RE: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[GUEANT Vivien]

Bonjour,

Seuls 8,3 % des serveurs mail sont à ce jour adressés en IPv6, lorsque l’on 
considère les 1,9 million de sites web en .fr, .re, .pm, .yt, .tf et .wf avec 
un hébergement web HTTPS valide et un hébergement mail.

Graphique représentant le % de nom de domaines hébergé en IPv6 pour le top 10 
des plus grands acteurs : 
https://www.arcep.fr/fileadmin/cru-1677573101/reprise/observatoire/ipv6/202303_arcep_barometre_ipv6_5-06_mail_as.svg

Données complètes avec tous les acteurs :
• Format PDF (99 pages) : 
https://www.arcep.fr/fileadmin/reprise/observatoire/ipv6/202210_arcep_barometre_ipv6_hebergeurs.pdf
• Format Open document (LibreOffice Calc) : 
https://www.arcep.fr/fileadmin/reprise/observatoire/ipv6/202210_arcep_barometre_ipv6_hebergeurs.ods
• Format CSV : 
https://www.arcep.fr/fileadmin/reprise/observatoire/ipv6/202210_arcep_barometre_ipv6_hebergeurs.csv

Le taux d’IPv6 dans l’hébergement mail reste alarmant. Le retard sur ce maillon 
de la chaîne d’internet, s’il n’est pas comblé dans les prochaines années, 
pourrait retarder l’extinction d’IPv4 et prolonger la complexité inhérente liée 
à la cohabitation IPv4/IPv6 dans les réseaux (L'objectif n'est pas de garder 
indéfiniment IPv4 à côté d'IPv6).

Mardi 4 juillet à 9h30, l’Arcep organise une conférence de presse pour 
présenter son rapport annuel sur l’état d’internet en France.
 
Plusieurs points seront à l’ordre du jour : (environ 5 minutes par sujet, on 
prendra ensuite des questions)
• La mesure de la qualité d’internet
• L’interconnexion de données (le graphique 
https://www.arcep.fr/fileadmin/cru-1677573101/user_upload/grands_dossiers/interconnexion/2022-9-Decomposition_du_trafic_par_origine.png
 sera mis à jour)
• La transition vers IPv6 (y compris pour les infrastructures mail)
• La neutralité d’internet
• La régulation des plateformes numériques et des données  
• L’empreinte environnementale du numérique
 
Cette conférence se déroulera :
• dans les locaux de l’Autorité, à Paris, métro 14 station "Cour Saint-Émilion" 
(dans la limite des places disponibles),
• mais aussi en ligne, en IPv4, par visioconférence (lien fourni à l’issue de 
l’inscription, prévoir un navigateur basé sur Chromium).

Inscription obligatoire sur le site de l'Autorité : 
https://www.arcep.fr/actualites/agenda-et-evenements/detail/n/conference-sur-letat-dinternet-en-france-040723-invitation.html

Bonne fin de journée,
Vivien Guéant.

-Message d'origine-
De : frnog-requ...@frnog.org  De la part de Laurent 
Barme
Envoyé : mardi 27 juin 2023 16:27
À : frnog@frnog.org
Objet : Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail


Le 27/06/2023 à 08:33, Denis Fondras a écrit :
> Le Mon, Jun 26, 2023 at 09:49:56PM +0200, Laurent Barme a écrit :
>> Effectivement, lorsque les visiteurs n'auront plus qu'un accès via 
>> une IPv6, je n'aurai plus le choix que d'activer l'IPv6 sur le vhost 
>> et voir débouler les attaques en IPv6 aussi.
>>
> Sans vouloir jouer les Cassandre, tu ne seras pas serein car tu auras 
> repoussé l'échéance au maximum. Tu te prendras des murs sur de la prod 
> alors que tu aurais pu anticiper à l'époque (c'était hier en fait) où 
> il n'y avait aucune criticité à avoir de l'IPv6 fonctionnel, tester 
> tes règles de filtrage et tout casser sans impacter tes clients.
>
>
T'inquiète, j'ai anticipé. Je comprends pas d'où tu sors l'idée que je ne m'y 
serai pas préparé alors même que j'ai écris le contraire !

C'est curieux comme il y a des concepts pourtant élémentaires qui ont du mal à 
passer sur des sujets sensibles qui relèvent d'avantage de l'idéologie que du 
pragmatisme… Revenons aux constats de base que j'ai énoncés dans mon premier 
message dans ce fil sous une forme qui a mis le feu bien malgré moi à cette 
discussion :

  * rajouter l'IPv6 est une source de problèmes supplémentaires,
  * il y a 2^32 fois plus IPv6/64 que d'IPv4,
  * on peut tracer beaucoup plus efficacement un poste en IPv6 qu'en IPv4.

Après chacun est libre d'en déduire et d'en faire ce qu'il en veut. Pour ma 
part, comme je l'ai déjà écrit et à lire tout simplement : je me suis préparé à 
passer à l'IPv6 mais je ne suis pas pressé.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Laurent Barme]

Le 27/06/2023 à 08:33, Denis Fondras a écrit :

Le Mon, Jun 26, 2023 at 09:49:56PM +0200, Laurent Barme a écrit :

Effectivement, lorsque les visiteurs n'auront plus qu'un accès via une IPv6,
je n'aurai plus le choix que d'activer l'IPv6 sur le vhost et voir débouler
les attaques en IPv6 aussi.


Sans vouloir jouer les Cassandre, tu ne seras pas serein car tu auras repoussé
l'échéance au maximum. Tu te prendras des murs sur de la prod alors que tu
aurais pu anticiper à l'époque (c'était hier en fait) où il n'y avait aucune
criticité à avoir de l'IPv6 fonctionnel, tester tes règles de filtrage et tout
casser sans impacter tes clients.


T'inquiète, j'ai anticipé. Je comprends pas d'où tu sors l'idée que je ne m'y 
serai pas préparé alors même que j'ai écris le contraire !


C'est curieux comme il y a des concepts pourtant élémentaires qui ont du mal à 
passer sur des sujets sensibles qui relèvent d'avantage de l'idéologie que du 
pragmatisme… Revenons aux constats de base que j'ai énoncés dans mon premier 
message dans ce fil sous une forme qui a mis le feu bien malgré moi à cette 
discussion :


 * rajouter l'IPv6 est une source de problèmes supplémentaires,
 * il y a 2^32 fois plus IPv6/64 que d'IPv4,
 * on peut tracer beaucoup plus efficacement un poste en IPv6 qu'en IPv4.

Après chacun est libre d'en déduire et d'en faire ce qu'il en veut. Pour ma 
part, comme je l'ai déjà écrit et à lire tout simplement : je me suis préparé à 
passer à l'IPv6 mais je ne suis pas pressé.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Stéphane Rivière]

Le 27/06/2023 à 13:43, franc...@demeyer.net a écrit :
> Quelqu’un a pensé à composer le 19 pour sortir d’un réseau IPv4 vers un autre 
> ?
> :-D
:)

PS

Pour les moins de 0x20 ans, le 19 du siècle dernier était le 00
d'aujourd'hui.

-- 
Stéphane Rivière
Ile d'Oléron - France


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[franc...@demeyer.net]

Quelqu’un a pensé à composer le 19 pour sortir d’un réseau IPv4 vers un autre ?
:-D

> Le 27 juin 2023 à 11:32, Rostan Nawer KEZAL via frnog  a 
> écrit :
> 
> Hello,
> 
> Je pop de nulle part parce que c'est exactement le sujet sur lequel je
> travaille là maintenant tout de suite.
> En terme de complexité certaines infra peuvent avoir l'air simple, surtout
> lorsqu'on parle de webapp.
> Je pense que c'est un raccourci qui peut être dangereux, beaucoup d'éditeur
> ont migré leurs compute sur du public cloud avec des infrastructure as code
> complexe et des relations entres les espaces de ces providers complexes
> également.
> Avoir un front dual-stack ça veut dire savoir gérer de la v6 dans le
> backend et là, on demande a des dev de comprendre des problématiques
> network.
> 
> Peut-être que nous, jean des réseaux, on a raté cette transmission de
> compétences aux dev ?
> 
> Conclusion de ce que je veux dire : Si la v6 est absente de votre roadmap
> il y a un problème, si vous l'avez prévu et que c'est long, c'est normal.
> 
> 
> 
> Je retourne écrire mes machins d'ipv6 moi, bonne journée,
> ++
> 
> Le mar. 27 juin 2023 à 10:57, Xavier Beaudouin via frnog 
> a écrit :
> 
>> Hello Stéphane,
>> 
 Et je me trompe aussi sans doute sur l'attention que Stephane porte
 sur les difficultés de mises en œuvre de l'IPv6…
>>> 
>>> IPv6, c'est comme les enfants. Avec le recul (genre quand c'est en
>>> prod' depuis plus de dix ans), on a oublié les difficultés et on ne se
>>> souvient que des bons moments.
>> 
>> Difficultés ? Où ça ? D'ajouter une ip a un serveur et une gateway ?
>> De laisser passer un peu d'ICMP ? (qu'on devrai faire aussi en IPv4
>> pour le pMTUd ?).
>> 
>> De lire des docs ? Voire même mettre un  dans une zone DNS ?
>> 
>> Alors en 2000 lors de l'expé 6bone, j'veux bien que ça soit difficile
>> mais en 2023 n'être pas foutus capable de sortir un service en IPv6
>> natif et se casser les pieds a déployer NAT, PAT, etc...
>> 
>> Alors oui (là aussi je troll) on ne trouve peu de documentations pour
>> faire de l'IPv6 avec docker, mais il faudrait faire le métier de
>> sysadmin : gérer l'infra et la déployer correctement. Pas juste un
>> click sur une interface et laisser le trucs se débrouiller tout seul.
>> 
>> En 2023, avoir au moins :
>> - des DNS dual stack
>> - un service web dual stack (coucou les impots...)
>> - au moins UN mx dual stack
>> - au moins un relay smtp dual stack
>> 
>> C'est le minimum. Que vos backends soient en IPv4 ce n'est pas le
>> problème, les front doivent être en dual.
>> 
>> Aller je laisse trolldi en avance continuer...
>> 
>> Xavier
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>> 
> 
> 
> -- 
> --
> 
> Rostan KEZAL
> 
> Network Engineer
> 
> | rostan.ke...@adevinta.com  
> | FSM Paris, 85 rue du Faubourg Saint-Martin, 75010 Paris
> | Découvrez leboncoin Groupe  !
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Stéphane Rivière]

Bonjour voisin !

J'ai été voir ton site, j'aime bien ce que vous faites :)

> C'est pas l'IPv6 qu'il faut désactiver, c'est le logiciel qu'il faut
> changer quand vous avez des dysfonctionnements.

Pragmatisme de niveau 1 (quand on se posait encore des questions) :
- Qui paye tout le hardware ipv4 que l'on ne pourra mettre à jour ?
- Comme il faut garder ipv4 et qu'une dual stack est ce qu'elle est, on
fait comment ?

Pragmatisme de niveau 2 (quand on ne se pose plus de questions) :
Aujourd'hui, pour les microbes (vs le gougle), ipv6 n'existe pas.
Affaire suivante.

> L'IPv6 est une merveille de technologie qui oblige enfin les
> utilisateurs (y compris madame michu) à utiliser des entrées DNS.
Mme Michu est comme M. Jourdain. Elle utilise déjà des entrées DNS, sans
le savoir certes. Mais l'ipv6 n'y changera rien.

> L'IPv6, ça nettoie aussi les "tuyaux" de toute la m***e *car les
> pirates savent pas faire*.
Serais-tu porté par un enthousiasme excessif ? Ce sont des humains comme
les autres, adaptatifs.
Le jour où leurs 'clients' seront en ipv6, ils mettront à jour leurs
outils, avec gourmandise.
Parions même qu'au début de la grande transition, ça sera le nawak
sécuritaire chez pas mal de TPE/PME (encore plus que d'habitude).


Ici, on aime le réemploi de trucs dont personne ne veux (trop vieux,
trop compliqué à configurer, c'est amorti alors on change, etc... C'est
venu naturellement car on aime bien recycler, par principe paysan. Ebay
est un marché fantastique de matos en pleine santé à prix /20.
Pour la centaine d'équipements de l'intranet dont pas mal ne connaissent
pas l'ipv6, on restera en ipv4 pour longtemps, avec donc un intranet de
boomer. Pourquoi faut-il choisir entre écologie ou société de
consommation pour satisfaire une évolution qui devrait être gérable par
mise à jour logicielle ?

Si l'on rajoute que le zero trust se marie très bien avec ipv6 et que
tout ça est bel et bon, on oublie parfois que ça serait mieux que toute
l'infra soit alors en LL. Question de confiance. Ce qui n'arrivera
jamais. On aura alors toujours des firewall pour pré-contrôler ce qui
rentre et aussi (voire surtout) contrôler ce qui sort.

Le monde de demain, comme celui d'hier et du présent, est à notre image,
et ne sera jamais parfait.

Je n'ai pas d'hostilité envers ipv6 et je m'y mettrais avec enthousiasme
(tant qu'à faire, faisons le bien). Le jour venu. Quand il le faudra.

-- 
Stéphane Rivière
Ile d'Oléron - France


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Denis Fondras]

Le Mon, Jun 26, 2023 at 09:49:56PM +0200, Laurent Barme a écrit :
> 
> Effectivement, lorsque les visiteurs n'auront plus qu'un accès via une IPv6,
> je n'aurai plus le choix que d'activer l'IPv6 sur le vhost et voir débouler
> les attaques en IPv6 aussi.
> 

Sans vouloir jouer les Cassandre, tu ne seras pas serein car tu auras repoussé
l'échéance au maximum. Tu te prendras des murs sur de la prod alors que tu
aurais pu anticiper à l'époque (c'était hier en fait) où il n'y avait aucune
criticité à avoir de l'IPv6 fonctionnel, tester tes règles de filtrage et tout
casser sans impacter tes clients.

Bon courage.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Léo El Amri via frnog]

On 26/06/2023 22:18, Laurent Barme wrote:

Le 26/06/2023 à 21:23, Léo El Amri via frnog a écrit :
Je ne comprend pas très bien comment c'est possible. Est-ce qu'on 
parle d'un serveur HTTP ? Si oui, est-ce que "le serveur non contacté" 
est derrière un reverse-proxy ? 
Il s'agit bien sûr d'un serveur HTTP (…non de domaine…). Il n'y avait 
pas de "reverse-proxy" (et je vois pas trop ce que cela vient faire ici).


Alors du coup je n'ai rien compris à l'architecture. Il n'y a pas de 
concept d'erreur TLS dans un navigateur si le serveur ne répond pas.


Si non comment est-ce que le client peut avoir une erreur TLS si le 
serveur n'est jamais atteint ?
Le serveur n'est jamais atteint car il n'écoutait pas sur une IPv6. 
L'erreur de certificat est manifestement un bug (et une fausse piste qui 
m'a fait perdre du temps). Voici mon hypothèse : l'OS résout le nom de 
domaine en IPv6, le navigateur ne parvient pas à obtenir le certificat 
SSL pour cette IPv6 (pas de réponse du serveur) affiche une erreur TLS 
au lieu d'essayer de passer par l'IPv4 à moins que l'OS refuse de 
fournir une IPv4 puisqu'il a trouvé une IPv6 pour le nom de domaine.


Je ne connais aucun navigateur avec ce comportement, mais soit.
Déjà, l'OS résout le nom de domaine pour les familles d'adresse 
demandées par l'application. Si cette dernière ne supporte pas happy 
eyeballs, il y a de fortes chances qu'elle tente la première réponse 
qu'elle a obtenu. Admettons que ce soit une adresse IPv6. Si le 
navigateur essaye de se connecter en TLS sur l'adresse IP retournée par 
l'OS, mais que personne ne répond en face, l'application n'a même pas 
l'occasion de négocier du TLS, donc il ne devrait même pas y avoir 
d'erreur de certificat TLS. Enfin, l'OS n'a pas la responsabilité de se 
connecter sous une autre adresse IP, c'est l'application qui décide ça, 
et si elle est naïve, il y a de fortes chances qu'elle ne retente rien, 
et qu'elle affiche que le site est indisponible.
Si l'application montre un autre comportement que celui-ci, c'est 
qu'elle est sérieusement cassée.


(Par OS je sous-entend iOS ou Android)

depuis un mobile via la 4G (quelque soit le navigateur utilisé) alors 
qu'il fonctionne bien par ailleurs ! Depuis le même mobile, toujours 
en 4G, un autre site sur le même serveur fonctionne pourtant sans 
souci. Le blocage se produit sur le réseau Orange et Bouygues mais 
pas sur Free ni en WiFi (via une ADSL).


La cause était une IPv6 aussi définie pour le nom de domaine alors 
que le serveur n’était pas configuré pour accepter les connexions 
IPv6. Comme Orange et Bouygues privilégient manifestement l'IPv6 
quand il y en a une déclarée… évidemment ça coince.


Pour moi c'est un problème logiciel : Le happy eyeballs n'a pas été 
utilisé.
Ok le "happy eyeballs" n'a manifestement pas été utilisé mais il est 
impossible d'intervenir au niveau du logiciel/OS des visiteurs d'un site.


Je rappelle que ce sous-fil de discussion (désolé Louis pour la 
digression) part de mon témoignage à propos d'une intervention à faire 
impérativement sur le logiciel d'après une réponse de Bertrand.


Je suis d'avis de ne pas supporter les logiciels cassés dans une 
certaine mesure. Là on est dans cette "certaine mesure". Les standards 
existaient avant les implémentations dans la nature (un bon contre 
exemple est IRC). Essayer de supporter ces logiciels défectueux ce 
serait comme lorsqu'on essayait de continuer de supporter IE5 en 2010. 
On voit l'impact que ça a eu sur le "web". Sauf que là on a même pas 
l'excuse de "c'est l'application la plus utilisée du monde".


La solution aura été de simplement supprimer l'entrée  de la zone 
DNS pour le nom de domaine. Configurer le serveur web pour de l'IPv6 
aurait considérablement agrandi la surface d'attaques possibles.


Et un problème humain ! Si le serveur n'accepte pas l'IPv6, 
l'administrateur n'aurait jamais du renseigner de  dans la zone !


Tout à fait ; c'est toujours un problème humain si on remonte 
suffisamment la pile. D'ailleurs si l'humain n'avait pas inventé l'IPv6… 
:-))


C'est vrai, mais il ne faut pas abuser. Et là on parle de LA personne 
qui est sensée être le plus au courant de l'environnement qu'elle 
configure. En plus si le serveur est déjà utilisé pour d'autres sites et 
que les zones DNS de ces autres sites n'ont pas d'IPv6, ça met la puce à 
l'oreille.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Laurent Barme]

Le 26/06/2023 à 17:38, Bertrand FRUCHET via frnog a écrit :

L'IPv6, ça nettoie aussi les "tuyaux" de toute la m***e car les pirates savent 
pas faire.


Si, si, ils apprennent ; j'observe (et bloque) déjà des attaques en IPv6, y 
compris sur le mail (pour rejoindre un peu le sujet initial de ce fil).


Cela dit, pour le moment, je vois nettement moins d'attaque en IPv6 qu'en IPv4. 
A ce propos, si on pouvait récupérer les IPv4 utilisées par les pirates, cela en 
ferait un paquet de disponible



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Frank ALEXIS]

Me sens moins seul ;-)

Y'a un paquet de "logiciels" et services / sites web / portails / appliances / 
IoT et bidules antédiluvien mais qui marchent parfaitement bien et font le job 
à jeter alors ... bonjour le progrès et l'écologie du truc au final :-o

Frank

> Le 26 juin 2023 à 17:39, David Ponzone  a écrit :
> 
> 
>> Le 26 juin 2023 à 17:38, Bertrand FRUCHET via frnog  a 
>> écrit :
>> 
>> Bonjour la liste,
>> 
>> C'est pas l'IPv6 qu'il faut désactiver, c'est le logiciel qu'il faut changer 
>> quand vous avez des dysfonctionnements.
>> 
>> L'IPv6 est une merveille de technologie qui oblige enfin les utilisateurs (y 
>> compris madame michu) à utiliser des entrées DNS.
>> 
> 
> J’avoue que j’ai pas bien compris le sens de cette phrase :)
> 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Laurent Barme]

Le 26/06/2023 à 21:23, Léo El Amri via frnog a écrit :

Je ne comprend pas très bien comment c'est possible. Est-ce qu'on parle d'un 
serveur HTTP ? Si oui, est-ce que "le serveur non contacté" est derrière un 
reverse-proxy ? 
Il s'agit bien sûr d'un serveur HTTP (…non de domaine…). Il n'y avait pas de 
"reverse-proxy" (et je vois pas trop ce que cela vient faire ici).


Si non comment est-ce que le client peut avoir une erreur TLS si le serveur 
n'est jamais atteint ?
Le serveur n'est jamais atteint car il n'écoutait pas sur une IPv6. L'erreur de 
certificat est manifestement un bug (et une fausse piste qui m'a fait perdre du 
temps). Voici mon hypothèse : l'OS résout le nom de domaine en IPv6, le 
navigateur ne parvient pas à obtenir le certificat SSL pour cette IPv6 (pas de 
réponse du serveur) affiche une erreur TLS au lieu d'essayer de passer par 
l'IPv4 à moins que l'OS refuse de fournir une IPv4 puisqu'il a trouvé une IPv6 
pour le nom de domaine.




depuis un mobile via la 4G (quelque soit le navigateur utilisé) alors qu'il 
fonctionne bien par ailleurs ! Depuis le même mobile, toujours en 4G, un 
autre site sur le même serveur fonctionne pourtant sans souci. Le blocage se 
produit sur le réseau Orange et Bouygues mais pas sur Free ni en WiFi (via 
une ADSL).


La cause était une IPv6 aussi définie pour le nom de domaine alors que le 
serveur n’était pas configuré pour accepter les connexions IPv6. Comme Orange 
et Bouygues privilégient manifestement l'IPv6 quand il y en a une déclarée… 
évidemment ça coince.


Pour moi c'est un problème logiciel : Le happy eyeballs n'a pas été utilisé.
Ok le "happy eyeballs" n'a manifestement pas été utilisé mais il est impossible 
d'intervenir au niveau du logiciel/OS des visiteurs d'un site.


Je rappelle que ce sous-fil de discussion (désolé Louis pour la digression) part 
de mon témoignage à propos d'une intervention à faire impérativement sur le 
logiciel d'après une réponse de Bertrand.





La solution aura été de simplement supprimer l'entrée  de la zone DNS 
pour le nom de domaine. Configurer le serveur web pour de l'IPv6 aurait 
considérablement agrandi la surface d'attaques possibles.


Et un problème humain ! Si le serveur n'accepte pas l'IPv6, l'administrateur 
n'aurait jamais du renseigner de  dans la zone !


Tout à fait ; c'est toujours un problème humain si on remonte suffisamment la 
pile. D'ailleurs si l'humain n'avait pas inventé l'IPv6… :-))



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Laurent Barme]

Le 26/06/2023 à 21:04, Mathieu Poussin a écrit :

"Comme Orange et Bouygues privilégient manifestement l'IPv6 quand il y en a une 
déclarée…"

C'est pas comme ca que ca marche.
Ton ISP ou intermédiaire réseau n'a aucun contrôle la dessus, si ton OS

Ah effectivement cela peut venir de l'OS !
Je ne me souviens plus avec certitude si avec le même mobile en passant par une 
connexion WiFi/ADSL (et donc le même OS) cela fonctionnait ou pas.



détecte que tu as une stack IPv6 fonctionnelle et que ton DNS résout IPv6 (et 
pour http, que ton serveur répond en IPv6, si non ca fallback en IPv4 au bout 
de quelques secondes

Bah là justement non, ça n'a pas "fallbacké". C'est bien là le problème !


), alors c'est toujours IPv6 qui sera utilisé, même si ca résout aussi en 
IPv4(IPv6 est toujours prioritaire sur IPv4).


Donc j'ai sans doute incriminé à tort le type de connexion au lieu de l'OS mais 
le résultat que je voulais illustrer est le même : le problème était lié à 
l'IPv6 et la solution la plus simple ne consistait pas à changer de logiciel 
mais à supprimer la . Je ne peux pas contrôler les logiciels qu'utilisent 
les visiteurs d'un site mais la DNS du site si.



Effectivement, lorsque les visiteurs n'auront plus qu'un accès via une IPv6, je 
n'aurai plus le choix que d'activer l'IPv6 sur le vhost et voir débouler les 
attaques en IPv6 aussi.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Léo El Amri via frnog]

On 26/06/2023 18:48, Laurent Barme wrote:


Le 26/06/2023 à 17:38, Bertrand FRUCHET via frnog a écrit :

Bonjour la liste,

C'est pas l'IPv6 qu'il faut désactiver, c'est le logiciel qu'il faut 
changer quand vous avez des dysfonctionnements.


Ce n'est pas toujours le logiciel qu'il suffit de changer. Voici un 
retour d'expérience comme exemple :


Les symptômes étaient sibyllins : un nouveau site sur un nouveau nom de 
domaine se prend une erreur SSL d'emblée (le serveur n'est même pas 
sollicité)


Je ne comprend pas très bien comment c'est possible. Est-ce qu'on parle 
d'un serveur HTTP ? Si oui, est-ce que "le serveur non contacté" est 
derrière un reverse-proxy ? Si non comment est-ce que le client peut 
avoir une erreur TLS si le serveur n'est jamais atteint ?


depuis un mobile via la 4G (quelque soit le navigateur 
utilisé) alors qu'il fonctionne bien par ailleurs ! Depuis le même 
mobile, toujours en 4G, un autre site sur le même serveur fonctionne 
pourtant sans souci. Le blocage se produit sur le réseau Orange et 
Bouygues mais pas sur Free ni en WiFi (via une ADSL).


La cause était une IPv6 aussi définie pour le nom de domaine alors que 
le serveur n’était pas configuré pour accepter les connexions IPv6. 
Comme Orange et Bouygues privilégient manifestement l'IPv6 quand il y en 
a une déclarée… évidemment ça coince.


Pour moi c'est un problème logiciel : Le happy eyeballs n'a pas été utilisé.

La solution aura été de simplement supprimer l'entrée  de la zone 
DNS pour le nom de domaine. Configurer le serveur web pour de l'IPv6 
aurait considérablement agrandi la surface d'attaques possibles.


Et un problème humain ! Si le serveur n'accepte pas l'IPv6, 
l'administrateur n'aurait jamais du renseigner de  dans la zone !



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Laurent Barme]

Le 26/06/2023 à 19:52, Vincent Bernat a écrit :

On 2023-06-26 19:18, Laurent Barme wrote:

Mon anti-ddos que j'ai payé une blinde gère pas ca correctement, alors j'ai 
désactivé IPv6



Je ne suis pas d'accord avec ta traduction mais intéressé par la solution que 
tu aurais appliquée.


Pourrais-tu éventuellement m'indiquer ton anti-ddos (si possible gratuit 
comme le mien) qui permet de parer jusqu'à 2^64 pirates sans solliciter 
solliciter d'avantage de ressource que de les ignorer en bloc ?


Bah facile, tu bloques les /64. L'assignement des /64 se fait par utilisateur 
(que ce soit côté serveur ou côté client). Tu blacklistes autant de monde sur 
un /64 IPv6 que sur une /32 IPv4.


Sauf qu'il y a 2^64 IPv6/64 et seulement 2^32 IPv4 et je doute qu'un pirate se 
contente d'un seul IPv6/64 (un et pas une car il s'agit d'un subnet) : il y a 
plus de potentiel d'attaque en IPv6 qu'en IPv4.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Mathieu Poussin]

> "Comme Orange et Bouygues privilégient manifestement l'IPv6 quand il y en a 
> une déclarée…"

C'est pas comme ca que ca marche.
Ton ISP ou intermédiaire réseau n'a aucun contrôle la dessus, si ton OS détecte 
que tu as une stack IPv6 fonctionnelle et que ton DNS résout IPv6 (et pour 
http, que ton serveur répond en IPv6, si non ca fallback en IPv4 au bout de 
quelques secondes), alors c'est toujours IPv6 qui sera utilisé, même si ca 
résout aussi en IPv4(IPv6 est toujours prioritaire sur IPv4).

Et oui, IPv4 est bien un protocole obsolète, qui n'évoluera plus en dehors de 
workarounds crade type NAT ou ALG, ceux qui se tuent à le défendre je le vois 
comme ceux qui il y a 15 ans défendaient X.25 et ATM.

Que votre boite arrive pas a se bouger pour pousser l'IPv6 je comprend, c'est 
pas leur priorité, par contre de voir des ingés réseaux bloquer ca 
volontairement je m'y fais pas, IPv6 tout le monde y passera, que vous le 
vouliez ou non, alors autant faire ca tranquillement progressivement que dans 
10 ans quand votre CxO viendra vous engueuler parce que le nouveau service dont 
vous dépendez n'est dispo qu'en IPv6 et qu'il faut que ca marche sous 15 jours 
max.
N'oubliez pas aussi que niveau ISP c'est de plus en plus souvent IPv-6-nly sur 
la partie desserte/distribution donc avec un bottleneck potentiel sur le trafic 
IPv4 (a coup de CGNAT, ou autre).

Pour le sujet mail je dirais de bloquer le /64, voir le /54 si on suit 
strictement la convention sur l'allocation des subnets et qu'on veut viser plus 
safe. (mais bon je pense que pas mal d'ISP dans le monde allouent un pauvre /64 
par client)

a+



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Bertrand FRUCHET via frnog]

Bonsoir Louis,

Je reprend le fil par le haut car votre question et certaines de mes 
réponses ont mis le feu à la liste.


Effectivement, la messagerie est le parent pauvre des services Internet 
publics fonctionnant en IPv6.


Et on comprend bien que les sociétés qui ont pignon sur rue n'ont aucun 
intérêt à investir dans l'IPv6, elles protègent leur marché grâce à 
leurs IPv4 distribuées bien trop généreusement il y a des décennies par 
les mêmes (RIPE) qui imposent aujourd'hui aux petits de se passer d'IPv4 
(plus de 400 jours d'attente pour la première attribution d'IPv4 
actuellement, plus de 900 ASN en attente !). J'ai espéré que la dernière 
AG du RIPE (Avril 2023) allait changer les choses, je me suis trompé.



Bonjour,

En faisant des recherches sur l'état de l'art des infrastructures 
mail, j'ai remarqué que très peu de domaines d'entreprise supportent 
la réception de mail en IPv6.
Que ce soit orange, protonmail, ovh pour n'en citer que quelques uns, 
aucun d'entre eux ne semble avoir d'IPv6 sur leur MX. Le seul que j'ai 
trouvé jusqu'à présent est gmail.


Il aurait pu y avoir du dual-stack, mais rien.
Et en faisant des recherches sur le sujet, je suis tombé sur un 
article expliquant que des outils existent pour ce genre d'infa : 
https://labs.ripe.net/author/mirjam/sending-and-receiving-emails-over-ipv6/


Ma question est donc la suivante : connaissez-vous les raisons pour 
lesquelles les entreprises, même les hébergeurs mail, s'en tiennent à 
l'IPv4 uniquement ?


Merci d'avance,
Louis Poidevin

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Vincent Bernat]

On 2023-06-26 19:52, Vincent Bernat wrote:

Mon anti-ddos que j'ai payé une blinde gère pas ca correctement, 
alors j'ai désactivé IPv6



Je ne suis pas d'accord avec ta traduction mais intéressé par la 
solution que tu aurais appliquée.


Pourrais-tu éventuellement m'indiquer ton anti-ddos (si possible 
gratuit comme le mien) qui permet de parer jusqu'à 2^64 pirates sans 
solliciter solliciter d'avantage de ressource que de les ignorer en 
bloc ?


Bah facile, tu bloques les /64. L'assignement des /64 se fait par 
utilisateur (que ce soit côté serveur ou côté client). Tu blacklistes 
autant de monde sur un /64 IPv6 que sur une /32 IPv4.


Je n'avais pas manifestement compris ta remarque dans le bon sens. Une 
correction donc :


1. Moins de pirates en IPv6 qu'en IPv4
2. À population égale, pourquoi tu aurais plus de /64 IPv6 utilisées que 
de /32 IPv4 ?



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Pierre-Henry Muller via frnog]

Email Signature
Le 26/06/2023 à 19:43, Maxime DERCHE a écrit :



Configurer le serveur web pour de l'IPv6 aurait considérablement 
agrandi la surface d'attaques possibles.


C'est exactement à cause de ce genre d'ânerie que je persiste à prôner 
les outils normatifs et notamment le pire d'entre eux, l'analyse de 
risque, même si je considère ces outils dangereux et largement sur-côtés.


J'aimerais bien voir l'analyse de risque qui conclurait à un plus 
grand risque en coupant IPv6.


=> Dans la mesure où IPv6 est activé par défaut partout côté serveur 
dans le noyau et pour tout ce qui existe au niveau 7 depuis des 
années, l'activer dans un vhost HTTP/HTTPS n'agrandit absolument pas 
la surface d'attaque : elle est /déjà/ là, cette surface d'attaque...


Une analyse de risque sérieuse qui désactive IPv6 devrait également 
désactiver IPv4. Le Air Gaped est la seule solution pour retirer le 
risque d'être connecté, pas la version du protocole.


On fait du v6 par défaut depuis 2008, le v4 public est optionnel et le 
v4 privé très fortement limité avec NAT multiple interdits et c'est un 
bonheur à administrer.


Par contre  on a un blocage particulier c'est le réseau utilisateur, les 
clients ont du multi wan de nos jours et on n'a rien trouvé dans les 
possibilités d'IPv6 à part le NAT sortant pour faire du failover entre 
interface WAN. Sans NAT faut attribuer à chaque terminal, deux adresses 
IPv6 de deux subnets différents (des deux FAI) et donc deux routes v6 et 
là ça bloque. Et puis il y a encore pas mal d'équipements qui pour faire 
fonctionner de l'ipv6 obligent à avoir de l'ipv4 (coucou les imprimantes 
Canon et HP). Bref pour les réseaux d'entreprise pour le moment on n'a 
pas trouvé la solution mais côté hébergement / serveurs / réseaux WAN 
tout fonctionne bien. Fini le temps où on mettait un reverse proxy tcp / 
udp devant les Tomcat non compatibles par exemple :D



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Vincent Bernat]

On 2023-06-26 19:18, Laurent Barme wrote:

Mon anti-ddos que j'ai payé une blinde gère pas ca correctement, alors 
j'ai désactivé IPv6



Je ne suis pas d'accord avec ta traduction mais intéressé par la 
solution que tu aurais appliquée.


Pourrais-tu éventuellement m'indiquer ton anti-ddos (si possible gratuit 
comme le mien) qui permet de parer jusqu'à 2^64 pirates sans solliciter 
solliciter d'avantage de ressource que de les ignorer en bloc ?


Bah facile, tu bloques les /64. L'assignement des /64 se fait par 
utilisateur (que ce soit côté serveur ou côté client). Tu blacklistes 
autant de monde sur un /64 IPv6 que sur une /32 IPv4.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Laurent Barme]

Le 26/06/2023 à 19:43, Maxime DERCHE a écrit :

Bonsoir,






=> Dans la mesure où IPv6 est activé par défaut partout côté serveur dans le 
noyau et pour tout ce qui existe au niveau 7 depuis des années, l'activer dans 
un vhost HTTP/HTTPS n'agrandit absolument pas la surface d'attaque : elle est 
/déjà/ là, cette surface d'attaque...



Tout à fait, elle est là mais elle se gère plus économiquement : si le vhost 
n'est pas configuré pour l'IPv6 alors toutes les requêtes en provenance d'une 
IPv6 sont simplement ignorées. Sinon, il faut filtrer pour trier les requêtes 
légitimes de celles qui ne le sont pas et ça demande plus de ressources, entre 
autres par ce que 2^64 est sensiblement plus grand que 2^32 :-)



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Maxime DERCHE]

Bonsoir,

Le 26/06/2023 à 18:48, Laurent Barme a écrit :


Le 26/06/2023 à 17:38, Bertrand FRUCHET via frnog a écrit :

Bonjour la liste,

C'est pas l'IPv6 qu'il faut désactiver, c'est le logiciel qu'il faut changer quand 
vous avez des dysfonctionnements.


Ce n'est pas toujours le logiciel qu'il suffit de changer. Voici un retour 
d'expérience comme exemple :


(...)

Configurer le serveur web pour de l'IPv6 aurait considérablement agrandi 
la surface d'attaques possibles.


C'est exactement à cause de ce genre d'ânerie que je persiste à prôner les outils 
normatifs et notamment le pire d'entre eux, l'analyse de risque, même si je considère 
ces outils dangereux et largement sur-côtés.


J'aimerais bien voir l'analyse de risque qui conclurait à un plus grand risque en 
coupant IPv6.


=> Dans la mesure où IPv6 est activé par défaut partout côté serveur dans le noyau et 
pour tout ce qui existe au niveau 7 depuis des années, l'activer dans un vhost 
HTTP/HTTPS n'agrandit absolument pas la surface d'attaque : elle est /déjà/ là, cette 
surface d'attaque...



Bien cordialement,
--
Maxime DERCHE
OpenPGP public key ID : 0xAE5264B5
OpenPGP public key fingerprint : 7221 4C4F D57C 456F 8E40 3257 47F7 29A6 AE52 
64B5




OpenPGP_signature
Description: OpenPGP digital signature

Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Laurent Barme]

Le 26/06/2023 à 19:09, Raphaël Jacquot a écrit :

traduction:

Mon anti-ddos que j'ai payé une blinde gère pas ca correctement, alors j'ai 
désactivé IPv6



Je ne suis pas d'accord avec ta traduction mais intéressé par la solution que tu 
aurais appliquée.


Pourrais-tu éventuellement m'indiquer ton anti-ddos (si possible gratuit comme 
le mien) qui permet de parer jusqu'à 2^64 pirates sans solliciter solliciter 
d'avantage de ressource que de les ignorer en bloc ?




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Raphaël Jacquot]

traduction:

Mon anti-ddos que j'ai payé une blinde gère pas ca correctement, alors 
j'ai désactivé IPv6


:-D

Le 26/06/2023 à 18:48, Laurent Barme a écrit :


Le 26/06/2023 à 17:38, Bertrand FRUCHET via frnog a écrit :

Bonjour la liste,

C'est pas l'IPv6 qu'il faut désactiver, c'est le logiciel qu'il faut 
changer quand vous avez des dysfonctionnements.


Ce n'est pas toujours le logiciel qu'il suffit de changer. Voici un 
retour d'expérience comme exemple :


Les symptômes étaient sibyllins : un nouveau site sur un nouveau nom de 
domaine se prend une erreur SSL d'emblée (le serveur n'est même pas 
sollicité) depuis un mobile via la 4G (quelque soit le navigateur 
utilisé) alors qu'il fonctionne bien par ailleurs ! Depuis le même 
mobile, toujours en 4G, un autre site sur le même serveur fonctionne 
pourtant sans souci. Le blocage se produit sur le réseau Orange et 
Bouygues mais pas sur Free ni en WiFi (via une ADSL).


La cause était une IPv6 aussi définie pour le nom de domaine alors que 
le serveur n’était pas configuré pour accepter les connexions IPv6. 
Comme Orange et Bouygues privilégient manifestement l'IPv6 quand il y en 
a une déclarée… évidemment ça coince.


La solution aura été de simplement supprimer l'entrée  de la zone 
DNS pour le nom de domaine. Configurer le serveur web pour de l'IPv6 
aurait considérablement agrandi la surface d'attaques possibles.



---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Laurent Barme]

Le 26/06/2023 à 17:38, Bertrand FRUCHET via frnog a écrit :

Bonjour la liste,

C'est pas l'IPv6 qu'il faut désactiver, c'est le logiciel qu'il faut changer 
quand vous avez des dysfonctionnements.


Ce n'est pas toujours le logiciel qu'il suffit de changer. Voici un retour 
d'expérience comme exemple :


Les symptômes étaient sibyllins : un nouveau site sur un nouveau nom de domaine 
se prend une erreur SSL d'emblée (le serveur n'est même pas sollicité) depuis un 
mobile via la 4G (quelque soit le navigateur utilisé) alors qu'il fonctionne 
bien par ailleurs ! Depuis le même mobile, toujours en 4G, un autre site sur le 
même serveur fonctionne pourtant sans souci. Le blocage se produit sur le réseau 
Orange et Bouygues mais pas sur Free ni en WiFi (via une ADSL).


La cause était une IPv6 aussi définie pour le nom de domaine alors que le 
serveur n’était pas configuré pour accepter les connexions IPv6. Comme Orange et 
Bouygues privilégient manifestement l'IPv6 quand il y en a une déclarée… 
évidemment ça coince.


La solution aura été de simplement supprimer l'entrée  de la zone DNS pour 
le nom de domaine. Configurer le serveur web pour de l'IPv6 aurait 
considérablement agrandi la surface d'attaques possibles.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Paul Rolland (ポール・ロラン)]

Hello,

On Mon, 26 Jun 2023 17:39:16 +0200
David Ponzone  wrote:

> > Le 26 juin 2023 à 17:38, Bertrand FRUCHET via frnog  a
> > écrit :
> > 
> > Bonjour la liste,
> > 
> > C'est pas l'IPv6 qu'il faut désactiver, c'est le logiciel qu'il faut
> > changer quand vous avez des dysfonctionnements.
> > 
> > L'IPv6 est une merveille de technologie qui oblige enfin les
> > utilisateurs (y compris madame michu) à utiliser des entrées DNS. 
> 
> J’avoue que j’ai pas bien compris le sens de cette phrase :)

Surement juste que c'est fini l'epoque ou on retenait les adresses IP
parce que c'etait franchement plus facile que de retenir les noms DNS :D

Moi, j'en ai tellement manipule que je me souviens encore d'un paquet
d'adresses de mon epoque Oleane par exemple...

Paul


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[David Ponzone]

> Le 26 juin 2023 à 17:38, Bertrand FRUCHET via frnog  a écrit 
> :
> 
> Bonjour la liste,
> 
> C'est pas l'IPv6 qu'il faut désactiver, c'est le logiciel qu'il faut changer 
> quand vous avez des dysfonctionnements.
> 
> L'IPv6 est une merveille de technologie qui oblige enfin les utilisateurs (y 
> compris madame michu) à utiliser des entrées DNS.
> 

J’avoue que j’ai pas bien compris le sens de cette phrase :)



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Bertrand FRUCHET via frnog]

Bonjour la liste,

C'est pas l'IPv6 qu'il faut désactiver, c'est le logiciel qu'il faut 
changer quand vous avez des dysfonctionnements.


L'IPv6 est une merveille de technologie qui oblige enfin les 
utilisateurs (y compris madame michu) à utiliser des entrées DNS.


Je ne suis pas prescripteur, nous fournissons des infrastructures de 
virtualisation IPv6 only ou dual stack et des services hébergés IPv6 
only ou dual stack.


L'IPv6, ça nettoie aussi les "tuyaux" de toute la m***e car les pirates 
savent pas faire.


Cordialement.

Le 26/06/2023 à 17:26, David Ponzone a écrit :

Ca ne serait pas le premier « produit » , qui malgré une situation « 
monopolistique » , échoue à s’imposer à cause d’une complexité excessive (et 
injustifiée).


Le 26 juin 2023 à 17:23, Laurent Barme <5...@barme.fr> a écrit :

Je comprends son point de vue mais le problème de Stephane (Borrtzmeyer) est 
qu'il est prescripteur et pas acteur…

Comme Stéphane (Rivière) et Frank, je me suis heurté à des dysfonctionnements 
vicieux qui se sont résolus en désactivant l'IPv6. Et non seulement l'IPv6 est 
la source de plein d'emm*rdes mais en plus c'est un danger potentiel pour la 
sécurité et une menace pour la vie privée.

Et donc, je me suis préparé à passer à l'IPv6 mais je ne suis pas pressé, pas 
du tout même :-)


---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[David Ponzone]

Ca ne serait pas le premier « produit » , qui malgré une situation « 
monopolistique » , échoue à s’imposer à cause d’une complexité excessive (et 
injustifiée).

> Le 26 juin 2023 à 17:23, Laurent Barme <5...@barme.fr> a écrit :
> 
> Je comprends son point de vue mais le problème de Stephane (Borrtzmeyer) est 
> qu'il est prescripteur et pas acteur…
> 
> Comme Stéphane (Rivière) et Frank, je me suis heurté à des dysfonctionnements 
> vicieux qui se sont résolus en désactivant l'IPv6. Et non seulement l'IPv6 
> est la source de plein d'emm*rdes mais en plus c'est un danger potentiel pour 
> la sécurité et une menace pour la vie privée.
> 
> Et donc, je me suis préparé à passer à l'IPv6 mais je ne suis pas pressé, pas 
> du tout même :-)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Pierre-Henry Muller via frnog]

Je m'avance pour une raison technique, pour envoyer des emails le 
serveur doit avoir un PTR sur ses IPs or certains Cloud proposent de 
gérer le reverse en IPv4 mais très rarement en IPv6... J'ai bien entendu 
exclu de facto certains qui ne permettent pas le reverse dns en v4 et v6.


Sinon avec des briques open source c'est aussi facile qu'en v4. Certes 
les blacklists ne savent pas gérer v6 mais vu le bordel qu'a mis 
Spamhaus la semaine passée en interdisant à plusieurs Cloud de faire des 
requêtes chez eux sans être authentifié API, ça a conduit à un rejet 
massif d'emails légitime ce qui a conduit beaucoup d'admins mail à virer 
Spamhaus plutôt qu'à récupérer une clef.


Du coup pour moi, le débat sur les blacklists n'a plus lieu d'être 
puisqu'elles sont de moins en moins nécessaires et que l'on fait bien 
mieux avec du Crowdsec / Fail2ban bien réglé.


Sinon en fausse raison comme dans beaucoup d'autres point technique y a 
la flemme et le ça rapportera rien de plus à part des problèmes.


Email Signature
Le 26/06/2023 à 13:57, Louis Poidevin via frnog a écrit :

La vraie si possible. ^^


--- Original Message ---
Le lundi 26 juin 2023 à 13:53, Stephane Bortzmeyer  a écrit :



On Mon, Jun 26, 2023 at 11:50:06AM +,
Louis Poidevin via frnogfr...@frnog.org  wrote

a message of 105 lines which said:


Ma question est donc la suivante : connaissez-vous les raisons pour
lesquelles les entreprises, même les hébergeurs mail, s'en tiennent
à l'IPv4 uniquement ?

Il faut une réponse bienveillante ou bien il faut la vraie ? :-)

---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[TECH] RE: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[JCLB]

Tout comme pour les bases GeoIP, les bases de blacklists SMTP ne sont pas 
toutes prêtes à collecter les infos en v6… ça ne semble pas être une priorité 
de leur biz modèle.
Mais si personne ne collecte de stats pour les remonter, et que personne ne 
déploie, c’est l’Ouroboros.
Sans compter les histoires de taille de préfixe à classer, comme le décrit 
l’article du RIPE labs.

Personnellement je suis plus inquiet du volume de machines hébergeant des zones 
DNS ne disposant pas d’IPv6…

Pour rappel Mardi 04/07 matin l’ARCEP présentera son rapport sur l’état de 
l’internet en France.


Jean-Charles BISECCO


De : frnog-requ...@frnog.org  De la part de Louis 
Poidevin via frnog
Envoyé : lundi 26 juin 2023 13:50
À : frnog-t...@frnog.org
Objet : [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

Bonjour,

En faisant des recherches sur l'état de l'art des infrastructures mail, j'ai 
remarqué que très peu de domaines d'entreprise supportent la réception de mail 
en IPv6.
Que ce soit orange, protonmail, ovh pour n'en citer que quelques uns, aucun 
d'entre eux ne semble avoir d'IPv6 sur leur MX. Le seul que j'ai trouvé jusqu'à 
présent est gmail.

Il aurait pu y avoir du dual-stack, mais rien.
Et en faisant des recherches sur le sujet, je suis tombé sur un article 
expliquant que des outils existent pour ce genre d'infa : 
https://labs.ripe.net/author/mirjam/sending-and-receiving-emails-over-ipv6/

Ma question est donc la suivante : connaissez-vous les raisons pour lesquelles 
les entreprises, même les hébergeurs mail, s'en tiennent à l'IPv4 uniquement ?

Merci d'avance,
Louis Poidevin

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Louis Poidevin via frnog]

La vraie si possible. ^^


--- Original Message ---
Le lundi 26 juin 2023 à 13:53, Stephane Bortzmeyer  a écrit :


> 

> 

> On Mon, Jun 26, 2023 at 11:50:06AM +,
> Louis Poidevin via frnog frnog@frnog.org wrote
> 

> a message of 105 lines which said:
> 

> > Ma question est donc la suivante : connaissez-vous les raisons pour
> > lesquelles les entreprises, même les hébergeurs mail, s'en tiennent
> > à l'IPv4 uniquement ?
> 

> 

> Il faut une réponse bienveillante ou bien il faut la vraie ? :-)
> 

> 

> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

signature.asc
Description: OpenPGP digital signature

[FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

[Louis Poidevin via frnog]

Bonjour,

En faisant des recherches sur l'état de l'art des infrastructures mail, j'ai 
remarqué que très peu de domaines d'entreprise supportent la réception de mail 
en IPv6.Que ce soit orange, protonmail, ovh pour n'en citer que quelques uns, 
aucun d'entre eux ne semble avoir d'IPv6 sur leur MX. Le seul que j'ai trouvé 
jusqu'à présent est gmail.


Il aurait pu y avoir du dual-stack, mais rien.

Et en faisant des recherches sur le sujet, je suis tombé sur un article 
expliquant que des outils existent pour ce genre d'infa : 
https://labs.ripe.net/author/mirjam/sending-and-receiving-emails-over-ipv6/

Ma question est donc la suivante : connaissez-vous les raisons pour lesquelles 
les entreprises, même les hébergeurs mail, s'en tiennent à l'IPv4 uniquement ?

Merci d'avance,
Louis Poidevin

signature.asc
Description: OpenPGP digital signature