Je lis avec intérêt toutes les suggestion de services pour remplacer gandi mail.
Mais il me semble qu'il y a un angle mort qui est compliqué à distinguer chez ces fournisseurs de service mail c'est l'efficacité et les fonctionnalités avancées de l'antispam.
Pour le spam j'imagine que la plupart utilisent rspamd ou spamassasin, ok ça fonctionne généralement bien.
C'est très pratique et ça permet de faire des filtres SIEVE avancés, ou encore aux webmails de faire des "vues" basées sur ces classifications (un peu comme sur gmail avec "promotions" / "réseau sociaux" / "notifications" etc).
Connaissez vous un logiciel libre qui fournit ce service (ou à défaut un SaaS EU à prix raisonnable) ? Et est-ce que les fournisseurs de mail sus-mentionnés le font ?
Mon hypothèse est que gandi utilisait un service propriétaire (type vade secure ou autre) pour faire ça.
On peut aussi noter la disparition de dspam dans jessie, dspam était un très bon antispam mais il n'est plus maintenu upstream et le mainteneur debian a donc demandé sa suppression de debian.
Je vais donc probablement migrer vers spamassassin vu que le plugin dovecot antispam que j'utilisais s’intègre avec maintenant.
Et vous, quel antispam (bayésien ou non) utilisez vous sur debian jessie ?
On ne peut pas juste faire un « lxc.cap.drop = a » comme pour « lxc.cgroup.devices.drop » et n'autoriser explicitement que celles dont on a besoin ?
Justement non puisque les capabilities sont permissives par défaut. Si les développeurs du noyau rajoutent une capability essentielle pour lancer ton container (par exemple CAP_SETUID en est une), il ne redémarrera pas suite à la mise à jours, ce qui est une regression.
Certaines capabilities sont obligatoires pour faire tourner une debian (par exemple). Le but de lxc n'est pas la sécurité mais l'isolation, d'où la liste d'exclusion et toutes les capabilities actives par défaut. Et l'apparition de nouvelles capabilities ne vont pas introduire de regression ni de nouvelle "faille" dans tes containers (au pire, il sera moins secure qu'il ne pourrait l'être).
Mais jeter un coup d'oeil au changelog et en particulier aux capabilities(7) quand on met à jours le kernel c'est toujours une bonne pratique ;)
# Antispam et auto-classification ?
Posté par philpep (site web personnel) . En réponse au journal Gandi, passe de « no bullshit » à « bait and switch » ?. Évalué à 2.
Je lis avec intérêt toutes les suggestion de services pour remplacer gandi mail.
Mais il me semble qu'il y a un angle mort qui est compliqué à distinguer chez ces fournisseurs de service mail c'est l'efficacité et les fonctionnalités avancées de l'antispam.
Pour le spam j'imagine que la plupart utilisent rspamd ou spamassasin, ok ça fonctionne généralement bien.
Mais gandi fournit aussi de l'auto-classification avec le header X-GND-Status : https://docs.gandi.net/en/gandimail/sieve/getting_started.html#x-gnd-status
C'est très pratique et ça permet de faire des filtres SIEVE avancés, ou encore aux webmails de faire des "vues" basées sur ces classifications (un peu comme sur gmail avec "promotions" / "réseau sociaux" / "notifications" etc).
Chez Renater il ont aussi cette fonctionnalité https://services.renater.fr/antispam/refdocs/marquages
Connaissez vous un logiciel libre qui fournit ce service (ou à défaut un SaaS EU à prix raisonnable) ? Et est-ce que les fournisseurs de mail sus-mentionnés le font ?
Mon hypothèse est que gandi utilisait un service propriétaire (type vade secure ou autre) pour faire ça.
# Suppression de DSPAM
Posté par philpep (site web personnel) . En réponse à la dépêche Debian 8 : Jessie l’écuyère est en selle !. Évalué à 3.
On peut aussi noter la disparition de dspam dans jessie, dspam était un très bon antispam mais il n'est plus maintenu upstream et le mainteneur debian a donc demandé sa suppression de debian.
Je vais donc probablement migrer vers spamassassin vu que le plugin dovecot antispam que j'utilisais s’intègre avec maintenant.
Et vous, quel antispam (bayésien ou non) utilisez vous sur debian jessie ?
[^] # Re: LXC
Posté par philpep (site web personnel) . En réponse à la dépêche Du chiffrement et de la sécurité sur LinuxFr.org (statut au 24/11/2013). Évalué à 2.
Justement non puisque les capabilities sont permissives par défaut. Si les développeurs du noyau rajoutent une capability essentielle pour lancer ton container (par exemple CAP_SETUID en est une), il ne redémarrera pas suite à la mise à jours, ce qui est une regression.
[^] # Re: LXC
Posté par philpep (site web personnel) . En réponse à la dépêche Du chiffrement et de la sécurité sur LinuxFr.org (statut au 24/11/2013). Évalué à 1.
Certaines capabilities sont obligatoires pour faire tourner une debian (par exemple). Le but de lxc n'est pas la sécurité mais l'isolation, d'où la liste d'exclusion et toutes les capabilities actives par défaut. Et l'apparition de nouvelles capabilities ne vont pas introduire de regression ni de nouvelle "faille" dans tes containers (au pire, il sera moins secure qu'il ne pourrait l'être).
Mais jeter un coup d'oeil au changelog et en particulier aux capabilities(7) quand on met à jours le kernel c'est toujours une bonne pratique ;)
# LXC
Posté par philpep (site web personnel) . En réponse à la dépêche Du chiffrement et de la sécurité sur LinuxFr.org (statut au 24/11/2013). Évalué à 6.
Voilà les cap.drop que j'utilise:
Par contre si on drop net_admin, il ne faut pas oublier de configurer l'ip et gw en static (lxc.network.ipv4, lxc.network.ipv4.gateway).
Voir aussi sur mon blog pour un exemple de config grsec et iptables pour renforcer l'isolation.
# Monté dans le domaine public
Posté par philpep (site web personnel) . En réponse à la dépêche Apollinaire dans le domaine public 94 ans et 272 jours après sa mort !. Évalué à 3.
On ne "tombe" pas dans le domaine public, on y monte: http://www.bortzmeyer.org/monte-dans-domaine-public.html
# Press and Move
Posté par philpep (site web personnel) . En réponse au journal XKCD - The world is big !. Évalué à 0.
Voir aussi "Press and Move" http://xkcd.kajakklubben.org/ via L'oujevipo
Par contre en ce moment ça lag …
# Idéal pour tester la communication série
Posté par philpep (site web personnel) . En réponse à la dépêche Socat, un outil en ligne de commande pour maîtriser vos sockets. Évalué à 10.
Je me sert beaucoup de socat pour développer des programmes utilisant le port série (RS232):
Il suffit alors de lancer un programme sur /tmp/ttyS0 et l'autre sur /tmp/ttyS1 et on a une communication bidirectionnelle série. Très pratique.
[^] # Re: Reverse Proxy
Posté par philpep (site web personnel) . En réponse à la dépêche On est parti ! nginx 1.0.0 est sorti. Évalué à 5.
Si tu veux réécrire ce qui arrive du serveur web avant de le transmettre au client : SubModule.
Sinon si tu veux faire des choses très très spécifiques et que tu sais faire du C, l'api pour coder des modules nginx est assez accessible.