Re: [FRnOG] [TECH] envoi de mails depuis OBS
Hello, Maintenant que c'est fait :) Quelques éléments en complément : - Il s’agit bien d’un service bien ciblé uniquement les bals hébergées type Hosted Mail, donc des bals hébergées sur serveur mutualisé (ex bal liées aux fermes de serveurs smtp.fr.oleane.com devenu smtp.auth.orange-business.com, répondant au nom old-school smtpXX.msg.oleane.net) - Orange Business Services (donc pro sur périmètre France comprenant les ex-offres Oleane, ex-Transpac) et non Orange (résidentiel ou encore ex-wanadoo…) - il s’agit bien de supprimer le dispositif de POP before smtp qui introduisait dynamiquement l'IP en autorisation de relayage pendant quelques heures au profit du smtp-auth pour - la config tcp 587 avec auth via smtp.auth.orange-business.com est recommandée sur les guidelines depuis 5 ans au moins sur chaque prod. bien qu'il est facile de concevoirqu’il n’est pas tjrs simple de faire l’update des X Mailers sur un site client, en particulier lorsque l’on est un petit prestataire et pire encore si les postes sont dispatchés sur plusieurs sites en pleine période de pont... - pour le filtrage sur le domaine du mail from, depuis la généralisation du tcp 587 chez tous les opérateurs de services, cela me semble aussi normal vu du transporteur l'objectif est bien d'améliorer la QoS pour les clients en implémentant les BCP et améliorer l'IP réputation des mta concernés. j'en profite pour conseiller ce petit document assez bien fait et assez simple sur le mail et les bcp : https://www.m3aawg.org/sites/maawg/files/news/M3AAWG_Email_Authentication_Update-2015.pdf https://www.m3aawg.org/sites/maawg/files/news/M3AAWG_Email_Authentication_Update-2015.pdf Cyril Hlakkache Le 12 mai 2015 à 15:32, David Ponzone david.ponz...@gmail.com a écrit : Un SMTP relay qui filtre sur l’IP, c’est pas de l’OpenRelay. Après, il semble normal de contraindre les clients à envoyer les mails par le biais du serveur SMTP de celui qui leur fournit le domaine et le mail entrant. Sinon, c’est le pognon pour le fournisseur de mail et les emmerdes pour le FAI. Le problème c’est le timing qu’OBS tente d’imposer pour faire ce changement. Après des années à ne rien gérer, ils seraient normal qu’ils laissent au moins 6-12 mois aux clients pour faire la migration. Certains clients ne vont même pas comprendre le sens du mail d’Orange. Le 12 mai 2015 à 15:24, Bensay 1 bensam...@hotmail.com a écrit : Ça me paraît tout à fait normal a mon sens. L'OpenRelay non merci. Benjamin L Le 12 mai 2015 à 09:42, Marek HASSAN ma-has...@adventi.fr a écrit : Hello, Effectivement, un client nous à forwardé ce mail de la part d'OBS. Par contre c'est à partir d'aujourd'hui! Cher Client, Dans le cadre de notre plan de lutte contre le spam, Orange Business Services va procéder au renforcement de la sécurité sur la messagerie Hosted Mail. Ce renforcement se traduit par la nécessité pour chaque utilisateur de la messagerie de certifier son identité pour l’envoi de ses mails. Cette opération est à réaliser une seule fois par l’utilisateur en modifiant un paramétrage sur son client de messagerie (en validant l’authentification SMTP pour l’envoi de mails) conformément aux guides de configuration disponibles ci-après : Configuration Outlook 2013 : https://mbd.entreprises.fr.orange-business.com/nuxeo/site/p/download/hm/e7e28c5b-eb0b-496d-af0b-4e38932517bd/Outlook_2013_OBS.pdf Configuration Outlook 2010 : https://mbd.entreprises.fr.orange-business.com/nuxeo/site/p/download/hm/037eb799-f77f-4bee-a512-4ee587c1d26c/OBS_Outlook_2010.pdf Configuration Thunderbird (v31) : https://mbd.entreprises.fr.orange-business.com/nuxeo/site/p/download/hm/796bcfed-e471-4a57-b8da-6469a627b092/Thunderbird_OBS.pdf Cette configuration doit être effectuée au plus tard le 12 mai 2015, faute de quoi l’envoi de vos e-mails sera bloqué à cette date. Par ailleurs, si vous êtes l’administrateur informatique de la solution, merci de vous assurer que : -le port TCP 587 est ouvert -les adresses d’expédition que vous utilisez pour envoyer vos mails soient toutes hébergées chez Orange Business Services, via l’Espace Client Entreprise (tout mail avec une adresse non hébergée chez Orange Business Services sera rejeté) Vous trouverez toutes les informations utiles et les guides de configuration sur l’ Espace Client Entreprise accessible à l’administrateur. Marek -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Felix Defrance Envoyé : mardi 12 mai 2015 00:34 À : frnog@frnog.org Objet : Re: [FRnOG] [TECH] envoi de mails depuis OBS Le 11/05/2015 15:41, Oceanet - Cédric BASSAGET a écrit : Bonjour, Un de mes collègues vient d'avoir OBS au tel pour une histoire de mail. OBS lui a indiqué qu'à partir du 01/06/2015, les mails envoyés via leurs SMTP et dont le from n'est pas @orange (ou peut être une domaine géré
Re: [FRnOG] [MISC] Blacklist Proofpoint
Hello, ProofPoint a récupéré la RBL Sorbs par acquisition en 2011 de GFI Software. Probable qu’ils aient intégré cette blacklist dans leur solution. http://www.sorbs.net/general/about-SORBS.shtml http://www.sorbs.net/general/about-SORBS.shtml Cette RBL est relativement virulente, enfin du moins à l’époque de Matthew/Michelle Sullivan, qui doit tjrs être dans le coin. tu peux donc aussi te faire un check de ton IP src sur : http://www.sorbs.net/lookup.shtml http://www.sorbs.net/lookup.shtml ça peut aussi donner des indices Cyril Hlakkache Le 5 mai 2015 à 12:37, David Ponzone david.ponz...@gmail.com mailto:david.ponz...@gmail.com a écrit : Merci, j’ai pu avoir un contact technique qui va essayer de m’aider à contacter le support antispam. Le 5 mai 2015 à 09:50, Bruno LEAL DE SOUSA bruno.ld.so...@gmail.com mailto:bruno.ld.so...@gmail.com a écrit : Hello ! Dans ma boite, on utilise proofpoint pour filtrer les mails. Ils sont plustot bien je trouve. As-tu essayé de les contacter par téléphone : PARIS Proofpoint 23 Rue Balzac 75008 Paris France Tel +33 1 53 53 67 65 Fax +33 6 08 86 23 93 C'est le service commercial normalement qui va te répondre mais je pense ils pourront te transferer quelqu'un d'approprié. Est-ce que t'a fait un check sur tes entrées DNS pour les mails ? Souvent, si t'es pas bien carré la dessus, tu te fais black-lister. Tu peux le verifier via http://mxtoolbox.com/ http://mxtoolbox.com/ A+ Le 5 mai 2015 08:04, David Ponzone david.ponz...@gmail.com mailto:david.ponz...@gmail.com a écrit : Bonjour tout le monde, je m’excuse par avance car je suis légèrement hors-sujet sur FRNOG avec un problème de blacklist SMTP. Est-ce que quelqu’un a déjà eu affaire à Proofpoint ? Il semble que ce service, utilisé entre autres par Apple à priori, soit géré un peu n’importe comment. J’ai une IP blacklistée depuis peu, alors que d’après leur propre site, la dernière activité de spam qui en venait date d’il y a plus de 12 mois. Et au bout de 3 demandes de correction en utilisant leur formulaire, aucun retour. Même Microsoft est plus réactif. Si quelqu’un a un tuyau ou un contact sérieux chez eux pour remuer la boue… Merci --- Liste de diffusion du FRnOG http://www.frnog.org/ http://www.frnog.org/ -- Bruno LEAL DE SOUSA Administrateur Systèmes et Réseaux Co-fondateur et rédacteur de Bidouille-IT : http://bidouilleit.com http://bidouilleit.com/ « L'échec est le fondement de la réussite. » - Lao-Tseu --- Liste de diffusion du FRnOG http://www.frnog.org/ http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Reverse DNS à la charge du provider de l'IP ou du nom de domaine
Bsr Frnog, Je réagis juste pour ne pas laisser trop de fausse idées se propager. 1 - Oleane = OBS puisque l'histoire veut que cette belle pme est été intégrée à Transpac devenu OBS depuis 2 - OBS gère bien les reverses DNS des ranges IP dont il est le owner. C'est classique, c'est bien normal et c'est une activité quotidienne des équipes opérationnelles et c'est bien gratuit ! :) 3 - par défaut OBS sur le périmètre France, OBS gère ces zones reverse sur les serveurs DNS primaires et secondaires ns*.oleane.net ou bow.rain.fr / proof.rain.fr 4 - dans le cas du range en question : 185.14.179.0/24, le bloc a été effectivement alloué par un autre ISP qui a gentiment délégué la gestion technique des reverses chez OBS en informant les serveurs root via un update du whois ripe de la zone : 179.14.185.in-addr.arpa 5 - deux solutions d'offrent donc : 1 : OBS fait la mise à jour souhaité, 2 : le mt-by fait une mise à jour nserver pour pointer ailleurs domain: 179.14.185.in-addr.arpa descr: Reverse Delegation for CHR ORLEANS admin-c:YG1186-RIPE tech-c: AQ497-RIPE zone-c: AQ497-RIPE nserver:ns6.oleane.net nserver:ns7.oleane.net mnt-by: FWDNS-MNT source: RIPE # Filtered Je propose donc à Vincent G. qu'il me passe un coup de fil histoire que je le mette en relation avec les bonnes personnes pour que cette affaire de quelques secondes soient réglées. Cyril H. Le 26 août 2014 à 14:32, Vincent Galiano vincent.gali...@gmail.com a écrit : Un grand merci pour tous ces éléments. Avec ces éléments je vais recontacter les deux partis pour identifier lequel est le plus enclin à réaliser l'action attendue... « La vie n’est pas un long fleuve tranquille, c’est une montagne à gravir. (Charles Regimbeau) » Cordialement, Vincent GALIANO Le 26 août 2014 13:44, Anthony Bourguignon contact+ml.fr...@toniob.net a écrit : Le mardi 26 août 2014 à 12:36 +0200, Leslie-Alexandre DENIS a écrit : Le 26/08/2014 12:21, Thomas Lecomte a écrit : On Tue, Aug 26, 2014 at 12:17:27PM +0200, David Ponzone wrote: Ton fournisseur IP dit n'importe quoi. +1. Notre fournisseur d'IP s'occupe de nos entrées PTR, et ce indépendamment de notre registrar. Il peut mettre ce qu'il veut. Oui les PTR sont gérés par le détenteur du bloc IP, ici FirstWan, qui doit maintenir au minimum deux serveurs de noms gérant ces mêmes PTR. L'information doit au final être publique et dans la base du Ripe sous la forme d'entité 'NS' ou nameserver. En un mot c'est bien le fournisseur de transit/LIR qui gère cela. Mais rien ne l'empêche de déléguer les NS à quelqu'un d'autre pour une plage d'adresses. Et si les noms de domaines sont gérés par OBS, ça me semble plus logique qu'ils se chargent aussi des reverses. Ils peuvent le faire. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] RFC 7208: Sender Policy Framework (SPF) for Authorizing Use of Domains in Email, Version 1
Hello, intéressant ces échanges. Quoiqu'il en soit, SPF me semble tout de même intéressant comme concept, je me rappelle encore de Meng Weng Wong au sommet de sa gloire trônant au premier rang avec son pancho en 2006. Si nous demandons aux admins de mettre en oeuvre l'ensemble des dispositifs imaginés pour tenter de contenir les libertés de SMTP (Dave Crocker avait d'ailleurs donné une conférence qui s'appelait (je crois) si je savais tout ce que je sais maintenant, jamais je n'aurais fait SMTP comme ça. ... ça donne le ton, mais j'avoue m'être assoupi pendant ^^), nous nous retrouverions dans un espèce de *clash of clan* Internet :) ... du management du port 25 (soit du déploiement d'acl) au profit du 587 pour le service de MSA, en passant par SPF Vs SSID, puis DKIM ou encore DMARC auxquels on doit ajouter les classiques notation antispam, les Blacklist type RBL, le check du reverse DNS et enfin les dispositifs d'analyse comportementale, le tout saupoudré de DNSSEC et des discussions autours du MTA sur IPv6 Vs IPv4 ... nous pouvons arriver à un niveau de complexité assez ... intéressant et d'efficacité assez ... aléatoire. Concernant SPF, je m'étais arrêté pour ma part aux histoires des forward car les discussions m'avaient rapidement noyé dans un véritable spam :) Ce qui pourrait être utile à produire est une sorte de BCP (Best Commom Practices) d'assemblage efficace des ces dispositifs d'assainissement mail avec quelques stats à l'appuie pour aiguiller la communauté sur l'efficacité de l'implémentation et imbrication de tel ou tel *outil*. Travail qui me semble à première vue assez laborieux. Et dire que Atos avait prédit la fin de l'email ... http://www.silicon.fr/thierry-breton-atos-origin-le-mail-nest-plus-un-outil-approprie-desormais-44716.html puis : http://www.lemonde.fr/economie/article/2013/04/15/la-machine-arriere-d-atos-sur-l-ambition-zero-e-mail_3159874_3234.html et enfin reviennent avec un *zero mail concept*. Cyril H. --- Liste de diffusion du FRnOG http://www.frnog.org/