Re: [FRnOG] Free : à quand le ssl sur les serveurs mail ?
On Wed, 2009-09-02 at 07:59 +0200, Spyou wrote: Christophe Meessen a écrit : Les machines via (dédibox) ne coutent pas cher et ont des performances époustouflantes pour les opérations de chiffrement grâce au padlock. Mais cela ne me semble envisageable que comme proxy/gateway bien évidemment. Oh je suis sur que Free sera enchanté de proposé du SMTP SSL contre 30 euro de plus par mois par abonnés :) Et pour 15 euro de plus, une vrai ligne de téléphone qui marche quand on a en a besoin :) etc ... ils proposent déja changez votre numéro de telephone pour 10€ ... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Free : à quand le ssl sur les serveurs mail ?
On Wed, 02 Sep 2009 08:35 +0200, Raphaël Jacquot sxp...@sxpert.org wrote: On Wed, 2009-09-02 at 07:59 +0200, Spyou wrote: Oh je suis sur que Free sera enchanté de proposé du SMTP SSL contre 30 euro de plus par mois par abonnés :) Et pour 15 euro de plus, une vrai ligne de téléphone qui marche quand on a en a besoin :) ils proposent déja changez votre numéro de telephone pour 10€ ... et la hotline au tarif local... du 8 rue de la Ville l'Evêque à Paris ;) oh ! que de méchancetés en cette rentrée... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Botnet qui s'énerve sur un de mes serveurs ?
Francois Petillon a écrit : Julien Escario wrote: Depuis le début de l'a.m., j'ai un trafic anormalement élevé sur un serveur mail. J'ai cru à une attaque dictionnaire au début et après analyse, c'est quasiment toujours sur les mêmes adresses et en provenance d'une grand quantité d'hôte différents (ou alors ils sont spoofés). Le spoofing sur des sessions TCP qui véhiculent des mails, on en entend souvent parler mais on ne les voit jamais. Mouais, je ne sais pas ... Disons qu'en étant 'bien placé', spoofer, c'est possible. Pour le botmaster lambda, ca l'a l'air plus facile d'avoir 3 zombies de plus que de chercher le moyen de spoofer des adresses (cf discussion site de Cisco). J'ai également la sensation qu'ils ont un FROM , ce qui, d'après les RFC, n'est pas condamnable ... Comme cela a été signalé, un From en correspond souvent avec des bounces (normalement, n'importe quelle réponse automatique devrait être renvoyée avec un en from enveloppe pour éviter de générer des boucles). Donc probablement un spammeur qui utilise ton domaine poure spammer. Oui, ça semble effectivement la chose la plus probable. Dommage que les adresses de bounce n'existent pas, j'aurais pu confirmer ça en lisant le message brt Il semblerait qu'ils aient pris 4 ou 5 domaines et essaient d'envoyer une 10aine de mails sur chaque adresse. Ensuite ils changent d'adresse et réessaient. S'il s'agit bien de bounces, le spammeur a pris une liste d'adresses et les utilise aléatoirement (et je subodore que tu ne vois au final qu'une infime fraction des bounces générés). C'est certain. Je me prend les bounces de ceux qui n'ont pas détecté les mails comme spam (voir pire : qui envoient un avertissement sur détection). J'avais déjà vu un spammeur qui rajoutait deux caractères aléatoires à la partie gauche de l'email (ce qui du coup impliquait une forte probabilité d'inexistance de l'email et je blacklistais les IPs bounceuses à tour de bras). Je n'ai pas cette version là apparemment ;-) Blacklisté quelques machines qui spamment, je sais faire. 2000, j'ai plus de mal ... # ./liststats last expire was 8486631s ago 1636912 IP found out of 2099788 Soit 1.6 millions d'IP blacklistée en ce moment (et pour des blacklistes qui durent moins de 24h, ça laisse une idée du nombre de PC compromis dans la nature) et le record est de presque 2.1 millions... Hmmm, je vois. Si je comprend bien, la seule solution, c'est de blacklister temporairement (de préférence à un niveau firewall), les IPs sourcent des bounces. Ca ne me plait guère quand même ... Autre solution mais préventive : SPF (mais combien de ces serveurs vérifient ça en réception ?). Non, vraiment je ne vois pas trop de solution ... Julien --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Botnet qui s'énerve sur un de mes s erveurs ?
Salut, Si je comprend bien, la seule solution, c'est de blacklister temporairement (de préférence à un niveau firewall), les IPs sourcent des bounces. Ca ne me plait guère quand même ... Au niveau fw ce n'est pas sympa pour les postmaster - comment peux-tu savoir si le serveur/reseau a un probleme ou si c'est un probleme de spam. Retourne un code 421 / 554 du HELO ou jusqu'au DATA - ca va dans les logs. Et non, y a pas de solution miracle (faites moi signe si vous en trouvez une :D) Une bonne liste pour discussion SMTP (en Anglais): http://chilli.nosignal.org/mailman/listinfo/mailop Thomas--- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Free : à quand le ssl sur les serveurs mail ?
Comme précisé, cette discution ne s'adresse pas que à Free. arkiel a écrit : Dominique Rousseau a écrit : Oserais-je un, si banal, « parceque ça couterait des sous » ? Bullshit Combien ça coute la pub TV ou l'ouverture de points de vente? Probablement sous la forme de « faudrait du temps pour mettre en place une solution qui tienne la charge », et de « faudrait plus de serveurs ». Ca me ferait doucement rire. En gros ça serait avouer que les admins/techniciens/architectes du FAI ne sont pas bons. (et franchement ce n'est pas mon avis sur ceux-ci) Ce n'est pas une réponse surprenante, et je m'y attendais évidemment. Maintenant, il faut prendre en compte que, particulièrement depuis l'arrivée massive des netbooks, de plus en plus de gens vont profiter des hotspots pour aller vérifier leurs mails, entre autres choses. Cela pose des problèmes de sécurité. Bien sûr, ce n'est pas le rôle de Free (ou tout autre opérateur) de sécuriser le hotspot du café d'à coté. On est d'accord là dessus Sauf à proposer un VPN, les opérateurs ne peuvent évidemment pas garantir la sécurité des données des utilisateurs lorsqu'elles transitent par un autre réseau. Cependant, pour certains services comme les mails, la politique qui consiste à ne rien crypter est-elle encore valable ? Par un autre réseau non, et de toute manière je ne vois pas trop ce qui passe exclusivement par un réseau de UN FAI. Par contre, (= je ne suis pas juriste =) je pense, que en tant qu'abonné à des services, le fournisseur doit garantir la sécurité de mes données dans le cadre de ses services. Est-ce que ce ne serait pas un bon moment (le fait qu'internet devienne mobile) pour tenter d'éduquer les utilisateurs, et leur proposer des solutions ? Le bon moment? Je pense qu'il est (était) déjà très loin en arrière le bon moment... Menfin comme on dit, mieux vaut tard que jamais Maintenant, si les opérateurs ne veulent pas prendre en compte cet aspect notamment pour des raisons de coût, c'est compréhensible, mais je me demandais si certains avaient commencé à y réfléchir. Ben, j'attends juste que l'état les y obligent. /JA Oh yes! Please flame me hard! fr...@webmail.fr a écrit : Donc si je comprend bien, on te dis d'une manière cachée : c'est pas le bon endroit pour ta question et toi tu persistes et signe ? Les réponses sont peut être justement ce qu'elles sont, car les centaines de personnes inscrites à cette liste ne sont pas des gens d'Illiad. C'est pas qu'on est pas dans le sujet, c'est plutôt l'inverse : tu es au mauvais endroit. Oui je sais, c'est étonnant, Internet ce n'est pas que 3 opérateurs qui règlent des soucis d'accès à un mail afin de se dire ouha trop cool, mes paquets sont cryptés ! ... Je penche plutôt pour la troisième solution : j'ai extrêmement mal posé ma question. C'est pour ça que j'ai tenté de la recadrer. J'ai maladroitement limité ma question à Free, c'était une erreur de ma part. Je souhaitais une réponse/discussion plus large. J'ai aussi limité la question aux mails, parce que je ne voyais pas quels autres services pourraient bénéficier de mesures de sécurité qui n'en aient pas déjà. C'est aussi car nombre de gens utilisent une seule adresse mail pour beaucoup de choses et que gagner l'accès à une boite mail peut donner accès à nombre d'autres choses potentiellement plus sensibles. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [FRnOG] Free : à quand le ssl sur les serveurs mail ?
Bonjour, 2009/9/2 Jerome Athias jerome.ath...@ja-psi.fr une solution qui tienne la charge », et de « faudrait plus de serveurs ». Probablement sous la forme de « faudrait du temps pour mettre en place Ca me ferait doucement rire. En gros ça serait avouer que les admins/techniciens/architectes du FAI ne sont pas bons. (et franchement ce n'est pas mon avis sur ceux-ci) Tenir plusieurs dizaines de milliers de connexions SMTP/IMAP/POP3 simultanées c'est une chose, mais tenir plusieurs dizaines de milliers de connexions SSL, ce n'est plus vraiment la même charge sur les serveurs, et donc la même infra qu'il faut derrière. Si on pouvait arrêter là le troll puéril... Fabien -- Ogden Nash http://www.brainyquote.com/quotes/authors/o/ogden_nash.html - The trouble with a kitten is that when it grows up, it's always a cat.
[FRnOG] Recherche Bande Passante
Bonjour, vu que j'ai déjà suscité de l'animosité aujourd'hui sur cette liste (justifiée par le fait évidant que tenir des milliers de connexions SSL demande un investissement, mais que je souhaite expliquer par le fait que en France il est difficile d'ouvrir un débat sans facher/provoquer les gens...), je me permet ce mail... Ceci est une requête (ou une offre; à vous de voir): - Dans le cadre de l'organisation d'un colloque international sur la sécurité informatique (obtention du nom en privé); nous cherchons une âme charitable pour nous prêter de la bande passante afin de diffuser en streaming les conférences (ex: Richard Stallman) Appel à sponsoring donc, en échange (là ça peut plus vous intéresser directement) d'entrées gratuites pour les conférences, etc. Merci de ne pas tenir compte de ce mail si non intéressé, et de me répondre EN DEHORS DE LA LISTE. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Recherche Bande Passante
Bonjour, vu que j'ai déjà suscité de l'animosité aujourd'hui sur cette liste (justifiée par le fait évidant que tenir des milliers de connexions SSL demande un investissement, mais que je souhaite expliquer par le fait que en France il est difficile d'ouvrir un débat sans facher/provoquer les gens...), je me permets ce mail... Ceci est une requête (ou une offre; à vous de voir): - Dans le cadre de l'organisation d'un colloque international sur la sécurité informatique (obtention du nom en privé); nous cherchons une âme charitable pour nous prêter de la bande passante afin de diffuser en streaming les conférences (ex: Richard Stallman) Appel à sponsoring donc, en échange (là ça peut plus vous intéresser directement) d'entrées gratuites pour les conférences, etc. Merci de ne pas tenir compte de ce mail si non intéressé, et de me répondre EN DEHORS DE LA LISTE. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Free : à quan d le ssl sur les serveurs mail ?
Le Wed, Sep 02, 2009 at 11:07:40AM +0200, Jerome Athias [jerome.ath...@ja-psi.fr] a écrit: Comme précisé, cette discution ne s'adresse pas que à Free. arkiel a écrit : Dominique Rousseau a écrit : Oserais-je un, si banal, « parceque ça couterait des sous » ? Bullshit Combien ça coute la pub TV ou l'ouverture de points de vente? En 3 mots : Retour sur investissement. Mais je t'accorde que c'est totalement des suppositions, ce que j'exprime, et aucunement des infos obtenues auprès de gens de Free. -- Dominique Rousseau Neuronnexion, Prestataire Internet Intranet 50, rue Riolan 8 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Free : à quand le ssl sur les serveurs mail ?
Dominique Rousseau a écrit : Le Wed, Sep 02, 2009 at 11:07:40AM +0200, Jerome Athias [jerome.ath...@ja-psi.fr] a écrit: Comme précisé, cette discution ne s'adresse pas que à Free. arkiel a écrit : Dominique Rousseau a écrit : Oserais-je un, si banal, « parceque ça couterait des sous » ? Bullshit Combien ça coute la pub TV ou l'ouverture de points de vente? En 3 mots : Retour sur investissement. Biensur, le fameux ROI. Argument plus que recevable. J'introduirais simplement différentiation et avantage concurrentiel (voir respect du client) que les gens comprendrait peut-être mieux que valeur ajoutée Mais je t'accorde que c'est totalement des suppositions, ce que j'exprime, et aucunement des infos obtenues auprès de gens de Free. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [FRnOG] Free : à quand le ssl sur les serveurs mail ?
Le 2 septembre 2009 11:55, Jerome Athiasjerome.ath...@ja-psi.fr a écrit : Dominique Rousseau a écrit : Le Wed, Sep 02, 2009 at 11:07:40AM +0200, Jerome Athias [jerome.ath...@ja-psi.fr] a écrit: En 3 mots : Retour sur investissement. Biensur, le fameux ROI. Argument plus que recevable. J'introduirais simplement différentiation et avantage concurrentiel (voir respect du client) que les gens comprendrait peut-être mieux que valeur ajoutée FOUTAISES ! /me est déjà dehors Blague à part, SSL ou pas, le SMTP est réellement problématique, et c'est au niveau de ce protocole qu'il faudrait se poser des questions... -- Jérôme Nicolle --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [FRnOG] Free : à quand le ssl su r les serveurs mail ?
Bonjour, Jérôme Nicolle wrote: Le 2 septembre 2009 11:55, Jerome Athiasjerome.ath...@ja-psi.fr a écrit : Dominique Rousseau a écrit : Le Wed, Sep 02, 2009 at 11:07:40AM +0200, Jerome Athias [jerome.ath...@ja-psi.fr] a écrit: En 3 mots : Retour sur investissement. Biensur, le fameux ROI. Argument plus que recevable. J'introduirais simplement différentiation et avantage concurrentiel (voir respect du client) que les gens comprendrait peut-être mieux que valeur ajoutée FOUTAISES ! /me est déjà dehors Blague à part, SSL ou pas, le SMTP est réellement problématique, et c'est au niveau de ce protocole qu'il faudrait se poser des questions... XMPP vaincra ! (oups on est pas vendredi :) -- Hervé COMMOWICK, EXOSEC (http://www.exosec.fr/) ZAC des Metz - 3 Rue du petit robinson - 78350 JOUY EN JOSAS Tel: +33 1 30 67 60 65 - Fax: +33 1 75 43 40 70 mailto:hcommow...@exosec.fr --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] E1 en BRI ...
Olivier CALVANO a écrit : Bonsoir, Une nouvelle question ;=) Un E1 Telephonique, c'est 30 canaux B, existe il des équipements qui serait capable de transformer l'E1 30 canaux en 15 BRI 2 canaux ? (j'y connais rien ...) E1 = 32 canaux (PRI=30canaux +1D (sig)) BR1=2 canaux +1D(sig) Sinon pour ce que tu veux faire un ADM me parrait le plus adapté. Renaud --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [FRnOG] Re: [FRnOG] Free : à quand le ssl sur les serveurs m ail ?
Jérôme Nicolle a écrit : Blague à part, SSL ou pas, le SMTP est réellement problématique, et c'est au niveau de ce protocole qu'il faudrait se poser des questions... Et là je dis : http://www.bortzmeyer.org/5598.html Ca calme :-) J'en profite aussi pour signaler : http://www.zdnet.fr/blogs/infra-net/le-peer-to-peer-bientot-normalise-par-l-ietf-39705608.htm -- Pierre Col - directeur marketing de Kizz TV --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Des DNS menteurs chez SFR
PCInpact.com a apparemment lu les archives du FRNOG à propos des DNS menteurs d'SFR. Voici l'article : http://www.pcinpact.com/actu/news_multi/52873.htm Et la réponse d'SFR qu'on a tous attendu : http://www.pcinpact.com/actu/news_multi/52887.htm Cordialement, Jérémy Martin Simon Morvan a écrit : Le 17/08/2009 14:55, Michel Py a écrit : Simon Morvan a écrit: Par défaut, certains antivirus installent des merdes de ce genre pour IE et Firefox afin de détecter les dns inexistants et afficher une page (souvent sponsorisée genre par yahoo). C'est vrai, mais un merdiciel qui est installé sur un PC, c'est un problème d'utilisateur et non de FAI. La réalité des choses est que les utilisateurs sont cons et que donc ils vont continuer d'installer des merdiciels, mais l'autre partie de cette même réalité est que les FAIs ne sont pas là pour résoudre les problèmes tels que la faim dans le monde ou la connerie humaine. D'un autre coté, le DNS menteur est implémenté par le FAI. Au bout du compte, l'utilisateur final ne voit pas la différence, mais il y en a une: si on peut dire que l'utilisateur final est par définition con, on ne peut pas dire la même chose du FAI. L'utilisateur final n'est pas en mesure de garantir la neutralité du Net; le FAI, oui. Etre un FAI apporte certaines responsabilités: être moins con que l'utilisateur, et respecter la neutralité du Net. Donc que ça soit de bon goût ou non, le DNS menteur de SFR, c'est de la merde et la personne qui a décidé de l'implémenter est un con. Et ce n'est pas une attaque personnelle: je ne sais absolument pas qui c'est. Vient un moment ou il faut avoir le courage de ses opinions; si tous les FAI faisaient ce genre de merde (quelle est la prochaine?) on en arriverait rapidement à une situation ingérable. Un DNS menteur, c'est comme annoncer RFC1918 dans la table globale; faut arrêter de picoler, les mecs. On en revient au débat de positionner tout ce qui peut alterer la transmission de donnée en coeur ou périphérie de réseau.à Ce n'est pas un débat; un merdiciel n'altère pas la transmission des données; les requêtes réseau sont interprétées par le merdiciel à l'intérieur du PC. Un DNS menteur altère les données: au lieu de NXDOMAIN il substitue un pointeur bidon. Au cas où ça ne serait pas été clair dans mon message initial, je suis complètement de cet (et de ton) avis. C'est bien l'avantage de filtrer/altérer/whatever en périphérie et non au centre. On peut le désactiver. Mais du coup j'entends en vraie périphérie, pas dans la *box. Comme les solutions existent, comme le soulignait Rani, (et même si c'est des merdiciels) la justification du DNS menteur SFR comme aide à l'internaute qui ne retire pas ses moufles pour taper une URL ne tient plus*. Il y a l'embarra du choix pour mettre un truc du genre qui s'auto-installe avec le premier kit de connexion venu plutot que de nous e***rder la vie avec une bouse. *si telle est la justification officielle... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Des DNS menteurs chez SFR
Le 02/09/2009 20:33, Jérémy Martin a écrit : PCInpact.com a apparemment lu les archives du FRNOG à propos des DNS menteurs d'SFR. Voici l'article : http://www.pcinpact.com/actu/news_multi/52873.htm Et la réponse d'SFR qu'on a tous attendu : http://www.pcinpact.com/actu/news_multi/52887.htm Cordialement, Jérémy Martin Et oui le pire dans tout çà c'est que je suis persuadé depuis le début que les décideurs de SFR sont certains que c'est une bonne décision qui apporte un plus pour les utilisateurs. Lamentable. C'est ce qui arrive quand la direction devient trop coupé de la technique, et ne comprend ce sur quoi elle travaille. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] Des DNS menteurs chez SFR
C'est surtout du foutage de gueule. Il suffit de regarder la capture d'écran : http://www.pcinpact.com/affichage/52887-dns-menteurs-sfr-redirection-url/751 47.htm Le premier est parce que la barre d'outils Google est installée. Et le second est la page par défaut de Safari en cas de DNS inexistants. Bravo Neuf/SFR. -Message d'origine- De : owner-fr...@frnog.org [mailto:owner-fr...@frnog.org] De la part de Raphael Mazelier Envoyé : mercredi 2 septembre 2009 22:06 À : Jérémy Martin Cc : Liste FRnoG Objet : Re: [FRnOG] Des DNS menteurs chez SFR Le 02/09/2009 20:33, Jérémy Martin a écrit : PCInpact.com a apparemment lu les archives du FRNOG à propos des DNS menteurs d'SFR. Voici l'article : http://www.pcinpact.com/actu/news_multi/52873.htm Et la réponse d'SFR qu'on a tous attendu : http://www.pcinpact.com/actu/news_multi/52887.htm Cordialement, Jérémy Martin Et oui le pire dans tout çà c'est que je suis persuadé depuis le début que les décideurs de SFR sont certains que c'est une bonne décision qui apporte un plus pour les utilisateurs. Lamentable. C'est ce qui arrive quand la direction devient trop coupé de la technique, et ne comprend ce sur quoi elle travaille. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Botnet qui s'énerve sur un de mes serveurs ?
Le Wed, 2 Sep 2009 09:08:49 +0100, Thomas Mangin thomas.man...@exa-networks.co.uk a écrit : Et non, y a pas de solution miracle (faites moi signe si vous en trouvez une :D) Demandes à fantec les patches pour faire un puits de requêtes SMTP filtrant sur du postfix ... on sait jamais, si çà trouve çà peut marcher (double sens) ;-) a +. -- Jérôme Benoit aka fraggle La Météo du Net - http://grenouille.com OpenPGP Key ID : 9FE9161D Key fingerprint : 9CA4 0249 AF57 A35B 34B3 AC15 FAA0 CB50 9FE9 161D --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] Des DNS menteurs chez SFR
Tony Heng a écrit: C'est surtout du foutage de gueule. Eh oui ils prennent les gens pour des cons. Le seul problème, c'est que ça marche. Raphael Mazelier a écrit: Et oui le pire dans tout çà c'est que je suis persuadé depuis le début que les décideurs de SFR sont certains que c'est une bonne décision qui apporte un plus pour les utilisateurs. Moi je n'y crois pas. Ils savent très bien ce qu'ils font; trop de monde dit que c'est une bouse. Même si ils ne comprennent pas les détails ils savent que ça ne sent pas la rose. C'est ce qui arrive quand la direction devient trop coupé de la technique, et ne comprend ce sur quoi elle travaille. Un problème commun à bien des grosses boites. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [HS] Le spam, en quelle langue?
Cher lecteur du FRnoG, encore mes question bêtes: Le spam, quel est le pourcentage en Français dans ce que reçoit Mme Michu aujourd'hui? Est-ce que ça change quelque chose si l'adresse est mi...@exemple.fr au lieu de mi...@example.com? Je prends les réponses à la louche... En privé si nécessaire; je pense que c'est un sujet pas trop trollesque ceci dit, comprenant bien que le but du FRnoG n'est pas la lutte contre le spam mais ça nous concerne tous. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/