par une entité reconnue vu que seul ton serveur transitaire s'en servira, donc unc ertificat auto-signé suffira.

    Si c'est bien OVH qui administre le système mail, ca va être plus compliqué. Déjà il va falloir ajouter un filtre de ton coté pour rejeter tout ce qui est manifestement du spam. Normalement ca devrait augmenter ton ratio ham/spam suffisament pour que tu ne sois plus embetté par les filtres OVH. Le SPF, DKIM et autres peuvent aider à apaiser les filtres ennervés. Si par contre tu sers de transitaire pour un groupe de spécialiste des dysfonctionnements érectiles chez l'homme (ie leurs mails contiennent en moyenne trois fois les mots errection, viagra ou cialis) là il va falloir négocier d'arrache pied.
    J'ai été transitaire pour une institution bancaire Africaine, je te raconte pas le bazar pour faire passer chaque mail.

    La première chose à faire est de réussir à démontrer que tu as fait tout ce qui était en ton pouvoir pour limiter le nombre de spam qui transitent par chez toi, la seconde chose est de réussir à convaincre un admin qui a franchement autre chose à faire de créer une règle que pour toi, pour limiter les faux positifs. Et là laisse moi te dire que ce sera nettement plus simple à faire chez OVH que chez (au hasard) Orange.

    N'hésite pas à te présenter, à donner ton nom, ton addresse, ton tel perso. Un spammer ne fournirait pas ces informations facilement.

    • [^] # Re: Plusieurs choses à fair et à voir.

      Posté par (page perso) . Évalué à 2.

      Tu fais comme tu veux, mais l'excuse "je ne suis que le transitaire, et je dois transmettre les mails aux clients que me payent" est l'excuse numéro un des spammeurs pro. Donc tu risques clairement de retrouver le problème ailleurs.

      Vu qu’ils se permettent déjà de lire mes mails, s’ils les lisaient en entrée ils retrouveraient les mêmes qu’en sortie. :D

      Ensuite vu ce que tu décris, j'imagine que tu as une solution clef en main chez OVH

      Non pas du tout j’ai un serveur dédié avec un distro tout à fait standard (le serveur ne fait pas que ça sinon c’est sûr que c’est cher pour de la simple redirection :p).

      Si ce n'est pas le cas, il te suffit effectivement d'ouvrir un port non standard avec chiffrement ssl (par exemple avec du starttls) sur ton serveur mail terminal.

      Si je maîtrisais l’arrivée dans tous les cas je ferai simplement un VPN entre les machines, ce serait très simple. ;-)
      Le problème c’est que les boites mail des personnes ne sont pas forcément gérées par moi : je reçois, je dispatche. Après à l’arrivée ça peut être moi… ou pas.

      N'hésite pas à te présenter, à donner ton nom, ton addresse, ton tel perso. Un spammer ne fournirait pas ces informations facilement.

      Un spammeur n’appelle pas non-plus le support en précisant toutes ces informations. ;)

      J'ai été transitaire pour une institution bancaire Africaine, je te raconte pas le bazar pour faire passer chaque mail.

      Ouuh je te plains. :D

      ce commentaire est sous licence cc by 4 et précédentes

      • [^] # Re: Plusieurs choses à fair et à voir.

        Posté par . Évalué à 6.

        Non pas du tout j’ai un serveur dédié avec un distro tout à fait standard (le serveur ne fait pas que ça sinon c’est sûr que c’est cher pour de la simple redirection :p).

        Je parlais du serveur qui reçoit les mails, pas le serveur transitaire.

        De ce que je comprend, ta seule solution va être SBL+filtre baysien+développer une interface pour que le client vienne récupérer ses spams en cas de faux positif. Lourd donc.

  • # OVH et son anti-dos anti-spam

    Posté par (page perso) . Évalué à 5.

    Bonsoir,

    j'avais deux serveurs dédiés chez OVH, et un jour ils ont annoncé la mise en place de mesure anti-dos.
    Lorsque ce fut "activé", la communication SSH entre mes deux serveurs à été perturbée.
    De A vers B, la connexion ne se faisait pas.
    De B vers A, la connexion était possible, mais à la vitesse petit nuage.

    Du coups, j'ai fait transiter mon trafic réseau via une Dédibox, et ça fonctionnait dans tous les sens sans soucis.

    En 2014, les connexions entre OVH et Dédibox sont maintenant très limitées en trafic… mais je m'en fou, je n'ai plus de serveur dédié chez OVH. Cela dit, je soupçonne Dédibox d'appliquer une QOS.

    Concernant les e-mail, il n'y a pas que OVH qui pratique ces limitations. J'ai vu il y a pas mal de temps un hébergeur (Lautre.net) blacklisté de @free.fr parce qu'un membre de Lautre.net redirigeait via son logiciel de courrier, tout le spam vers son compte e-mail en @free.fr. techniquement il transitait par les serveurs de Lautre.net, et un admin-sys de Free à eu la gâchette facile.

    Si tu as un serveur dédié, tu peux t'installer AlternC, et tu auras alors la gestion complète des sites web et des e-mails. Je m'en sers actuellement pour quelques sites et pour mes e-mails. Ainsi, tu laisses tes contacts gérer leurs comptes mail. Il te faudra probablement définir ton nom de domaine comme extension possible, et attribuer à chacun un sous-domaine.

    Bonne soirée

    • [^] # Re: OVH et son anti-dos anti-spam

      Posté par (page perso) . Évalué à 7.

      Concernant les e-mail, il n'y a pas que OVH qui pratique ces limitations. J'ai vu il y a pas mal de temps un hébergeur (Lautre.net) blacklisté de @free.fr parce qu'un membre de Lautre.net redirigeait via son logiciel de courrier, tout le spam vers son compte e-mail en @free.fr. techniquement il transitait par les serveurs de Lautre.net, et un admin-sys de Free à eu la gâchette facile.

      Ah oui c’est drôle ça aussi ! Faut y réfléchir à deux fois avant de rediriger ses adresses poubelles sur une boîte tierce au risque de se faire plonker le serveur lui-même…

      ce commentaire est sous licence cc by 4 et précédentes

    • [^] # Re: OVH et son anti-dos anti-spam

      Posté par . Évalué à 3.

      Concernant les e-mail, il n'y a pas que OVH qui pratique ces limitations. J'ai vu il y a pas mal de temps un hébergeur (Lautre.net) blacklisté de @free.fr parce qu'un membre de Lautre.net redirigeait via son logiciel de courrier, tout le spam vers son compte e-mail en @free.fr. techniquement il transitait par les serveurs de Lautre.net, et un admin-sys de Free à eu la gâchette facile.

      Je pense que ca n'est pas un admin-sys mais un script qui fait ca automatiquement chez eux. L'ajout d'un serveur mail dans une blacklist, quand une trop grosse proportion des mails qu'il envoit sont considerés comme spams.

    • [^] # Re: OVH et son anti-dos anti-spam

      Posté par (page perso) . Évalué à 4.

      j'avais deux serveurs dédiés chez OVH, et un jour ils ont annoncé la mise en place de mesure anti-dos.
      Lorsque ce fut "activé", la communication SSH entre mes deux serveurs à été perturbée.

      Finalement, s'ils t'avaient juste mis en blackhole‚ le résultat aurait été le même. On se demande bien pourquoi ils se font chier a détecter et mitiger les DOS quand il suffit de couper le client en attendant que cela passe …

  • # Spamassassin

    Posté par (page perso) . Évalué à 3.

    Et rajouter spamassassin qui taggerait le message + le mettre en attach ça ne suffit pas… il filtre quand même même si le message est taggé proprement comme spam possible ?

    • [^] # Re: Spamassassin

      Posté par (page perso) . Évalué à 1.

      j’y ai pensé, mettre le spam en pièce jointe pour modifier la forme tout en assurant de ne rien perdre mais je ne suis pas sûr du résultat et j’espère trouver mieux…

      ce commentaire est sous licence cc by 4 et précédentes

      • [^] # Re: Spamassassin

        Posté par . Évalué à 3.

        Chiffre les mails sur ton relai. C'est garanti qu'il pourront pas filtrer ça :)

      • [^] # Re: Spamassassin

        Posté par (page perso) . Évalué à 3.

        Sinon, y a la possibilité de ne plus faire de forward, gmail (et autre) ou n'importe quel client lourd peut se connecter via pop3 (ou imap) sur un serveur et faire la récupération des emails… je pense d'ailleurs que c'est la seule solution garantie de fonctionner avec SPF (car même si OVH ne te bloquait pas, SPF sur le smtp de destination du forward, si la policy de l'adresse from est en -all refuserait l'email).

        Du coup moi, j'ai simplement arrêté le forward… et de mon côté j'ai spamassassin et tumgreyspf pour les SPAM et le SPF.

  • # le livreur

    Posté par . Évalué à -6.

    Imagine que ton livreur sait qu'il livre de la drogue ou une bombe.

    Et que la société qui te loue un super camion rapide et blindé soit mise en cause car elle te facilite la tâche.

    Est-ce qu'il serait bizarre qu'elle arrête de te louer des camions avant qu'on lui interdise tout fonctionnement ?

    • [^] # Re: le livreur

      Posté par . Évalué à 4.

      Tu devrais aller dénoncer Thomas pour apologie du terrorisme. C'est vrai quoi, il reçoit du spam sur sa boite email !

      • [^] # Re: le livreur

        Posté par (page perso) . Évalué à 6. Dernière modification le 02/10/14 à 07:34.

        Ca qu'il reçoit, on s'en fout. Le problème est qu'il emet.
        Et faut aussi arrêter de dénoncer OVH, il ne fait que jeter les serveurs qui envoient du spam.
        Tiens, rigolo, augmenter les problèmes, c'est acceptable dans un sens, mais pas dans l'autre…

        Ici, on jette juste un spammeur, qu'il le fasse "a l'insu de son plein gré" n'est pas le problème d'OVH, le problème d'OVH est d'avoir un réseau sain pour pas cher (et de ne pas se faire blacklister car il envoit le gars envoit du spam avec un IP à OVH). Quand on envoit des emails (différent du courrier normal, d'autres problématiques), on assume. Sachant que c'est un cas exceptionnel, généralement il y a un spamassassin/clamav de configuré sur n'importe quel serveur de mail correct pour virer les gros spams et qu'OVH flaggue à ma connaissance que si tu ne fais pas un nettoyage de base.

        Avant de "dénoncer grave", on peut aussi essayer de comprendre l'autre partie. Et si la plus value (pour 99% des clients) ne convient pas, on va chercher un autre prestataire qui garantira "promis, on ne vire pas les spammeurs qui spamment qu'une adresse email qui ne se plaint jamais du fait de ta config exotique").

        OVH fait du low cost = pas un service personnalisé pour les configs exotiques. Ce n'est pas apologie du terrorisme, c'est juste vouloir le beurre et l'argent du beurre. Pas la peine de se plaindre sur LinuxFr pour ça (surtout que ça ne changera rien à son problème, c'est juste un plaisir de cracher gratuitement sur son prestataire, avec une "morale de l'histoire").

        • [^] # Re: le livreur

          Posté par . Évalué à 7.

          Avant de "dénoncer grave", on peut aussi essayer de comprendre l'autre partie. Et si la plus value (pour 99% des clients) ne convient pas, on va chercher un autre prestataire qui garantira "promis, on ne vire pas les spammeurs qui spamment qu'une adresse email qui ne se plaint jamais du fait de ta config exotique").

          Si tu lis bien le message initial, tu comprendras que c'est la question qu'il pose : trouver un prestataire qui ne pratique pas ce genre de choses.

          Maintenant, si le but (ne pas pourrir son réseau) est compréhensible, il est inadmissible qu'OVH se permette d'ouvrir les messages (si c'est le cas, bien sûr) : OVH loue une bande passante et un serveur : je ne vois pas pourquoi ils iraient voir ce qui se passe dessus, tant que la bande passante utilisée n'est pas dépassée. Si effectivement le nombre de messages reçus pourrit leur bp, il y a moyen de limiter celle-ci sans couper complêtement le trafic.

          • [^] # Re: le livreur

            Posté par (page perso) . Évalué à -4. Dernière modification le 02/10/14 à 10:02.

            OVH loue une bande passante et un serveur

            Correction : OVH loue une bande passante et un serveur utilisable (non blacklisté).

            Si effectivement le nombre de messages reçus pourrit leur bp, il y a moyen de limiter celle-ci sans couper complêtement le trafic.

            Tu n'as pas compris le problème. Le problème n'est pas la quantité, mais la qualité.

            Si tu lis bien le message initial, tu comprendras que c'est la question qu'il pose : trouver un prestataire qui ne pratique pas ce genre de choses.

            J'avoue ne pas m'interesser aux prestataires qui laissent passer des spams et ont donc leurs plages d'adresses IP blacklistés, je ne peux répondre, je laisse le soins à d'autres.

            Si tu lis bien le message initial

            Je l'ai lu, et il donne surtout l'impression d'une personne qui râle parce qu'il voudrait un service personnalisé pour le prix d'un service low-cost qui répond au besoin de 99% des gens, sans se poser la question de savoir si ce n'est pas lui qui a une mauvaise pratique en 2014.


            Ma principale critique est le fait de ne même pas chercher à comprendre pourquoi le prestataire le fait, et cracher dessus en le faisant passer pour un mauvais, alors que c'est simplement un prestatiare qui ne correspond pas au besoin (besoin de 99% des gens, voire plus, mais il faut que les gens qui ne rentrent pas dans l'offre hurlent en faisant un journal LinuxFr plutôt que de dire qu'il cherche un prestataire différent avec une autre offre).

            • [^] # Re: le livreur

              Posté par . Évalué à 3.

              Tu n'as pas compris le problème. Le problème n'est pas la quantité, mais la qualité.

              Si j'ai compris : le PI qui veut pouvoir gérer (ou ne pas gérer) lui-même le SPAM, parce que la façon de faire d'OVH ne lui convient pas, et je le comprends (Certains de mes courriers ne sont pas arrivés à estination car considérés comme du SPAM par des filtres trop restrictifs. Ca m'a mis dans la mxxxx). Tout ce dont il a besoin, c'est un serveur et une IP, avec de la bande passante. OVH ne fournit peut-être pas ça. Comme je n'ai pas le contrat sous les yeux, je ne peux pas juger.

            • [^] # Re: le livreur

              Posté par . Évalué à 4.

              J'avoue ne pas m'interesser aux prestataires qui laissent passer des spams et ont donc leurs plages d'adresses IP blacklistés, je ne peux répondre, je laisse le soins à d'autres.

              Du coup c'est un cercle vicieux qui est soutenu. On bloque les autres parce qu'on a nous même peur de se faire bloquer par les autres.

              Ma principale […]

              […] est totalement infondée :

              Cher journal, as-tu une solution (technique ou non technique) à ce problème ?

              Est-ce que je ne risque pas de retrouver ce problème partout ailleurs maintenant que l’habitude de tirer sur le messager est acquise ? D’ailleurs si mon hébergeur fait ça c’est que certainement il se protège lui-même vis à vis d’un plus gros !

              La morale de l’histoire, vous l’aurez deviné, c’est que si vous devez investir dans un dédié et qu’une de vos missions est de livrer du courrier, il vous faut éviter OVH. Vraiment.

              Moi la principale critique que je fais c'est de voir des commentateurs qui ne prennent même pas le temps de lire le journal.

              Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

          • [^] # Re: le livreur

            Posté par . Évalué à 8.

            OVH loue une bande passante et un serveur

            Ce n'est pas tout. Il loue aussi des adresses. Et c'est cela qu'ils protègent. Car une adresse qui spam, ce n'est pas grave. Ça ne fait pas énormément de traffic. Bon Ça peut consommer pas mal en électricité si le script est bien pourri. Et l'IP se fera blacklistée sur les listes.

            Mais surtout, ça nuit à la réputation de l'IP. Cela peut aussi nuire à la réputation de la plage d'IP entière. De plus, une fois une IP libérée, elle est relivrée. Et c'est là que ça devient chiant pour OVH, car c'est des clients tout à fait clean qui peuvent se faire bloquer leurs emails.

            Bon après, ils pourraient ne bloquer que les ports smtps.

          • [^] # Re: le livreur

            Posté par . Évalué à 3.

            il est inadmissible qu'OVH se permette d'ouvrir les messages (si c'est le cas, bien sûr) : OVH loue une bande passante et un serveur : je ne vois pas pourquoi ils iraient voir ce qui se passe dessus, tant que la bande passante utilisée n'est pas dépassée.

            En es-tu sûr ? Tu as mémorisé la totalité du contrat et des conditions d'utilisation ?

            • [^] # Re: le livreur

              Posté par . Évalué à 7.

              Alors…
              google://cgu ovh dédié + I'm feeling lucky.
              L'article 8 s'appelle "MESURES DE LUTTE CONTRE L’ENVOI DE SPAM DEPUIS LE RESEAU OVH".
              Il est assez long mais l'idée c'est "Si du spam sort de chez toi, Octave coupe".

              Rappel : il n'appartient pas à l'utilisateur de considérer qu'une clause est léonine et donc qu'il peut s'en affranchir, mais à un tribunal.

        • [^] # Re: le livreur

          Posté par (page perso) . Évalué à 7.

          Je suis bien d'accord sur le fait qu'OVH doive se protéger, j'ai cependant eu la malchance, à de nombreuses reprises, de me retrouver avec une machine éteinte ou restreinte (et même une fois une menace de me faire fermer le service définitivement sous 24h) par OVH.

          A chaque fois qu'ils mettent en place une nouvelle mesure de sécurité (faut dire ce qui est, qui se traduit le plus souvent par bloquer la moitié d'internet de leur réseau) ils le font sans prévenir.

          Par exemple, j'ai un bounceur IRC perso sur un de mes dédiés, il ne mange pas de pain et génère peu de traffic, mais le jour où OVH décida de couper complètement le traffic vers les serveurs Undernet, un de leurs script un peu excité pensa que ce fût une tentative de hack (c'était juste mon bounceur qui ne pouvait comprendre pourquoi internet n'existait plus pour lui). Résultat des courses, ils ont failli détruire l'intégralité de mes données (incluant un historique de 10 de mails) avec comme avertissement un simple mail moins de 24h avant.

          Ne vous méprenez pas, j'apprécie énormément le service d'OVH ; Cependant non ce n'est pas low cost (pas que en tout cas) et si le prix à payer pour avoir un service sécurisé c'est d'être coupé de la moitié de la planête, je trouve ça vraiment gonflé de leur part.

          • [^] # Re: le livreur

            Posté par (page perso) . Évalué à -5.

            (faut dire ce qui est, qui se traduit le plus souvent par bloquer la moitié d'internet de leur réseau

            Euh… 99% des clients ne voient rien.

            (incluant un historique de 10 de mails)

            j'imagine "10 ans", mais je ne vois pas le rapport : ils coupent, ils ne dtruise pas, et puis il y a les backup au cas où un disque crashe. Bref, ils ne détruisent rien en historique.

            Cependant non ce n'est pas low cost (pas que en tout cas)

            Même leur plus gros serveurs sont low-cost (prix/prestation), qu'est-ce qui n'est pas low-cost chez OVH?

            si le prix à payer pour avoir un service sécurisé c'est d'être coupé de la moitié de la planête,

            j'ai 99% de la planète avec eux, et le 1% qui manque est assez bof. Je ne comprend pas ce "moitié".

            • [^] # Re: le livreur

              Posté par (page perso) . Évalué à 7.

              j'imagine "10 ans", mais je ne vois pas le rapport : ils coupent, ils ne dtruise pas, et puis il y a les backup au cas où un disque crashe. Bref, ils ne détruisent rien en historique.

              En effet, voici un extrait du mail que j'ai reçu quand c'est arrivé:

              Nous avons détecté un flux de connexion IRC vers appartenant à votre serveur . Ces connexions servent à contrôler des bots installés sur votre serveur.
              Votre serveur a été infecté à cause d'un noyau trop ancien et/ou d'une faille de sécurité de votre système. Le mode opératoire du hacker lui permet d'obtenir l'accès 'root' au serveur. Seule une réinstallation complète de votre serveur pourra vous assurer que votre système est sain à nouveau.
              Nous avons bloqué au niveau de nos routeurs les sources qui peuvent contrôler les bots et nous vous demandons de procéder à la réinstallation de votre système sous 24H. Passé ce délai, nous serons dans l'obligation de désactiver votre serveur.

              J'ai reçu ce mail en période de vacances, avec donc de fortes chances de ne pas le voir (j'ai d'ailleurs eu beaucoup de chances de le voir à temps) ; Vous remarquerez d'ailleurs qu'il contient un tissu d'âneries incroyables. Pour information ma machine n'était pas infestée et mon kernel à jour.

              A noter quand même qu'après discussion avec le support, j'ai bien compris entre les lignes qu'ils n'aurait pas réactivé le serveur ni permis d'accéder aux données sans réinstallation (ils ne voulaient pas me donner d'accès SSH de secours) ce contre quoi il a fallu que je lutte pour leur expliquer que j'étais bien l'origine des connexions - avec beaucoup de logs à l'appui. Ça a été une vraie bataille ce jour là.

              Encore une fois, je ne veux pas faire de discrimination envers OVH, c'est un bon service, mais sous couvert de sécurité ils se permettent bien des choses et sans possibilité de faire appel. Bien que légitimement ce genre de prestataire technique outrepasse facilement son rôle bien souvent au détriment du client, que ce soit par l'inspection du trafic ou le blocage arbitraire de réseaux ; Généralement les contrat qu'on signe restent très vagues et très permissifs pour eux.

              Euh… 99% des clients ne voient rien.

              Le réel problème, c'est quand on est un cas limite, leur faire respecter le contrat de service peut être incroyablement compliqué, et c'est bien dommage.

              • [^] # Re: le livreur

                Posté par (page perso) . Évalué à -3. Dernière modification le 02/10/14 à 11:26.

                j'ai bien compris entre les lignes qu'ils n'aurait pas réactivé le serveur ni permis d'accéder aux données sans réinstallation

                De ce que je comprend, le serveur aurait été désactivé. Donc données accessibles en rescue, de souvenir sur commen ça s'est passé avec moi.

                Ca n'explique toujours pas comment tu aurais pu perdre 10 ans de mails (la destruction complète d'une machine étant pareil qu'un disque dur qui meurt, pas plus, donc tu ne perds rien ou presque, manque les derniers jours de backup si le backup est toutes les semaines par exemple, car tu as des backups pour le cas où le disque casse, bref rien de différent par rapport à un disque qui casse, si tu acceptes le risque pour un disque qu icasse, pas de problème pour une désactivation).

                • [^] # Re: le livreur

                  Posté par (page perso) . Évalué à 2. Dernière modification le 02/10/14 à 15:04.

                  Le service de support, si mes souvenirs sont bons, dans ce cas précis avait l'air de dire qu'il ne voulait pas que je boote en rescue. Je sais ça parait bizarre, mais je me souviens de ce détail là parce que j'avais justement moyennement apprécié la chose.

                  Quant aux 10 ans de mail, c'est juste pour faire mon effet FBI pédophile, en vrai j'ai des backups, mais à cette époque là je ne les avait pas mis en place… (honte sur moi).

                  • [^] # Re: le livreur

                    Posté par (page perso) . Évalué à -9.

                    mais à cette époque là je ne les avait pas mis en place… (honte sur moi).

                    C'est ce que je voulais te faire écrire…
                    Le coupable de la perte n'aurait donc pas été OVH comme sous-entendu ;-).

                    • [^] # Re: le livreur

                      Posté par . Évalué à 4.

                      Si tu prend une voiture par derrière et que tu passe au travers de ton par-brise, celui qui vient de te rentrer dedans pourra partir tranquille en te disant "tu devrais mettre ta ceinture de sécurité" ?

                      Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

                      • [^] # Re: le livreur

                        Posté par (page perso) . Évalué à -7. Dernière modification le 02/10/14 à 15:35.

                        Tu as 1000x plus de chances de perdre un disque que de te faire couper par OVH.
                        Si tu ne backupes, c'est que tu ne tiens pas vraiment à tes données. Rien à voir avec OVH, statistiquement.

                        Mais sinon, l'aggravation de ton accident est dû à toi si tu n'as pas mis ta ceinture, en effet, assume tes conneries.

                        • [^] # Re: le livreur

                          Posté par . Évalué à 7.

                          Le fait que tu ai fais une erreur ne dédouane en rien le fautif. Le fait que ce soit plus grave par ta faute est une chose, mais ça ne rend en aucun cas celui qui a déclenché vierge de tout problème. Les statistiques on s'en fout lors du constat d'un problème (c'est utile ensuite lorsque tu veut apprendre de ce problème).

                          Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

                        • [^] # Re: le livreur

                          Posté par (page perso) . Évalué à 0. Dernière modification le 02/10/14 à 23:57.

                          File-moi ton adresse, j'vais venir te coller un bon pain dans les gencives.

                          Si tu portais pas de protège-dents c'est ton problème, tu devais pas tenir à tes dents.

                          • [^] # Re: le livreur

                            Posté par (page perso) . Évalué à -5. Dernière modification le 03/10/14 à 07:51.

                            Pour info :
                            - La ceinture est obligatoire dans de nombreux pays (dont la France)
                            - Si tu laisses la porte ouverte chez toi, le mec qui a volé chez toi est coupable, mais l'assurance refusera quand même de te rembourser même si tu as une assurance vol.

                            La réalité est moins simple que vous l'imaginez… Mais surtout, évitez votre responsabilité. triste monde où l'autre est responsable, toujours l'autre.

                            • [^] # Re: le livreur

                              Posté par . Évalué à 6.

                              La ceinture est obligatoire dans de nombreux pays (dont la France)

                              On peut faire la même avec pleins de choses hein, le port de gilet réfléchissant à vélo, le fait d'activer les phares en pleins jours, si tu laisse ton gamin aller seul à l'école ne t'en prend pas au pauvre chauffeur qui vient de lui péter le genoux c'est à toi de protéger ton minau,…

                              Mais surtout, évitez votre responsabilité. triste monde où l'autre est responsable, toujours l'autre.

                              Ce que tu ne comprend pas c'est qu'il y a 2 responsabilités différentes même si elles sont liées :

                              • le fait que le problème soit apparu : ça c'est de la responsabilité de celui qui commet l'acte et c'est ça que tu cherche à déresponsabiliser
                              • les effets du problème : on peut être proactif et prévenir les conséquences ou à minima les limités.

                              Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

            • [^] # Re: le livreur

              Posté par . Évalué à 2.

              Résultat des courses, ils ont failli détruire l'intégralité de mes données (incluant un historique de 10 de mails) avec comme avertissement un simple mail moins de 24h avant.
              je ne vois pas le rapport : ils coupent, ils ne dtruise pas

              Sérieusement Zenitram<, je ne sais pas comment tu fais.

              Le mec te dis que son serveur a failli se faire détruire. Toi ne le connais pas, tu ne connais rien à sa situation, à ses échanges avec OVH. Mais malgré tout, tu sais mieux que lui si son serveur a failli se faire détruire.

              T'es vraiment trop fort.

              Tu ne veux pas m'apprendre à être omnipotent comme toi ? Même si tu arrives à m'apprendre à être le centième, voire le millième de toi, je serais déjà bien content.

              • [^] # Re: le livreur

                Posté par (page perso) . Évalué à 5.

                Tout savoir, c'est omniscient. Omnipotent, c'est pouvoir tout faire.

              • [^] # Re: le livreur

                Posté par (page perso) . Évalué à -4.

                Toi ne le connais pas, tu ne connais rien à sa situation, à ses échanges avec OVH. Mais malgré tout, tu sais mieux que lui si son serveur a failli se faire détruire.

                Désolé, je sais suffisament que des gens augmentent pas mal les mots, et je connais OVH (ils bloquent le serveur, et font bien attention à ne rien détruire, je met parfois du temps pour qu'ils le fassent d'ailleurs).
                désolé de connaitre.

                De plus, au cas où tu n'as pas suivi, c'était pour lui faire dire qu'OVH ne pouvait détruire 10 ans d'historique auxquels il tiens, car si il y tiens il aurait backupé. Désolé encore de savoir qu'un disque dur peut lacher 1000x plus souvent qu'OVH de casse volontairement des données.

                Ce n'est pas parce que je ne le connais pas que tout ce que dit la personne est vrai. Sinon la terre serait plate.

                • [^] # Re: le livreur

                  Posté par (page perso) . Évalué à 5.

                  désolé de connaitre.

                  Désolé encore de savoir

                  Ou comment répondre à un post décriant ton manque d'humilité par des phrases en rajoutant une couche. :)

                  Soit c'est du troisième degré prenant la moquerie en dérision (mais j'en doute), soit t'es mon idole.

                  Ce n'est pas parce que je ne le connais pas que tout ce que dit la personne est vrai.

                  Disons qu'il y a deux approches.

                  L'approche intuitive. Si tu vas dans un bâtiment et que tu ne vois que des portes bleues, tu en déduit que toutes les portes sont bleues.

                  Et il y a l'approche de logique formelle qui te permet de déduire que toutes les portes que tu as rencontrées sont bleues, mais qui n'exclut pas qu'il existe une porte rouge depuis toujours ou bien qui a été repeinte en verte, par exemple.

                  Le problème n'est pas, ici, de concevoir qu'il existe des serveurs qui se fassent simplement désactiver. Il en existe plein et on le sait et on s'en branle, ce n'est pas le sujet. La question, c'est est-ce qu'il existe des serveurs qui se font détruire sans possibilité de restaurer les données.

                  La première approche induit une réponse zenitramesque "OVH ne fait jamais ça". La seconde induit une réponse plus mesurée "Ah, moi je n'ai pas eu ça. Tu es sûr qu'il n'y avait aucun moyen de récupérer des données ?"

                  Le pire c'est que même après que le mec t'explique qu'il a du insister lourdement pour qu'on lui file un mode rescue tu persévères :

                  De ce que je comprend, le serveur aurait été désactivé. Donc données accessibles en rescue, de souvenir sur commen ça s'est passé avec moi.

                  Ah bon, on t'a accusé d'avoir un bot sur une machine toi ?

                  De plus, au cas où tu n'as pas suivi, c'était pour lui faire dire qu'OVH ne pouvait détruire 10 ans d'historique auxquels il tiens, car si il y tiens il aurait backupé.

                  Ah oui, il n'a pas bacukupé alors c'est pas grave. OVH a tout à fait le droit de tout péter après tout.

                  D'ailleurs moi, dès que je vois un ordinateur qui n'est pas à moi, je fais un "format c:" pour rigoler. Après tout, c'est juste une petite blague gentillette. Les données importantes sont backupées. Si c'est pas backupé, c'est que ce n'était pas important. Donc ce n'est pas grave.

        • [^] # Re: le livreur

          Posté par . Évalué à 2.

          Je crois qu'on s'est mal compris. Je suis tout à fait d'accord avec toi. Je me moquais juste de stopspam dont je trouve le commentaire ridicule.

  • # Violation du secret de correspondance ?

    Posté par . Évalué à 0.

    Art. 226-15. — Le fait, commis de mauvaise foi, d'ouvrir, de supprimer, de retarder ou de détourner des correspondances arrivées ou non à destination et adressées à des tiers, ou d'en prendre frauduleusement connaissance, est puni d'un an d'emprisonnement et de 45 000 euros d'amende. Est puni des mêmes peines le fait, commis de mauvaise foi, d'intercepter, de détourner, d'utiliser ou de divulguer des correspondances émises, transmises ou reçues par la voie des télécommunications ou de procéder à l'installation d'appareils conçus pour réaliser de telles interceptions.

    • [^] # Re: Violation du secret de correspondance ?

      Posté par (page perso) . Évalué à 0.

      Est-ce que tu lis ce que tu copies/colles?

      commis de mauvaise foi

      donc article hors sujet (c'est une fonctionnalité de l'offre OVH).
      Impressionnant comme les gens "adaptent" les textes de loi à leur désirs.

      PS : suivant ta "traduction" du texte de loi, tu peux attaquer tous les fournisseurs de mails, ils font tous des suppressions de mails (à cause de spams/virus) à divers degrés.

      • [^] # Re: Violation du secret de correspondance ?

        Posté par . Évalué à -1.

        Premièrement :
        Impressionnant comme les gens ne lisent pas les titres des postes en ne remarquant pas le caractère interrogative du poste ( un point d’interrogation par exemple) :)

        Deuxièmement:
        L'"argument" de dire que tous le monde fait donc c'est bon …..

        L'article 1er de la loi n° 91-646 du 10 juillet 1991 dispose ainsi que :
        « Le secret des correspondances émises par la voie des communications électroniques est garanti par la loi. Il ne peut être porté atteinte à ce secret que par l'autorité publique, dans les seuls cas de nécessité d'intérêt public prévus par la loi et dans les limites fixées par celle-ci ».

        Mais par contre :
        Dans un arrêt du 17 décembre 2001, la Cour d’appel de Paris reconnaît qu’il était dans la fonction des administrateurs d’assurer le fonctionnement normal des réseaux et de veiller à leur sécurité. Cela implique qu’ils aient un accès à l’ensemble des données du réseau afin de régler les problèmes techniques, notamment ceux relatifs à la sécurité informatique.

        • [^] # Re: Violation du secret de correspondance ?

          Posté par . Évalué à 1.

          Juste au cas où:
          Je n'adaptent rien ou ne ne traduit rien, j'ai juste recopié un extrait d'un texte de loi. Dans le but implicite d'avoir l'avis de personnes avisées . Après je peux mettre plus de point d'interrogation s'il faut.

          Donc en définitif de ce que comprend ( "traduit", "adaptent") il est légal d' """inspecter""" les émail dans le but d'assurer le bon fonctionnement d'un réseau ??????? Enfin corrigé moi si j'ai mal compris

          • [^] # Re: Violation du secret de correspondance ?

            Posté par (page perso) . Évalué à -6. Dernière modification le 02/10/14 à 09:28.

            j'ai juste recopié un extrait d'un texte de loi.

            OK, donc si je copie/colle un texte de loi sur l'élévage de poissons, on me répondra sérieusement?
            Parce que bon, la "question" a une réponse des plus évidente quand même, suffit de lire (et d'être assez interessé par le sujet pour savoir que tout le monde inspecte les mails, automatiquement).

            • [^] # Re: Violation du secret de correspondance ?

              Posté par . Évalué à 1.

              Encore une fois ce n'est pas parce que tous le monde le fait que cela rend la chose légal. Seule un texte de loi le peux.

              Et oui si tu pauses une question sur l’élevage de poissons sur un sites portant sur l’élevage de poisson, il peux être concevable d'attendre une réponse. Et donc je me jeter à l'eau en faisant la corollaire suivante : pour une question à caractère ""informatique"" sur un site traitant de l'""informatique"" il pourrait aussi être tout aussi logique d'attendre une réponse pausé et constructive.

              Après je préféré poser la question a des gens averti sur le sujet, et pas forcement juste lire sur internet. Et comme le dis le dicton, il n'y pas de question stupide juste des réponses stupide.

              Et il communément admis qu'un point d'interrogation sous-entend explicitement une question. ;)

              • [^] # Re: Violation du secret de correspondance ?

                Posté par . Évalué à 2.

                Ne t'inquiètes pas, c'est Zenitram qui nous refait une crise de zenitramite aïgue. Ca faisait longtemps que ça n'était pas arrivé. Ca va passer …

              • [^] # Re: Violation du secret de correspondance ?

                Posté par . Évalué à 5.

                Faire parser des mails par un programme dédié pour les traiter/aiguiller/détourner différemment selon les types n'implique pas la violation du secret selon moi.

                De même, la notion de mauvaise foi est importante dans le texte pré-cité. Ici OVH n'a aucun mal à convaincre sur le fait que les mails sont traités pour limiter une nuisance et sans volonté de violer la vie privée de quiconque.

                • [^] # Re: Violation du secret de correspondance ?

                  Posté par . Évalué à 3.

                  Faire parser des mails par un programme dédié pour les traiter/aiguiller/détourner différemment selon les types n'implique pas la violation du secret selon moi.

                  Si tu es prestataire de mail, certes. Si tu fouilles dans des paquets qui n'étaient pas destinés à ton infrastructure de mail, ça commence à être limite.

  • # les redirections de mail ne marchent globalement plus

    Posté par (page perso) . Évalué à 10.

    A mon boulot, on est en train de faire la peau a ce type de redirections. Et ce pour la simple raison qu'elles ne marchent globalement plus.

    Plusieurs raisons a cela :

    • lorsque le destinataire final clique sur ceci est un spam‚ c'est toi qui est vu comme spammer.

    • tu vas forcément a l'encontre des politiques spf. Autrement dit tu envoie des mails en utilisant des noms de domaines qui ne t'autorisent pas a le faire.

    • le destinataire final‚ souvent chez yahoo‚ hotmail‚ orange‚ va forcément recevoir par ton intermédiaire des mails from yahoo‚ hotmail orange. Ce qui sera considéré comme suspect par ledit fournisseur a raison.

    Moralité, si dans le détail, les .forward interdomaine marchent encore, globalement, ce n'est plus le cas. Si tes mails passent le filtre ovh, tu auras bien des cas ou ils seront refusés, voir droppés. Cela risque de te mettre en délicatesse avec tes clients qui naturellement vont se retourner vers toi pour comprendre pourquoi cela ne marche plus et pour lesquels tu ne pourra pas faire grand chose.

    A mon avis vu l'usage aujourd'hui la seule bonne solution est de délivrer tes mails localement. La plus part des fournisseurs de webmail proposent aujourd'hui des fonctionnalités de type fetchmail, prévues justement pour ce type de cas.

    • [^] # Re: les redirections de mail ne marchent globalement plus

      Posté par . Évalué à 6.

      A mon boulot, on est en train de faire la peau a ce type de redirections. Et ce pour la simple raison qu'elles ne marchent globalement plus.

      Idem ici aussi. Plus ça va, plus l'email devient "serveur de l'émetteur -> serveur du destinataire" et plus rien entre (on peut remplacer "serveur" par "réseau" pour les plus grosses infrastructures).

      C'est peut-être à ce prix qu'on arrivera à endiguer le spam, mais ça fait perdre une caractéristique sympa des protocoles concernés.

    • [^] # Re: les redirections de mail ne marchent globalement plus

      Posté par (page perso) . Évalué à 5. Dernière modification le 02/10/14 à 10:16.

      Tout a fait…

      Cette architecture me parait aberrante au possible en soi mais au dela de ca, le probleme n°1 au final, c'est pas tellement le filtre DPI d'OVH, c'est que le serveur de l'OP va etre vu par tous les serveurs de ses clients comme une source de spam et ils ne vont pas se gener de remonter le probleme dans leur filtre anti-spam et aux editeurs de RBL.
      Bref, ce genre d'operation peut etre simplette et pratique pour plein de raisons mais dans notre monde actuel ou les mesures techniques anti-spams sont de plus en plus pointues, complexes et intrusives, c'est vraiment chercher la merde…

      Je suis d'ailleurs étonné que ses clients recoivent encore des mails de ce serveur.

      Pourquoi ne pas faire pointer les MX des domaines directement sur le serveur de mails du client ?

  • # Trop facile

    Posté par (page perso) . Évalué à -6. Dernière modification le 02/10/14 à 08:57.

    La réponse de l’hébergeur est de filtrer les spams, le problème c’est que je suis obligé de délivrer les spams quoi qu’il arrive car en cas de faux positif il faut que l'utilisateur puisse retrouver ses billes,

    Beau mélange : tu parles des mails potentiellement spams, pour excuser de livrer aussi ("quoi qu’il arrive") les mails manifestement spams.
    Ca fait des lustres que je n'ai plus dans mon filtre anti-spam local les mails manifestement spams, et je remercie mon hébergeur de mail.

    Bref, je n’ai pas de solution. Je me fais bloquer parce que je reçois du spam, et les seules réponses du support de mon hébergeur ne concernent que ceux qui émettent du spam.

    Ben… normal, tu emets du spam! tu attends quoi? Qu'on te parle comem si tu n'émettez pas?

    Je n’émet pas de prospectus mais je livre le courrier, et un agent a mis en garde à vue mon livreur parce qu’il transportait des prospectus dans son fourgon.

    Et pourtant, certains livreurs ont une conscience, comme quoi…
    Et parler de livraison physique quand on parle d'email, c'est oublier les différences.

    mais l’hébergeur que je paie pour me fournir de gros tuyaux

    Tu as oublié un mot : tuyaux sains.
    Un tuyau blacklisté à cause de spam, ce n'est pas très utile.

    Cher journal, as-tu une solution (technique ou non technique) à ce problème ?

    Faire un truc normal.
    secretariat@example.com redirige vers john.doe@example.com
    secretariat@example2.com redirige vers john.doe@example2.com
    C'est pas mal aussi de bien séparer les domaines, pourquoi un truc de example2.com irait vers example.com?

    Utiliser tes propres adresses IP pour assumer les conséquences (quand on prend des adresses IP d'un hebergeur, ben on mutualise aussi les risques de blacklistage, l'hébergeur fait tout pour que non, tu lui délégue cette gestion pour ensuite t'en plaindre?), OVH loue aussi des baies et tu peux y mettre tes adresses IP à toi, de souvenir.

  • # Morale a la noix

    Posté par (page perso) . Évalué à 7.

    La morale de l’histoire, vous l’aurez deviné, c’est que si vous devez investir dans un dédié et qu’une de vos missions est de livrer du courrier, il vous faut éviter OVH. Vraiment.

    Tu NE DOIS PAS faire du relai de mail. Le relai, aujourd'hui, est l'activité la plus suspecte concernant le spam donc ne t’étonne pas d’être sanctionné pour cette activité même si tu la fais de bonne foi. Y'a pas de Justice dans la gestion du spam, c'est plutot la loi martiale actuellement : soit tu rentres dans le moule, soit tu es dégommé à vue.

    Le probleme, c'est pas l'hebergeur et encore moins OVH, le probleme, c'est TA facon de gerer les mails de tes clients. Et si tu trouves un autre hebergeur qui accepte ce genre de solution, c'est que lui meme est un incompétent aussi. Et il ne faudra pas longtemps au reste du monde pour blacklister ton serveur ou qu'il soit.

    • [^] # Re: Morale a la noix

      Posté par . Évalué à 5.

      Donc c'est plus l'open relay, mais le relay tout court qui est a bannir ?

      Si je fais du relai en interne, entre plusieurs serveurs qui m'appartiennent, j'ai le droit ou ça tue des chatons ?
      Et du relai entre moi et un de mes clients qui pour une raison X Y Z est incapable de déployer du ssl sur son serveur mail, j'ai le droit ou pas ?
      Si vous le voulez vraiment votre monde avec de la crypto partout, vous l'aurez, venez pas gueuler ensuite sur les conséquences que ça pourra avoir.

      Le spam c'est un fléau, c'est pas pour autant qu'il faut faire n'importe quoi pour le gérer. Prochaine étape, on blackhole les réseaux qui émettent trop de spam ?

      • [^] # Re: Morale a la noix

        Posté par (page perso) . Évalué à 1.

        mais le relay tout court qui est a bannir

        Un realy responsable n'est pas à bannir.
        Seulement un relay qui envoit du Spam (qu'il soit "pas de lui", on s'en fout, c'est une excuse, et on peut mettre un minimum de sécurité dessus)

        Si vous le voulez vraiment votre monde avec de la crypto partout, vous l'aurez, venez pas gueuler ensuite sur les conséquences que ça pourra avoir.

        Mais ça sera très bien!
        La, c'est juste une aide en plus pour choper les serveurs qui emettent du spam, si la crypto arrive on fera comme avant (on blacklistera) et l'hébergeur sera encore plus violent (coupure au premier spam?), c'est tout.

        Prochaine étape, on blackhole les réseaux qui émettent trop de spam ?

        Oui.


        Si tu as une meilleure solution pour lutter contre le spam, n'hesite pas à en faire part. Pour le moment, l'effet colatéral est tellement minime (généralement, les alias restent aux sein d'un même domaine, et sinon tu es assez exotique pour contrôler les serveurs et passer en TLS) que ça vaut le coup pour l'écrasante majorité des itilisateurs.

        • [^] # Re: Morale a la noix

          Posté par . Évalué à 6.

          Un relay responsable n'est pas à bannir. Seulement un relay qui envoit du Spam

          "responsable" == ?
          J'ai régulièrement des faux positifs dans le spam détecté par Google (donc heureusement que je suis capable en tant qu'utilisateur d'accéder à ces faux positifs). Or dans le cas d'un relay

          • comment l'utilisateur est-il sensé accéder aux mails bloqués par l'antispam que tu préonises à ce niveau ?
          • comment le relay peut-il être sûr qu'il bloque 100% des spams ? (ou plus exactement: les mêmes spams que ceux qui seront aussi détectés par OVH, si ce dernier est susceptible de bloquer le serveur au premier SPAM détecté…)
          • [^] # Re: Morale a la noix

            Posté par (page perso) . Évalué à -1.

            J'ai régulièrement des faux positifs dans le spam détecté par Google

            Tu n'arrives pas à faire la différence entre les 2 derniers de :
            - Propre : dans ta boite "normale".
            - Doute : c'est dans ton dossier "Spam"
            - Spam pour sûr : tu ne les vois même pas…

            ici, point de "doute", on parle de "spam pour sûr". A moins qu'OVH soit hyper sensible, mais j'ai un doute… Je me permet d'imaginer qu'il fait comme google ou yahoo.

            Note : oui, Google fait la différence entre sûr et doute, parfois des gens qui sont pas doués en config de serveurs se plaignent que les boites Google ou Yahoo ne reçoivent pas leur mails, même pas dans les spams.

          • [^] # Re: Morale a la noix

            Posté par . Évalué à 3.

            comment le relay peut-il être sûr qu'il bloque 100% des spams ? (ou plus exactement: les mêmes spams que ceux qui seront aussi détectés par OVH, si ce dernier est susceptible de bloquer le serveur au premier SPAM détecté…)

            Surtout que si je me rappelle bien, OVH utilise un logiciel propriétaire (ou un matériel ?) de détection, ne veut pas le proposer comme service aux gens qui en auraient besoin pour ces cas là, et ne veut pas en donner les règles. Donc tu vas forcément sortir du spam au sens OVH même si tu filtres toi-même. Alors que si tu chiffres, tu peux envoyer autant de spam que tu veux, puisqu'OVH se fiche de lutter contre le spam, le seule chose qui les intéresse, c'est de ne pas se faire blacklister trop d'IP parce qu'après, les clients râlent et s'en vont.

            Comme je disais au début, c'est de mémoire donc je peux me mélanger les pinceaux et ça peut avoir changé.

            • [^] # Re: Morale a la noix

              Posté par (page perso) . Évalué à 7. Dernière modification le 02/10/14 à 21:32.

              OVH utilise le logiciel Vade-Retro, ils profitent à priori de la licence «FAI & Hébergeurs» et n'ont pas le droit de faire profiter leurs clients de l'outil en question. Mais le client est bien évidemment libre de prendre lui-même une licence du logiciel en question.

              Quant au réglage, à moins que ça ait changé ça a été communiqué : ils utilisent le réglage par défaut, avec la limite basée sur le score de «300 points». C'est d'ailleurs précisé dans l'outil OVH quand un serveur se fait bloquer.
              (d'ailleurs par serveur bloqué, il faut comprendre «port TCP 25 bloqué en sortie», et uniquement ça).

              Bref, même si on aurait évidemment préféré qu'ils optent pour un logiciel libre, c'est loin d'être si opaque.

              alf.life

              • [^] # Re: Morale a la noix

                Posté par . Évalué à 1.

                OK, merci pour les corrections et précisions. Encore faut-il avoir suffisamment de trafic et/ou de clients, pour lâcher les centaines d'euros que doit coûter la licence.

                Oui, ça serait beaucoup plus simple avec du libre.

            • [^] # Re: Morale a la noix

              Posté par (page perso) . Évalué à 3. Dernière modification le 02/10/14 à 22:05.

              Donc le plus simple, c'est:

              1: Mettre un record SPF valide pour ton domaine
              2: Mettre policy-spf et spamassassin (réglé pour mettre le spam en attach) sur ton smtp
              3: Ne pas faire de forward

              Ceux qui veulent lire leur mail sur une autre adresse (genre depuis Gmail/hotmail) n'ont qu'a configurer gmail/hotmail pour aller lire leur boite mail via pop3/imap.

              Comme ça je ne vois pas comment tu pourrais te faire bloquer, car la seule chose qui sort depuis le port 25 ne peux qu'être du trafic que tu as initié… donc si tu sors du spam c'est bien de ta faute.

              • [^] # Re: Morale a la noix

                Posté par . Évalué à 1. Dernière modification le 03/10/14 à 12:07.

                Donc le plus simple, c'est: (…)
                3: Ne pas faire de forward

                Sauf que son besoin est justement de faire du forward (sujet de ce billet…)

                • [^] # Re: Morale a la noix

                  Posté par (page perso) . Évalué à 3.

                  Sauf que son besoin est justement de faire du forward (sujet de ce billet…)

                  Ben non… suffit de proposer un accès pop3/imap et que les personnes concernées fasse lire la boite mail soit par gmail/hotmail si ils sont là, soit par leur client lourd.

                  Le forward est vraiment pas nécessaire. Et si le client utilisé pour l'adresse mail où il veulent recevoir les mails de ton serveur ne permet pas de faire du fetch (donc déjà c'est pas un client mail lourd mais un service type gmail/hotmail) ben qu'ils changent pour un service qui le peut (donc genre gmail/hotmail) et qu'ils configurent pour aller chercher les emails de ton serveur + ceux de leur appli "cloud" merdique et ils auront tous leur mails dans un seul endroit.

                  Je ne vois pas de cas ou le forward est nécessaire et obligatoire…

        • [^] # Re: Morale a la noix

          Posté par . Évalué à 1.

          Si tu as une meilleure solution pour lutter contre le spam, n'hesite pas à en faire part

          OVH pourrait peut-être mettre en place une interface de "whitelist" ? (à remplir par le propriétaire du relay, à confirmer par le destinataire des mails) pour que le relay puisse forwarder sans restriction à une liste finie et connue de destinataires… (ce qui est différent de "envoyer du SPAM à tout va sur internet").

          • [^] # Re: Morale a la noix

            Posté par (page perso) . Évalué à 5.

            Oui mais ca resout pas le probleme a la destination : le yahoo ou le gmail qui gere la boite destinataire va voir arriver du spam a tire-larigot depuis un serveur unique et ils vont le blacklister au mieux ou le denoncer a spamhaus au pire.
            Et là, y'a pas de "whitelist" pour dire a yahoo ou google que les spams de ce serveur en particulier peuvent entrer joyeusement…

      • [^] # Re: Morale a la noix

        Posté par (page perso) . Évalué à 3.

        Donc c'est plus l'open relay, mais le relay tout court qui est a bannir ?

        Ben là, c'est pas de l'open relay brut mais on en est pas loin… c'est du relai public en tout cas.

        Si je fais du relai en interne, entre plusieurs serveurs qui m'appartiennent, j'ai le droit ou ça tue des chatons ?

        Mais en interne, tu fais ce que tu veux. Si ca te fais plaisir de faire transiter tes mails par 17 serveurs avant d'atteindre la boite finale, grand bien te fasse.

        Et du relai entre moi et un de mes clients qui pour une raison X Y Z est incapable de déployer du ssl sur son serveur mail, j'ai le droit ou pas ?

        Mais on a le droit de tout, c'est juste qu'il faut pas se plaindre comme l'OP si tu te fais blacklister…
        Pour moi, un mec qui se plaint des conséquences de ses conneries a 2 solutions : soit il arrete ses conneries, soit il arrete de se plaindre.

        Si vous le voulez vraiment votre monde avec de la crypto partout, vous l'aurez, venez pas gueuler ensuite sur les conséquences que ça pourra avoir.

        Mais la crypto a du bon car generalement elle s'accompagne de signatures et d'authentification. Franchement, comme arme contre le spam, ca serait pas un mal.

        Le spam c'est un fléau, c'est pas pour autant qu'il faut faire n'importe quoi pour le gérer. Prochaine étape, on blackhole les réseaux qui émettent trop de spam ?

        Je crois que ca se fait deja dans certains cas (chez les grands hebergeurs et certains operateurs)

        • [^] # Re: Morale a la noix

          Posté par . Évalué à 3.

          Mais la crypto a du bon car generalement elle s'accompagne de signatures et d'authentification. Franchement, comme arme contre le spam, ca serait pas un mal.

          Et elle coute (un peu) plus cher par mail envoyé. Ce qui contribuerait à réduire la rentabilité du spam (je sais, je rêve un peu).

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.