Re: [FRnOG] reverse DNS chez orange pro
Le 17/02/10, Benjamin BILLONbbil...@splio.fr a écrit : Effectivement je suis d'accord, mais c'est devenu aussi une règle de bonne conduite Car les spammeurs ont souvent monté des serveurs configurés comme des sagouins et donc... ne pas avoir de PTR ou un EHLO correct est devenu synonyme de spammeur. C'est donc l'effet de bord non désiré des spammeurs... Il y a aussi des raccourcis qui sont faits : DUL = Botnet. Dans la mesure où les abonnées dial-up ou ADSL ne peuvent pas changer leur reverse, avoir un reverse qui semble généré automatiquement peut être considéré comme avoir une IP assignée dynamiquement. Et donc si tu envoies des mails, c'est que t'as un botnet. Je proteste: je suis abonné ADSL et je peux changer mon reverse. Ce n'est donc pas une vérité absolue. Loin de moi l'idée de dire Les gens qui veulent envoyer des mails n'ont qu'à changer de FAI, ça devrait faire partie du boulot d'un FAI de fournir un peu mieux qu'une IP dynamique sans reverse. Mais il faut dire aussi que choisir n'importe quel FAI pour ensuite vouloir faire des trucs un peu spéciaux avec, c'est une drôle d'idée. Il y a internet et Internet ;) --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] reverse DNS chez orange pro
Nicolas CARTRON a écrit: Je ne suis même pas sûr qu'avec un reverse (en admettant qu'Orange le fasse, ce qui est loin d'être gagné), tu arrives à envoyer du mail, beaucoup d'ISP bloquent tout ce qui ressemble de près ou de loin à une ligne DSL ! Et oui, problème bien connu d'avoir son serveur à la maison. Même si techniquement ça ne sert à rien, ca peut être utile d'avoir tout pareil: - Le rDNS qui ne contient surtout pas DSL ou dynamic. - Le rDNS non-générique (pas de mon.adr.ip.client.ville.machin.truc.orange.fr) - Le rDNS qui résout pareil que le MX. - Le HELO qui va avec. Dans Exchange 2003: Exchange - Server - tonserveur - protocols - SMTP - default SMTP Virtual server - click droit - properties - delivey - advanced - masquerade domain ET FQDN. C'est probablement dans le même écran que tu as configuré to smart host. Je rajouterai que spamhaus a une liste dédiée aux IP qui ne devraient pas envoyer de mail, pbl.spamhaus.org Pour les problèmes de reverse DNS, je vous conseille le magnifique plugin Botnet pour spamassassin : http://people.ucsc.edu/~jrudd/spamassassin/ Très efficace même si j'ai remarqué quelques faux positifs (par exemple la machine qui s'occupe des mailing lists de l'ossir, ou encore des serveurs d'envoi de mail qui ont une partie de leur IP dans leur reverse) J'en profite pour faire un peu de pub pour le soft que je développe et qui reprend quelques bouts de code de Botnet.pm justement : http://www.synspam.org Oui, je sais que ce genre de logiciel casse le comportement normal d'un dialogue SMTP dans lequel on doit renvoyer un message 550 pour prévenir l'émetteur du refus, mais bon, c'est à chacun de voir s'il a besoin de ce genre d'outils. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] reverse DNS chez orange pro
De nos jours les botnet sont tellement gros que pour un spam tu ne vas voir que tres peu de connections par IP. Le volume de mail peut être tellement large pour les gros FAI que le filtrage des connections se fait parfois sur le reseau (au niveau des routeurs) Aujoud hui free vient de me bloquer mes serveurs SMTP sortant. Vais-je pleurer chez eux ? Non, je vais devoir filtrer /mes/ clients mieux. Arretez de regarder les RFC cela me suffit plus. Le probleme du spam est tellement large que chaque FAI a sa sauce (et souvent la sauce est differente en fonction de la Geo-localisation de l IP). Pas content ? Nous non plus. Thomas --- from my iPhone On 17 Feb 2010, at 08:20, Rémi Bouhl remibo...@gmail.com wrote: Le 17/02/10, Benjamin BILLONbbil...@splio.fr a écrit : Effectivement je suis d'accord, mais c'est devenu aussi une règl e de bonne conduite Car les spammeurs ont souvent monté des serveurs configurés comme des sagouins et donc... ne pas avoir de PTR ou un EHLO correct est devenu synonyme de spammeur. C'est donc l'effet de bord non désiré des spammeurs... Il y a aussi des raccourcis qui sont faits : DUL = Botnet. Dans la mesure où les abonnées dial-up ou ADSL ne peuvent pas chan ger leur reverse, avoir un reverse qui semble généré automatiquement p eut être considéré comme avoir une IP assignée dynamiquement. Et donc si tu envoies des mails, c'est que t'as un botnet. Je proteste: je suis abonné ADSL et je peux changer mon reverse. Ce n'est donc pas une vérité absolue. Loin de moi l'idée de dire Les gens qui veulent envoyer des mails n'ont qu'à changer de FAI, ça devrait faire partie du boulot d'un F AI de fournir un peu mieux qu'une IP dynamique sans reverse. Mais il faut dire aussi que choisir n'importe quel FAI pour ensuite vouloir faire des trucs un peu spéciaux avec, c'est une drôle d'idée. Il y a internet et Internet ;) --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] reverse DNS chez orange pro
Le 16 février 2010 à 22:11, David Amiel a écrit: et je dirais que 60% des incidents mails que l'on reçoit sont dûs aux serveurs SMTP d'orange. En effet leurs serveurs sont régulièrement black-listé dans les RBL ce qui provoque de le refus de nombreux mails des utilisateurs. Est-ce de la faute d'orange s'il se retrouve dans les RBLs ? Les gestionnaires de RBLs blacklistent les smtp du premier FAI français. Les mails n'arrivent plus ? Comme c'est étrange ! -- Xavier Nicollet --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] reverse DNS chez orange pro
Le 17 février 2010 00:47, Manuel Guesdon ml+fr...@oxymium.net a écrit : On Tue, 16 Feb 2010 22:56:25 +0100 Radu-Adrian Feurdean r...@ftml.net wrote: | Les pratiques en question impactent de nos jours plus les gens qui ont | autre chose a beep que configurer un serveur de mail tout le long de | la journee. A chacun son truc: s'occuper d'un serveur c'est un boulot comme réparer les voitures en est un autre après chacun peut bidouiller sa voiture et le résultat est fonction de la compétence. Bonjour, Sans vouloir la jouer faut tout casser et tout reprendre à zéro (si c'était si facile, on l'aurait déjà fait), je trouve tout de même qu'il y a une sérieuse dérive dans la lutte anti-spam. Chacun part dans une direction différente, en implémentant des best pratices qui lui sont propres, ou communes à une portion seulement de la toile, avec des règles qui sont parfois complètement absurdes. Le protocole est complètement trituré, et c'est ainsi qu'on voit arriver des choses comme le greylisting, ou bien des should interprétés en must (alors qu'il existe parfois de très bonne raison de ne pas faire ce qui est conseillé). On cherche tellement à se prémunir du spam, qu'on en vient à faire de la bidouille que seuls quelques élus connaissent, ou à faire du spécifique par fournisseur de services, pour se soumettre à leur dernière fantaisie. Il existe déjà un certain nombre de méthodes, intelligentes, qui se greffent par dessus le protocole, qui sont rétro-compatibles avec qqn qui ne souhaite pas les implémenter et qui permettent déjà de lutter efficacement : DKIM (et DK) et SPF (et SenderID). Vous connaissez bcp de botnet qui utilisent ces fonctionnalités ? Des méthodes comme tarpit sont également des astuces, qui sont rétro-compatibles et qui vont effectivement dans le sens de la lutte contre le spam. Ce qui distingue à mes yeux tarpit et greylisting, alors que les deux jouent sur des astuces de protocole, c'est que là où tarpit a une action directe qui est de ralentir le spammeur, le greylisting se base uniquement sur la supposition que le serveur SMTP du spammeur est une bouse, ou que ca lui coute trop cher de gérer des messages d'erreur... ce qui constitue pour moi du bricolage. A mon sens, il vaut mieux réfléchir à des méthodes intelligentes, se greffant au protocole, et étant rétro compatibles, plutôt que de se retrouver avec des inepties comme la dernière en date dont je me souviens : avoir un return-path identique au From... (comme si ca permettait vraiment de distinguer un spam d'un courrier légitime ...) Amicalement, Florian MAURY --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] reverse DNS chez orange pro
Le Wed, Feb 17, 2010 at 11:10:34AM +0100, Florian MAURY [pub-fr...@x-cli.com] a écrit: Il existe déjà un certain nombre de méthodes, intelligentes, qui se greffent par dessus le protocole, qui sont rétro-compatibles avec qqn qui ne souhaite pas les implémenter et qui permettent déjà de lutter efficacement : DKIM (et DK) et SPF (et SenderID). Qui ne luttent pas contre le spam, mais contre l'usurpation d'expéditeur. (et donc, pour une petite part, ça réduit le bruit induit par les bounces) [...] Ce qui distingue à mes yeux tarpit et greylisting, alors que les deux jouent sur des astuces de protocole, c'est que là où tarpit a une action directe qui est de ralentir le spammeur, le greylisting se base uniquement sur la supposition que le serveur SMTP du spammeur est une bouse, ou que ca lui coute trop cher de gérer des messages d'erreur... ce qui constitue pour moi du bricolage. Le tarpit, c'est un peu pareil. Quand les mails sortent d'un botnet, tu as de toute façon des milliers, voire millions, de machines émettrices qui peuvent chacune rester à tarpiter tranquillement quelques milliers de connexions sortantes. (de toute façons les ressources utilisées sont pas les leurs, alors ...) -- Dominique Rousseau Neuronnexion, Prestataire Internet Intranet 50, rue Riolan 8 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] reverse DNS chez orange pro
Le 17 févr. 10 à 11:46, Pierre Audenard a écrit : Il ya t'il une explication rationnelle à ceci ? Le mode de collecte de trafic qui chez Orange DSL (en gros, l'IP commence assez en amont, depuis des BAS exploités en partage de charge qui peuvent se situer aussi bien en RP qu'en province) n'a à ce stade pas grand chose à voir avec ce qui existe en dégroupé chez Free ou SFR (l'IP débute au niveau de l'accès). -- Alec --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] reverse DNS chez orange pro
Bonjour, On Wed, 17 Feb 2010 11:10:34 +0100 Florian MAURY pub-fr...@x-cli.com wrote: | Sans vouloir la jouer faut tout casser et tout reprendre à zéro (si | c'était si facile, on l'aurait déjà fait), je trouve tout de même | qu'il y a une sérieuse dérive dans la lutte anti-spam. | Chacun part dans une direction différente, en implémentant des best | pratices qui lui sont propres, ou communes à une portion seulement de | la toile, avec des règles qui sont parfois complètement absurdes. | Le protocole est complètement trituré, et c'est ainsi qu'on voit | arriver des choses comme le greylisting, Je suis un peu d'accord, cela dit les usagers/clients veulent une 'solution' la maintenant, pas dans 10ans :-) Cela dit rien n'empeche de reflechir à la solution pour dans 10ans. | ou bien des should | interprétés en must (alors qu'il existe parfois de très bonne raison | de ne pas faire ce qui est conseillé). Hum, je me creuse la tete mais quelle raison peut on avoir de ne pas mettre de rDNS ou un helo correct sur un serveur de mail destiné à communiquer avec l'extérieur ? Manuel -- __ Manuel Guesdon - OXYMIUM --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] reverse DNS chez orange pro
Le 17 février 2010 11:21, Dominique Rousseau d.rouss...@nnx.com a écrit : Le Wed, Feb 17, 2010 at 11:10:34AM +0100, Florian MAURY [pub-fr...@x-cli.com] a écrit: Il existe déjà un certain nombre de méthodes, intelligentes, qui se greffent par dessus le protocole, qui sont rétro-compatibles avec qqn qui ne souhaite pas les implémenter et qui permettent déjà de lutter efficacement : DKIM (et DK) et SPF (et SenderID). Qui ne luttent pas contre le spam, mais contre l'usurpation d'expéditeur. (et donc, pour une petite part, ça réduit le bruit induit par les bounces) Oui, effectivement, elles luttent contre l'usurpation d'identité (ce qui limite déjà le spam de type spoofing, c'est toujours ça de pris). Mais l'essence de ce que je voulais dire, c'est que si une personne est soucieuse de son identité vis à vis de l'expédition de mail, c'est qu'elle est soucieuse de sa réputation, et confortable avec l'expédition de mails (en gros qu'elle a une architecture suffisante pour justifier son identité). De fait, elle assume l'entière paternité de son mail, ce qu'aucun spammeur ne peut, ni ne désire faire. J'imagine assez difficilement un spammeur faire un SPF record avec les IPs de ses botnets :D On peut donc créditer allègrement les possesseurs de ce type de signatures d'un bon bonus dans les filtres anti-spam (en sachant qu'une société qui fait du spamming en signant avec DKIM risque d'avoir des surprises sur la réputation de ses IPs !), ou à l'inverse coller un sacré malus à ceux qui ne signent pas. Donc, en soi, je les catégorise comme des solutions anti-spam à part entière... Elles offrent deux services simultanément, sont une best pratice reconnue et documentée, et que de toute facon, tout un chacun devrait se doter (m'est avis). Le problème, c'est que peu de personnes les mettent en place. Florian MAURY --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] reverse DNS chez orange pro
Salut, Enlève ces bidouilles et demain l'email devient inutilisable. Les spammeurs sont très bon a signer leur mails et utiliser SPF (qui ne sert bien aux gros, on voit moins de MAIL FROM de chez eux). Il y a 10 ans, le problème était les serveur en open relay - ça a été ferme. Maintenant ce sont les botnet - quand MS fixera la sécurité de son OS phare ça ira mieux. Pour la verification des reverses, nous la faisons pour les pays pour lesquelles mes clients ont peu de traffic et offrons aux clients affectes de white lister les domaines affectes. Thomas --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] reverse DNS chez orange pro
En résumé, il n'y a pas de solution parfaite, mais coupler authentification et réputation reste quand même le plus efficace aujourd'hui (tout en étant assez peu répandu en dehors des US). Les RBL et autres listes permettent en outre d'économiser du temps et des ressources. Gmail n'accepte que les mails signés DKIM de eBay et Paypal. Le moindre mail non ou mal signé est dégagé. Si ce genre de pratique n'est pas plus largement répandu, c'est parce que le receveur craint généralement qu'en face, les pré-requis techniques ne soient pas là (= faux positifs). Dans le cas présent eBay/Paypal s'assure que ses systèmes ne puissent pas être utilisés pour spammer, et que tout mail envoyé possède la signature adéquat. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] reverse DNS chez orange pro
Mais l'essence de ce que je voulais dire, c'est que si une personne est soucieuse de son identité vis à vis de l'expédition de mail, c'est qu'elle est soucieuse de sa réputation, et confortable avec l'expédition de mails (en gros qu'elle a une architecture suffisante pour justifier son identité). Il y a encore peu de temps le domain tasting aidait bien les spammeurs - donc acheter un domaine pour la campagne de spam, le signer, et le jetter apres c'etait facile. Je n'ai pas de stats sur ce que le changement a apporte au niveau des spammeurs. http://en.wikipedia.org/wiki/Domain_tasting De fait, elle assume l'entière paternité de son mail, ce qu'aucun spammeur ne peut, ni ne désire faire. J'imagine assez difficilement un spammeur faire un SPF record avec les IPs de ses botnets :D Il fait un SFP qui dit accept tout de partout :D Et vu que SFP casse le revoie de mail beaucoup de domaines n'auront jamais de SPF - car personne dans la SME comprends ce que c'est et comment ca marche. On peut donc créditer allègrement les possesseurs de ce type de signatures d'un bon bonus dans les filtres anti-spam (en sachant qu'une société qui fait du spamming en signant avec DKIM risque d'avoir des surprises sur la réputation de ses IPs !), ou à l'inverse coller un sacré malus à ceux qui ne signent pas. Ca aide spam assassin - c'est ou que je commence la thread sur le cout en CO2 du spam ?? http://motherjones.com/blue-marble/2009/04/spams-co2-emissions Tu veux vraiment eviter autant de spam que possible aux MX car l'analyse du contenu ca coute en ressources (machines, etc.) Le problème, c'est que peu de personnes les mettent en place. C'est la ou je re-dis: Eduquer n'est pas facile , mais SVP on n'est pas encore vendredi. Thomas --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] reverse DNS chez orange pro
Les spammeurs sont très bon a signer leur mails et utiliser SPF Oui, mais s'ils signent ou SPF, alors il devient très facile de les identifier et une fois identifier, hop, direct dans la RBL, non ? Je ne connaissais pas le domain tasting. Effectivement, ca n'aide pas, mais je pense que cela joue à la marge : quand on voit le chiffre d'affaire que peut rapporter une campagne de spam, l'acquisition, même à long terme, d'un nom de domaine ne représente pas un facteur suffisamment dissuadant. Il fait un SFP qui dit accept tout de partout :D Autant dire que le SPF record qui accepte tout devrait être considéré comme pire que l'absence de SPF record, tant il n'y a aucune bonne raison de le configurer ainsi. Et vu que SFP casse le revoie de mail beaucoup de domaines n'auront jamais de SPF - car personne dans la SME comprends ce que c'est et comment ca marche. Le SPF casse le renvoi de mails ? Je ne comprends pas en quoi. Pour ce qui est des SME, si elles ne comprennent pas et ne font pas l'effort, elles prennent un prestataire, et si elles veulent faire elles-même, de toute facon, à l'heure actuelle, elles doivent déjà faire des prouesses pour comprendre la liste des bidouilles qu'il faut faire pour se faire accepter ses mails par untel ou untel (hotmail au hasard). Je pense donc que ca ne change pas le problème. Ca aide spam assassin - c'est ou que je commence la thread sur le cout en CO2 du spam ?? http://motherjones.com/blue-marble/2009/04/spams-co2-emissions Tu veux vraiment eviter autant de spam que possible aux MX car l'analyse du contenu ca coute en ressources (machines, etc.) Bof, si on place le filtrage par réputation avant le filtrage par SPF/DKIM, on économise déjà bcp de traitement. Je sais bien que le SPAM produit indirectement bcp de CO2, mais si ces pratiques coutent nettement moins cher que les pseudo calculs statistiques d'outils comme SPAM Assassin qui vérifient 15000 règles qui ne sont pas spécialement économes (si on était vendredi, je m'interrogerai sur le pourquoi de Perl, vis à vis des performances =)) Je n'ai pas d'action chez Cisco, mais les Ironport faisait du bon boulot à ce niveau, du temps où j'en avais dans les mains. Hum, je me creuse la tete mais quelle raison peut on avoir de ne pas mettre de rDNS ou un helo correct sur un serveur de mail destiné à communiquer avec l'extérieur ? Disons qu'en soit, pouvoir résoudre une vérification reverse-forward est une bonne idée. Ce qui est problematique, c'est quand un fournisseur de service te demande de résoudre reverse-forward + reverse et ehlo = domaine d'expédition, puisque plusieurs A record peuvent pointer sur la même IP alors qu'on n'a qu'un seul PTR. J'ai déjà eu le cas. Je suis un peu d'accord, cela dit les usagers/clients veulent une 'solution' la maintenant, pas dans 10ans :-) Cela dit rien n'empeche de reflechir à la solution pour dans 10ans. Sans vouloir troller, ca me rappelle la discussion sur le Green IT : Si personne ne lance la machine, elle ne démarrera pas. On a l'avantage que SPF, DKIM et les RBL existent depuis déjà des années. J'ai juste souvent le sentiment (je ne pointe personne de précis du doigt en disant ça) que certains aiment bien ces bidouilles et aiment en inventer d'autres parce que ca les rend savant (= business), et que ca permet de palier temporairement au spam. Florian MAURY --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] reverse DNS chez orange pro
Bonjour, Bonjour, Il existe déjà un certain nombre de méthodes, intelligentes, qui se greffent par dessus le protocole, qui sont rétro-compatibles avec qqn qui ne souhaite pas les implémenter et qui permettent déjà de lutter efficacement : DKIM (et DK) et SPF (et SenderID). Vous connaissez bcp de botnet qui utilisent ces fonctionnalités ? Des méthodes comme tarpit sont également des astuces, qui sont rétro-compatibles et qui vont effectivement dans le sens de la lutte contre le spam. Comme on l'a déjà fait remarquer, ce ne sont pas des mécanismes antispam mais contre l'usurpation d'identité. Je ne connais pas de botnet qui utilise DKIM ou SPF, par contre il m'arrive de recevoir des nigerian scams venant de webmails qui eux ont des en-têtes SPF et/ou DKIM. Alors utiliser ces informations pour différencier un spam d'un mail légitime, c'est tout sauf une bonne idée. Leur intérêt est d'aider lorsqu'on remonte le problème à l'abuse. Ce qui distingue à mes yeux tarpit et greylisting, alors que les deux jouent sur des astuces de protocole, c'est que là où tarpit a une action directe qui est de ralentir le spammeur, le greylisting se base uniquement sur la supposition que le serveur SMTP du spammeur est une bouse, ou que ca lui coute trop cher de gérer des messages d'erreur... ce qui constitue pour moi du bricolage. Le greylisting ne ralentit pas le spammer ? Le tarpit, tout comme le greylisting ont un but unique: taper là où ça fait mal. Le spam est un business, toute personne empêchant le business de se faire coûte de l'argent aux spammers. Il n'y a pas à mes yeux de raison de préférer l'un à l'autre, chacun a ses défauts et ses qualités. Un outil libre comme spamd qui fait les deux, c'est une bonne idée, à chacun de voir si ça lui convient, des résultats (qui commencent à dater) sont disponibles ici : http://www.openbsd.org/papers/bsdcan05-spamd/ A mon sens, il vaut mieux réfléchir à des méthodes intelligentes, se greffant au protocole, et étant rétro compatibles, plutôt que de se retrouver avec des inepties comme la dernière en date dont je me souviens : avoir un return-path identique au From... (comme si ca permettait vraiment de distinguer un spam d'un courrier légitime ...) Yakataka. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] reverse DNS chez orange pro
On Wed, 17 Feb 2010 00:47:07 +0100, Manuel Guesdon ml+fr...@oxymium.net said: On Tue, 16 Feb 2010 22:56:25 +0100 Radu-Adrian Feurdean r...@ftml.net wrote: | Les pratiques en question impactent de nos jours plus les gens qui ont | autre chose a beep que configurer un serveur de mail tout le long de | la journee. A chacun son truc: s'occuper d'un serveur c'est un boulot comme réparer les voitures en est un autre après chacun peut bidouiller sa voiture et le résultat est fonction de la compétence. Sur une voiture tu peux faire le plein de carburant tout seul, tout comme verifier certaines choses des base (verifier les niveaux des certains liquides). Et sur une voiture on te depande pas de mettre des pneus specifique a chaque autoroute. En general on te demande pas non plus d'aller au garagiste plus d'une fois par an (et encore). | Quand aux spammeurs (vrais ou classifies au tord), ils ont des moyens | que vous n'imaginez meme pas, avec parfois une meilleure reputation (et | chance d'arriver en Inbox) qu'une entreprise normale ou petit ISP. Au moins ca evite une partie des spam de machines ownés. Pour les 'vrais' spammeurs genre as399???, je préfère la méthode tarpit, ca ajoute un petit coté jouissif :-) Je croyais que les vrais spammeurs c'est les botnets :) En ce qui nous concerne, il y a des choses qui nous derangent bien plus que le tarpit. Je suis aussi curieux combien d'emails tu recois de chez nous (par jour ou par mois). -- Radu-Adrian Feurdean raf (a) ftml ! net --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] reverse DNS chez orange pro
Le 17 février 2010 13:59, Julien Reveret shad...@c0a8.org a écrit : Je ne connais pas de botnet qui utilise DKIM ou SPF, par contre il m'arrive de recevoir des nigerian scams venant de webmails qui eux ont des en-têtes SPF et/ou DKIM. Alors utiliser ces informations pour différencier un spam d'un mail légitime, c'est tout sauf une bonne idée. Leur intérêt est d'aider lorsqu'on remonte le problème à l'abuse. Que ce soit une technique contre l'usurpation d'identité, ou une technique anti-spam, du moment que ca marche pour limiter le spam que c'est documenté, et que c'est référencé, personnellement, je prends. Les scams, s'ils sont signés ou SPF, alors c'est qu'il y a un problème chez ce fournisseur de webmail qui permet d'en envoyer en masse ; et s'il ne permet d'envoyer en masse, alors je le dis haut et fort : je préfère un faux-négatif à des dizaines de faux-positifs dûs à des techniques antispam saugrenues (cf. exemples donnés précédement) Ce qui distingue à mes yeux tarpit et greylisting, alors que les deux jouent sur des astuces de protocole, c'est que là où tarpit a une action directe qui est de ralentir le spammeur, le greylisting se base uniquement sur la supposition que le serveur SMTP du spammeur est une bouse, ou que ca lui coute trop cher de gérer des messages d'erreur... ce qui constitue pour moi du bricolage. Le greylisting ne ralentit pas le spammer ? Le tarpit, tout comme le greylisting ont un but unique: taper là où ça fait mal. Le spam est un business, toute personne empêchant le business de se faire coûte de l'argent aux spammers. Il n'y a pas à mes yeux de raison de préférer l'un à l'autre, chacun a ses défauts et ses qualités. Un outil libre comme spamd qui fait les deux, c'est une bonne idée, à chacun de voir si ça lui convient, des résultats (qui commencent à dater) sont disponibles ici : http://www.openbsd.org/papers/bsdcan05-spamd/ Ce qui me gène dans le grey listing, c'est que c'est un procédé non transparent, retardant sévèrement, suivant l'expéditeur, la délivraison des mails, et le tout basé sur une technique qui présume que le spammeur utilise un programme qui ne gère pas le retour d'erreur temporaire et ne rééditera pas le message. Si le grey-listing se généralise, ils seront acculés et mettront en place des mécanismes de réédition : retour à la case départ. Le tarpit a l'avantage de ne retarder que de quelques secondes et ralentit à la marge le traffic légitime. A mon sens, il vaut mieux réfléchir à des méthodes intelligentes, se greffant au protocole, et étant rétro compatibles, plutôt que de se retrouver avec des inepties comme la dernière en date dont je me souviens : avoir un return-path identique au From... (comme si ca permettait vraiment de distinguer un spam d'un courrier légitime ...) Yakataka. FRnOG à pour but d'améliorer la qualité d'Internet. Discutons-en. Et si j'arrive à convaincre ne serait ce qu'un seul admin de messagerie de ne pas demander des règles saugrenues pour qu'on arrive à lui parler, par mes mails d'aujourd'hui, alors j'aurai sérieusement gagné ma journée. --- Radu-Adrian = +1 Florian MAURY --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] reverse DNS chez orange pro
Le Wed, Feb 17, 2010 at 11:34:53AM +, Thomas Mangin [thomas.man...@exa-networks.co.uk] a écrit: Mais l'essence de ce que je voulais dire, c'est que si une personne est soucieuse de son identité vis à vis de l'expédition de mail, c'est qu'elle est soucieuse de sa réputation, et confortable avec l'expédition de mails (en gros qu'elle a une architecture suffisante pour justifier son identité). Il y a encore peu de temps le domain tasting aidait bien les spammeurs - donc acheter un domaine pour la campagne de spam, le signer, et le jetter apres c'etait facile. Je n'ai pas de stats sur ce que le changement a apporte au niveau des spammeurs. http://en.wikipedia.org/wiki/Domain_tasting Il y a quelques registrars voyous qui à mon avis sont prets à payer les 20c par domaine, largement compensés par des revenus moins avouables... -- Dominique Rousseau Neuronnexion, Prestataire Internet Intranet 50, rue Riolan 8 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] reverse DNS chez orange pro
Benjamin BILLON a écrit: coupler authentification et réputation reste quand même le plus efficace aujourd'hui (tout en étant assez peu répandu en dehors des US). Les RBL et autres listes permettent en outre d'économiser du temps et des ressources. Thomas Mangin a écrit: Le probleme est que toutes ces solutions sont commerciales et pas bon marche. +1 En général j'installe Brightmail (la version Symantec/Exchange) chez les clients, ça marche bien. Mais mon FAI à la maison ne peut pas s'offrir ce genre de solution, et donc utilise une combinaison de bidouilles plus ou moins efficaces. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] reverse DNS chez orange pro
Le Wednesday 17 Feb, vers 13:23, Florian MAURY exprimait : Ca aide spam assassin - c'est ou que je commence la thread sur le cout en CO2 du spam ?? http://motherjones.com/blue-marble/2009/04/spams-co2-emissions Attends vendredi, on pourra parler d'assombrissement de la planète et de madame Michu nommé expert au GIEC, histoire d'avoir un beau final à ce hors sujet :-) À plus tard.. Stéphane --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] reverse DNS chez orange pro
Dans l'offre pro, est-ce que le port 25 est bloqué comme il l'est pour les particuliers ? Stéphane Hang a écrit : Bonjour Je rencontre de gros soucis d’envoi de mail en m’appuyant sur les SMTP Orange alors que je suis client de ce FAI En effet durant plusieurs semaines les mails ont mis entre 1 et 24 heures pour être distribués. Ma configuration est un exchange 2003 qui utilise le relais 193.252.22.64 d’Orange Afin de ne plus subir ces désagréments de lenteur je souhaite envoyer les mails directement sans m’appuyer sur les relais d’Orange, pour cela j’ai demandé à Orange de me mettre en place un Reverse DNS. Cette option n’est pas dispo chez eux, même si je fais héberger mon nom de domaine chez Orange. Suis le seul dans ce cas ou bien tout les utilisateurs d’Orange ayant un serveur de mail sur une ADSL Orange sont dans le même cas. Quelle solution s’offre à moi à part passer chez Oléane ou équivalent ? Merci de votre retour --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] reverse DNS chez orange pro
Le Tue, Feb 16, 2010 at 05:46:18PM +0100, Stéphane Hang [stephane_h...@orange.fr] a écrit: Bonjour [... snip Orange ...] http://www.ecrans.fr/Il-y-a-Internet-et-Internet-par,8130.html -- Dominique Rousseau Neuronnexion, Prestataire Internet Intranet 50, rue Riolan 8 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] reverse DNS chez orange pro
Benjamin BILLON a écrit : Dans l'offre pro, est-ce que le port 25 est bloqué comme il l'est pour les particuliers ? Pas en IP fixe. Cordialement, Olivier BONHOMME --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] reverse DNS chez orange pro
On Tue, Feb 16, 2010 at 05:46:18PM +0100, Stéphane Hang wrote: Afin de ne plus subir ces désagréments de lenteur je souhaite envoyer les mails directement sans mappuyer sur les relais dOrange, pour cela jai demandé à Orange de me mettre en place un Reverse DNS. Un reverse DNS n'est pas nécessaire pour envoyer ou recevoir du mail en SMTP. -- Bertrand Yvain http://www.IELO.net/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] reverse DNS chez orange pro
Pour envoyer certes non, mais pour qu'il arrive c'est plus que conseillé. Bertrand Yvain a écrit : On Tue, Feb 16, 2010 at 05:46:18PM +0100, Stéphane Hang wrote: Afin de ne plus subir ces désagréments de lenteur je souhaite envoyer les mails directement sans mappuyer sur les relais dOrange, pour cela jai demandé à Orange de me mettre en place un Reverse DNS. Un reverse DNS n'est pas nécessaire pour envoyer ou recevoir du mail en SMTP. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] reverse DNS chez orange pro
Bonjour, On Tue, 16 Feb 2010 17:46:18 +0100 Stéphane Hang stephane_h...@orange.fr wrote: | Je rencontre de gros soucis denvoi de mail en mappuyant sur les SMTP | Orange alors que je suis client de ce FAI | | | | En effet durant plusieurs semaines les mails ont mis entre 1 et 24 heures | pour être distribués. Oui, c'est un problème que rencontrent beaucoup de personnes. | Quelle solution soffre à moi à part passer chez Oléane ou équivalent ? Hum, comme mon estimé confrère: mauvais ISP = changer ISP 2eme solution, utiliser un relais SMTP externe (un serveur que vous louez ou plus simple et moins cher: utiliser un prestataire qui offre ce service). Manuel -- __ Manuel Guesdon - OXYMIUM --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] reverse DNS chez orange pro
Le 16 février 2010 19:03, Benjamin BILLON bbil...@splio.fr a écrit : Pour envoyer certes non, mais pour qu'il arrive c'est plus que conseillé. Bertrand Yvain a écrit : On Tue, Feb 16, 2010 at 05:46:18PM +0100, Stéphane Hang wrote: Afin de ne plus subir ces désagréments de lenteur je souhaite envoyer les mails directement sans m’appuyer sur les relais d’Orange, pour cela j’ai demandé à Orange de me mettre en place un Reverse DNS. Un reverse DNS n'est pas nécessaire pour envoyer ou recevoir du mail en SMTP. Un reverse DNS c'est mieux, mais il n'est pas nécessaire qu'il soit de type xxx.mondomaine.com un simple xxx.abo.orange.fr suffit. Ensuite c'est au SPF du domaine d'accepter l'IP source comme envoyeur de mail autorisé. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] reverse DNS chez orange pro
Ne serait-il pas envisageable de mettre le serveur Exchange sur un serveur dédié loué chez un fournisseur (OVH ou autre). Ainsi, tu pourra avoir un beau reverse et tu redirige ensuite ton trafic mail chez toi. Ça complexifie un peu l'architecture, mais si c'est nécessaire ... -- Florent R. 2010/2/16 Stéphane Hang stephane_h...@orange.fr Bonjour Je rencontre de gros soucis d’envoi de mail en m’appuyant sur les SMTP Orange alors que je suis client de ce FAI En effet durant plusieurs semaines les mails ont mis entre 1 et 24 heures pour être distribués. Ma configuration est un exchange 2003 qui utilise le relais 193.252.22.64 d’Orange Afin de ne plus subir ces désagréments de lenteur je souhaite envoyer les mails directement sans m’appuyer sur les relais d’Orange, pour cela j’ai demandé à Orange de me mettre en place un Reverse DNS. Cette option n’est pas dispo chez eux, même si je fais héberger mon nom de domaine chez Orange. Suis le seul dans ce cas ou bien tout les utilisateurs d’Orange ayant un serveur de mail sur une ADSL Orange sont dans le même cas. Quelle solution s’offre à moi à part passer chez Oléane ou équivalent ? Merci de votre retour
Re: [FRnOG] reverse DNS chez orange pro
On Tue, Feb 16, 2010 at 07:21:55PM +0100, Radu-Adrian Feurdean wrote: On Tue, 16 Feb 2010 18:52:18 +0100, Bertrand Yvain p...@ielo.net said: Un reverse DNS n'est pas nécessaire pour envoyer ou recevoir du mail en SMTP. En theorie non, mais en pratique il est hautement recommande, ainsi que plein d'autres conneries qui ne figurent dans aucun RFC. Cela fait partie, en effet, des Bonnes Pratiques. Cependant, exiger qu'un pair SMTP les suive n'est pas raisonnable, amha. Quelques lectures instructives sur le sujet : http://homepage.ntlworld.com/jonathan.deboynepollard/FGA/dns-avoid-double-reverse.html http://homepage.ntlworld.com/jonathan.deboynepollard/FGA/smtp-avoid-helo.html -- Bertrand Yvain http://www.IELO.net/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] reverse DNS chez orange pro
Stéphane Hang said the following on 2/16/10 5:46 PM: Bonjour Je rencontre de gros soucis d'envoi de mail en m'appuyant sur les SMTP Orange alors que je suis client de ce FAI En effet durant plusieurs semaines les mails ont mis entre 1 et 24 heures pour être distribués. Ma configuration est un exchange 2003 qui utilise le relais 193.252.22.64 d'Orange Afin de ne plus subir ces désagréments de lenteur je souhaite envoyer les mails directement sans m'appuyer sur les relais d'Orange, pour cela j'ai demandé à Orange de me mettre en place un Reverse DNS. Cette option n'est pas dispo chez eux, même si je fais héberger mon nom de domaine chez Orange. Suis le seul dans ce cas ou bien tout les utilisateurs d'Orange ayant un serveur de mail sur une ADSL Orange sont dans le même cas. Quelle solution s'offre à moi à part passer chez Oléane ou équivalent ? Merci de votre retour Je ne suis même pas sûr qu'avec un reverse (en admettant qu'Orange le fasse, ce qui est loin d'être gagné), tu arrives à envoyer du mail, beaucoup d'ISP bloquent tout ce qui ressemble de près ou de loin à une ligne DSL !
Re: [FRnOG] reverse DNS chez orange pro
Pourquoi ne pas changer pour un opérateur professionnel comme Nérim. Les envois de mail se font sans aucun souci, tu as une qualité de service et des reverse DNS etc... Par expérience a chaque fois que j'essaye d'envoyer des emails par Orange j'ai toujours des latences énorme à chaque fois entre deux serveurs interne chez Orange (en-tête à l'appui). Stéphane. Le 16 février 2010 19:44, Nicolas CARTRON nico...@ncartron.org a écrit : Stéphane Hang said the following on 2/16/10 5:46 PM: Bonjour Je rencontre de gros soucis d’envoi de mail en m’appuyant sur les SMTP Orange alors que je suis client de ce FAI En effet durant plusieurs semaines les mails ont mis entre 1 et 24 heures pour être distribués. Ma configuration est un exchange 2003 qui utilise le relais 193.252.22.64 d’Orange Afin de ne plus subir ces désagréments de lenteur je souhaite envoyer les mails directement sans m’appuyer sur les relais d’Orange, pour cela j’ai demandé à Orange de me mettre en place un Reverse DNS. Cette option n’est pas dispo chez eux, même si je fais héberger mon nom de domaine chez Orange. Suis le seul dans ce cas ou bien tout les utilisateurs d’Orange ayant un serveur de mail sur une ADSL Orange sont dans le même cas. Quelle solution s’offre à moi à part passer chez Oléane ou équivalent ? Merci de votre retour Je ne suis même pas sûr qu'avec un reverse (en admettant qu'Orange le fasse, ce qui est loin d'être gagné), tu arrives à envoyer du mail, beaucoup d'ISP bloquent tout ce qui ressemble de près ou de loin à une ligne DSL !
Re: [FRnOG] reverse DNS chez orange pro
Stéphane Gilliers wrote: Par expérience a chaque fois que j'essaye d'envoyer des emails par Orange j'ai toujours des latences énorme à chaque fois entre deux serveurs interne chez Orange (en-tête à l'appui). Et hors Orange, ils ne renvoient pas les mails comme ils devraient lorsque le serveur tiers retourne une erreur temporaire 45x lors du premier échange... -- Francois Tigeot, Zefyris http://www.zefyris.com/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] reverse DNS chez orange pro
On Tue, 2010-02-16 at 18:33 +0100, Olivier BONHOMME wrote: Benjamin BILLON a écrit : Dans l'offre pro, est-ce que le port 25 est bloqué comme il l'est pour les particuliers ? Pas en IP fixe. mais c'est plus cher ! --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] reverse DNS chez orange pro
Hello, Le 16 févr. 2010 à 19:43, Bertrand Yvain a écrit : On Tue, Feb 16, 2010 at 07:21:55PM +0100, Radu-Adrian Feurdean wrote: On Tue, 16 Feb 2010 18:52:18 +0100, Bertrand Yvain p...@ielo.net said: Un reverse DNS n'est pas nécessaire pour envoyer ou recevoir du mail en SMTP. En theorie non, mais en pratique il est hautement recommande, ainsi que plein d'autres conneries qui ne figurent dans aucun RFC. Cela fait partie, en effet, des Bonnes Pratiques. Cependant, exiger qu'un pair SMTP les suive n'est pas raisonnable, amha. Quelques lectures instructives sur le sujet : http://homepage.ntlworld.com/jonathan.deboynepollard/FGA/dns-avoid-double-reverse.html http://homepage.ntlworld.com/jonathan.deboynepollard/FGA/smtp-avoid-helo.html Effectivement je suis d'accord, mais c'est devenu aussi une règle de bonne conduite Car les spammeurs ont souvent monté des serveurs configurés comme des sagouins et donc... ne pas avoir de PTR ou un EHLO correct est devenu synonyme de spammeur. C'est donc l'effet de bord non désiré des spammeurs... Xavier--- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] reverse DNS chez orange pro
Le 16/02/2010 20:00, Xavier Beaudouin a écrit : Hello, Le 16 févr. 2010 à 19:43, Bertrand Yvain a écrit : Je ne veux pas faire de pub pour ma boîte, mais en tant qu'hébergeur, depuis presque 2 ans, on a des remontées régulières d'insatisfaits du SMTP Orange (Wanadoo/Orange/Oléane). Et du coup, on a monté une offre commerciale smtp (smtp-pro), pour faire relais SMTP. Juste pour dire qu'il y a de la demande... et que Stéphane n'est pas seul. (Les problèmes qu'on m'a remontés : délivrance très très variable, serveurs SMTP du FAI souvent blackistés, blocage/restriction du port 25, ...) Sylvain On Tue, Feb 16, 2010 at 07:21:55PM +0100, Radu-Adrian Feurdean wrote: On Tue, 16 Feb 2010 18:52:18 +0100, Bertrand Yvainp...@ielo.net said: Un reverse DNS n'est pas nécessaire pour envoyer ou recevoir du mail en SMTP. En theorie non, mais en pratique il est hautement recommande, ainsi que plein d'autres conneries qui ne figurent dans aucun RFC. Cela fait partie, en effet, des Bonnes Pratiques. Cependant, exiger qu'un pair SMTP les suive n'est pas raisonnable, amha. Quelques lectures instructives sur le sujet : http://homepage.ntlworld.com/jonathan.deboynepollard/FGA/dns-avoid-double-reverse.html http://homepage.ntlworld.com/jonathan.deboynepollard/FGA/smtp-avoid-helo.html Effectivement je suis d'accord, mais c'est devenu aussi une règle de bonne conduite Car les spammeurs ont souvent monté des serveurs configurés comme des sagouins et donc... ne pas avoir de PTR ou un EHLO correct est devenu synonyme de spammeur. C'est donc l'effet de bord non désiré des spammeurs... Xavier--- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] reverse DNS chez orange pro
Stéphane Hang a écrit: pour cela j'ai demandé à Orange de me mettre en place un Reverse DNS. Cette option n'est pas dispo chez eux, même si je fais héberger mon nom de domaine chez Orange. Probablement tu ne parles pas à la bonne personne. Appelles pour annuler ta ligne; à un moment donné le droid te demandera pourquoi, dis que c'est parce que ils ne savent pas faire de rDNS; en général le droid te mets en attente et s'occupe de ton problème. Des fois ça marche, des fois pas. Si ça ne marche pas, changes de crèmerie Suis le seul dans ce cas ou bien tout les utilisateurs d'Orange ayant un serveur de mail sur une ADSL Orange sont dans le même cas. C'est pas le seul FAI qui fasse çà... Quelle solution s'offre à moi à part passer chez Oléane ou équivalent ? A court terme, autoriser le relai sur le serveur de mail du bureau ou des potes. Bertrand Yvain a écrit: Un reverse DNS n'est pas nécessaire pour envoyer ou recevoir du mail en SMTP. Un peu de sérieux SVP, c'est mardi pas vendredi. Nicolas CARTRON a écrit: Je ne suis même pas sûr qu'avec un reverse (en admettant qu'Orange le fasse, ce qui est loin d'être gagné), tu arrives à envoyer du mail, beaucoup d'ISP bloquent tout ce qui ressemble de près ou de loin à une ligne DSL ! Et oui, problème bien connu d'avoir son serveur à la maison. Même si techniquement ça ne sert à rien, ca peut être utile d'avoir tout pareil: - Le rDNS qui ne contient surtout pas DSL ou dynamic. - Le rDNS non-générique (pas de mon.adr.ip.client.ville.machin.truc.orange.fr) - Le rDNS qui résout pareil que le MX. - Le HELO qui va avec. Dans Exchange 2003: Exchange - Server - tonserveur - protocols - SMTP - default SMTP Virtual server - click droit - properties - delivey - advanced - masquerade domain ET FQDN. C'est probablement dans le même écran que tu as configuré to smart host. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] reverse DNS chez orange pro
Bonsoir. J'ai eu le même problème chez deux de mes clients (qui utilisent Exchange 2003 et sont chez Orange ADSL Pro). Je n'ai pas la solution pour le reverse DNS, mais j'ai utilisé un autre SMTP d'Orange, et ça marchait beaucoup mieux (plus de délais de livraison des mails, qui restaient en attente entre deux serveurs d'Orange (même constatation que Stéphane, avec les en-têtes)) Le serveur SMTP est smtp-msa.orange.fr, sur le port 587, en utilisant pour l'authentification, ton nom d'utilisateur Orange (le début de ton mail, avant l'arobase) et ton mot de passe. Par contre, il y avait un problème de résolution DNS pour smtp-msa.orange.fr (Je sais plus trop pourquoi. Je crois que c'était uniquement les DNS d'Orange qui permettait de résoudre ça, et pas quand on passait par une résolution directe sans redirecteurs, ou un truc comme ça...). Bref, j'avais utilisé l'IP : [193.252.22.72]. Je ne suis pas un expert en Exchange, alors j'avais eu un peu de mal à trouver où il fallait configurer tout ça, dans le Gestionnaire Système Exchange. Si quelqu'un le souhaite, je me ferai un plaisir de vous décrire précisément la config. Bonne soirée. Bruno Stas Le 16/02/2010 17:46, Stéphane Hang a écrit : Bonjour Je rencontre de gros soucis d'envoi de mail en m'appuyant sur les SMTP Orange alors que je suis client de ce FAI En effet durant plusieurs semaines les mails ont mis entre 1 et 24 heures pour être distribués. Ma configuration est un exchange 2003 qui utilise le relais 193.252.22.64 d'Orange Afin de ne plus subir ces désagréments de lenteur je souhaite envoyer les mails directement sans m'appuyer sur les relais d'Orange, pour cela j'ai demandé à Orange de me mettre en place un Reverse DNS. Cette option n'est pas dispo chez eux, même si je fais héberger mon nom de domaine chez Orange. Suis le seul dans ce cas ou bien tout les utilisateurs d'Orange ayant un serveur de mail sur une ADSL Orange sont dans le même cas. Quelle solution s'offre à moi à part passer chez Oléane ou équivalent ? Merci de votre retour
Re: [FRnOG] reverse DNS chez orange pro
Bonjour Je rencontre de gros soucis denvoi de mail en mappuyant sur les SMTP Orange alors que je suis client de ce FAI ma societe heberge la messagerie pour plusieurs clients infogérés, et je dirais que 60% des incidents mails que l'on reçoit sont dûs aux serveurs SMTP d'orange. En effet leurs serveurs sont régulièrement black-listé dans les RBL ce qui provoque de le refus de nombreux mails des utilisateurs. A chaque fois on demande aux utilisateurs de remonter le problème à Orange mais au fil des années j'ai pas l'impression que les choses s'améliorent. Et va expliquer à un médecin, avocat, commerçant etc qu'il faudrait qu'il se trouve un autre fournisseur de mail alors qu'il considère déjà comme un quasi miracle qu'il ait réussi à avoir internet à son bureau. En effet durant plusieurs semaines les mails ont mis entre 1 et 24 heures pour être distribués. Orange n'est pas clair sur le smtp mais il faudrait vérifier que le serveur de messagerie de destination n'est pas en cause aussi (bon si c'est vers une messagerie Orange forcément .. :) ) Afin de ne plus subir ces désagréments de lenteur je souhaite envoyer les mails directement sans mappuyer sur les relais dOrange, pour cela jai demandé à Orange de me mettre en place un Reverse DNS. Cette option nest pas dispo chez eux, même si je fais héberger mon nom de domaine chez Orange. on fait des demandes régulierement à France Telecom (et non orange) pour des entrées reverse dns, donc il savent le faire mais ils nous fournissent aussi une classe C avec un gros lien internet, donc c'est plus une question d'offre que d'impossibilité. David Merci de votre retour --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] reverse DNS chez orange pro
On Tue, 16 Feb 2010 20:00:38 +0100, Xavier Beaudouin k...@oav.net said: Le 16 févr. 2010 à 19:43, Bertrand Yvain a écrit : Quelques lectures instructives sur le sujet : http://homepage.ntlworld.com/jonathan.deboynepollard/FGA/dns-avoid-double-reverse.html http://homepage.ntlworld.com/jonathan.deboynepollard/FGA/smtp-avoid-helo.html Effectivement je suis d'accord, mais c'est devenu aussi une règle de bonne conduite Car les spammeurs ont souvent monté des serveurs configurés comme des sagouins et donc... ne pas avoir de PTR ou un EHLO correct est devenu synonyme de spammeur. C'est donc l'effet de bord non désiré des spammeurs... Ca doit etre de l'histoire TREEESSS ancienne. Ou alors il faut reviser certaines definitions et clasiffication lies au spam. Les pratiques en question impactent de nos jours plus les gens qui ont autre chose a beep que configurer un serveur de mail tout le long de la journee. Quand aux spammeurs (vrais ou classifies au tord), ils ont des moyens que vous n'imaginez meme pas, avec parfois une meilleure reputation (et chance d'arriver en Inbox) qu'une entreprise normale ou petit ISP. -- Radu-Adrian Feurdean raf (a) ftml ! net --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] reverse DNS chez orange pro
Bonjour, On 2010-02-16 19:21:55 +0100, Radu-Adrian Feurdean wrote: On Tue, 16 Feb 2010 18:52:18 +0100, Bertrand Yvain p...@ielo.net said: Un reverse DNS n'est pas nécessaire pour envoyer ou recevoir du mail en SMTP. En theorie non, mais en pratique il est hautement recommande, ainsi que plein d'autres conneries qui ne figurent dans aucun RFC. Le RFC 1912 y fait référence à la section 2.1 : « Every Internet-reachable host should have a name. » « Make sure your PTR and A records match. For every IP address, there should be a matching PTR record in the in-addr.arpa domain. » mais, sauf erreur de ma part, ce n'est qu'informatif. -- Thibault Jouan A13 http://a13.fr/ +33 6 28 25 39 00 signature.asc Description: Digital signature
Re: [FRnOG] reverse DNS chez orange pro
Bonjour, On Tue, Feb 16, 2010 at 09:55:13PM +, Thibault Jouan wrote: Bonjour, On 2010-02-16 19:21:55 +0100, Radu-Adrian Feurdean wrote: On Tue, 16 Feb 2010 18:52:18 +0100, Bertrand Yvain p...@ielo.net said: Un reverse DNS n'est pas nécessaire pour envoyer ou recevoir du mail en SMTP. En theorie non, mais en pratique il est hautement recommande, ainsi que plein d'autres conneries qui ne figurent dans aucun RFC. Le RFC 1912 y fait référence à la section 2.1 : « Every Internet-reachable host should have a name. » « Make sure your PTR and A records match. For every IP address, there should be a matching PTR record in the in-addr.arpa domain. » mais, sauf erreur de ma part, ce n'est qu'informatif. Et surtout, c'est should et non MUST, les RFCs sont très précises concernant le vocabulaire employé. Sylvain signature.asc Description: Digital signature
Re: [FRnOG] reverse DNS chez orange pro
On Tue, 16 Feb 2010 22:56:25 +0100 Radu-Adrian Feurdean r...@ftml.net wrote: | Les pratiques en question impactent de nos jours plus les gens qui ont | autre chose a beep que configurer un serveur de mail tout le long de | la journee. A chacun son truc: s'occuper d'un serveur c'est un boulot comme réparer les voitures en est un autre après chacun peut bidouiller sa voiture et le résultat est fonction de la compétence. | Quand aux spammeurs (vrais ou classifies au tord), ils ont des moyens | que vous n'imaginez meme pas, avec parfois une meilleure reputation (et | chance d'arriver en Inbox) qu'une entreprise normale ou petit ISP. Au moins ca evite une partie des spam de machines ownés. Pour les 'vrais' spammeurs genre as399???, je préfère la méthode tarpit, ca ajoute un petit coté jouissif :-) Manuel -- __ Manuel Guesdon - OXYMIUM --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] reverse DNS chez orange pro
Effectivement je suis d'accord, mais c'est devenu aussi une règle de bonne conduite Car les spammeurs ont souvent monté des serveurs configurés comme des sagouins et donc... ne pas avoir de PTR ou un EHLO correct est devenu synonyme de spammeur. C'est donc l'effet de bord non désiré des spammeurs... Il y a aussi des raccourcis qui sont faits : DUL = Botnet. Dans la mesure où les abonnées dial-up ou ADSL ne peuvent pas changer leur reverse, avoir un reverse qui semble généré automatiquement peut être considéré comme avoir une IP assignée dynamiquement. Et donc si tu envoies des mails, c'est que t'as un botnet. --- Liste de diffusion du FRnOG http://www.frnog.org/
