Serveurs de courriel de Wanadoo et Oléane sur liste noire

Posté par  (site web personnel) . Modéré par Amaury.
Étiquettes :
0
6
avr.
2002
Internet
Il semble qu'un serveur de courriel d'Oléane et un de Wanadoo soient sur liste noire (« blacklistés ») depuis hier matin sur dsbl(distributed sender boycott list).

Note du modérateur : ce n'est pas la première fois donc installez un exim/postfix/... c'est facile et ça évite ce genre de désagréments. Être à la merci d'un mauvais admin n'est jamais très agréable. Et pendant que vous y êtes installez un caching nameserver pour ne pas dépendre des DNS de Wanadoo.
Note d'autre modérateur : et configurez correctement votre serveur pour ne pas faire de l'« open-relay », histoire de ne pas être le mauvais admin (ndm : enfin, pour être open relay avec postfix faut *vraiment* le faire exprès).

Aller plus loin

  • # Salut fabrice!

    Posté par  . Évalué à -10.

    Zut alors .. Fabrice Halimi qui nous a vendu son super hosting sous NT a encore frappé!

    [-]
  • # A propos de la note du modérateur...

    Posté par  . Évalué à 5.

    Il y a bien plus simple que d'installer Exim et un caching nameserver pour éviter les bétises de Wanadoo : Il suffit de s'abonner chez un vrai fournisseur d'accès.
    • [^] # Re: A propos de la note du modérateur...

      Posté par  . Évalué à -7.

      [+++]
      • [^] # Re: A propos de la note du modérateur...

        Posté par  . Évalué à 10.

        Euh...
        Tu mets [+++] à un commentaire disant en substance que wanadoo su>< et ton site est http://perso.wanadoo.fr/kalahann/(...)

        dis moi... c'est de l'auto-dérision ??? ;)

        hop, moinszun
        • [^] # Re: A propos de la note du modérateur...

          Posté par  (site web personnel) . Évalué à 7.

          C'est pas forcément de l'auto-dérision. Moi-même je suis chez Wanadoo et je voudrais bien en changer car je trouve la qualité de leur service déplorable. Mais je ne peux pas car je me suis engagé pour un an (enfin j'en ai plus pour longtemps ;)

          Beaucoup de FAI font ça. Des contrats de un an minimum (parfois en échange d'une réduction sur l'abonnement). Malheureusement quand on constate que la qualité n'est pas au rendez-vous, on se retrouve coincé...

          Pensez à l'environnement avant d'imprimer ce commentaire - Please consider the environment before printing this comment

          • [^] # Re: A propos de la note du modérateur...

            Posté par  . Évalué à 2.

            Perso j'avais pris au début Netissimo 1 et Wanadoo ADSL par dessus. Ils m'ont fait ch... (wanadoo), je me suis cassé chez Nerim.

            Oui, ne pas prendre un pack extense coûte plus cher mais c'est le prix de la liberté ! :P

            -1, car 3615 mavie.com n'intéresse personne
          • [^] # Hébergement ... wanadoo ?

            Posté par  . Évalué à 1.

            guinness parlait du site ... de l'hébergement.
            Pourquoi avoir un site hébergé chez son FAI ? A part pour se cantonner encore plus à rester client chez lui ?
            Il y a tellement d'hébergeurs gratuits, et à part l'inscription, je ne vois pas ce qui pourrait rendre l'utilisation d'un hébergement gratuit plus chiante que celle d'un hébergement chez son FAI ...
            :)
    • [^] # Re: A propos de la note du modérateur...

      Posté par  (site web personnel) . Évalué à 3.

      Comme par exemple Nerim : http://www.nerim.net/(...) Et bénéficier en bonus d'un IP fixe, un reverse-DNS, un DNS secondaire et un MX de Backup.... Bref, un vrai service de connexion internet professionnel.
  • # Et d'autres

    Posté par  (site web personnel) . Évalué à 10.

    Il y a au moins 2 autres serveurs wanadoo blacklistés:
    smtp-out-4.wanadoo.fr
    smtp-out-2.wanadoo.fr

    On a rejeté quelques centaines de mails hier a cause de ca :-)

    Ce qui pourrait etre bien c'est une action organisée contre les ISP francais qui ne font rien contre le spam et/ou qui ne repondent pas au mails concernant des attaques venant de leurs abonnées...
    • [^] # Re: Et d'autres

      Posté par  . Évalué à 10.

      Les années se suivent et se ressemblent.
      Y'a un an (à peu de chose près), y'a eu le même message...

      Merci Wana!

      Ils ont pas de probs par contre avec leurs serveurs de news qui est toujours down par contre!

      Et j'ai pas le droit de consulter ma page de compte wana pcq apparament j'ai mon propre DNS+domaine (j'ai pas cherché plus loin le problème, tout ce que je sais c'est que depuis que j'ai fait ça j'ai plus le droit)
      • [^] # Re: Et d'autres

        Posté par  . Évalué à 10.

        Le problème vient du fait que Wanadoo possède deux serveurs "www.wanadoo.fr", sur deux IP différentes.
        Un serveur extérieur, dont l'IP est fournie par un accès DNS externe,
        et un serveur "intérieur", dont l'IP est fournie uniquement lors des requètes DNS des utilisateurs connectés.
        Or en configurant son propre serveur DNS, on récupère l'IP extérieure : ce n'est pas celle qui permet d'accéder à la page perso...
        Solution : récupérer l'IP "interne" et la mettre dans /etc/hosts...
        C'est crado mais c'est la seule solution...
      • [^] # Re: Et d'autres

        Posté par  . Évalué à 10.

        dans named.conf:
        zone "wanadoo.fr."{
        type forward ;
        forward only ;
        forwarders {
        193.252.19.3 ;
        193.252.19.4 ;
        } ;
        } ;
    • [^] # Re: Et d'autres

      Posté par  (site web personnel) . Évalué à 10.

      Mais une question me viens à l'esprit.

      Si j'envoi un mail de wanadoo et que c'est un serveur blacklisté qui l'achemine, est-ce que je suis prévenus qu'il ne peut arriver ou qu'il est refusé ? ou j'ai aucun moyen de le savoir ?
  • # Wanadoo et l'open relay

    Posté par  . Évalué à 10.

    En tant qu'administrateur de plusieurs serveurs de messagerie, j'ai moi-même du faire face à des spams relayés par les serveurs de Wanadoo.
    Je leur ai envoyé une plainte à abuse@wanadoo.fr, avec les logs des spams en question.
    Il y a plusieurs mois de cela : rien n'a cessé, et je n'ai jamais reçu de réponse...

    Allo, Wanadoo, y a-t-il un admin dans le serveur ???
    • [^] # Re: Wanadoo et l'open relay

      Posté par  (site web personnel) . Évalué à 10.

      J'ai reçu plusieurs spam « politiques » (anti-politiques plutôt), avec des adresses usurpées. Et j'ai reçu un retour via mailer-daemon prouvant que mon adresse avait aussi été usurpée par le même spammeur. Il utilisait le serveur d'un abonné Wanadoo. abuse@wanadoo a réagi à mon courriel et m'a affirmé avoir pris des mesures. Effectivement le même gros lourd passe maintenant par le serveur d'un abonné Noos... Conclusion : j'ai plus de problèmes avec les gars qui montent leur propre SMTP qu'avec le serveur de Wanadoo.
      • [^] # Re: Wanadoo et l'open relay

        Posté par  . Évalué à 10.

        Ton post est inexact et dangereux.

        inexact, puisqu'on peut très bien usurper une adresse email avec le serveur de son propre fai (sans installer un smtp sur sa machine ou en abuser un mal configuré chez un tiers)

        Dangereux, parceque ca peut donner l'idée à des marketeux d'interdire le protocole smtp en dehors du ip_client -> smtp_fai. Ce qui leur permetraient
        de vendre un "service" qui ne leur coute rien. Style: vous avez le droit de naviguer sur internet et d'envoyer des mails par l'intermediaire de notre smtp. Si vous voulez votre propre smtp, votre propre http, votre propre stream... Passez à la caisse.

        dangereux aussi, parceque dans le cas precedent (limité ip_client -> smtp_fai) TOUS mes mails passeraient par les serveurs smtp du FAI, ce dernier pouvant en faire des copies avant de les relayer (beaucoup plus simple que de sniffer la connexion)

        Par exemple, certains FAIs aux us interdisent (interdisaient?) le protocole 50 pour pouvoir vendre leurs propres solutions de VPN.
        Qui me dit que leurs solutions est réélement PRIVATE (le P de VPN) ? Pourquoi devrais-je payer un service qui ne coute rien au FAI et qui en fait n'en est pas un (puisqu'il m'_empeche volontairement_ de mettre en place ma solution qui ne leur coute rien non plus ) ?

        Par ailleurs, avoir son propre smtp est extremement pratique. (courier interne/externe, reecriture d'adresse, système on/off line...)

        Donc non, tu n'as pas de problème avec "les gars qui montent leur propre SMTP", tu as un problème avec les gars qui abusent des smtps mals configurés.
        • [^] # Re: Wanadoo et l'open relay

          Posté par  . Évalué à 10.

          Ton post soulève des problèmes interessants (liberté), mais je te trouve un peu expeditif.
          D'abord le post précédent n'est pas "inexact" du tout, vous n'avez simplement pas abordé le probleme de la meme façon.

          Dans le blacklistage de wanadoo, interviennent:
          -le profiteur du serveur smtp open relai
          -"l'administrateur" du serveur smtp open relai
          -le serveur smtp de wanadoo
          -les gens qui blacklistent un peu trop facilement.

          Le coupable dans la "gene" est a mon avis autant le profiteur que ceux qui gèrent les blacklistes.
          J'explique: si tu monte un serveur smtp bidon sur une adresse ip dynamique, tu peux envoyer autant de mails que tu veux et changer d'ip dès que tu es blacklisté.
          résultat: toutes les ip du FAI finissent par etre blacklistées ...
          Donc ceux qui sont embetés sont les clients du FAI et le FAI lui meme.

          Le client est par définition pas capable de faire grand chose, alors comment doit réagir le FAI ?

          proteger ses propres serveurs smtp:
          L'année dernière, wanadoo voulait mettre en oeuvre un filtre sur ses serveurs de mail qui n'auraient plus accepté de relayer le mail seulement si il venait d'un client mail (ils auraient refusé tout mail venant d'un serveur smtp). Je trouvais cela domage (je leur ai dit d'ailleur). Finalement ils auraient peut-etre du le faire.
          J'avais pensé aussi que wanadoo pouvait detecter si le serveur smtp qui leur cause est open-relai et refuser de relayer le mail dans cette condition.

          proteger sa plage d'adresses IP:
          pas d'autres solutions 100% efficace que de filtrer tcp/25.
          sinon, des scans réguliers pour detecter les serveurs open-relai et les contacter ...

          tu le vois, ce n'est pas simple du tout.
          • [^] # Re: Wanadoo et l'open relay

            Posté par  (site web personnel) . Évalué à 10.

            Les FAI savent qui avait telle IP a tel moment. Ils peuvent donc mettre en garde les clients qui font du spams, des ports scan ou qui ont des serveurs de mail mal configurés.
            En cas de recidive, ils pouraient tres bien fermer le compte posant probleme.
            Sur les serveurs de mail qui font du relais, ils pourraient rejeter temporairement les requetes de ces serveurs tant que les problemes ne sont pas corrigés.
            La solution du scan de servers pour détecter les relais ouvert peut aussi etre une bonne solution.
            Quant au client qui subit l'incapacité de son FAI, il peut en changer.... Mais c'est vrai qu'on peut rarement avoir le beurre et l'argent du beurre (connection a bas prix, haut debit, service technique & client compétent,...).
            • [^] # Re: Wanadoo et l'open relay

              Posté par  (site web personnel) . Évalué à 2.

              Mais c'est vrai qu'on peut rarement avoir le beurre et l'argent du beurre (connection a bas prix, haut debit, service technique & client compétent,...).

              Ah bon ??? Mon FAI est un leurre ? J'ai des hallucinations ?

              http://www.nerim.net/(...)

              L'abonnement me revient même quelques centimes moins cher que Wanadoo Xtense, le débit est maximal, le service techique hyper-compétant, j'ai une IP fixe, etc....
          • [^] # Re: Wanadoo et l'open relay

            Posté par  . Évalué à 10.

            Je n'ai jamais dit que le problème était simple a resoudre.

            En revanche, dans SMTP, le S, il est pour simple.
            Peut être faut-il commencer à raler auprès des éditeurs de client/serveur mail et des FAI pour qu'ils se mettent d'accord sur un standard d'identification des clients (plain / login / cram_md5 / certifs / que sais-je), de façon a ce que l'identification ne soit plus optionnel, mais obligatoire.

            Est-ce deplacer le problème ? Je ne pense pas.
        • [^] # Re: Wanadoo et l'open relay

          Posté par  (site web personnel) . Évalué à 10.

          > inexact, puisqu'on peut très bien usurper une adresse email avec le serveur de son propre fai (sans installer un smtp sur sa machine ou en abuser un mal configuré chez un tiers)

          Je n'ai jamais dit le contraire. Maintenant j'ai plus de spam provenant de serveurs SMTP mal configurés en Corée ou à Taïwan, ou de serveurs SMTP mal configurés d'abonnés ADSL, que de spams usurpant une adresse email via les serveurs de mes FAI. Je vois mal comment tu peux dire que c'est inexact, à moins que tu ne lises mon courrier...

          > Dangereux, parceque ca peut donner l'idée à des marketeux d'interdire le protocole smtp en dehors

          Ils ne m'ont pas attendu pour mettre des mandataires HTTP par exemple. Sous prétexte d'une menace hypothétique je devrais passer sous silence le fait que certains (j'ai jamais dit tous) abonnés mettent en place un serveur mal configuré ? Security by obscurity ?

          > dernier pouvant en faire des copies avant de les relayer (beaucoup plus simple que de sniffer la connexion)

          La crypto est aussi là pour ça.

          > Par ailleurs, avoir son propre smtp est extremement pratique. (courier interne/externe, reecriture d'adresse, système on/off line...)

          On est bien d'accord. Montez votre serveur SMTP si vous voulez, mais configurez le bien.

          > Donc non, tu n'as pas de problème avec "les gars qui montent leur propre SMTP", tu as un problème avec les gars qui abusent des smtps mals configurés.

          Super... Alors j'ai pas de problèmes avec les gars qui ont des IIS non patchés non plus... C'est la faute à pas de chance si je reçois des attaques CodeRed et Nimda.
          • [^] # Re: Wanadoo et l'open relay

            Posté par  . Évalué à 7.

            "La crypto est aussi là pour ça"

            J'aimerais bien connaitre la proportion de personne utilisant la crypto via gpg/pgp ? 1% ? 0.5% ?

            L'étape par le smtp du FAI n'est pas nécessaire, elle est inutile. Si je veux pourvoir taper directement sur un smtp-tls d'une société, je dois pouvoir le faire. C'est beaucoup plus simple a configurer et c'est transparent, alors que d'expliquer comment se servir de pgp/gpg a un user...

            Il est vrai aussi que gpg et smtp+tls repondent à des besoins differents mais proches.

            "C'est la faute a pas de chance"

            Bien essayé. Ce n'est pas parceque des stations services se font braquer regulièrement qu'on les ferme. D'une part on cherche les coupables et on les empechent de nuire, d'autre part, on fait en sorte que cela ne puisse pas se reproduire.

            Malheureusement, la politique actuelle c'est plutot de supprimer l'objet qui provoque le délit que de trouver les responsables. <ironie>Après tout, supprimons l'interne
            t, c'est beaucoup plus simple...</ironie>

            Désolé je ne vais pas dans ton sens.
            • [^] # Re: Wanadoo et l'open relay

              Posté par  (site web personnel) . Évalué à 6.

              > C'est beaucoup plus simple a configurer et c'est transparent, alors que d'expliquer comment se servir de pgp/gpg a un user...

              Utiliser le serveur SMTP de son choix, c'est simple. Utiliser GPG c'est assez simple avec sylpheed par exemple. Configurer son propre serveur SMTP de façon correcte, ça demande un peu plus de connaissances.

              > Malheureusement, la politique actuelle c'est plutot de supprimer l'objet qui provoque le délit que de trouver les responsables.

              Je rappelle quand même qu'avoir un serveur mal configuré engage la responsabilité de son administrateur. Que ledit serveur soit réduit au silence jusqu'à ce qu'il soit reconfiguré me paraît une bonne chose. D'autant plus que l'administrateur du serveur doit aussi prouver qu'il est de bonne fois (que ce n'est pas lui le spammeur). Maintenant il est plus facile pour un FAI de s'adresser à un de ses abonnés que de remonter jusqu'au vrai spammeur (problèmes de intermédiaires qui ne veulent pas forcèment filer leurs logs, des proxy anonymes, etc).
              • [^] # Re: Wanadoo et l'open relay

                Posté par  . Évalué à 9.

                "Utiliser GPG c'est assez simple"

                En dehors des outils, gpg/pgp, ce n'est pas simple. Cercle de confiance, revocation, clef publique/privée autorité de certification... sont des concepts pas toujours simples à expliquer, et l'auditoire n'est pas franchement receptif dès qu'il faut faire des manips supplementaires.

                Oui, ce n'est pas terriblement compliqué. Mais lorsque le besoin est "securiser le traffic mail entre un site A et un site B ou un road warrior".

                Lorsque tu proposes 3 solutions:

                - vpn: disproportionné par rapport au besoin.
                - smtp-tls: transparent.
                - pgp: faut former les utilisateurs, et le laxisme de certains peut mettre en peril la politique de securité.

                Devine quelle solution est retenue.

                Pour le reste, on tombe d'accord. "Que ledit serveur soit reduit au silence". Neanmoins, ce n'est pas suffisant. Et je suis resolument contre la methode radicale du ip_fai -> smtp_fai exclusivement. Il y a plein de debordements commerciaux et sur mes libertés que je ne saurais tolerer.

                Par ailleurs, même avec cette methode extreme, quelqu'un de determiné pourrait encore abuser par exemple en utilisant des webmails anonymes. Faut-il pour autant les supprimer ? non, evidemment. (Soit dit-en passant, le spam que je recoit provient exclusivement de ce genre de compte)

                Dans SMTP il y a "S". Et, je pense, c'est le coeur du problème.
  • # Manque une adresse...

    Posté par  . Évalué à 10.

    ... par rapport a la note d'autre moderateur, il manque l'adresse pour tester si son serveur de mail est open-relay (ce qui est mal(tm)) ou pas : http://www.abuse.net/relay.html(...)
  • # interpretation et relay

    Posté par  (site web personnel) . Évalué à 7.

    Je ne sais pas si ça a été corrigé depuis la parution de cette news (car si on se connecte sur la machine d'Oléane, on remarquera qu'on tombe sur un postfix), mais au vu des données indiquées par les tests de DSBL, je n'ai pas l'impression que ce soit le serveur de chez Oléane qui soit en cause.

    La plupart des tests montrés donnent ainsi un serveur de mail d'un client Oléane qui utilise le fameux serveur appartenant à Oléane comme "smart host" (donc en gros, il renvoie tous les mails dessus). Donc le serveur Oléane les relaie comme il faut, vu que c'est une machine cliente et il se retrouve black-listé vu qu'il est en serveur de sortie du spam.

    D'ailleurs, un test bête et méchant pour voir s'il ne relaie pas les clients externes montre bien qu'il refuse correctement ces messages.

    Donc j'aurais plutôt tendance à douter de ce type de listes de boycottage ...


    seb.
    • [^] # Re: interpretation et relay

      Posté par  (site web personnel) . Évalué à 1.

      Le blacklistage est effectivement du a un/des serveurs de clients de Oleane/Wanadoo qui acceptent/acceptaient de relayer n'importe quoi.
      Nous avons enlever cette liste de blacklistage de nos serveurs car le risque d'erreur est trop important.
      Il n'empeche que:
      o ni wanadoo ni oleane n'ont répondu a mon mail les informant du probleme
      o wanadoo est connu pour ignorer les messages adressés à abuse que se soit pour des problemes de sécurité ou de spam
      wanadoo était d'ailleurs pendant quelque temps classé parmi les sources de spam les plus importantes sur http://spamcop.net(...)
      Je ne pense pas que cela amuse grand monde de mettre en place des mecanisme de blacklistage mais ils sont devenus indispensable étant donné le laxisme de beaucoup de FAI.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.