Journal La mort des serveurs mail auto-hébergés

Posté par  (site web personnel) .
Étiquettes : aucune
11
17
mar.
2010
Cher journal,

C'est la première fois que je me confie à toi, ceci pour te faire part d'une certaine déception. Jusqu'ici, je n'avais aucun problème à envoyer un mail à une adresse @gmail.com à partir du serveur qui est dans ma chambre. Cependant, voici le message auquel j'ai eu le droit (undelivered mail returned to sender) lundi :


host gmail-smtp-in.l.google.com[209.85.218.53] said:
550-5.7.1 [95.91.176.***] The IP you're using to send mail is not
authorized to 550-5.7.1 send email directly to our servers. Please use the
SMTP relay at your 550-5.7.1 service provider instead. Learn more at
550 5.7.1 http://mail.google.com/support/bin/answer.py?answer=10336
21si7089767bwz.71 (in reply to end of DATA command)

En allant voir la page d'«aide» proposée par google [http://mail.google.com/support/bin/answer.py?answer=10336], j'ai bien l'impression que cela veut dire que je ne pourrai jamais plus envoyer de mail à mes contacts @gmail.com avec mon adresse en dyndns.org... :-(
Si ce genre de pratique ne m'étonne pas de la part de microsoft (qui m'a toujours interdit d'envoyer des mail à mes contacts @hotmail.com), il n'en reste pas moins que je suis déçu de l'attitude de google...
Cher journal, quel est ton avis ? Sommes-nous condamnés à nous envoyer des mail entre geeks possédant un serveur personnel, ou alors à utiliser le relai SMTP de notre FAI ?

  • # Precision sur la page d'aide

    Posté par  (site web personnel) . Évalué à 10.

    Sur la page d'aide, je lis "Gmail refuse les e-mails lorsque l'adresse IP de l'expéditeur ne correspond pas à son domaine".

    Se ne serait pas simplement un problème de reverse DNS ?
    Pourquoi utiliser un dyndns ? C'est juste pour avoir un sous-domaine gratuit, ou t'as vraiment une IP dynamique ?
    Une IP fixe avec un reverse configuré correctement serait plus adapté à l'envoie de mail (dispo chez un FAI correct).

    Je pense que le problème n'est donc pas l'IP, mais bien le reste de la configuration qui ne plait pas à Google (a raison, pour éviter le spam.)

    • [^] # Re: Precision sur la page d'aide

      Posté par  (site web personnel) . Évalué à 0.

      Avoir une IP fixe ce n'est pas très difficile, par contre personnaliser le reverse, je ne connais aucun FAI grand public qui le permet…

      • [^] # Re: Precision sur la page d'aide

        Posté par  . Évalué à 10.

        Free

        • [^] # Re: Precision sur la page d'aide

          Posté par  (site web personnel) . Évalué à 3.

          D'ailleurs, je suis en contact avec leur assistance car ça ne fonctionne pas. Il y a bien une case dans l'interface, mais depuis des mois mon reverse n'est toujours pas renseigné.

          Je parviens cependant à envoyer des mails aux @gmail.com, par contre je me fais greylister voire blacklister (chez amen) plus facilement...

          Sinon dans l'ensemble ça fonctionne bien, mais vivement que free fasse fonctionner le reverse dns.

          blog.rom1v.com

      • [^] # Re: Precision sur la page d'aide

        Posté par  . Évalué à 3.

        Free n'est pas assez grand public ?

      • [^] # Re: Precision sur la page d'aide

        Posté par  (Mastodon) . Évalué à 5.

        je ne connais aucun FAI grand public qui le permet…

        Free, mais c'est, il me semble, quasi impossible à mettre à jour par la suite. Il y a des clients qui ont changé d'IP fixe (suite à dégroupage) et qui ont leur reverse qui reste sur l'ancienne @, ce qui pose de légers problèmes.

        Sinon, Nerim fait ça très bien.

        • [^] # Re: Precision sur la page d'aide

          Posté par  (Mastodon) . Évalué à 4.

          +1 pour Nerim.

          Dès qu'on entre dans une utilisation un peu poussée d'Internet, il faut un FAI sensible à ces problèmes. Fournissant des PME, c'est au coeur de son métier que de permettre l'auto-hebergement.

          En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

      • [^] # Re: Precision sur la page d'aide

        Posté par  . Évalué à 6.

        En même temps ce n'est pas tout à fait un usage grand public ...

        C'est plutot à mi-chemin entre un usage professionnel ou d'amateur éclairé.

        Type de FAI pas adapté, migrer chez un FAI adapté ! :)

        BeOS le faisait il y a 20 ans !

        • [^] # Re: Precision sur la page d'aide

          Posté par  . Évalué à 10.

          C'est un point de vue. Mais d'un autre côté, Internet c'est un réseau qui (entre autres) permet d'envoyer des mails.
          Si depuis ta connexion à Internet, tu ne peux pas envoyer des mails dans de bonnes conditions, ce n'est plus vraiment un accès à Internet, donc tu n'es plus vraiment chez un "FAI". Plutôt quelque chose comme un "FASN" (Fournisseur d'Accès à des Services Numériques).

          THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

          • [^] # Re: Precision sur la page d'aide

            Posté par  . Évalué à -5.

            Tu pousses le bouchon. Tous les FAI proposent un smtp.
            D'ailleurs, je ne vois pas l'intérêt de s'en passer. On peut très facilement l'utiliser comme forwarder sur son serveur smtp perso si l'on souhaite améliorer la vitesse d'envoi et s'affranchir d'éventuels DOS, en configurant correctement le retry

            • [^] # Re: Precision sur la page d'aide

              Posté par  . Évalué à 10.

              Tous les FAI proposent un smtp.
              Limité (taille max de message, loggé, etc...)

              D'ailleurs, je ne vois pas l'intérêt de s'en passer
              ce n'est pas parce que tu n'a pas d'intérêt à t'en passer, que les autres n'en ont pas.

            • [^] # Re: Precision sur la page d'aide

              Posté par  (site web personnel) . Évalué à 5.

              On peut avoir d'excellentes raisons de vouloir envoyer son courrier directement. Par exemple, pour régler une politique SPF stricte : autoriser l'envoi avec <@example.com> exclusivement depuis son adresse IP, plutôt que depuis celle de mon serveur relais utilisé par tous les clients de mon FAI.

              • [^] # Re: Precision sur la page d'aide

                Posté par  (Mastodon) . Évalué à 4.

                Pendant un moment j'avais mon propre serveur mail.

                Les avantages étaient :
                - confidentialité accrue (bien que j'ai jamais cru que mon FAI lise mes mails pour savoir si je vente ou pas ses mérites (-; )
                - indépendance niveau taille des fichiers et autre limitations incompréhensibles
                - gestion des mails "locaux" : quand j'envoyais un mail à mon épous, il ne transitait pas par le FAI (rapidité, simplicité, ecologie...)
                - consultation depuis partout en ssh+imap tout en bénéficiant d'un espace de stockage 'illimité' (par rapport à la solution IMAP que proposait mon hébergeur)

                En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

                • [^] # Re: Precision sur la page d'aide

                  Posté par  (site web personnel) . Évalué à 3.

                  Au risque de me répéter, tu peux conserver ton serveur de courrier en lui faisant utiliser le relais du FAI pour sortir. C'est moins bien que d'être complètement indépendant, mais mieux que rien tout de même.

                • [^] # Re: Precision sur la page d'aide

                  Posté par  . Évalué à 6.

                  Les avantages étaient :
                  - confidentialité accrue (bien que j'ai jamais cru que mon FAI lise mes mails pour savoir si je vente ou pas ses mérites (-; )
                  donc pas vraiment un avantage

                  - indépendance niveau taille des fichiers et autre limitations incompréhensibles
                  incompréhensibles ?
                  tu trouves normal d'envoyer 50Mo par mail ?
                  moi pas.

                  - gestion des mails "locaux" : quand j'envoyais un mail à mon épous, il ne transitait pas par le FAI (rapidité, simplicité, ecologie...)
                  aaaaah l'écologie : c'est plus écolo d'avoir une machine up 24/24 chez toi que d'utiliser le smtp de ton fai ?
                  elle est bien bonne cell-là :-)

                  - consultation depuis partout en ssh+imap tout en bénéficiant d'un espace de stockage 'illimité' (par rapport à la solution IMAP que proposait mon hébergeur)
                  pour ça, ok, mais t'as pas besoin d'avoir ton smtp perso.

                  • [^] # Re: Precision sur la page d'aide

                    Posté par  . Évalué à 7.

                    donc pas vraiment un avantage
                    Si. Passer de "On fouine peut-être dans mes mails" à "On ne fouine pas dans mes mails", c'est un avantage.

                    tu trouves normal d'envoyer 50Mo par mail ?
                    Non, mais ce n'est pas au FAI d'y trouver à redire. De même qu'il n'est pas normal de proférer des insultes sur un blog, mais ce n'est pas au FAI de les filtrer via un proxy HTTP transparent.

                    THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

                    • [^] # Re: Precision sur la page d'aide

                      Posté par  . Évalué à 2.

                      Si. Passer de "On fouine peut-être dans mes mails" à "On ne fouine pas dans mes mails", c'est un avantage.
                      ok, si tu veux, donc celui-là, on le garde


                      Non, mais ce n'est pas au FAI d'y trouver à redire
                      entièrement d'accord.
                      cependant, que tu passes par le smtp de ton FAI ou par ton smtp perso, on n'envoie pas de grosses pièces jointes, donc ça ne gêne pas d'utiliser le smtp de ton FAI.

                      • [^] # Re: Precision sur la page d'aide

                        Posté par  . Évalué à 4.

                        cependant, que tu passes par le smtp de ton FAI ou par ton smtp perso, on n'envoie pas de grosses pièces jointes, donc ça ne gêne pas d'utiliser le smtp de ton FAI.

                        Si. De même qu'on n'utilise pas un couteau pour tuer quelqu'un, mais que ça me gênerait de ne trouver que des couteaux dont la lame se rétracte dès qu'ils détectent qu'on veut tuer quelqu'un.

                        Au pire, si ça me chante d'envoyer 4 Go par mail entre deux serveurs distants qui sont à moi, je n'emmerde personne. Et le passage imposé par le SMTP du FAI m'interdit cela.

                        THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

                  • [^] # Re: Precision sur la page d'aide

                    Posté par  (site web personnel) . Évalué à 0.

                    aaaaah l'écologie : c'est plus écolo d'avoir une machine up 24/24 chez toi que d'utiliser le smtp de ton fai ?

                    10 Watts dont 100% utilisés pour la puissance pure ton serveur personnel, et dont 100% contribuent au chauffage de ta maison l'hiver. Donc, 50% du temps seulement, c'est 10 Watts consommés en perte.

                    À comparer avec la consommation des serveurs du FAI, donc je pense au moins 25% sert à l'évacuation de la chaleur produite, même en hiver, chaleur qui n'est pas réutilisée. Plus la consommation des routeurs et autres équipements réseau associés.

                    • [^] # Re: Precision sur la page d'aide

                      Posté par  . Évalué à 10.

                      Tu veux dire qu'il faudrait loger des gens dans les datacenters pour que ça soit plus écoresponsable ?

                      ===========> []

                      • [^] # Re: Precision sur la page d'aide

                        Posté par  . Évalué à 8.

                        Le plus grave c'est que dans un datacenter tu utilises de l'énergie pour refroidir le matériel qui émet de l'énergie en pur perte.

                        Sans aller jusqu'à loger des gens en datacenter, il y a peut-être moyen de récupérer la chaleur pour en faire quelque chose ....

                        • [^] # Re: Precision sur la page d'aide

                          Posté par  . Évalué à 3.

                          J'avais lu que IBM avait penser faire passer les conduits d'eau chaude (avant qu'elle soit chauffer) comme circuit de refroidissement pour faire des économies dans les bureaux à côté du datacenter, je ne sais pas s'il l'ont fait finalement mais je trouvait l'idée bonne.

                          « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

                    • [^] # Re: Precision sur la page d'aide

                      Posté par  . Évalué à -3.

                      alors deja un serveur qui consomme 10 watts en pleine charge, j'aimerais bien voir ca.

                      Chauffer sa maison avec 5W, pareil, je rigole un grand coup la.
                      Si t'arrives a rechauffer tes pieds dans un studio de 9m2 c'est deja le bout du monde.
                      Autant chauffer son salon avec briquet a ce compte la, ca chauffera pas plus mais au moins ca eclairera...

                      Ensuite, argumenter pour l'ecologie en preconisant un chauffage electrique, meme plus je rigole la, je suis ecroule de rire...

                      Tu devrais argumenter pour les ampoules a incandescence de la meme facon, ca degage de la chaleur, ca sert a chauffer.
                      D'ailleurs c'est pour ca que je roule en hummer l'hiver, c'est pour rechauffer les rues pour que les sdf ne meurent pas de froid.

                    • [^] # Re: Precision sur la page d'aide

                      Posté par  (Mastodon) . Évalué à 3.

                      Ton raisonnement tient pas. Tu n'es pas seul à utiliser le serveur de ton FAI, si tu veux faire une comparaison valable avec ton serveur perso, il faut regarder la consommation électrique totale par utilisateur. Autrement dit, il faut comparer la consommation de ton serveur perso à la baisse de la consommation que ça induit pour le serveur de ton FAI. Ça m'étonnerait que ça dépasse une fraction de watt.

                      L'argument "écologie" pour avoir son serveur chez soi, c'est juste débile.

                      • [^] # Re: Precision sur la page d'aide

                        Posté par  (site web personnel) . Évalué à 3.

                        Tout à fait d'accord, je signalais juste que l'argument « écologie » pour ne pas avoir son serveur chez soi, c'est juste débile aussi.

                        • [^] # Re: Precision sur la page d'aide

                          Posté par  . Évalué à 3.

                          Ouaip, surtout que la seule chose qui pourrait être écologique dans l'histoire, c'est aucun serveur, ni chez soi, ni dans un datacenter. Forcément, pour envoyer des mails, c'est moins pratique...

            • [^] # Re: Precision sur la page d'aide

              Posté par  . Évalué à 7.

              Tu pousses le bouchon. Tous les FAI proposent un proxy.
              D'ailleurs, je ne vois pas l'intérêt de s'en passer. On peut très facilement l'utiliser comme intermédiaire sur son navigateur perso

              Bon OK je force un peu le trait, mais l'idée est là.

          • [^] # Re: Precision sur la page d'aide

            Posté par  . Évalué à 2.

            C'est comme pour les voitures. A la base ça sert à aller ou on veut sans se fatiguer.

            Mais c'est beaucoup plus pratique et sur pour tout le monde avec les contraintes du code de la route.

            BeOS le faisait il y a 20 ans !

            • [^] # Re: Precision sur la page d'aide

              Posté par  . Évalué à 8.

              Le code de la route est connu et commun à tous. Les règles appliquées selon le jour et l'âge du capitaine par Google, c'est un peu la roulette russe.

              • [^] # Re: Precision sur la page d'aide

                Posté par  . Évalué à 3.

                Le code de la route c'est pour la voie publique, la on parle d'une entreprise privee qui fourni un service.

                Si les regles te font chier, ben tu te passes des services de la boite (que ce soit en zappant les serveurs google ou en utilisant un intermediaire qui se debrouillera avec eux).

                Leur serveurs (et leur argent), leurs regles.

                • [^] # Re: Precision sur la page d'aide

                  Posté par  . Évalué à 7.

                  Le code de la route c'est pour la voie publique, la on parle d'une entreprise privee qui fourni un service.

                  Je trouve amusant de devoir expliquer sur Linuxfr qu'Internet (la « voie publique ») est censé être régi par des standards. Fournir un service à titre privé n'est pas une excuse pour inventer des règles à la noix qui contraignent tous les utilisateurs.

                  Leur serveurs (et leur argent), leurs regles.

                  Avec ce genre d'argument stupide, Internet n'existerait pas. Bravo le troll.

                  • [^] # Re: Precision sur la page d'aide

                    Posté par  . Évalué à 2.

                    inventer des règles à la noix qui contraignent tous les utilisateurs.

                    Les seules personnes que ca emmerde c'est un infime pourcentage d'utilisateurs avances qui veulent bidouiller mais pas investir le temps necessaire pour faire les choses correctement - et les spammeurs. Entre les deux, un choix a ete fait (plutot raisonnablement a mon avis).

                    Avec ce genre d'argument stupide, Internet n'existerait pas.

                    Ben c'est comme ca depuis le debut, c'est bizarre que ca t'etonne.

                    Apres si Google veut pouvoir continuer a faire des benefs, il faut aussi qu'il s'adapte pour ne pas perde ses utilisateurs (et ca veut dire proposer un service interroperable avec les autres). M'enfin bizarrement, ca a pas trop l'air de leur poser de problemes jusqu'ici.

                    En gros Google (et plein d'autres) prennent quelques libertes avec des normes ecrites il y a bien longtemps lorsque le spam n'etait meme pas un probleme. Tous les acteurs autour se sont adaptes de la meme facon et cela n'aura jamais aucun impact sur l'immense majorite des utilisateurs. Si il faisait ca juste pour le plaisir de faire chier je comprendrais parfaitement qu'on leur tape dessus, mais c'est vraiment pas le cas.

                    • [^] # Re: Precision sur la page d'aide

                      Posté par  (site web personnel) . Évalué à 1.

                      Encore une fois, il y a au moins un mec qui s'y connaît, qui reçoit la plus grande quantité de spams enregistrée pour une personne (un million par jour), et qui a mis au point ce qu'il faut pour trier avec une efficacité redoutable sans le moindre faux positif.

                      http://acme.com/mail_filtering/

                    • [^] # Re: Precision sur la page d'aide

                      Posté par  . Évalué à 1.

                      Ben c'est comme ca depuis le debut

                      Ah, explique-nous alors. Je ne savais pas que "depuis le début", les fournisseurs mail inventaient des règles violant les RFC pour soi-disant optimiser leurs services.

                      Tous les acteurs autour se sont adaptes de la meme facon

                      Je n'ai pas l'impression. Tu as une liste à fournir ? Ou c'est juste un argument bidon ?

      • [^] # Re: Precision sur la page d'aide

        Posté par  . Évalué à 2.

        et si, free le fait...

  • # Enfin!

    Posté par  . Évalué à 4.

    Bonjour,
    http://fr.wikipedia.org/wiki/Sender_Policy_Framework
    Cordialement,

    • [^] # Re: Enfin!

      Posté par  (site web personnel) . Évalué à 3.

      Sachant que j'utilise une adresse ip dynamique, n'est-ce pas problématique ?
      En outre, est-ce que gmail (et les autres !) en tient compte ?

      • [^] # Re: Enfin!

        Posté par  . Évalué à 2.

        Sachant que j'utilise une adresse ip dynamique, n'est-ce pas problématique ?

        Tu peux configurer un peu ce que tu veux en SPF, y compris dire que n'importe quelle IP est autorisée à envoyer du mail pour ton domaine.
        Une autre possibilité c'est d'avoir ton propre relais SMTP avec une IP statique sur un quelconque petit serveur (si tu en as déjà un).

        • [^] # Re: Enfin!

          Posté par  (site web personnel) . Évalué à 5.

          Pour SPF, il serait plus intelligent d'autoriser juste la plage d'adresses dynamiques dans laquelle tu es. Celle attribuée à ton DSLAM, quoi.

          • [^] # Re: Enfin!

            Posté par  . Évalué à 1.

            Encore faut-il la connaître et être sûr que ton FAI ne va pas reconfigurer son architecture dans ton dos...
            Ceci dit j'ai pris le parti de créer un petit SMTP authentifié sur un serveur virtuel, ça m'a permis de configurer un SPF aux petits oignons.

  • # Prendre du recul et relire

    Posté par  . Évalué à 4.

    Non, tous les serveurs perso ne sont pas morts: ils disent qu'ils refusent les mails dont les noms d'expéditeur et de domaine ne correspondent pas.

    Si je ne m'abuse, ça veut dire que pour les heureux qui ont une IP fixe, ça doit toujours passer, non?

    De plus, dans leur déclaration, ils disent bien "Notez que nous ne sommes pas en mesure de mettre des adresses IP sur liste blanche ou d'accorder des exceptions pour le moment."

    Peut-être que si beaucoup en font la demande, ils pourront mettre en place cette "liste de confiance".

    Moi je suis allé plus loin sur la page, et j'ai fini par aller jusqu'au forum de discussion.
    (J'ai hésité d'abord à cliquer sur "Proposer que Gmail fasse la lessive" dans les catégories pré-sélectionnées, puis je me suis dit que non.)

    Il y a donc maintenant une entrée dans le forum d'aide demandant l'implémentation d'une liste blanche par un certain "matian" (moi-même, c'est mon nom chinois).
    Je vous invite à y répondre pour apporter votre soutien!

    Je précise que je ne dispose pas de serveur perso mais d'une adresse gmail, je souhaite donc pouvoir recevoir des mails venant de serveurs persos!
    (En fait, si ces nullités de FAI chinois ne nous mettaient pas sur sous-réseau local, j'aurais certainement aussi un serveur perso!).

  • # Sortie != entrée

    Posté par  (site web personnel) . Évalué à 2.

    Premièrement, ça n'a rien de nouveau, de nombreux fournisseurs d'accès déclarent les adresses IPv4 de leurs abonnés comme spammeurs potentiels, et ils se retrouvent bloqués par certains fournisseurs de messagerie.

    Deuxièmement, cela affecte l'envoi de messages : ton FAI ne te permet pas d'envoyer du courrier directement dans de bonnes conditions, et t'oblige à passer par leur relais. Tu peux régler ton serveur de courrier pour cela.

    Troisièmement, cela n'affecte pas la réception de messages.

    • [^] # Re: Sortie != entrée

      Posté par  (site web personnel) . Évalué à 1.

      En effet ce n'est pas nouveau. Hotmail utilise déjà ça depuis un moment et ça ne m'étonne pas d'eux. Je suis juste déçu que gmail utilise une méthode similaire (certe différente, mais le résultat est le même pour moi).
      Deuxièmement, je n'ai aucune envie de passer par le relai de mon FAI. J'ai le mien, c'est pour m'en servir.
      Troisièmement... encore heureux ! ;-)

      • [^] # Re: Sortie != entrée

        Posté par  (site web personnel) . Évalué à 6.

        Non, Google n'utilises pas de listes noires externes, et heureusement, c'est une très mauvaise techniques. Ces listes noires sont opaques, font des faux positifs, se font mutuellement confiance (effet cascade : une liste récupère tout d'une autre…), bref, c'est une belle merde.

      • [^] # Re: Sortie != entrée

        Posté par  (site web personnel) . Évalué à 3.

        Haha, Hotmail. Eux, ils font encore plus simple : ils traitent comme spam tous les messages qui arrivent d'adresses IP qu'ils n'ont jamais vu, en gros. Mais ils les acceptent, ils les posent juste dans la boîte à spam de leurs utilisateurs.

        • [^] # Re: Sortie != entrée

          Posté par  . Évalué à -2.

          Beaucoup plus simple encore: il y a peu, hotmail rejetait purement et simplement tout mail envoyé avec la fonction mail() de PHP ça n'allait meme pas dans la boite à spam, retour direct à l'envoyeur. PHP n'etant pas une techno de minimou, je suppose qu'ils n'allaient s'encombrer d'une chose aussi futile....
          J'ai subi le problème pendant 2 ans environ, mais lors de mon dernier envoi fin janvier, les mails sont enfin arrivés (plus précisément , ils ne m''ont pas été renvoyés...)
          .

          • [^] # Re: Sortie != entrée

            Posté par  . Évalué à 1.

            Ah, au moins, il y avait une erreur en retour. Parfois sur hotmail c'est pas d'erreur, et message détruit.

  • # Condamnés

    Posté par  (site web personnel) . Évalué à 4.

    Sommes-nous condamnés à nous envoyer des mail entre geeks possédant un serveur personnel, ou alors à utiliser le relai SMTP de notre FAI ?

    Pas plus que la myriade de geeks, auto-entrepreneurs, petites entreprises et hébergeurs divers.

    En revanche, nous sommes, depuis toujours, condamnés à nous abonner chez des FAI qui nous permettent d'envoyer du courrier dans de bonnes conditions : pas de blocage du SMTP sortant, DNS inverse personnalisable, adresse IP statique. Ou, chez un fournisseur de demi-accès à Internet, à utiliser son relais. Rien n'a changé.

  • # Ils sont dingues

    Posté par  (site web personnel) . Évalué à 2.

    Si j'ai bien compris la page d'explications, ils vérifieraient que le nom DNS inverse (verne.ortolo.eu dans mon cas) privé de son premier composant (ortolo.eu dans mon cas) correspond au domain de l'adresse d'expédition (MAIL FROM:).

    C'est une connerie, et une belle, parce que :
    1. aucune norme n'autorise à faire ça, au contraire, je crois que c'est explicitement défendu par les RFC ;
    2. il y a une norme pour ça, c'est SPF ;
    3. il y a plein de serveurs qui envoient du courrier de la part de plusieurs domaines, ne serait-ce que les serveurs mutualisés.

    En outre, s'ils appliquaient cela au moment où tu as rédigé ce journal, ils ne l'appliquent plus maintenant (j'ai changé les noms de domaines, mais l'essentiel est que, entre mon nom DNS inverse privé de son premier composant, le EHLO et le MAIL FROM, rien ne correspond) :

    220 mx.google.com ESMTP c28si2542700fka.44
    ehlo verne.example.com
    250-mx.google.com at your service, [91.121.200.164]
    250-SIZE 35651584
    250-8BITMIME
    250-ENHANCEDSTATUSCODES
    250 PIPELINING
    mail from: <toto@example.net>
    250 2.1.0 OK c28si2542700fka.44
    rcpt to: <toto@gmail.com>
    250 2.1.5 OK c28si2542700fka.44
    data
    354 Go ahead c28si2542700fka.44
    .
    250 2.0.0 OK 1268838382 c28si2542700fka.44


    Donc, soit Google ont fait une connerie, qu'ils ont corrigés vite fait, soit ton problème est en réalité du à une interdiction au niveau SPF. Quel nom de domaine utilises-tu en MAIL FROM ?

    • [^] # Re: Ils sont dingues

      Posté par  (site web personnel) . Évalué à 1.

      Bien vu, le souci est corrigé ! Mon souci datait de lundi, je n'avais pas réessayé depuis.

      Merci !

    • [^] # Re: Ils sont dingues

      Posté par  . Évalué à 2.

      > Si j'ai bien compris la page d'explications, ils vérifieraient que le nom
      > DNS inverse (verne.ortolo.eu dans mon cas) privé de son premier
      > composant (ortolo.eu dans mon cas) correspond au domain de
      > l'adresse d'expédition (MAIL FROM:).

      Je ne sais pas de quel page d'explication tu parles, mais je ne pense pas que cela soit le cas. Comme tu le dis Google utilise le SPF pour cela.
      En revanche et comme tous leurs copains ils vérifient les reverse DNS donc si ta machine dit s'appeler verne.otolo.eu mais que son reverse pointe vers abo-112.7.69.87.infonie.fr, ça part mal.

      • [^] # Re: Ils sont dingues

        Posté par  (site web personnel) . Évalué à 4.

        Ça, pour le coup, refuser du courrier parce que le nom DNS inverse ne correspond pas, c'est explicitement interdit par la RFC. Et ce n'est pas une mesure anti-spam efficace.

      • [^] # Re: Ils sont dingues

        Posté par  . Évalué à 4.

        > que son reverse pointe vers abo-112.7.69.87.infonie.fr

        en meme temps, faut pas déconner non plus.

        • [^] # Re: Ils sont dingues

          Posté par  . Évalué à 5.

          Oui, quelle idée d'avoir un reverse totalement moisi.
          À croire que les gens choisissent leur FAI en fonction de trucs aussi absurdes que "j'ai 250 chaînes de TV dont 240 que je regarderai jamais" ou "chouette, je peux téléphoner gratuitement entre 1H32 et 1H57 vers la Corée du Sud", en oubliant totalement de vérifier ce qui fait la qualitay d'une connexion à Internet:
          - pas de déconnexion imposée toutes les 24H,
          - une IP fixe (même après une déconnexion intempestive),
          - un reverse DNS personnalisable,
          - un sous-domaine personnalisable aussi,
          - de l'IPv6, tant qu'à faire et vu qu'il faudra bien y passer un jour.

          Après, on ne peut pas tout avoir: de l'accès à Internet avec bande passante à volonté, et 250 chaînes de TV, et du téléphone sur IP gratuit vers n'importe où, et en même temps une vraie connexion à Internet.

          THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

          • [^] # Re: Ils sont dingues

            Posté par  . Évalué à 3.

            oh je me foutais juste de la gueule de ce fossile de Infonie. back to the future.


            sinon dans le genre rigolo, hier je trifouille une BBox (BouyguesTelecom), tout va bien, je regarde le reverse et je vois un Club Internet. j'ai ri (mais moins longtemps, eux je les aimais bien)

            • [^] # Re: Ils sont dingues

              Posté par  . Évalué à 2.

              ca c'est parceque bouygue a racheté des emplacement dslam a neuf/sfr (qui lui a donné des ancien emplacements club internet)

  • # La lutte contre le spam en 2010

    Posté par  . Évalué à 2.

    > Sommes-nous condamnés à nous envoyer des mail entre geeks
    > possédant un serveur personnel, ou alors à utiliser le relai
    > SMTP de notre FAI ?

    Google ne fait pas cela contre toi mais pour limiter la quantité de spam qu'ils reçoivent. La nature du traffic smtp a pas mal évolué depuis quelques années et tous les gros hébergeurs de webmail poussent leurs correspondants à sécuriser leur propre infrastructure mail.

    Tu peux soit prendre cela comme une attaque personnelle de Google sur ta personne (ce n'est pas le cas), ou aller dans le sens de l'histoire et
    - personnaliser ton reverse DNS afin que celui-ci corresponde au hostname que ta machine affiche pendant la sessions SMTP (HELO).
    - utiliser SPF et Domainkeys pour augmenter les chances que tes mails soient notés en "ham" par le SMTP en face
    - faire transiter tes mails par le SMTP de ton FAI. A partir du moment où tes mails transitent en clair sur l'Internet, utiliser le SMTP de ton FAI en tant que relais ne change rien.

    En faisant cela tu ne perds rien (asuf un peu de temps pour configurer le bousin) et tu rends la tâche plus difficile pour les spammeurs.

    • [^] # Re: La lutte contre le spam en 2010

      Posté par  (site web personnel) . Évalué à 2.

      En faisant cela tu ne perds rien

      Si : tu deviens dépendant du relais SMTP de ton FAI.

      • [^] # Re: La lutte contre le spam en 2010

        Posté par  . Évalué à 1.

        > Si : tu deviens dépendant du relais SMTP de ton FAI.

        Si cela te pose un problème (*) tu peux très bien louer les services d'un provider de services mails dont c'est le métier, avec un taux de dispo à 5 neuf. Ca coûte moins de 15 € par an et tu restes indépendant du relais SMTP de ton FAI. Bon, là tu vas me sortir que tu te crées une dépendance vis à vis de ton provider de services mails.

        * et j'ai du mal à saisir en quoi cela est un problème, compte tenu que tu es déja dépendant de ton FAI pour ton accès Internet, que tu lui fais confiance pour router (et potentiellement inspecter, bloquer, signaler aux autorités) tout ton traffic mail/web/p2p... Et mon petit doigt me dit qu'entre ton smtp perso et le smtp de ton FAI ce n'est pas ce dernier qui a le taux de disponibilité le moins mauvais (**)

        ** Inutile aux c0wbOys qui traînent de me sortir l'uptime de leur serveur maison, leur expérience personnelle n'est pas la règle...

    • [^] # Re: La lutte contre le spam en 2010

      Posté par  (site web personnel) . Évalué à 2.

      http://acme.com/mail_filtering/

    • [^] # Re: La lutte contre le spam en 2010

      Posté par  . Évalué à -1.

      > Tu peux soit prendre cela comme une attaque personnelle de Google sur ta personne (ce n'est pas le cas), ou aller dans le sens de l'histoire

      ah, le sens de l'Histoire... appliqué à d'autres circonstances ça justifie tout. "foutez le camp de notre Grande Allemagne/Grand Israel ou on va vous aider manu militari, et plus si affinités"

      (ça, c'est fait)


      (...)
      > En faisant cela tu ne perds rien (asuf un peu de temps pour configurer le bousin) et tu rends la tâche plus difficile pour les spammeurs

      ouais non, c'est juste faux. tu as 2-3-5 grands FAI/fournisseurs de (web)mails qui imposent leurs quatre volontés au reste du monde, et pendant longtemps chacun avait sa solution (souvent foireuse) dans son coin.

      tu perds plus qu'un peu de temps (parce que c'est pas forcément simple, ça marche pas forcément, faut tester, et vérifier régulièrement que ça marche encore). et tu ne rends pas la tâche plus difficile pour les spammeurs juste par ta soumission héroïque. ce sont les FAIs/MachinMail qui le font.

      en fait, par ce choix technique, les autres FAI et MachinMail qui n'utilisent pas ces bidouilles et autres rustines anti-spam s'en prennent encore plus dans la tronche.


      mais ok, yaka migrer vers SPF et compagnie, ma bonne dame, c'est le progrès, un monde avec tout le monde sous SPF sera tellement plus sain. c'est comme devoir utiliser un antivirus, c'est tellement plus intelligent et efficace que d'utiliser un système insensible aux virus...

      • [^] # Re: La lutte contre le spam en 2010

        Posté par  . Évalué à 3.

        > ah, le sens de l'Histoire... appliqué à d'autres circonstances ça
        > justifie tout. "foutez le camp de notre Grande Allemagne/Grand Israel
        > ou on va vous aider manu militari, et plus si affinités"

        Merci pour cette remarque constructive, mesurée et pleine de bon sens ! Effectivement tu m'as ouvert les yeux avec cette comparaison à laquelle (suis-je bête !) je n'avais pas pensé. Tu as raison et j'avais tort, je présente donc toutes mes excuses aux personnes ayant lu mes inepties.

        • [^] # Re: La lutte contre le spam en 2010

          Posté par  . Évalué à 1.

          faudrait que je retrouve l'URL mentionnant que Microsoft (à l'époque de Hotmail) commençait à imposer ce genre de configuration aux gens voulaient envoyer des mails à ses utilisateurs et à coté proposait moyennant finances de whitelister un peu qui voulait, c'est à dire et en gros les spammeurs-mais-qui-prétendent-ne-pas-en-être, comme en France OVH, Amen pour des clients comme Public Idees ou NextBusiness, ou encore des multirécidivistes comme Emailvision

          mai bon hein...

      • [^] # Re: La lutte contre le spam en 2010

        Posté par  . Évalué à 4.

        Oui, il faut encourager l’utilisation des systèmes insensibles aux virus. Tiens, µC/OS-II par exemple : 3 ans qu’il tourne sur ma cafetière, et pas un seul spam reçu !

    • [^] # Re: La lutte contre le spam en 2010

      Posté par  . Évalué à 5.

      utiliser SPF et Domainkeys pour augmenter les chances que tes mails soient notés en "ham" par le SMTP en face

      "Augmenter les chances", c'est le gros problème. Tu passes ton temps à courir derrière des boîtes noires dont tu ne connais pas le fonctionnement, dont le fonctionnement évolue sans que tu sois au courant, mais dans les bonnes grâces desquelles tu essaies de rester par divers expédients.

  • # FAI et reverse

    Posté par  . Évalué à 2.

    Bizarre ça personne n'a encore fait la remarque.

    Plusieurs personnes et entreprises ont testé pour vous l'achat d'adresse ip fixe chez de grands fournisseurs ou sous traitant avec les offres pro qui vont bien derrières.

    Et bien aucun de ceux que j'ai vu n'était capable de fournir un reverse dns. Internet, la voip etc... oui ça ils fournissent mais par contre de simples fonctionnalités réseau non.

    • [^] # Re: FAI et reverse

      Posté par  . Évalué à 0.

      En termes informatiques, ils offrent des couches d'abstraction haut-niveau (voip, etc.). Pour ceux qui veulent des couches d'abstraction bas-niveau (personnalisation de reverse, plage IPv6...), effectivement l'offre est un peu plus limitée.

      Ceci dit je ne suis pas d'accord avec l'utilité d'un reverse. Cela ne sert que quand tu n'héberges qu'un seul domaine de toute façon.

      • [^] # Re: FAI et reverse

        Posté par  . Évalué à 3.

        si le reverse est vérifie au bon niveau (cad au niveau du helo) ca ne dépend absolument pas des domaines que tu héberges.
        La machine s'authentifie avec son nom lors d'un "helo".
        Si la machine ment (reverse dns ne correspond pas), ben forcément elle part pas d'un bon pied.

        Normalement la vérification du reverse ne doit pas correspondre au domaine du mail, mais celui de la machine.

        En tout cas c'est ce que j'ai compris.

        • [^] # Re: FAI et reverse

          Posté par  . Évalué à 2.

          La machine s'authentifie avec son nom lors d'un "helo".
          Si la machine ment (reverse dns ne correspond pas), ben forcément elle part pas d'un bon pied.

          En même temps il n'y a aucun intérêt à mentir, puisque le "helo" ne détermine pas le nom de domaine possible pour l'expéditeur. Donc je ne vois pas trop l'intérêt de cette vérif-là.

          • [^] # Re: FAI et reverse

            Posté par  . Évalué à 3.

            vérifier justement si la conf est correcte. Elle n'a (presque) aucune chance d'être correcte pour une machine qui n'a pas de raison de sortir faire du mail (machine vérolée derrière un nat par exemple, ou machine d'un particulier vérolé),

            quand on sait que 90% des mails recus par les serveurs sont des spams, n'importe quel solution peu couteuse qui supprime ne serait ce que 23% des spams peut avoir un impact intéressant, parce que 23% de 90% ca donne quand même 20% du traffic global supprimé sans avoir à faire des tests couteux en calcul/mémoire/... et donc couteux en matériel!

          • [^] # Re: FAI et reverse

            Posté par  . Évalué à 3.

            Ca élimine au moins 99.99% des windows vérolés. Je pense qu'il y a peu de gens ayant ce type de machine qui ont un DNS et un reverse configurés. Bref ça doit être efficace et pas coûter cher.

            Franchement si on veut jouer à avoir son serveur SMTP, on choisit son fournisseur en conséquence. Je veux bien qu'internet doive rester ouvert mais ça empêche pas de demander un certain niveau, comme dit plus haut un fournisseur aussi grand public que free suffit dans ce cas.

            • [^] # Re: FAI et reverse

              Posté par  . Évalué à 2.

              Ca élimine au moins 99.99% des windows vérolés. Je pense qu'il y a peu de gens ayant ce type de machine qui ont un DNS et un reverse configurés.

              Hum, et donc? Il reste le reverse attribué par le FAI, et il n'est pas très compliqué pour un ver ou virus quelconque de demander ce reverse avant de l'utiliser dans le HELO.
              Non, franchement, je ne vois pas l'intérêt.

              • [^] # Re: FAI et reverse

                Posté par  (site web personnel) . Évalué à 4.

                Hum, et donc? Il reste le reverse attribué par le FAI

                Sauf pour un "certain nombre" d'adresses IP utilisée en Chine, Russie, Brésil ou que sais-je qui sont expéditeur de spam, sans aucun reverse et qu'il est de fait assez simple à filtrer par ce critère.

                Un serveur SMTP digne de ce nom se devrait d'avoir une IP fixe, les enregistrements DNS qui correspondent et une configuration suivie par un administrateur compétent (capable de lire le courrier abuse et postmaster entre autre).

                Comme on ne peut pas vérifier cette compétence, on se reporte sur les paramètres techniques, et donc entre autres les informations données par le DNS.

                Fait amusant, ce type de réglage "permet" aussi de refuser du courrier envoyé par des serveurs Exchange car le nom Netbios de la machine (et donc utilisé par Exchange, de ce que j'en connais) ne correspond pas toujours à l'enregistrement DNS.

                • [^] # Re: FAI et reverse

                  Posté par  . Évalué à 2.

                  > Sauf pour un "certain nombre" d'adresses IP utilisée en Chine, Russie, Brésil ou que sais-je qui sont expéditeur de spam

                  j'avoue qu'ici je fais mon fachonazi et je blackliste directement des plages entières d'ips de pays qui ne parle pas bien la france ou l'anglois. en gros et comme je sais que je n'aurai pas d'interlocuteur en asie, afrique, europe de l'est et amérique du sud, pouf, iptables

                  oui, ça va pas s'appliquer à tout le monde, mais c'est quand même foutrement efficace

                  • [^] # Re: FAI et reverse

                    Posté par  . Évalué à 3.

                    Bah t'es pas le seul :)

                    Et il y aussi plein de boites qui bloquent leur boutique en ligne (ou passent en mode parano) pour des pays entiers vu que 99% des ventes venant de ces regions sont avec des numeros de carte de credit voles (les chargebacks ca te coute rapidement beaucoup de thune...).

                  • [^] # Re: FAI et reverse

                    Posté par  . Évalué à 3.

                    Après m'être fait chier à leur envoyer des mails bien écrits, bien polis, en anglais correct, sur l'adresse "abuse@" à chaque spam ou tentative d'intrusion reçue, je fais exactement pareil.

                    Le jour où ils voudront que leurs clients puissent causer à ma machine, ils commenceront par faire le ménage dans leur bordel. C'est pas admissible de laisser trainer des machines vérolées jusqu'à l'os sur son réseau, sans prendre de mesure à l'encontre de leur responsable.

                    Ceci dit, je doute qu'en France ce soit mieux, j'ai déjà reçu du spam envoyé depuis une ligne Orange (pro?), signalé à abuse, et rien à carrer. Peut-être que porter plainte leur bougerait le cul? Après tout, le spam est un délit.

                    THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

                • [^] # Re: FAI et reverse

                  Posté par  . Évalué à 3.

                  capable de lire le courrier abuse et postmaster entre autre

                  Marrant, ça me fait penser à Orange qui:
                  - demande de suivre les recommandations de la nétiquette à ses clients,
                  - ne répond pas aux demandes sur abuse le lendemain de leur envoi, alors que c'est marqué dans la nétiquette.

                  THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

              • [^] # Re: FAI et reverse

                Posté par  . Évalué à 2.

                OK, j'avais zappé que certains FAI font ça. Seulement je ne sais pas si cette pratique est si répandue dans le monde.

                Pour info sur un serveur que j'administre j'ai dans le maillog (sur moins de trois jours) :

                25977 connexions de 14640 IP distinctes
                13238 connexions sans reverses de 9340 IP distinctes

                Bref virer la moitié des connexions qui envoient probablement du spam juste après le helo, je vois l'intérêt.

                • [^] # Re: FAI et reverse

                  Posté par  (site web personnel) . Évalué à 3.

                  Bref virer la moitié des connexions qui envoient probablement du spam juste après le helo, je vois l'intérêt.

                  Deux questions : combien de faux positifs ? Et combien des connexions que tu refuses parce qu'elles n'ont pas de reverse auraient passé les autres tests (genre spf) ?

  • # Reverse

    Posté par  (site web personnel) . Évalué à 5.

    Les commentaires partent un peu dans tous les sens à propos de noms DNS inverses. Je rappelle donc, que ce qui est important, c'est d'avoir un nom DNS inverse associé à son adresse IP, et que l'enregistrement A ou AAAA associé à ce nom donne bien la même adresse IP.

    Avec un nom DNS inverse qui correspond au nom de domaine donné par son serveur (EHLO), c'est purement cosmétique. Refuser un message parce qu'il ne correspond pas est explicitement interdit par la RFC SMTP : [http://tools.ietf.org/html/rfc5321#section-4.1.4].

    Avoir un nom DNS inverse qui, privé de son premier composant, correspond au nom de domaine de l'expéditeur du message (MAIL FROM:), c'est juste cosmétique. Aucun serveur sérieux ne refusera du courrier parce que ça ne correspond pas.

    Enfin, toujours d'après la RFC SMTP, quand on n'a pas de nom d'hôte, par exemple quand on n'a qu'une adresse dynamique, il faut utiliser une adresse électronique comme EHLO !

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.