[FRnOG] [ALERT] de nombreux bounce depuis les mx de free
Bonjour à tous, Voici le contexte en quelques mots. Suite à l'inscription d'un client sur notre site, nous lui envoyons en document en PJ. Nous n'avions pas de problème jusqu'ici, mais depuis ce matin, les mx de free nous rejettent avec un 550 5.2.2 user quota exceeded (in reply to RCPT TO command)). Avez-vous le même problème ? Si cela est un problème isolé, comment puis-je le corriger ? Cordialement Alexandre. Détail : --- Nov 20 08:02:55 xxx postfix/smtp[19551]: 4EBB53F0CC0: relay=mx1.free.fr[212.27.48.6]:25, delay=0.34, delays=0.19/0.03/0.06/0.06, dsn=5.2.2, status=bounced (host mx1.free.fr[212.27.48.6] said: 550 5.2.2 user quota exceeded (in reply to RCPT TO command)) Nov 20 08:03:15 xxx postfix/smtp[19544]: 945043F0C5E: relay=mx1.free.fr[212.27.48.6]:25, delay=0.22, delays=0.11/0/0.07/0.04, dsn=5.1.1, status=bounced (host mx1.free.fr[212.27.48.6] said: 550 5.1.1 user unknown (UserSearch) (in reply to RCPT TO command)) Nov 20 08:04:07 xxx postfix/smtp[19553]: 846C63F0D11: relay=mx1.free.fr[212.27.48.7]:25, delay=0.37, delays=0.02/0.13/0.05/0.17, dsn=5.2.1, status=bounced (host mx1.free.fr[212.27.48.7] said: 550 5.2.1 This mailbox has been blocked due to inactivity (in reply to RCPT TO command)) Nov 20 08:04:20 xxx postfix/smtp[19296]: 137183F0D11: relay=mx1.free.fr[212.27.48.7]:25, delay=0.31, delays=0.02/0.09/0.07/0.12, dsn=5.2.2, status=bounced (host mx1.free.fr[212.27.48.7] said: 552 5.2.2 user quota exceeded (UserSearch) (in reply to RCPT TO command)) Nov 20 08:05:33 xxx postfix/smtp[19554]: ED98D2F185C: relay=mx1.free.fr[212.27.48.6]:25, delay=0.53, delays=0.29/0.12/0.05/0.07, dsn=5.2.2, status=bounced (host mx1.free.fr[212.27.48.6] said: 550 5.2.2 user quota exceeded (in reply to RCPT TO command)) Nov 20 08:05:35 xxx postfix/smtp[19553]: A3FB03F0D63: relay=mx1.free.fr[212.27.48.7]:25, delay=0.51, delays=0.16/0.1/0.1/0.15, dsn=5.2.2, status=bounced (host mx1.free.fr[212.27.48.7] said: 552 5.2.2 user quota exceeded (UserSearch) (in reply to RCPT TO command)) Nov 20 08:05:42 xxx postfix/smtp[19528]: 04C632F183D: relay=mx1.free.fr[212.27.48.6]:25, delay=0.67, delays=0.07/0.35/0.15/0.11, dsn=5.2.2, status=bounced (host mx1.free.fr[212.27.48.6] said: 552 5.2.2 user quota exceeded (UserSearch) (in reply to RCPT TO command)) Nov 20 08:05:52 xxx postfix/smtp[19549]: BB8852F1849: relay=mx1.free.fr[212.27.48.6]:25, delay=0.19, delays=0.06/0/0.05/0.08, dsn=5.2.2, status=bounced (host mx1.free.fr[212.27.48.6] said: 550 5.2.2 user quota exceeded (in reply to RCPT TO command)) Nov 20 08:05:55 xxx postfix/smtp[19524]: CAE812F186D: relay=mx1.free.fr[212.27.48.7]:25, delay=0.27, delays=0.16/0/0.06/0.04, dsn=5.2.2, status=bounced (host mx1.free.fr[212.27.48.7] said: 552 5.2.2 user quota exceeded (UserSearch) (in reply to RCPT TO command)) Nov 20 08:06:16 xxx postfix/smtp[19516]: B2ED62F18D3: relay=mx1.free.fr[212.27.48.6]:25, delay=0.73, delays=0.29/0.16/0.06/0.21, dsn=5.2.2, status=bounced (host mx1.free.fr[212.27.48.6] said: 550 5.2.2 user quota exceeded (in reply to RCPT TO command)) Nov 20 08:06:28 xxx postfix/smtp[19808]: EC3482F18A0: relay=mx1.free.fr[212.27.48.7]:25, delay=0.33, delays=0.06/0.1/0.07/0.1, dsn=5.2.2, status=bounced (host mx1.free.fr[212.27.48.7] said: 552 5.2.2 user quota exceeded (UserSearch) (in reply to RCPT TO command)) Nov 20 08:06:35 xxx postfix/smtp[19536]: 0E08F2F2023: relay=mx1.free.fr[212.27.48.6]:25, delay=0.62, delays=0.01/0.4/0.06/0.15, dsn=5.2.2, status=bounced (host mx1.free.fr[212.27.48.6] said: 552 5.2.2 user quota exceeded (UserSearch) (in reply to RCPT TO command)) Nov 20 08:06:47 xxx postfix/smtp[19548]: 4818A2F2028: relay=mx1.free.fr[212.27.48.7]:25, delay=0.27, delays=0.13/0.04/0.06/0.04, dsn=5.2.2, status=bounced (host mx1.free.fr[212.27.48.7] said: 552 5.2.2 user quota exceeded (UserSearch) (in reply to RCPT TO command)) Nov 20 08:07:35 xxx postfix/smtp[19831]: 3EC9C2F2042: relay=mx1.free.fr[212.27.48.7]:25, delay=0.42, delays=0.05/0.27/0.05/0.05, dsn=5.2.2, status=bounced (host mx1.free.fr[212.27.48.7] said: 552 5.2.2 user quota exceeded (UserSearch) (in reply to RCPT TO command)) Nov 20 08:07:51 xxx postfix/smtp[19765]: B1EBB2F20A8: relay=mx1.free.fr[212.27.48.6]:25, delay=0.26, delays=0.05/0.02/0.05/0.14, dsn=5.2.2, status=bounced (host mx1.free.fr[212.27.48.6] said: 550 5.2.2 user quota exceeded (in reply to RCPT TO command)) Nov 20 08:07:54 xxx postfix/smtp[19748]: BC35C2F3007: relay=mx1.free.fr[212.27.48.7]:25, delay=0.28, delays=0.03/0.07/0.06/0.13, dsn=5.2.2, status=bounced (host mx1.free.fr[212.27.48.7] said: 550 5.2.2 user quota exceeded (in reply to RCPT TO command)) Nov 20 08:08:12 xxx postfix/smtp[19748]: 0167B2F3007: relay=mx1.free.fr[212.27.48.7]:25, conn_use=3, delay=1.3, delays=0.1/0.86/0.01/0.31, dsn=5.2.2, status=bounced (host mx1.free.fr[212.27.48.7] said: 550 5.2.2 user quota exceeded (in reply to RCPT TO command)) Nov 20 08:08:23 xxx postfix/smtp[19887]: 78C982F3059:
Re: [FRnOG] [ALERT] de nombreux bounce depuis les mx de free
Hello, Le 20/11/2013 12:27, Alexandre a écrit : Bonjour à tous, Voici le contexte en quelques mots. Suite à l'inscription d'un client sur notre site, nous lui envoyons en document en PJ. Nous n'avions pas de problème jusqu'ici, mais depuis ce matin, les mx de free nous rejettent avec un 550 5.2.2 user quota exceeded (in reply to RCPT TO command)). Avez-vous le même problème ? Non. Si cela est un problème isolé, comment puis-je le corriger ? Ca ressemble a des mails qui sont pas vidés par ignorance ou simplement des boites mails oubliés. J'ai un mail loop qui tourne toutes les 10 minutes (en journée) sur mon infra qui essaye d'envoyer a un mail perso chez free = pas de pb. Donc je pense que tu as 2 possiblités : o les adresses mails sont fausses, oubliés, ou ultra spammées o ton serveur de mail fais partie des serveurs de mails qui envoient trop de mail chez free et tu es dans une liste grise chez eux (voir threads de il y a quelques mois : comment être sympa avec les mx de free / hotmail / yahoo?). Xavier -- Xavier Beaudouin --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] de nombreux bounce depuis les mx de free
Merci Xavier pour ton retour, Je suis allé faire un tour sur http://mxtoolbox.com/ pour voir si mon mx était blacklisté. J'ai rien eu en retour, cela doit être un problème spécifique avec free. je vais regarder le threads que tu m'as indiqué. Merci. Alexandre. On 20/11/13 12:34, Xavier Beaudouin wrote: Hello, Le 20/11/2013 12:27, Alexandre a écrit : Bonjour à tous, Voici le contexte en quelques mots. Suite à l'inscription d'un client sur notre site, nous lui envoyons en document en PJ. Nous n'avions pas de problème jusqu'ici, mais depuis ce matin, les mx de free nous rejettent avec un 550 5.2.2 user quota exceeded (in reply to RCPT TO command)). Avez-vous le même problème ? Non. Si cela est un problème isolé, comment puis-je le corriger ? Ca ressemble a des mails qui sont pas vidés par ignorance ou simplement des boites mails oubliés. J'ai un mail loop qui tourne toutes les 10 minutes (en journée) sur mon infra qui essaye d'envoyer a un mail perso chez free = pas de pb. Donc je pense que tu as 2 possiblités : o les adresses mails sont fausses, oubliés, ou ultra spammées o ton serveur de mail fais partie des serveurs de mails qui envoient trop de mail chez free et tu es dans une liste grise chez eux (voir threads de il y a quelques mois : comment être sympa avec les mx de free / hotmail / yahoo?). Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] de nombreux bounce depuis les mx de free
Bonjour, Es-tu sûr que la boite mail du destinataire n'est pas pleine (quota d'espace disque) ? 550 5.2.2 user quota exceeded : les codes erreur de serveurs smtp vont toujours droit au but. Cordialement, Nathan Le 20 novembre 2013 12:45, Alexandre in...@opendoc.net a écrit : Merci Xavier pour ton retour, Je suis allé faire un tour sur http://mxtoolbox.com/ pour voir si mon mx était blacklisté. J'ai rien eu en retour, cela doit être un problème spécifique avec free. je vais regarder le threads que tu m'as indiqué. Merci. Alexandre. On 20/11/13 12:34, Xavier Beaudouin wrote: Hello, Le 20/11/2013 12:27, Alexandre a écrit : Bonjour à tous, Voici le contexte en quelques mots. Suite à l'inscription d'un client sur notre site, nous lui envoyons en document en PJ. Nous n'avions pas de problème jusqu'ici, mais depuis ce matin, les mx de free nous rejettent avec un 550 5.2.2 user quota exceeded (in reply to RCPT TO command)). Avez-vous le même problème ? Non. Si cela est un problème isolé, comment puis-je le corriger ? Ca ressemble a des mails qui sont pas vidés par ignorance ou simplement des boites mails oubliés. J'ai un mail loop qui tourne toutes les 10 minutes (en journée) sur mon infra qui essaye d'envoyer a un mail perso chez free = pas de pb. Donc je pense que tu as 2 possiblités : o les adresses mails sont fausses, oubliés, ou ultra spammées o ton serveur de mail fais partie des serveurs de mails qui envoient trop de mail chez free et tu es dans une liste grise chez eux (voir threads de il y a quelques mois : comment être sympa avec les mx de free / hotmail / yahoo?). Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] de nombreux bounce depuis les mx de free
On m'a fait la remarque en privé, J'aurais donc 181 clients avec une boite pleine ? ca me semble étrange, non ? Alexandre. On 20/11/13 13:00, Nathan Anthonypillai wrote: Bonjour, Es-tu sûr que la boite mail du destinataire n'est pas pleine (quota d'espace disque) ? 550 5.2.2 user quota exceeded : les codes erreur de serveurs smtp vont toujours droit au but. Cordialement, Nathan Le 20 novembre 2013 12:45, Alexandre in...@opendoc.net mailto:in...@opendoc.net a écrit : Merci Xavier pour ton retour, Je suis allé faire un tour sur http://mxtoolbox.com/ pour voir si mon mx était blacklisté. J'ai rien eu en retour, cela doit être un problème spécifique avec free. je vais regarder le threads que tu m'as indiqué. Merci. Alexandre. On 20/11/13 12:34, Xavier Beaudouin wrote: Hello, Le 20/11/2013 12:27, Alexandre a écrit : Bonjour à tous, Voici le contexte en quelques mots. Suite à l'inscription d'un client sur notre site, nous lui envoyons en document en PJ. Nous n'avions pas de problème jusqu'ici, mais depuis ce matin, les mx de free nous rejettent avec un 550 5.2.2 user quota exceeded (in reply to RCPT TO command)). Avez-vous le même problème ? Non. Si cela est un problème isolé, comment puis-je le corriger ? Ca ressemble a des mails qui sont pas vidés par ignorance ou simplement des boites mails oubliés. J'ai un mail loop qui tourne toutes les 10 minutes (en journée) sur mon infra qui essaye d'envoyer a un mail perso chez free = pas de pb. Donc je pense que tu as 2 possiblités : o les adresses mails sont fausses, oubliés, ou ultra spammées o ton serveur de mail fais partie des serveurs de mails qui envoient trop de mail chez free et tu es dans une liste grise chez eux (voir threads de il y a quelques mois : comment être sympa avec les mx de free / hotmail / yahoo?). Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] de nombreux bounce depuis les mx de free
On 11/20/2013 01:04 PM, Alexandre wrote: On m'a fait la remarque en privé, J'aurais donc 181 clients avec une boite pleine ? ca me semble étrange, non ? Pas plus que le postmaster qui, en matant la liste que tu lui a envoyé, retrouve des adresses qui ont été supprimées il y a plusieurs années, d'autres qui n'ont jamais existées, des boites qui ne sont plus utilisées depuis plusieurs années et des boites overquotas qui ne sont plus consultées depuis plusieurs semaines/mois. Ce serait bien de gérer proprement la base de mailing. Genre double-optin à l'inscription, suppression rapide des boites mails qui bouncent sur des user unknown (5.1.1) et suppression lente des boites mails qui bouncent sur des over-quotas/inactivité (5.2.2/5.2.1). François --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] de nombreux bounce depuis les mx de free
Bonjour, Alors toutes mes excuses, le problème viendrait de notre base. Ja vais donc demander à faire du nettoyage et arrêter de déranger le liste FRnOG. Merci de votre retour. Alexandre. On 20/11/13 13:23, Francois Petillon wrote: On 11/20/2013 01:04 PM, Alexandre wrote: On m'a fait la remarque en privé, J'aurais donc 181 clients avec une boite pleine ? ca me semble étrange, non ? Pas plus que le postmaster qui, en matant la liste que tu lui a envoyé, retrouve des adresses qui ont été supprimées il y a plusieurs années, d'autres qui n'ont jamais existées, des boites qui ne sont plus utilisées depuis plusieurs années et des boites overquotas qui ne sont plus consultées depuis plusieurs semaines/mois. Ce serait bien de gérer proprement la base de mailing. Genre double-optin à l'inscription, suppression rapide des boites mails qui bouncent sur des user unknown (5.1.1) et suppression lente des boites mails qui bouncent sur des over-quotas/inactivité (5.2.2/5.2.1). François --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Interco BGP sur subnet RFC1918 : on en est arrivé là ?
Plop, Je suis en train de monter un transit pour multihommer un client, et son autre transitaire m'a donné un /31 en 172.17 sans y voir le moindre problème. Je sais bien que c'est la crse qu'il n'y a plus d'adresses, mais j'ai pas l'intention de voir du RFC1918 dans le traceroute d'un de mes réseaux. Ca vous parrait normal ? Acceptable de la part d'un T2 renommé ? @+ -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Demande de miracle auprès du postmaster d'orange
Bonjourla liste, Pour continuer sur la thématique lancée par Alexandre voilà un sujet sur lequel j'espère un miracle. Une connaissance résilie courant 2013 son contrat ADSL Pro chez Orange auquel est attaché un nom de domaine et une messagerie et part chez le Bétonneur, qui lui fourgue une ADSL, de la téléphonie et du forfait pour sa flotte GSM. Septembre 2013 : Probablement à la fin de l'expiration du NdD, la messagerie tombe : Je l'invite à sortir son NdD de chez Nordnet (lié à son abonnement ADSL pro). Octobre2013 : Il m'appelle pour me dire que le domaine est transféré chez le Betonneur, mais que les MX ne marchent pas. : Je l'invite à transférer son nom de domaine chez Gandi. Zut j'aurais dû lui dire plus tot. Novembre2013 : Le NdD est chez Gandi, et là les ennuis commences depuis le réseau Orange. Le comportement est le suivant (info : arn...@ledomaine.fr existait du temps d'Orange) : - Un mail depuis n'importe quel autre réseau que celui d'orange a destination de arn...@ledomaine.fr arrive (recetté chez nous, ailleurs, chez gmail, gandi, etc) - Un mail depuis le réseau orange à destination de arn...@ledomaine.fr n'arrive pas et l'envoyeur recoit une sorte de bounce sans code d'erreur indiquant : host back15-mail02-02.me-wanadoo.net said: Recipient has no rights to receive email - J'ouvre un ticket chez Gandi, et le retour est sans appel : le mail n'arrive pas sur les serveurs Gandi - Etonnament, je créé un compte e...@ledomaine.fr chez Gandi, et depuis une connexion orange, le mail arrive sans soucis. - Pour valider le fait que les caches DNS d'orange sont bien à jour et que le MX tombe bien là où lui dit plutot que chez orange, je modifie le MX pour qu'il tombe non pas chez Gandi mais sur l'un de nos SMTP. Et aussi pour vérifier aussi ce que Gandi affirme. Résultats : - Un mail envoyé depuis orange vers arnaud@ : pas de connexion d'orange arrivant sur le smtp, et bounce en retour : Recipient has no rights to receive email - Un mail envoyé depuis orange vers eric@ : connexion orange OK sur notre postfix. - Comme GANDI, on remarque le même comportement. On n'est pas face à un problème de cache DNS mal purgé : uniquement les comptes pop existants avant la migration du domaine sont impactés. On dirait que le smtp d'orange inspecte le mail pour voir s'il connait le compte. S'il le connait, il se retourne vers une bestiole qui n'est pas renseigné dans le MX et qui déclanche le bounce, s'il ne le connait pas, il délivre bien au MX renseigné dans le DNS. Quelqu'un a un avis pour déclencher un miracle ? PS : Retour du support orange : le problème n'est pas chez nous. Cordialement, Eric ROLLAND AS42929 - RE515-RIPE *Artefact communication interactive* | Bat. Artechnopole - 3 rue des Frères Goncourt - 19100 BRIVE | Tel 0555 17 29 29 | Fax 0957 33 00 33 SARL au capital de 50.000 Euros - RCS BRIVE 444 110 936 | NAF 7311Z | TVA Intracom FR87444110936 | ORG-ARTE2-RIPE - PGPKEY-32DDEF07 *artefact *Communication Interactive www.artefact.fr http://www.artefact.fr*artewan* Opérateur de réseaux et de services www.artewan.fr http://www.artewan.fr *arteone* Datacenter, Informatique Services IT www.arteone.fr http://www.arteone.fr --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Interco BGP sur subnet RFC1918 : on en est arrivé là ?
Alors déjà qu'ils te donnent un subnet RFC1918, je trouve ca limite... Ensuite, qu'ils te donnent un /31, ca en devient même risible :-) Perso, je n'accepte déjà pas de RFC1918 dans mon IGP, alors sur un subnet d'interco avec l'extérieur, c'est juste no way ! -- Clément Cavadore On Wed, 2013-11-20 at 14:47 +0100, Jérôme Nicolle wrote: Plop, Je suis en train de monter un transit pour multihommer un client, et son autre transitaire m'a donné un /31 en 172.17 sans y voir le moindre problème. Je sais bien que c'est la crse qu'il n'y a plus d'adresses, mais j'ai pas l'intention de voir du RFC1918 dans le traceroute d'un de mes réseaux. Ca vous parrait normal ? Acceptable de la part d'un T2 renommé ? @+ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Interco BGP sur subnet RFC1918 : on en est arrivé là ?
+1 On 20 Nov 2013, at 14:53, Clement Cavadore clem...@cavadore.net wrote: Alors déjà qu'ils te donnent un subnet RFC1918, je trouve ca limite... Ensuite, qu'ils te donnent un /31, ca en devient même risible :-) Perso, je n'accepte déjà pas de RFC1918 dans mon IGP, alors sur un subnet d'interco avec l'extérieur, c'est juste no way ! -- Clément Cavadore On Wed, 2013-11-20 at 14:47 +0100, Jérôme Nicolle wrote: Plop, Je suis en train de monter un transit pour multihommer un client, et son autre transitaire m'a donné un /31 en 172.17 sans y voir le moindre problème. Je sais bien que c'est la crse qu'il n'y a plus d'adresses, mais j'ai pas l'intention de voir du RFC1918 dans le traceroute d'un de mes réseaux. Ca vous parrait normal ? Acceptable de la part d'un T2 renommé ? @+ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Interco BGP sur subnet RFC1918 : on en est arrivé là ?
Le 20/11/2013 14:54, Raphael Maunier a écrit : +1 On 20 Nov 2013, at 14:53, Clement Cavadore clem...@cavadore.net wrote: Perso, je n'accepte déjà pas de RFC1918 dans mon IGP, alors sur un subnet d'interco avec l'extérieur, c'est juste no way ! On Wed, 2013-11-20 at 14:47 +0100, Jérôme Nicolle wrote: j'ai pas l'intention de voir du RFC1918 dans le traceroute d'un de mes réseaux. J'ai tendance à penser comme vous trois, mais j'aimerais tout de même connaître vos raisons. -- Simon. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Interco BGP sur subnet RFC1918 : on en est arrivé là ?
Le 20/11/2013 14:53, Clement Cavadore a écrit : Ensuite, qu'ils te donnent un /31, ca en devient même risible Non, ça à la limite, ça me va, toutes mes machines savent s'en servir, et c'est efectivement un bon moyen de ne pas gaspiller des ressources. C'est juste que du subnet privé dans la VRF Internet, WTF quoi... Ca me ferait chier de devoir modifier toutes mes route-map standard pour ça. -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Interco BGP sur subnet RFC1918 : on en est arrivé là ?
On 20.11.2013 14:47, Jérôme Nicolle wrote: Plop, Je suis en train de monter un transit pour multihommer un client, et son autre transitaire m'a donné un /31 en 172.17 sans y voir le moindre problème. Je sais bien que c'est la crse qu'il n'y a plus d'adresses, mais j'ai pas l'intention de voir du RFC1918 dans le traceroute d'un de mes réseaux. Ca vous parrait normal ? Acceptable de la part d'un T2 renommé ? @+ ca mérite le fouet en place publique ;-) des noms !! --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Interco BGP sur subnet RFC1918 : on en est arrivé là ?
Le 20/11/2013 14:57, Simon Morvan a écrit : J'ai tendance à penser comme vous trois, mais j'aimerais tout de même connaître vos raisons. Le principe des IP définie comme privées dans la RFC1918 est qu'elle ne doivent pas apparaitre sur Internet. De ce fait, on ne dois pas accepter de routes pour ces préfixes, ni même les forwarder dans la GRT ou la VRF qui porte des routes publiques. Les deux son théoriquement sensées rester à part. Sur un réseau bien tenu, tu devrais même dropper les paquets ayant pour source ou destination une telle adresse, sans même y réflechir, en ingress sur tous les ports (hors VRF privées) de ton réseau. Du coup, avec un ensemble de ficelles de configuration toutes prêtes intégrant tous les filtres pour respecter cette convention, ainsi que quelques règles de sécurité courantes, alors ça oblige à reprendre pas mal de prefix-list et d'ACL pour pouvoir utiliser un tel prefixe et abandonner la convention. Bon, ce n'est qu'une convention, les IP RFC1918 ne sont pas fondamentalement avariées, mais si on commence à ne plus respecter les règles qui font Internet, qu'est ce qui va nous tomber dessus ensuite ? Au diable les RIR, on se sert dans le pool ? Ca m'inquiette vraiment que certains d'entre nous prennent ce genre de libertés alors qu'on est tous sensés resserer la vis pour consolider un réseau de plus en plus critique... -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Interco BGP sur subnet RFC1918 : on en est arrivé là ?
En 2005, pour de l'accès simple par fibre, lors d'un déménagement, un opérateur dont le nom commence par C m'avait imposé un /30 d'interco similaire sur le nouveau site. Il y a combien de lettres dans le nom de ton opérateur ? :) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Interco BGP sur subnet RFC1918 : on en est arrivé là ?
Le 20/11/2013 15:10, Raphaël Jacquot a écrit : des noms !! Ne crois pas que je sois une balance ! Et puis c'est pas comme s'il était le seul On a tous fait des erreurs, hein ;) @+ -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Interco BGP sur subnet RFC1918 : on en est arrivé là ?
Tien, fait-ça : mtr 81.28.194.51 On ne dois pas accepter de routes pour ces préfixes, ni même les forwarder dans la GRT Y'a une différence entre accepter des routes RFC1918, et utiliser des IP RFC1918. Dans le cas d'une session BGP, tu peux être connecté directement à ton peer; Et dans ce cas, l'utilisation d'IP RFC1918 me parait une bonne utilisation. Bon, j'avoue, il ne faut pas généraliser ce genre de choses (les traceroutes sont moches !); Utilisé avec parcimonie, cela ne me choque pas; -- UNIX was not designed to stop its users from doing stupid things, as that would also stop them from doing clever things. – Doug Gwyn Trouve un travail qui te plaît et plus jamais tu ne travailleras Confucius Celui qui échange la liberté contre la sécurité ne mérite ni l'une ni l'autre et perdra les deux Thomas Jefferson On 20/11/2013 15:13, Baptiste Malguy wrote: En 2005, pour de l'accès simple par fibre, lors d'un déménagement, un opérateur dont le nom commence par C m'avait imposé un /30 d'interco similaire sur le nouveau site. Il y a combien de lettres dans le nom de ton opérateur ? :) --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Interco BGP sur subnet RFC1918 : on en est arrivé là ?
Le 2013-11-20 15:12, Jérôme Nicolle a écrit : Le 20/11/2013 14:57, Simon Morvan a écrit : J'ai tendance à penser comme vous trois, mais j'aimerais tout de même connaître vos raisons. Le principe des IP définie comme privées dans la RFC1918 est qu'elle ne doivent pas apparaitre sur Internet. C'est du à la raréfaction des ipv4 publiques. Même chez des gros ayant des noms d'agrume, cela se voit. Manquent d'ipv4 eux sans doute. Il aurait pu te filer une interco en ipv6 publique en /127 :) -- Pascal Rullier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Demande de miracle auprès du postmaster d'orange
Le 20/11/2013 14:50, Eric ROLLAND a écrit : Bonjourla liste, Bonjour, [...] Le comportement est le suivant (info : arn...@ledomaine.fr existait du temps d'Orange) : - Un mail depuis n'importe quel autre réseau que celui d'orange a destination de arn...@ledomaine.fr arrive (recetté chez nous, ailleurs, chez gmail, gandi, etc) - Un mail depuis le réseau orange à destination de arn...@ledomaine.fr n'arrive pas et l'envoyeur recoit une sorte de bounce sans code d'erreur indiquant : host back15-mail02-02.me-wanadoo.net said: Recipient has no rights to receive email - J'ouvre un ticket chez Gandi, et le retour est sans appel : le mail n'arrive pas sur les serveurs Gandi - Etonnament, je créé un compte e...@ledomaine.fr chez Gandi, et depuis une connexion orange, le mail arrive sans soucis. - Pour valider le fait que les caches DNS d'orange sont bien à jour et que le MX tombe bien là où lui dit plutot que chez orange, je modifie le MX pour qu'il tombe non pas chez Gandi mais sur l'un de nos SMTP. Et aussi pour vérifier aussi ce que Gandi affirme. Résultats : - Un mail envoyé depuis orange vers arnaud@ : pas de connexion d'orange arrivant sur le smtp, et bounce en retour : Recipient has no rights to receive email - Un mail envoyé depuis orange vers eric@ : connexion orange OK sur notre postfix. - Comme GANDI, on remarque le même comportement. On n'est pas face à un problème de cache DNS mal purgé : uniquement les comptes pop existants avant la migration du domaine sont impactés. On dirait que le smtp d'orange inspecte le mail pour voir s'il connait le compte. S'il le connait, il se retourne vers une bestiole qui n'est pas renseigné dans le MX et qui déclanche le bounce, s'il ne le connait pas, il délivre bien au MX renseigné dans le DNS. Quelqu'un a un avis pour déclencher un miracle ? Ca s'expliquerait facilement si les relais d'Orange ont gardé le domaine dans la liste des domaines gérés par eux (sous postfix : relay_domains ou virtual_alias_domains / virtual_mailbox_domains). En tout cas, je pense qu'il faut que tu les contactent, mais je sais, ça ne va pas être facile de trouver le bon interlocuteur... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Interco BGP sur subnet RFC1918 : on en est arrivé là ?
Le Wed, Nov 20, 2013 at 03:23:29PM +0100, Alexandre Bruyelles [alexandre.bruyel...@gmail.com] a écrit: Tien, fait-ça : mtr 81.28.194.51 On ne dois pas accepter de routes pour ces préfixes, ni même les forwarder dans la GRT Y'a une différence entre accepter des routes RFC1918, et utiliser des IP RFC1918. Dans le cas d'une session BGP, tu peux être connecté directement à ton peer; Et dans ce cas, l'utilisation d'IP RFC1918 me parait une bonne utilisation. Sauf que ça (peut) finit(r) par transpirer de près ou de loin dans l'IGP. Et ce que Jerome indique (dans un autre bout du fil), c'est qu'il filtrer tout ce qui ressemble à du RFC1918 dans la partie du réseau qui parle ip publique. -- Dominique Rousseau Neuronnexion, Prestataire Internet Intranet 21 rue Frédéric Petit - 8 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Interco BGP sur subnet RFC1918 : on en est arrivé là ?
Le 2013-11-20 08:47, Jérôme Nicolle a écrit : Je suis en train de monter un transit pour multihommer un client, et son autre transitaire m'a donné un /31 en 172.17 sans y voir le moindre problème. Quid d'une interco en 169.254/16? Simon -- DTN made easy, lean, and smart -- http://postellation.viagenie.ca NAT64/DNS64 open-source-- http://ecdysis.viagenie.ca STUN/TURN server -- http://numb.viagenie.ca --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Interco BGP sur subnet RFC1918 : on en est arrivé là ?
Le 20/11/2013 15:39, Dominique Rousseau a écrit : Sauf que ça (peut) finit(r) par transpirer de près ou de loin dans l'IGP. Plus exactement ça DOIT transpirer dans mon cas, mes ASBR ne sont pas next-hop-self coté iBGP, ce qui implique que les subnets d'intercos sont dans mon IGP. J'ai été obligé de faire ça car le CPU asthmatique d'une SUP720 a trop de mal à baculer toutes les routes rapidement en cas de perte d'un lien entre un ASBR et un autre speaker iBGP. @+ -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Que faire d'une liste de PCs infectés ?
On Tue, 19 Nov 2013 16:36:34 +0100 Manuel Guesdon ml+fr...@oxymium.net wrote: | On Tue, 19 Nov 2013 14:12:15 +0100 | Manuel Guesdon ml+fr...@oxymium.net wrote: | | Bonjour, | | | | Une de nos IPs est codé dans Trojan-PSW.Win32.Tepfer.sm. | | Du coup on collecte des 10aines de milliers d'IPs correspondants à des | | connections de PCs infectés aux 4 coins de la planete. | | Question: qu'en faire ? | | Spamhaus XBL par exemple n'autorise pas la soumission d'IPs: | | http://www.spamhaus.org/faq/section/Spamhaus%20XBL#96 | | Comme cela semble intéresser, la liste des IPs de la journée passée sera dispo | ici vers 1h: | http://webadmin.oxymium.net/Trojan-PSW.Win32.Tepfer.sm/-MM-DD | exemple: | http://webadmin.oxymium.net/Trojan-PSW.Win32.Tepfer.sm/2013-11-18 | pour les IPs d'hier. | | De façon plus précise, c'est la liste des IPs blacklistées pour cause d'envoi | de données à un serveur SMTP avant que celui-ci n'envoit sa bannière. Dit | autrement: les IPs qui essaient de bourriner le smtpd en se f* du résultat. | Ces IPs seront uniques sur 7 jours a partir d'après-demain. Vu le nombre de téléchargements ca intéresse :-) En plus des fichiers journaliers d'IPs, on génére maintenant vers 10 de chaque heure un fichier des IPs de l'heure précédente avec la date (UTC): http://webadmin.oxymium.net/Trojan-PSW.Win32.Tepfer.sm/-MM-DD_HH.timestamped par example: http://webadmin.oxymium.net/Trojan-PSW.Win32.Tepfer.sm/2013-11-20_15.timestamped contient les données du 20/11 de 15h to 15:59 (UTC) sous la forme: Date[TAB]IP Manuel -- __ Manuel Guesdon - OXYMIUM --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Interco BGP sur subnet RFC1918 : on en est arrivé là ?
On Wed, Nov 20, 2013, at 14:57, Simon Morvan wrote: J'ai tendance à penser comme vous trois, mais j'aimerais tout de même connaître vos raisons. Le mien: RFC1918 = PRIVE, donc pas partage avec des entites externes. Maintenant, le pilote automatique ivre (qui est un peu par tout) n'est pas tout a fait du meme avis; pour lui les 10/8, 172.16/12 et 192.168/16 sont juste les addresses securises, car pas sur le grand mechant Internet. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Interco BGP sur subnet RFC1918 : on en est arrivé là ?
On Wed, Nov 20, 2013, at 15:23, Alexandre Bruyelles wrote: Dans le cas d'une session BGP, tu peux être connecté directement à ton peer; Et dans ce cas, l'utilisation d'IP RFC1918 me parait une bonne utilisation. Sur une interco tout autre que BGP, ca peut etre techiquement possible (ca reste quand-meme un TRES mauvaise idee), mais pour une interco BGP c'est juste pas envisageable (Hint: BGP next-hop). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Interco BGP sur subnet RFC1918 : on en est arrivé là ?
On Wed, Nov 20, 2013, at 15:49, Simon Perreault wrote: Quid d'une interco en 169.254/16? Pour une interco BGP, c'est la meme histoire avec toute addresse qui n'est pas globalement unique. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Que faire d'une liste de PCs infectés ?
Manuel Guesdon a écrit: Vu le nombre de téléchargements ca intéresse :-) Ce qui serait sympa ca serait un feed BGP du genre fullbogons, qui annonce ces adresses et qu'on pourrait blackholer directement sur certains routeurs. En d'autre termes, un route-server de PC infectés. Quelque chose comme http://www.spamhaus.org/bgpf/, mais gratuit :P Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Que faire d'une liste de PCs infectés ?
Ce qui serait sympa ca serait un feed BGP du genre fullbogons, qui annonce ces adresses et qu'on pourrait blackholer directement sur certains routeurs. En d'autre termes, un route-server de PC infectés. Questions en rapport indirect avec le sujet initial : - lorsqu'on blacklist une IP derrière laquelle se trouve une machine réputée infectée, combien de temps garde-t-on le flag vérolé ? la machine peut finir par être être remplacée ou le windows réinstallé par le neveu-qui-s-y-connait-bien-en- informatique. - quelles sont les pratiques en cours actuellement concernant IPv6 ? on bloque tout un range, au risque d'impacter des machines saines derrière le même routeur, ou c'est individuel ? (ou bin ça dépends) Le 20 novembre 2013 21:31, Michel Py mic...@arneill-py.sacramento.ca.us a écrit : Manuel Guesdon a écrit: Vu le nombre de téléchargements ca intéresse :-) Ce qui serait sympa ca serait un feed BGP du genre fullbogons, qui annonce ces adresses et qu'on pourrait blackholer directement sur certains routeurs. En d'autre termes, un route-server de PC infectés. Quelque chose comme http://www.spamhaus.org/bgpf/, mais gratuit :P Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Manu Bourguin / Thy --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Interco BGP sur subnet RFC1918 : on en est arrivé là ?
Le 20/11/2013 15:12, Jérôme Nicolle a écrit : Le principe des IP définie comme privées dans la RFC1918 est qu'elle ne doivent pas apparaitre sur Internet. De ce fait, on ne dois pas accepter de routes pour ces préfixes, ni même les forwarder dans la GRT ou la VRF qui porte des routes publiques. Les deux son théoriquement sensées rester à part. Sur un réseau bien tenu, tu devrais même dropper les paquets ayant pour source ou destination une telle adresse, sans même y réflechir, en ingress sur tous les ports (hors VRF privées) de ton réseau. Du coup, avec un ensemble de ficelles de configuration toutes prêtes intégrant tous les filtres pour respecter cette convention, ainsi que quelques règles de sécurité courantes, alors ça oblige à reprendre pas mal de prefix-list et d'ACL pour pouvoir utiliser un tel prefixe et abandonner la convention. Bon, ce n'est qu'une convention, les IP RFC1918 ne sont pas fondamentalement avariées, mais si on commence à ne plus respecter les règles qui font Internet, qu'est ce qui va nous tomber dessus ensuite ? Au diable les RIR, on se sert dans le pool ? Ca m'inquiette vraiment que certains d'entre nous prennent ce genre de libertés alors qu'on est tous sensés resserer la vis pour consolider un réseau de plus en plus critique... Sur le principe on est tous d'accord q'une interco BGP en rfc1918 c'est juste abusé. (meme si techniquement faisable, j'ai du mal à croire que l'opérateur en question soit à deux @IP prés). Après il y a le débat de melanger des IP rfc1918 et des publiques dans la table de routage Internet. C'est laid on est d'accord, mais cela amène parfois a plus de complexité , aka multiplier les vrf(s)/routing instance. Je ne suis pas dogmatique sur la question, tant que tu filtre correctement en sortie. Et la dernière grande question existentielle : comment tu construis ton IGP ? est ce que l'adressage de ton core doit il être en @IP publique ? Évidement que ça parait bien, mais mine de rien, même sur un petit réseau cela fait du gaspillage pour respecter une convention. Une solution : construire son core en IPV6 :) PS : Malheureusement certain en sont rendus à faire des économies de bout de chandelles. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Demande de miracle auprès du postmaster d'orange
Le 20/11/2013 15:38, Gilles Mocellin a écrit : En tout cas, je pense qu'il faut que tu les contactent, mais je sais, ça ne va pas être facile de trouver le bon interlocuteur... Bonjour, Merci pour ce retour... J'implorais un miracle ! Savoir que le gus va devoir réexpliquer tout ca à trente personnes (en cascadant s'il a de la chance) est pour moi un vrai calvaire. J'ai aussi peine à croire qu'orange ne nettoie pas ses confs au bout de 2 mois... Les conf d'orange ne sont pas mécaniques ;-) PS: Si quelqu'un a déjà vécu la même situation, uncalvaire mutualisé est possible. Contact par mail uniquement, sauf depuis ce réseau. Cordialement, Eric ROLLAND AS42929 - RE515-RIPE *Artefact communication interactive* | Bat. Artechnopole - 3 rue des Frères Goncourt - 19100 BRIVE | Tel 0555 17 29 29 | Fax 0957 33 00 33 SARL au capital de 50.000 Euros - RCS BRIVE 444 110 936 | NAF 7311Z | TVA Intracom FR87444110936 | ORG-ARTE2-RIPE - PGPKEY-32DDEF07 *artefact *Communication Interactive www.artefact.fr http://www.artefact.fr*artewan* Opérateur de réseaux et de services www.artewan.fr http://www.artewan.fr *arteone* Datacenter, Informatique Services IT www.arteone.fr http://www.arteone.fr Découvrez aussi Artechnopole http://www.artechnopole.fr, l'espace IT de la Corrèze --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Que faire d'une liste de PCs infectés ?
Michel, Avec ExaBGP, il est possible d'écrire ce logiciel très rapidement. Une interface web, avec une API REST, une base de donnée, et un petit script pour ExaBGP pour annoncer les mises a jours. Si il y a des gens qui sont partant pour le projet, je suis prêt a aider avec l'integration d'ExaBGP (et herberger le service si ca aide). Thomas On 20 Nov 2013, at 20:31, Michel Py mic...@arneill-py.sacramento.ca.us wrote: Manuel Guesdon a écrit: Vu le nombre de téléchargements ca intéresse :-) Ce qui serait sympa ca serait un feed BGP du genre fullbogons, qui annonce ces adresses et qu'on pourrait blackholer directement sur certains routeurs. En d'autre termes, un route-server de PC infectés. Quelque chose comme http://www.spamhaus.org/bgpf/, mais gratuit :P Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/ signature.asc Description: Message signed with OpenPGP using GPGMail
RE: [FRnOG] [TECH] Que faire d'une liste de PCs infectés ?
Thomas Mangin a écrit: Avec ExaBGP, il est possible d'écrire ce logiciel très rapidement. Une interface web, avec une API REST, une base de donnée, et un petit script pour ExaBGP pour annoncer les mises a jours. Si il y a des gens qui sont partant pour le projet, je suis prêt a aider avec l'integration d'ExaBGP (et herberger le service si ca aide). Plus on est de fous plus il y a de riz. Je peux beta-tester la config client avec du Cisco et possiblement Juniper (dangereux de me laisser y toucher), et aider pour la config du route-server. Faut avoir un AS ou convenir d'un AS privé et une communauté (des suggestions?) (*) Ca serait une bonne occasion de passer aux AS 32 bits, aussi. Manuel, combien de PCs dans ta liste? Michel. (*) pas 65532, c'est le mien :P 4242424242 il est à moi aussi, na. éviter 65333 et 65332 aussi, Team Cymru s'en sert. 65432 je connais des gens qui s'en servent. Faudrait un registre des AS privés Pour la communauté, on pourrait prendre AS:666 :-D --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Interco BGP sur subnet RFC1918 : on en est arrivé là ?
Raphael Mazelier écrit: PS : Malheureusement certain en sont rendus à faire des économies de bout de chandelles. troll C'est là ou ceux qui ont joué à l'épicier depuis 15 ans se fendent la pipe. /troll Ceci étant dit, je ne suis pas d'accord avec toi. Il y a un acronyme pour ce genre de chose (les gens qui essaient de te donner une RFC1918 et bien d'autres) : SCPCP. Si Ca Passe Ca Passe. Tant que tu ne protestes pas, c'est bon. Faut arrêter les conneries, les adresses IPv4 ça se vend et ça s'achète, ce qui est acceptable pour vendre du CGN sur un mobile ou un abonnement résidentiel à pas cher ne l'est pas pour de l'interco BGP. Il y a assez d'IP pour te donner un /30 vu ce que tu paies pour le reste. J'ai une IP statique à la maison pour gratos, le vendeur de pompes usées qui essaie de te vendre une interco BGP avec une adresse privée, si t'es assez con pour dire oui c'est ton problème. Il te prend pour un con. SCPCP. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/