Merci, je comprend maintenant mieux le fonctionnement des serveurs smtp, mais je vais dans tous les cas être contraint de passer par une IP fixe (plus simple) non blacklistée pour que mes mails ne soient pas en spam.
J'ai justement tenté d'envoyer un message à une adresse hotmail et il n'est jamais arrivé (même pas en spam).
Sinon, il y a le tunnel vpn vers un opérateur propre (comme fdn) et sans doute pas blacklisté (car ils ont peut-être trouvé un moyen de contacter ces hébergeurs)…
Je vais tout tester et, avec un peu de chance, je finirai par avoir une adresse IP qui parvient à passer le videur à l'entrée de la boîte.
Je me doute que ce n'est pas courant mais je suis un peu parano et je souhaite sécuriser le plus possible mon serveur mail.
Et puis mes mails peuvent tout simplement se perdre dans l'intervalle de notification du changement d'IP, non ?
Par exemple, mon ddclient vérifie les modifications d'IPs toutes les 5 minutes (il est possible de diminuer cette valeur mais c'est déconseillé), si le changement survient juste après la dernière vérification, mon serveur sera injoignable pendant 5 minutes.
Et je crois qu' il y a également des problèmes liés au cache DNS des clients qui peuvent conserver mon ancienne IP.
Pour tester mon serveur smtp j'ai utilisé mxtoolbox qui propose de nombreux outils utiles dont un qui permet de rechercher la présence de mon IP dans des blacklists.
Il y a également la possibilité d'envoyer un mail depuis une adresse du serveur smtp à check-auth@verifier.port25.com qui renvoie automatiquement une réponse qui permet de savoir si le mail est considéré comme spam par spamassassin et qui donne également d'autres informations intéressantes.
Pour finir, il y a gmass, qui t'indique si tes mails sont reconnus comme spam chez google (avec différents services et protections) en les envoyant aux nombreuses adresses de test spécifiées et en cherchant ton message ou ton adresse dans la barre de recherche.
Ce n'est pas le seul service que j'ai utilisé pour évaluer mon spam score mais c'est bon à savoir.
Concernant la possibilité pour mes mails de terminer sur un autre serveur, je pensais effectivement à une interception volontaire et plutôt malveillante. Même si j'ai exagéré en déclarant la chose "probable", cette possibilité me montre clairement qu'utiliser une IP dynamique est une mauvaise idée.
C'est peut-être possible de demander à OVH de changer mon adresse IP si celle-ci est blacklistée ?
Sinon il reste toujours la possibilité de montrer patte blanche auprès des entités qui construisent les listes car il y a, semble-t-il, des procédures de suppression d'IP.
Désolé, je t'ai peut-être lu un peu vite. Effectivement ce n'est pas ce que je recherche.
Concernant le changement de FAI, si je passe par un opérateur moins connu, comme ovh (je ne savais même pas qu'ils fournissaient ce genre de services), je suppose qu'il y a moins de chances que mon IP figure dans une liste ?
La seule liste de blocage utilisée dans mes tests qui contient mon IP (lien) semble effectivement contenir des IP fixes.
En bref, si je ne souhaite pas héberger mon serveur chez un tiers, il me faut un opérateur inconnu ou, comme cela m'est suggéré plus haut, un tunnel vers un endroit qui propose des IP fixes non bloquées.
Si seulement la loi les contraignaient à fournir de l'internet correct…Ils ont vraiment une vision particulière du réseau.
C'est juste le vpn que je trouve superflu mais ovh, les opérateurs pro et les opérateurs de la ffdn proposent ces services, non ?
Je vais peut-être tester ovh ultérieurement car là je suis dans une zone à très faible débit (moins de 1 mbit/s) et je suis contraint de passer par une box 4G pour éviter d'attendre 5 minutes pour charger la moindre page web :(
En attendant, je vais peut-être effectivement avoir recours au vpn.
Pour détailler un peu, je préfère héberger mon serveur chez moi pour 2 raisons :
- Parce que c'est amusant de devoir gérer le hardware
- Parce que j'ai davantage confiance en une machine hébergée chez moi (dans une certaine limite)
Concernant les FAI alternatifs, je me suis dit qu’étant localisés dans des zones géographiques précises et s'agissant d'associations, il est préférable de s'investir un peu dans leur vie associative et ne pas simplement avoir un comportement de consommateur passif, chose un peu difficile avec le nomadisme (mais je me trompe peut-être).
Un autre problème est qu'il me faudra acheter un modem/routeur car ils ne fournissent pas de box.
Cela ne me dérange pas particulièrement d'avoir à configurer l'ensemble mais il faut tout de même l'acheter et je suis particulièrement pingre ;)
Donc j'y songe effectivement mais ce n'est pas pour tout de suite.
En effet, ça pourrait me convenir mais il me semble quand même plus simple d'avoir une IP fixe (et c'est normalement moins cher, car j'ai simplement à payer le FAI).
J'en ai un peu marre de devoir passer par des intermédiaires superflus pour que mon serveur soit joignable (comme avec dyndns).
J'ai déjà connaissance de la possibilité de pouvoir passer par le smtp de mon FAI mais ça ne m'intéresse pas vraiment (je veux être le plus autonome possible).
Utiliser le domaine offert par mon fournisseur de dyndns (ce qui n'est pas le cas, j'en ai déjà loué un) ne fait perdre que 0.3 à mon spam score, contrairement à l'adresse ip dynamique de mon FAI (-3.5 points).
J'ai donc la configuration suivante:
mon registre -> dns de mon fournisseur dyndns -> mon ip dynamique (mise à jour par ddclient)
Le but de l'opération étant d'auto-héberger mon serveur mail, je n'ai pas vraiment envie de louer un serveur externe.
En revanche, je trouve les FAI associatifs intéressants mais il n'y en a pas là où je me situe et je suis également plutôt nomade ;(
Je pense me tourner vers OVH.
J'ai celui attribué par mon opérateur, qui ne peut pas être changé et qui ne correspond pas à mon nom de domaine mais ça ne diminue que très légèrement mon score.
J'avais complètement oublié cette possibilité, merci. J'ai été consulter l'offre chez l'opérateur associatif FDN qui est assez connu et il faut être membre de l'association pour avoir accès à l'offre vpn.
Les membres doivent-ils obligatoirement avoir ouvert une ligne chez la FDN pour avoir accès aux autres services ?
Encore merci à vous, je pense avoir tout compris.
Mon serveur est un serveur perso, mais le fait de ne pas pouvoir recevoir certains mails importants m'effraie donc je vais activer le mode opportuniste et également utiliser dane.
Posté par vasili .
En réponse au message TLS et Postfix.
Évalué à 1.
Dernière modification le 28 septembre 2020 à 15:23.
Du coup, quelle serait la limite acceptable pour forcer le chiffrement, 1%, 2% ?
Je trouve vraiment dommage, qu'en 2020, le chiffrement ne soit pas obligatoire et déployé universellement sur les serveurs smtp.
Sinon j'ai également vu ces directives apparaître lors de mes recherches sur le sujet. Ça a l'air vraiment bien, merci.
Je me demande combien de domaines utilisent l'enregistrement TLSA et DNSSEC…
J'ai une dernière question, pourquoi Thunderbird différencie SSL/TLS de STARTTLS dans les options qui me permettent de me connecter à mon serveur (vu que STARTTLS est toujours utilisé) ?
Merci bien pour cette réponse claire et précise !
C'était bien de l'option "encrypt" dont je voulais parler, j'ai écrit mon texte à l'aide de mes souvenirs approximatifs de la doc :(
Donc STARTTLS permet également de faire du chiffrement non opportuniste. Je pensais le contraire, qu'il s'agissait d'une autre option.
Si j'utilise l'option "encrypt" (et prend le risque de ne pas pouvoir communiquer avec certains serveurs), il n'y a donc plus vraiment de risques de me faire intercepter mes mails facilement.
Google (désolé) publie des statistiques sur le sujet (lien) et les serveurs smtp qui n'ont pas activé STARTTLS semblent vraiment rares (cela ne dit rien sur les protocoles utilisés).
[^] # Re: mail-tester est-il crédible ?
Posté par vasili . En réponse au message Serveur smtp et IP dynamique. Évalué à 1.
Merci, je comprend maintenant mieux le fonctionnement des serveurs smtp, mais je vais dans tous les cas être contraint de passer par une IP fixe (plus simple) non blacklistée pour que mes mails ne soient pas en spam.
[^] # Re: Trop compliqué
Posté par vasili . En réponse au message Serveur smtp et IP dynamique. Évalué à 1. Dernière modification le 16 octobre 2020 à 16:32.
J'ai justement tenté d'envoyer un message à une adresse hotmail et il n'est jamais arrivé (même pas en spam).
Sinon, il y a le tunnel vpn vers un opérateur propre (comme fdn) et sans doute pas blacklisté (car ils ont peut-être trouvé un moyen de contacter ces hébergeurs)…
Je vais tout tester et, avec un peu de chance, je finirai par avoir une adresse IP qui parvient à passer le videur à l'entrée de la boîte.
[^] # Re: mail-tester est-il crédible ?
Posté par vasili . En réponse au message Serveur smtp et IP dynamique. Évalué à 1.
Je me doute que ce n'est pas courant mais je suis un peu parano et je souhaite sécuriser le plus possible mon serveur mail.
Et puis mes mails peuvent tout simplement se perdre dans l'intervalle de notification du changement d'IP, non ?
Par exemple, mon ddclient vérifie les modifications d'IPs toutes les 5 minutes (il est possible de diminuer cette valeur mais c'est déconseillé), si le changement survient juste après la dernière vérification, mon serveur sera injoignable pendant 5 minutes.
Et je crois qu' il y a également des problèmes liés au cache DNS des clients qui peuvent conserver mon ancienne IP.
Pour tester mon serveur smtp j'ai utilisé mxtoolbox qui propose de nombreux outils utiles dont un qui permet de rechercher la présence de mon IP dans des blacklists.
Il y a également la possibilité d'envoyer un mail depuis une adresse du serveur smtp à check-auth@verifier.port25.com qui renvoie automatiquement une réponse qui permet de savoir si le mail est considéré comme spam par spamassassin et qui donne également d'autres informations intéressantes.
Pour finir, il y a gmass, qui t'indique si tes mails sont reconnus comme spam chez google (avec différents services et protections) en les envoyant aux nombreuses adresses de test spécifiées et en cherchant ton message ou ton adresse dans la barre de recherche.
[^] # Re: mail-tester est-il crédible ?
Posté par vasili . En réponse au message Serveur smtp et IP dynamique. Évalué à 1. Dernière modification le 16 octobre 2020 à 14:52.
Ce n'est pas le seul service que j'ai utilisé pour évaluer mon spam score mais c'est bon à savoir.
Concernant la possibilité pour mes mails de terminer sur un autre serveur, je pensais effectivement à une interception volontaire et plutôt malveillante. Même si j'ai exagéré en déclarant la chose "probable", cette possibilité me montre clairement qu'utiliser une IP dynamique est une mauvaise idée.
[^] # Re: Trop compliqué
Posté par vasili . En réponse au message Serveur smtp et IP dynamique. Évalué à 1.
C'est peut-être possible de demander à OVH de changer mon adresse IP si celle-ci est blacklistée ?
Sinon il reste toujours la possibilité de montrer patte blanche auprès des entités qui construisent les listes car il y a, semble-t-il, des procédures de suppression d'IP.
[^] # Re: Trop compliqué
Posté par vasili . En réponse au message Serveur smtp et IP dynamique. Évalué à 1. Dernière modification le 15 octobre 2020 à 13:45.
Désolé, je t'ai peut-être lu un peu vite. Effectivement ce n'est pas ce que je recherche.
Concernant le changement de FAI, si je passe par un opérateur moins connu, comme ovh (je ne savais même pas qu'ils fournissaient ce genre de services), je suppose qu'il y a moins de chances que mon IP figure dans une liste ?
La seule liste de blocage utilisée dans mes tests qui contient mon IP (lien) semble effectivement contenir des IP fixes.
En bref, si je ne souhaite pas héberger mon serveur chez un tiers, il me faut un opérateur inconnu ou, comme cela m'est suggéré plus haut, un tunnel vers un endroit qui propose des IP fixes non bloquées.
[^] # Re: Un VPN de la FFDN
Posté par vasili . En réponse au message Serveur smtp et IP dynamique. Évalué à 1.
Si seulement la loi les contraignaient à fournir de l'internet correct…Ils ont vraiment une vision particulière du réseau.
C'est juste le vpn que je trouve superflu mais ovh, les opérateurs pro et les opérateurs de la ffdn proposent ces services, non ?
Je vais peut-être tester ovh ultérieurement car là je suis dans une zone à très faible débit (moins de 1 mbit/s) et je suis contraint de passer par une box 4G pour éviter d'attendre 5 minutes pour charger la moindre page web :(
En attendant, je vais peut-être effectivement avoir recours au vpn.
[^] # Re: Trop compliqué
Posté par vasili . En réponse au message Serveur smtp et IP dynamique. Évalué à 2.
Pour détailler un peu, je préfère héberger mon serveur chez moi pour 2 raisons :
- Parce que c'est amusant de devoir gérer le hardware
- Parce que j'ai davantage confiance en une machine hébergée chez moi (dans une certaine limite)
Concernant les FAI alternatifs, je me suis dit qu’étant localisés dans des zones géographiques précises et s'agissant d'associations, il est préférable de s'investir un peu dans leur vie associative et ne pas simplement avoir un comportement de consommateur passif, chose un peu difficile avec le nomadisme (mais je me trompe peut-être).
Un autre problème est qu'il me faudra acheter un modem/routeur car ils ne fournissent pas de box.
Cela ne me dérange pas particulièrement d'avoir à configurer l'ensemble mais il faut tout de même l'acheter et je suis particulièrement pingre ;)
Donc j'y songe effectivement mais ce n'est pas pour tout de suite.
[^] # Re: Un VPN de la FFDN
Posté par vasili . En réponse au message Serveur smtp et IP dynamique. Évalué à 1.
En effet, ça pourrait me convenir mais il me semble quand même plus simple d'avoir une IP fixe (et c'est normalement moins cher, car j'ai simplement à payer le FAI).
J'en ai un peu marre de devoir passer par des intermédiaires superflus pour que mon serveur soit joignable (comme avec dyndns).
[^] # Re: Sursis
Posté par vasili . En réponse au message Serveur smtp et IP dynamique. Évalué à 1. Dernière modification le 14 octobre 2020 à 13:34.
J'ai déjà connaissance de la possibilité de pouvoir passer par le smtp de mon FAI mais ça ne m'intéresse pas vraiment (je veux être le plus autonome possible).
Utiliser le domaine offert par mon fournisseur de dyndns (ce qui n'est pas le cas, j'en ai déjà loué un) ne fait perdre que 0.3 à mon spam score, contrairement à l'adresse ip dynamique de mon FAI (-3.5 points).
J'ai donc la configuration suivante:
mon registre -> dns de mon fournisseur dyndns -> mon ip dynamique (mise à jour par ddclient)
[^] # Re: Trop compliqué
Posté par vasili . En réponse au message Serveur smtp et IP dynamique. Évalué à 1. Dernière modification le 14 octobre 2020 à 12:37.
Le but de l'opération étant d'auto-héberger mon serveur mail, je n'ai pas vraiment envie de louer un serveur externe.
En revanche, je trouve les FAI associatifs intéressants mais il n'y en a pas là où je me situe et je suis également plutôt nomade ;(
Je pense me tourner vers OVH.
[^] # Re: reverse dns
Posté par vasili . En réponse au message Serveur smtp et IP dynamique. Évalué à 1. Dernière modification le 14 octobre 2020 à 12:23.
J'ai celui attribué par mon opérateur, qui ne peut pas être changé et qui ne correspond pas à mon nom de domaine mais ça ne diminue que très légèrement mon score.
[^] # Re: Un VPN de la FFDN
Posté par vasili . En réponse au message Serveur smtp et IP dynamique. Évalué à 1.
J'avais complètement oublié cette possibilité, merci. J'ai été consulter l'offre chez l'opérateur associatif FDN qui est assez connu et il faut être membre de l'association pour avoir accès à l'offre vpn.
Les membres doivent-ils obligatoirement avoir ouvert une ligne chez la FDN pour avoir accès aux autres services ?
[^] # Re: IP fixe et FAI
Posté par vasili . En réponse au message Serveur smtp et IP dynamique. Évalué à 1.
Apparemment, je suis éligible à leur offre et ils semblent proposer une box, pourquoi pas.
[^] # Re: No subject
Posté par vasili . En réponse au message TLS et Postfix. Évalué à 1.
Je suis au courant de cette segmentation et j'ai un peu fait la même chose dans ma configuration.
Trafic entrant:
Trafic sortant:
J'ai également exclu SSLv2, SSLv3, TLSv1 et TLSv1.1 pour les deux catégories.
[^] # Re: No subject
Posté par vasili . En réponse au message TLS et Postfix. Évalué à 1.
Encore merci à vous, je pense avoir tout compris.
Mon serveur est un serveur perso, mais le fait de ne pas pouvoir recevoir certains mails importants m'effraie donc je vais activer le mode opportuniste et également utiliser dane.
[^] # Re: No subject
Posté par vasili . En réponse au message TLS et Postfix. Évalué à 1. Dernière modification le 28 septembre 2020 à 15:23.
Du coup, quelle serait la limite acceptable pour forcer le chiffrement, 1%, 2% ?
Je trouve vraiment dommage, qu'en 2020, le chiffrement ne soit pas obligatoire et déployé universellement sur les serveurs smtp.
Sinon j'ai également vu ces directives apparaître lors de mes recherches sur le sujet. Ça a l'air vraiment bien, merci.
Je me demande combien de domaines utilisent l'enregistrement TLSA et DNSSEC…
J'ai une dernière question, pourquoi Thunderbird différencie SSL/TLS de STARTTLS dans les options qui me permettent de me connecter à mon serveur (vu que STARTTLS est toujours utilisé) ?
[^] # Re: No subject
Posté par vasili . En réponse au message TLS et Postfix. Évalué à 1.
Merci bien pour cette réponse claire et précise !
C'était bien de l'option "encrypt" dont je voulais parler, j'ai écrit mon texte à l'aide de mes souvenirs approximatifs de la doc :(
Donc STARTTLS permet également de faire du chiffrement non opportuniste. Je pensais le contraire, qu'il s'agissait d'une autre option.
Si j'utilise l'option "encrypt" (et prend le risque de ne pas pouvoir communiquer avec certains serveurs), il n'y a donc plus vraiment de risques de me faire intercepter mes mails facilement.
Google (désolé) publie des statistiques sur le sujet (lien) et les serveurs smtp qui n'ont pas activé STARTTLS semblent vraiment rares (cela ne dit rien sur les protocoles utilisés).