Journal Free active l'IPv6 sur ses serveurs de mail

• # smtp sortant uniquement

  Posté par geb le 21 juin 2011 à 15:26. Évalué à 8.

  

  Heu...

  Cela semble être juste le smtp sortant. C'est à dire le smtp que les clients free utilisent pour mettre des mails.

  Les MX du domaines free.fr (champs indiquants quelle(s) machines reçoivent les mails) n'ont pas de AAAA et ne sont donc pas accessibles en IPv6.

  geb@arkintoofle:~$ dig mx free.fr +short
  10 mx1.free.fr.
  20 mx2.free.fr.
  geb@arkintoofle:~$ dig AAAA mx1.free.fr +short # Pas d'adresse retournée
  geb@arkintoofle:~$ dig AAAA mx2.free.fr +short # Pas d'adresse retournée
  geb@arkintoofle:~$ dig A mx1.free.fr +short 
  212.27.48.7
  212.27.48.6
  geb@arkintoofle:~$ dig A mx2.free.fr +short
  212.27.42.59
  212.27.42.58
  

• # ...et ne sait pas configurer ses zone DNS

  Posté par Moulator le 21 juin 2011 à 17:12. Évalué à 1.

  

  ~$ host 2a01:e0c:1:1599::10

  0.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.9.9.5.1.1.0.0.0.c.0.e.0.1.0.a.2.ip6.arpa domain name pointer smtp1-g21.free.fr.

  $ host smtp1-g21.free.fr
  smtp1-g21.free.fr has address 212.27.42.1

  Le reverse est configuré, mais où est l'enregistrement AAAA ???

  Ayant un serveur SMTP paranoïaque (envers les spammeurs mal configurés en général), j'ai dû mettre les serveurs de Free en "liste blanche" car je rejetais leurs mails.

  Reynald

  • [^] # Re: ...et ne sait pas configurer ses zone DNS

    Posté par 🚲 Tanguy Ortolo (site web personnel) le 21 juin 2011 à 18:33. Évalué à 10.

    

    Ayant un serveur SMTP paranoïaque (envers les spammeurs mal configurés en général)

    Correction : envers les serveur mal configurés ou les serveur sur des connexions mal loties. Parce que lorsque quelqu'un n'a pas de DNS inverse, ce n'est pas sa faute mais celle de son FAI. Ça ne donne pas le moindre indice sur le fait que ce soit ou non un spammeur.

    D'ailleurs, tu pourrais préciser ces réglages paranoïaques, pour voir ?

    • [^] # Re: ...et ne sait pas configurer ses zone DNS

      Posté par Grunt le 21 juin 2011 à 21:04. Évalué à 4.

      

      Parce que lorsque quelqu'un n'a pas de DNS inverse, ce n'est pas sa faute mais celle de son FAI.

      Et s'il a un mauvais FAI, c'est de la faute à qui?

      Autant je suis d'accord pour dire que les opérateurs font de la merde. Autant une IP dynamique, dont le reverse est générique, bref qui ne présente aucun caractère objectif pour la différencier d'un zombie, je comprends qu'on la foute en spam.

      THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

      • [^] # Re: ...et ne sait pas configurer ses zone DNS

        Posté par Elfir3 le 22 juin 2011 à 09:35. Évalué à 3.

        

        Et s'il a un mauvais FAI, c'est de la faute à qui?

        Je crois qu'en général mme Michu ne sait même pas ce qu'est une ip dynamique. Alors pour le reverse et sa généricité ...

        • [^] # Re: ...et ne sait pas configurer ses zone DNS

          Posté par Grunt le 22 juin 2011 à 14:13. Évalué à 7.

          

          Ouais mais madame Michu, ni personne d'autre, ne devrait essayer de monter un serveur mail sans savoir ce qu'est une adresse IP et un reverse.

          THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

          • [^] # Re: ...et ne sait pas configurer ses zone DNS

            Posté par geb le 22 juin 2011 à 14:47. Évalué à 10.

            

            Autant je suis d'accord pour dire que les opérateurs font de la merde. Autant une IP dynamique, dont le reverse est générique, bref qui ne présente aucun caractère objectif pour la différencier d'un zombie, je comprends qu'on la foute en spam.

            Ouais mais madame Michu, ni personne d'autre, ne devrait essayer de monter un serveur mail sans savoir ce qu'est une adresse IP et un reverse.

            La paille, la poutre ;-)

            En effet, en l'occurrence dans les RFCs,
            - Rien impose qu'un reverse soit définit pour une adresse IP.
            - Rien impose que si reverse il y a, ce reverse pointe vers un FQDN.
            - Rien impose que si reverse qui pointe vers un FQDN il y a, celui ci est une quelconque correspondance avec le FQDN de la machine.
            - Rien impose qu'il y le EHLO/HELO envoyé par un serveur mail soit un FQDN.
            - Rien impose que si le EHLO/HELO envoyé par un serveur mail est un FQDN, celui ci est une quelconque correspondance avec le FQDN de la machine, le domaine utilisé pour émettre le mail, ou encore le PTR de la machine.

            Ce type de filtrage, bien qu'efficace dans la pratique, ne repose sur aucune norme écrite et critère objectif. Il est très loin d'être exempt de faux positifs. Au final, cela revient à quasiment à la même chose que d'utiliser des listes noires de tous les clients xDSL et donc n'autoriser l'envoie de mails que depuis certaines machines. Prêcher l'un et luter contre l'autre, c'est sans doute un peu manquer de consistance.

            • [^] # Re: ...et ne sait pas configurer ses zone DNS

              Posté par Grunt le 24 juin 2011 à 02:30. Évalué à 5.

              

              On pourrait certainement faire les choses proprement et respecter les RFC si les RFC 1855 (nétiquette) et 2142 (présence de abuse@ et postmaster@), et je ne sais plus quelle règle (qui précise que abuse doit répondre dans un certain délai) étaient respectées.

              Concrètement, quand tu vois des gugusses avec des IP dynamiques, qui t'envoient du spam, et que le abuse@ du FAI ne répond pas pour te dire "on a châtié l'emmerdeur", tu finis par blacklister les IP dynamiques, et je comprends ça.

              Même Free m'a fait le coup: spam sur mon serveur @home envoyé depuis un abonné Freebox. Je forwarde avec les headers à abuse de Free en spécifiant la time-zone et tout et tout. Pas de réponse de abuse. Pourtant abuse doit répondre, c'est (aussi) son rôle. Alors pour un FAI chinois ou russe j'essaie même pas.

              Mais sur le fond, t'as entièrement raison: tout le monde devrait respecter les RFC au pied de la lettre. À commencer par la nétiquette, ce qui impliquerait de foutre en dehors d'Internet, au niveau mondial, toutes les machines zombies qui envoient du spam, vu que le spam c'est interdit par la nétiquette. Personnellement je préfèrerais ça, au filtrage des IP dynamiques. Parce que ce filtrage, c'est finalement la minorité des gens qui veulent aller de l'avant (monter un serveur mail chez eux) qui sont emmerdés par la connerie de ceux qui refusent d'évoluer (ceux qui se font zombifier leur machine).

              :)

              THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

        • [^] # Re: ...et ne sait pas configurer ses zone DNS

          Posté par MrLapinot (site web personnel) le 22 juin 2011 à 15:13. Évalué à 3.

          

          Madame Michu n'héberge pas son propre serveur smtp.

    • [^] # Re: ...et ne sait pas configurer ses zone DNS

      Posté par Moulator le 22 juin 2011 à 09:07. Évalué à 0.

      

      En l'occurence, la règle qui "réagit" est "reject_unknown_clients" de Postfix, c'est à dire le rejet des hôtes sans nom, sans reverse, ou bien avec des nom/reverse ne correspondant pas.
      Et dans la pratique, à part de très rares cas comme celui (récent) de Free, cela correspond à des zombies ou des serveurs spammeurs.

      Reynald

• # Chez moi ça a l'air de marcher

  Posté par niol (site web personnel) le 21 juin 2011 à 18:01. Évalué à 0.

  

     Jun 21 05:25:13 ripley postfix/smtp[12991]: D49476111C: to=<xx@gmail.com>, orig_to=<postmaster@xxx.org>, relay=smtp.free.fr[2a01:e0c:1:1599::10]:25, delay=4.8, delays=0.17/0.01/0.97/3.6, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as XXXXXXXX)
  

  Je pense que ça vient du fait que tu essaye d'utiliser smtp.free.fr à travers ton tunnel, et donc que tu sembles venir de l'extérieur, et donc le relais n'est pas ouvert.

  • [^] # Re: Chez moi ça a l'air de marcher

    Posté par niol (site web personnel) le 21 juin 2011 à 18:03. Évalué à 2.

    

    C'est ce que tu dis, j'avais lu trop vite.

• # ip6table

  Posté par karteum59 le 22 juin 2011 à 20:28. Évalué à 2.

  

  C'est un petit peu hors sujet, mais : à quand une interface de configuration pour ip6table au niveau de la Freebox ? (c'est quand même une des choses qui me gêne un peu : devoir configurer un firewall à la main dans chacune des machines derrière la box, alors qu'en IPv4 le NAT permettait intrinsèquement de les rendre non joignables depuis l'extérieur...)

  • [^] # Re: ip6table

    Posté par superna (site web personnel) le 23 juin 2011 à 11:17. Évalué à 1.

    

    Le mode bridge n'offre aucun firewall sur la freebox !

    L'IPv6 s'apparente au mode bridge ici !

    Donc pour l'instant les deux protocoles ont le même traitement...

    Mais oui, il manque deux choses :
    * Un firewall actif qui bloque les paquets entrants non reliés à une connexion sortante pour toutes les adresses
    * La possibilités de préciser l'adresse d'un routeur à l'intérieur du sous-réseau... (problème de routage en plusieurs sous-réseau)

• # Solutionner…

  Posté par Reihar le 22 juin 2011 à 20:33. Évalué à 3.

  

  Message à caractère informatif :
  Solutionner est un néologisme inventé par quelque politicien/commercial/personne dotée d'une bien faible morale/personne ignare, ignorant l'existence du verbe résoudre, ou souhaitant faire de la démagogie.

  • [^] # Re: Solutionner…

    Posté par Sylvain Sauvage le 28 juin 2011 à 10:46. Évalué à 2.

    

    « Néo » depuis 1795, c’est la jeunesse éternelle…

• # authentification sur le SMTP

  Posté par Aurélien Beaujean (site web personnel) le 23 juin 2011 à 14:56. Évalué à 2.

  

  Hello,

  Sisi, il y a bien de l'authentification sur le SMTP de Free.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.