Donc bloquer le spam oui, mais pas n'importe comment.
Perso je ne considère pas que balancer un DISCARD au lieu d'un REJECT à un spammeur c'est faire n'importe quoi (man header_checks pour postfix). Tu économises ta bp et en plus le spammeur est content (enfin son robot) et ne va pas tenter à nouveau de te renvoyer sa merde pendant 3 jours. Maintenant si t'es pas effectivement sur à 100% un REJECT c'est mieux.
Justement tu devrais le relire parce que nice -20 pour éviter de faire ramer ta bécane, heu comment dire… ou alors je n'ai pas non plus compris ton message. Je devrais peut-être essayer un
$ apropos zino
quelle le jette en m'envoyant une notification comme quoi c'est ok, ça c'est pas normal.
Donc tu proposes de prévenir les spammeurs avec un code de rejet sur l'analyse des entêtes ??? C'est ton choix mais pour moi c'est clairement du gaspillage de ressources (CPU et bande passante) et je ne crois pas qu'un seul FAI agirai de la sorte.
Manquerai plus que lorsque j'aille a une poste pour envoyer un colis, l'hôtesse de caisse me dit oui pas de problème, prenne mon coli pour le benner dès que j'ai le dos tourné.
</mode tontons = no>
Ben s'il y a une bombe dans le colis j'espère qu'elle va pas le livrer…
Il y a plusieurs phases dans la réception d'un email. Tu peux très bien accepter le DATA suite à un EHLO et un FROM d'une machine correctement configurée (ce qu'on appelle l'enveloppe) puis tout balancer après des entêtes toutes pourries.
Je ne vois franchement pas l'intérêt de gaspiller de la bande passante et de l'espace disque. Mais bon, tant qu'on respecte les RFC chacun configure ses MX comme il veut hein.
Non ça n'existe pas pour la bonne raison que ce que tu considère comme un spam est peut-être un courrier légitime pour quelqu'un d'autre.
Mais si tu veux je dois avoir un bon To de Spams dont les 1ers datent de 95 (l'année pas l'os hein ;)
Tout à fait. Voici pour info la partie concernée de mon logwatch de ce matin sur un serveur petit familial.
Habituellement les RBL envoient bouler 70% en moyenne des réceptions…
--------------------- Postfix Begin ------------------------
3.194M Bytes accepted 3,349,240
2.496M Bytes sent via SMTP 2,617,350
Oui mais quoiqu'il arrive un mail accepté DOIT être délivre.
Accepté ça veut dire quoi pour toi ? L'enveloppe est OK donc tu délivres sans contrôler les en-têtes ? Et ben, joli gaspillage de ressources, je te laisserai pas administrer une de mes machines..
et dans SMPT il y a simple
Hahaha, excellent ! T'as jamais du configurer un Sendmail toi…
Imagines un peu qu'en fonction de ton résolveur DNS tu ais des machines différentes.
C'est ce que faisait Wanadoo il y a une dizaine d'années. Des smtp internes et d'autres pour les internautes en ballade.
Bref des configs tout à fait différentes aussi…
Alors maintenant avec la généralisation de DKIM et autres SPF et vu que les compétences des admins de ces grands groupes ne se sont pas vraiment améliorées, l'email si tu les gères pas toi-même c'est de plus en plus aléatoire.
J'avais dit 'menu' mais il s'agissait d'une référence à un film en N&B qui n'est visiblement pas connu de ta génération…
me fait dire que tu as une idée toute faite sur mon cas et que ça ne sert à rien de continuer.
Mon expérience m'a permis d'apprendre à ne pas avoir d'idée préconçue. Mais concernant 'ton cas' je dois quand même bien admettre que tu as tout fait pour aggraver le diagnostic initial.
Aller tciao, j'ai une vie moi.
Non pas moi, jamais. Relis tout le journal, 10 fois s'il le faut… Et puis reviens t'excuser ensuite.
je te dis quand tu es à côté de la plaque (relis le commentaire auquel je réponds !), et ça n'est pas correct ?
Pardon ? Tu veux faire un concours de mauvaise foi ou quoi ? On te dis que t'as pas besoin de machine dédiée pour utiliser screen contrairement à ce que tu as écris et tu nous dis qu'on est à coté de la plaque ? Dis t'as bien pris tes pilules ou quoi ?
mais je ne devrais surtout pas le critiquer ?
Je n'ai ABSOLUMENT pas vu la moindre critique constructive venant de ta part dans ce journal. Par contre si tu crois encore qu'il existe des admins qui mettent en route sshd sans avoir modifié son fichier de config et ses options par défaut alors tu as besoin d'encore pas mal d'expérience.
Franchement je suis resté très correct avec toi jusqu'ici mais la vérité m'obliges à te le dire: tu commences à nous les briser menu !!!
Demandes à ton admin de monter le MaxSessions à 10000 (il est à 10 par défaut t'es au courant?) ou de mettre ton keepalive dans un Match User mais arrêtes un peu de geindre à propos d'un des tous meilleurs outils libres du moment qui permet de faire exactement ce dont tu te plains depuis des heures.
en préambule saches que je ne suis pas du tout spécialiste en crypto. Je peux juste te dire que le fichier moduli contient en fait les grands nombres premiers qui seront utilisés dans la phase de négociation des clés par l'algo Diffie-Hellman tel que décrit dans cette rfc: http://tools.ietf.org/html/rfc4419
De mon point de vue ça ne peut pas nuire de le refaire avec de plus grands nombres (j'ai une centaine de primes à 8192) quand on est pas certain de ce qui se passe sur son lan (je ne citerai pas mon hébergeur mais c'est fou ce que je vois passer sur mon interface…)
Concernant les clés, il ne faut pas confondre la crypto symétrique (DES,AES) et asymétrique (RSA,DSA,ECDSA) aussi appelée à clé publique, qui est utilisée par SSH entre autres.
Mais dans les 2 cas il s'agit d'un domaine d'application des mathématiques que je n'ai jamais maîtrisé alors je préfère m'en tenir aux recommandations des pros. En d'autre termes j'ai des phrases de passe très longues avec des caractères variés et surtout je génère 3 clés (une par algo) comme ça si un algo est cassé un jour futur, ben je le désactive et il me reste les autres. Bon ça c'est depuis que j'ai lu le bouquin de Michael Lucas hein… ;)
Que veux-tu dire ? J'ai lu tes autres commentaires et franchement je ne vois pas ce que tu peux reprocher à un outil comme screen. Pour moi l'avantage c'est que justement je n'ai pas de machine dédiée et que même si j'ai oublié de couper ma connection depuis une machine je peux forcer une autre à reprendre la main sur ma session (screen -rd).
Mais une machine dédiée, là je ne vois vraiment pas désolé.
Bon je vais détailler pour lui because je me sens un peu coupable pour la news à laquelle je n'ai pas vraiment participé…
Il faut bien comprendre que coté serveur il est important de savoir si une connection existe toujours ou a été coupée pour éviter d'avoir des tonnes de connections fantômes à la longue…
Pour ça on dispose de 2 techniques de keepalive: le TCP et le SSH. Pour la première c'est effectivement au niveau de l'OS et de sa pile IP que tout se passe et on ne maîtrise donc pas grand chose.
Alors les gentils devs d'OpenSSH on rajouté le keepalive dans le SSH qui a exactement la même fonction si ce n'est que tu disposes de 2 options pour paramétrer le temps entre 2 paquets et le nombre de paquets non acquittés avant de clore la connection.
Alors si ton réseau est vraiment aussi bon je ne vois pas vraiment où est le pb hormis le fait de ne pas vouloir changer des fichiers de config.
On a souvent tort d'oublier sur quelles épaules on est juché.
En ce cas il faut plutôt parler des SGBD d'avant Codd:
AKA les modèles hiérarchiques et réseaux qui datent des années 70 et seront donc un peu plus difficiles à retrouver dans un gestionnaire de paquets. ;) http://fr.wikipedia.org/wiki/CODASYL
As-tu essayé les différentes options du Keepalive ?
(Client|Server)AliveInterval et AliveCountMax. En cas de coupure ça permet de récupérer pas mal de choses.
# Et un employé ?
Posté par Raoul Volfoni (site web personnel) . En réponse au journal Piratage de la base email clients neuf/sfr ?. Évalué à 10.
Ça serait pas la 1ère fois qu'un type s'étant fait virer de sa boite revende des infos par la suite…
[^] # Re: C'est pas si simple l'email.
Posté par Raoul Volfoni (site web personnel) . En réponse au journal Les emails par Neuf…. Évalué à 3.
Tu pourrais nous dire lequel ?
[^] # Re: C'est pas si simple l'email.
Posté par Raoul Volfoni (site web personnel) . En réponse au journal Les emails par Neuf…. Évalué à 1.
Perso je ne considère pas que balancer un DISCARD au lieu d'un REJECT à un spammeur c'est faire n'importe quoi (man header_checks pour postfix). Tu économises ta bp et en plus le spammeur est content (enfin son robot) et ne va pas tenter à nouveau de te renvoyer sa merde pendant 3 jours. Maintenant si t'es pas effectivement sur à 100% un REJECT c'est mieux.
[^] # Re: C'est pas si simple l'email.
Posté par Raoul Volfoni (site web personnel) . En réponse au journal Les emails par Neuf…. Évalué à 2.
On dirait pas.
T'es mal tombé pour faire le mariole vu que j'ai 2 décennies d'expérience de plus que toi…
[^] # Re: Non, définitivement
Posté par Raoul Volfoni (site web personnel) . En réponse au journal Rah nice && cgroups. Évalué à 2. Dernière modification le 16 mai 2012 à 18:05.
Justement tu devrais le relire parce que nice -20 pour éviter de faire ramer ta bécane, heu comment dire… ou alors je n'ai pas non plus compris ton message. Je devrais peut-être essayer un
$ apropos zino
Ou sinon: CGROUP_SCHED=n
[^] # Re: C'est pas si simple l'email.
Posté par Raoul Volfoni (site web personnel) . En réponse au journal Les emails par Neuf…. Évalué à 1.
Donc tu proposes de prévenir les spammeurs avec un code de rejet sur l'analyse des entêtes ??? C'est ton choix mais pour moi c'est clairement du gaspillage de ressources (CPU et bande passante) et je ne crois pas qu'un seul FAI agirai de la sorte.
[^] # Re: C'est pas si simple l'email.
Posté par Raoul Volfoni (site web personnel) . En réponse au journal Les emails par Neuf…. Évalué à 2.
Ben s'il y a une bombe dans le colis j'espère qu'elle va pas le livrer…
[^] # Re: C'est pas si simple l'email.
Posté par Raoul Volfoni (site web personnel) . En réponse au journal Les emails par Neuf…. Évalué à 3.
Il y a plusieurs phases dans la réception d'un email. Tu peux très bien accepter le DATA suite à un EHLO et un FROM d'une machine correctement configurée (ce qu'on appelle l'enveloppe) puis tout balancer après des entêtes toutes pourries.
Je ne vois franchement pas l'intérêt de gaspiller de la bande passante et de l'espace disque. Mais bon, tant qu'on respecte les RFC chacun configure ses MX comme il veut hein.
[^] # Re: Spam chinois
Posté par Raoul Volfoni (site web personnel) . En réponse au journal Les emails par Neuf…. Évalué à 3.
Non ça n'existe pas pour la bonne raison que ce que tu considère comme un spam est peut-être un courrier légitime pour quelqu'un d'autre.
Mais si tu veux je dois avoir un bon To de Spams dont les 1ers datent de 95 (l'année pas l'os hein ;)
[^] # Re: Spam chinois
Posté par Raoul Volfoni (site web personnel) . En réponse au journal Les emails par Neuf…. Évalué à 5.
Merci, je ne connaissais pas cette rbl.
Un truc comme ça ?
http://www.dnswl.org/
J'aime bien les discussions constructives… ;)
[^] # Re: Spam chinois
Posté par Raoul Volfoni (site web personnel) . En réponse au journal Les emails par Neuf…. Évalué à 2.
Tout à fait. Voici pour info la partie concernée de mon logwatch de ce matin sur un serveur petit familial.
Habituellement les RBL envoient bouler 70% en moyenne des réceptions…
--------------------- Postfix Begin ------------------------
723.768K Bytes delivered 741,138
======== ==================================================
======== ==================================================
======== ==================================================
======== ==================================================
---------------------- Postfix End -------------------------
[^] # Re: Spam chinois
Posté par Raoul Volfoni (site web personnel) . En réponse au journal Les emails par Neuf…. Évalué à 5.
Ton message me donne une idée: y a-t-il ici des personnes intéressées pour créer et maintenir une RBL franco-française de tous ces connards ?
[^] # Re: C'est pas si simple l'email.
Posté par Raoul Volfoni (site web personnel) . En réponse au journal Les emails par Neuf…. Évalué à 7.
Accepté ça veut dire quoi pour toi ? L'enveloppe est OK donc tu délivres sans contrôler les en-têtes ? Et ben, joli gaspillage de ressources, je te laisserai pas administrer une de mes machines..
Hahaha, excellent ! T'as jamais du configurer un Sendmail toi…
# C'est pas si simple l'email.
Posté par Raoul Volfoni (site web personnel) . En réponse au journal Les emails par Neuf…. Évalué à 4.
Imagines un peu qu'en fonction de ton résolveur DNS tu ais des machines différentes.
C'est ce que faisait Wanadoo il y a une dizaine d'années. Des smtp internes et d'autres pour les internautes en ballade.
Bref des configs tout à fait différentes aussi…
Alors maintenant avec la généralisation de DKIM et autres SPF et vu que les compétences des admins de ces grands groupes ne se sont pas vraiment améliorées, l'email si tu les gères pas toi-même c'est de plus en plus aléatoire.
[^] # Re: la boulangère de Ploum , le retour
Posté par Raoul Volfoni (site web personnel) . En réponse au journal Quel smartphone pour aller à la boulangerie ?. Évalué à 10.
Elle est dans un sale pétrin..
[^] # Re: Screen
Posté par Raoul Volfoni (site web personnel) . En réponse au journal Le TCP keepalive m'a tué. Évalué à 3.
Ah ben tu me rassures, j'avais peur que les Volfoni's brothers aient passé l'arme à gauche. ;)
[^] # Re: Screen
Posté par Raoul Volfoni (site web personnel) . En réponse au journal Le TCP keepalive m'a tué. Évalué à 5.
J'avais dit 'menu' mais il s'agissait d'une référence à un film en N&B qui n'est visiblement pas connu de ta génération…
Mon expérience m'a permis d'apprendre à ne pas avoir d'idée préconçue. Mais concernant 'ton cas' je dois quand même bien admettre que tu as tout fait pour aggraver le diagnostic initial.
Aller tciao, j'ai une vie moi.
[^] # Re: Screen
Posté par Raoul Volfoni (site web personnel) . En réponse au journal Le TCP keepalive m'a tué. Évalué à 2.
Non pas moi, jamais. Relis tout le journal, 10 fois s'il le faut… Et puis reviens t'excuser ensuite.
Pardon ? Tu veux faire un concours de mauvaise foi ou quoi ? On te dis que t'as pas besoin de machine dédiée pour utiliser screen contrairement à ce que tu as écris et tu nous dis qu'on est à coté de la plaque ? Dis t'as bien pris tes pilules ou quoi ?
Je n'ai ABSOLUMENT pas vu la moindre critique constructive venant de ta part dans ce journal. Par contre si tu crois encore qu'il existe des admins qui mettent en route sshd sans avoir modifié son fichier de config et ses options par défaut alors tu as besoin d'encore pas mal d'expérience.
[^] # Re: Screen
Posté par Raoul Volfoni (site web personnel) . En réponse au journal Le TCP keepalive m'a tué. Évalué à 5.
Franchement je suis resté très correct avec toi jusqu'ici mais la vérité m'obliges à te le dire: tu commences à nous les briser menu !!!
Demandes à ton admin de monter le MaxSessions à 10000 (il est à 10 par défaut t'es au courant?) ou de mettre ton keepalive dans un Match User mais arrêtes un peu de geindre à propos d'un des tous meilleurs outils libres du moment qui permet de faire exactement ce dont tu te plains depuis des heures.
[^] # Re: moduli
Posté par Raoul Volfoni (site web personnel) . En réponse à la dépêche Sortie d'OpenSSH 6.0. Évalué à 5.
Salut,
en préambule saches que je ne suis pas du tout spécialiste en crypto. Je peux juste te dire que le fichier moduli contient en fait les grands nombres premiers qui seront utilisés dans la phase de négociation des clés par l'algo Diffie-Hellman tel que décrit dans cette rfc: http://tools.ietf.org/html/rfc4419
De mon point de vue ça ne peut pas nuire de le refaire avec de plus grands nombres (j'ai une centaine de primes à 8192) quand on est pas certain de ce qui se passe sur son lan (je ne citerai pas mon hébergeur mais c'est fou ce que je vois passer sur mon interface…)
Concernant les clés, il ne faut pas confondre la crypto symétrique (DES,AES) et asymétrique (RSA,DSA,ECDSA) aussi appelée à clé publique, qui est utilisée par SSH entre autres.
Mais dans les 2 cas il s'agit d'un domaine d'application des mathématiques que je n'ai jamais maîtrisé alors je préfère m'en tenir aux recommandations des pros. En d'autre termes j'ai des phrases de passe très longues avec des caractères variés et surtout je génère 3 clés (une par algo) comme ça si un algo est cassé un jour futur, ben je le désactive et il me reste les autres. Bon ça c'est depuis que j'ai lu le bouquin de Michael Lucas hein… ;)
[^] # Re: Screen
Posté par Raoul Volfoni (site web personnel) . En réponse au journal Le TCP keepalive m'a tué. Évalué à 4.
Que veux-tu dire ? J'ai lu tes autres commentaires et franchement je ne vois pas ce que tu peux reprocher à un outil comme screen. Pour moi l'avantage c'est que justement je n'ai pas de machine dédiée et que même si j'ai oublié de couper ma connection depuis une machine je peux forcer une autre à reprendre la main sur ma session (screen -rd).
Mais une machine dédiée, là je ne vois vraiment pas désolé.
[^] # Re: man ssh
Posté par Raoul Volfoni (site web personnel) . En réponse au journal Le TCP keepalive m'a tué. Évalué à 6.
Bon je vais détailler pour lui because je me sens un peu coupable pour la news à laquelle je n'ai pas vraiment participé…
Il faut bien comprendre que coté serveur il est important de savoir si une connection existe toujours ou a été coupée pour éviter d'avoir des tonnes de connections fantômes à la longue…
Pour ça on dispose de 2 techniques de keepalive: le TCP et le SSH. Pour la première c'est effectivement au niveau de l'OS et de sa pile IP que tout se passe et on ne maîtrise donc pas grand chose.
Alors les gentils devs d'OpenSSH on rajouté le keepalive dans le SSH qui a exactement la même fonction si ce n'est que tu disposes de 2 options pour paramétrer le temps entre 2 paquets et le nombre de paquets non acquittés avant de clore la connection.
Alors si ton réseau est vraiment aussi bon je ne vois pas vraiment où est le pb hormis le fait de ne pas vouloir changer des fichiers de config.
[^] # Re: man ssh
Posté par Raoul Volfoni (site web personnel) . En réponse au journal Le TCP keepalive m'a tué. Évalué à 4.
J'aurais dit man ssh_config plutôt mais je pinaille.
En plus j'ajouterais ServerAliveCountMax qui est au moins aussi important.
Mais avant de dénoncer grave (ahem) faudrait déjà pas confondre le TCPKeepalive et le SSHKeepalive…
[^] # Re: Et les géants ?
Posté par Raoul Volfoni (site web personnel) . En réponse à la dépêche Petit état des lieux du NoSQL. Évalué à 3.
En ce cas il faut plutôt parler des SGBD d'avant Codd:
AKA les modèles hiérarchiques et réseaux qui datent des années 70 et seront donc un peu plus difficiles à retrouver dans un gestionnaire de paquets. ;)
http://fr.wikipedia.org/wiki/CODASYL
[^] # Re: Troll
Posté par Raoul Volfoni (site web personnel) . En réponse à la dépêche Sortie d'OpenSSH 6.0. Évalué à 5.
As-tu essayé les différentes options du Keepalive ?
(Client|Server)AliveInterval et AliveCountMax. En cas de coupure ça permet de récupérer pas mal de choses.