Re: [FRnOG] [TECH] SPAM & Score sur SPF

[Jean-Yves LENHOF]

Le 03/10/2016 à 18:43, Fabien H a écrit :
> Bonjour,
>
> nous avez constaté ce matin une pluie de spam avec fichier vérolé XLS avec
> comme éxpediteur n'importe quoi @ notredomaine.fr et comme destinataire des
> adresses existantes @ notredomaine.fr .

Hello,

Plutôt que de jouer avec les antispam, déjà j'interdirais ça ;-)
Pour envoyer depuis ton domaine vers ton domaine, perso j'obligerais à
faire du SMTP authentifié



JYL


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] SPAM & Score sur SPF

[Fabien H]

Bonjour,

nous avez constaté ce matin une pluie de spam avec fichier vérolé XLS avec
comme éxpediteur n'importe quoi @ notredomaine.fr et comme destinataire des
adresses existantes @ notredomaine.fr .

Certains mails sont passés car le SMTP qui envoyait était de bonne
réputation au début des envois (pas à la fin !)

Je voudrais renforcer la protection par SPF sur notre passerelle
spamassassin pour éviter ça :

Actuellement, les scores de spamassassin pour le Spam sont :

- Spam : 3.5
- High Spam 5

Par contre bizarrement, les scores sur les SPF FAIL sont faibles dans la
conf par défaut de spamassassin.:

score SPF_FAIL 0 0.919 0 0.001 # n=0 n=2
score SPF_HELO_FAIL 0 0.001 0 0.001 # n=0 n=2
score SPF_HELO_NEUTRAL 0 0.001 0 0.112 # n=0 n=2
score SPF_HELO_SOFTFAIL 0 0.896 0 0.732 # n=0 n=2
score SPF_NEUTRAL 0 0.652 0 0.779 # n=0 n=2
score SPF_SOFTFAIL 0 0.972 0 0.665 # n=0 n=2

Est-ce que vous pensez qu'il y'a une raison ? Manque de fiabilité des SPF
en général ?

Je pensais carrément mettre le SPF_FAIL à 2.9 et le SPF_SOFTFAIL à 1.9, Un
avis ?
Merci pour le retour,

Fabien

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Rapport ARCEP sur problème IPv6

[Frederic Dhieux]

Hello,


Le 03/10/16 à 13:21, Pierre Colombier a écrit :
> Le problème avec IPV6, c'est surtout les mauvaises habitudes prises
> avec le nat depuis 15 ans.
>

Pour moi c'est surtout un problème de cible et de motivation. Ce qui me
semble être négligé, ce sont les différents niveaux sur lesquels il faut
travailler la question et leur motivation.

Favoriser les site IPv6 dans le référencement ferait faire un bond dans
le déploiement d'IPv6 en 6 mois déjà, donner un équivalent du CIR
(l'ARCEP si tu nous lis) aux sociétés qui sont IPv6 motiverait également
la démarche en France, avoir des discounts sur les prix des services
réseaux IPv6 (IXP, transit, etc) serait un autre point. Avoir tous les
FAI en IPv6, c'est une étape qu'on a longtemps attendu mais on y arrive.
Ca va jouer un rôle je pense, même si on ne verra pas un chamboulement
du jour au lendemain. Et pourquoi pas des peering policy plus souple
pour IPv6 ?

La complexité technique est différente selon les boîtes (sécu, presta,
historique, etc) et certains semblent oublier que toutes les structures
n'ont pas la même inertie, mais je ne pense pas que le plus gros frein
soit là au final (surtout depuis le temps que ça dure). C'est toujours
pareil, dans une société il y a une quantité d'efforts pour mener X
projets à bien. Après c'est un problème de charge, de priorités, de
motivation et de moyens. La motivation dans les équipes techniques ne me
semblent pas être le plus gros frein au final (pour les compétences, ça
n'est pas pire que sur d'autres sujets).

Il n'y a bien que pour les gens du réseau que le passage à IPv6 est une
évidence et c'est bien là le plus gros problème je pense. Je pense que
beaucoup d'admins se sentent un peu seuls quand il s'agit de pousser
IPv6 en interne.

> Le réseau d'entreprise "tout ouvert derrière une box qui fait nat" en
> IPv6, c'est le carnage...
>

Bien que ça me fasse vomir, saigner de partout, je préfère encore voir
une boîte mettre une IPv6 en frontal avec un NAT interne derrière que
rien du tout. C'est moche, ça me donne envie de baffer très fort, mais
si ça aide à changer les mentalités pour qu'un jour un mec de son côté
en regardant "Internet" se dise "merde tout le monde est en IPv6 et je
fais pas sérieux à pas l'avoir", bah amenez les bassines.

Frederic


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [ALERT] Problème sur certains appels sortants chez Colt

[David Ponzone]

Colt aurait un petit problème pour acheminer les appels vers les 09 et vers la 
Pologne.
Pas plus d’infos pour le moment.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Interface qui ne remonte pas sur 3750X

[Earendil - FRNOG]

Salut Thomas,

j'ai eu le même souci chez nous.
On a ouvert un ticket chez Cisco qui nous a repointer vers ce numéro de 
bug : 
https://bst.cloudapps.cisco.com/bugsearch/bug/CSCti75491/?reffering_site=dumpcr


On voit bien dans le ticket que c'est marqué résolu pour le version 
12.2(55)SE2 mais notre contact Cisco indique qu'il serait peut-être 
encore présent sur la 58.

Ils nous ont conseiller de passer en 15.0.2-SE10.

Ambroise

Le 2016-09-30 11:23, hahusseau thomas a écrit :

Bonjour,



Est-ce que certains d’entre vous ont déjà eu des problèmes avec des
interfaces ne repassant pas UP après un shut / no shut sur 3750X. Je
rencontre ce type de problème et chaque fois le « bug » se produit sur 
des
3750X en version 12.2(58)SE2  avec un uptime supérieur à 3 ans. Je 
n’arrive
pas à trouver sur le net trace de ce type de problème sur ces 
équipements.

Si quelqu’un a connu la situation ou à un bug ID Cisco je suis preneur.



Thomas



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Rapport ARCEP sur problème IPv6

[Jonathan Leroy]

Le 3 octobre 2016 à 14:29, Nicolas Gaudin
 a écrit :
> Personnellement, si j'étais client je ne serais pas ravi que mon prestataire
> active IPv6 sans me demander mon avis au préalable

Seulement sur les nouveaux serveurs, pas de modif des systèmes existants.
Suivant ton raisonnement il faut demander expressément à chaque client
si il souhaite ou non activer IPv6 ? On est pas sortis de l'auberge
comme on dit :)

> et encore moins s'il le
> maintenait en place malgré ma demande expresse de le désactiver.

Ah mais si il y a une raison *valable* de le désactiver, pas de souci.
Mais tout ceux qui ont voulu le désactiver jusqu'ici le souhaitaient
par principe plus qu'autre chose.


> Comme l'évoquait Pierre Colombier, activer un réseau en IPv6 peut créer des
> brèches de sécurité qui resteront insoupçonnées si celui qui le gère ne le
> fait pas en pleine connaissance.

Sauf que dans mon cas je gère l'infra de A à Z et que donc je connais
les conséquences des changements que je met en place.


> Je n'appelle pas ça "maîtriser" quand sa gestion dépend d'un unique
> prestataire.

Le métier de mes clients, c'est de vendre des sacs, des cartes de
voeux et des casques de motos. Ce qu'ils veulent, c'est que leur site
soit UP toute l'année. Le côté technique ils s'en foutent tant que ça
marche :)

-- 
Jonathan Leroy.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Rapport ARCEP sur problème IPv6

[Nicolas Gaudin]

> Depuis 5 ans, je déploie IPv6 sur tous les nouveaux serveurs que
> j'installe pour mes clients ou moi.
> Résultat ? Plus de 90 % de mon parc est en dual-stack.
> La plupart des clients n'ont pas vu de différence et ne sont probablement
> même pas au courant de l'existence d'IPv6.
> En 5 ans, j'ai dû avoir peut-être 2 ou 3 demandes de clients pour
> désactiver IPv6.
> Je ne l'ai jamais fait : on regarde ce qui ne fonctionne pas et on fixe.

Personnellement, si j'étais client je ne serais pas ravi que mon prestataire
active IPv6 sans me demander mon avis au préalable et encore moins s'il le
maintenait en place malgré ma demande expresse de le désactiver.
Comme l'évoquait Pierre Colombier, activer un réseau en IPv6 peut créer des
brèches de sécurité qui resteront insoupçonnées si celui qui le gère ne le
fait pas en pleine connaissance.
IPv6, c'est l'avenir (ça fait plus de 15 ans qu'on le dit, paraît-il...)
mais encore faut-il le maîtriser et avoir connaissance de son état de
déploiement sur son réseau.
Je n'appelle pas ça "maîtriser" quand sa gestion dépend d'un unique
prestataire.
Mais ça n'est que mon avis...


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Rapport ARCEP sur problème IPv6

[Baptiste Jonglez]

On Mon, Oct 03, 2016 at 02:11:05PM +0200, Olivier Benghozi wrote:
> L'adressage interne de la boite que personne n'a envie de changer selon 
> l'adressage des liens externes, c'est un problème clairement généralisé.
> Du coup on va immanquablement voir du NPTv6 lorsque l'IPv6 se retrouvera en 
> entreprise.

Ou pas, le double adressage IPv6 public + privé (ULA¹) sert justement à ça.

L'adressage en ULA est stable et peut servir en interne, tandis que
l'adressage public peut changer mais c'est pas bien grave
(autoconfiguration des postes via RA/DHCPv6).

OpenWRT fait déjà ça par défaut, le routeur distribue des IPv6 en ULA +
des IPv6 publiques quand le WAN a une connectivité IPv6.

¹ https://en.wikipedia.org/wiki/Unique_local_address

> > Le 3 oct. 2016 à 13:21, Pierre Colombier  a écrit :
> > 
> > Le problème avec IPV6, c'est surtout les mauvaises habitudes prises avec le 
> > nat depuis 15 ans.
> > 
> > Le réseau d'entreprise "tout ouvert derrière une box qui fait nat" en IPv6, 
> > c'est le carnage...
> > 
> > Et il y en a combien des comme ça ?
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


signature.asc
Description: PGP signature

Re: [FRnOG] [MISC] Rapport ARCEP sur problème IPv6

[Olivier Benghozi]

L'adressage interne de la boite que personne n'a envie de changer selon 
l'adressage des liens externes, c'est un problème clairement généralisé.
Du coup on va immanquablement voir du NPTv6 lorsque l'IPv6 se retrouvera en 
entreprise.

> Le 3 oct. 2016 à 13:21, Pierre Colombier  a écrit :
> 
> Le problème avec IPV6, c'est surtout les mauvaises habitudes prises avec le 
> nat depuis 15 ans.
> 
> Le réseau d'entreprise "tout ouvert derrière une box qui fait nat" en IPv6, 
> c'est le carnage...
> 
> Et il y en a combien des comme ça ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Rapport ARCEP sur problème IPv6

[Pierre Colombier]

Le problème avec IPV6, c'est surtout les mauvaises habitudes prises avec 
le nat depuis 15 ans.


Le réseau d'entreprise "tout ouvert derrière une box qui fait nat" en 
IPv6, c'est le carnage...


Et il y en a combien des comme ça ?


On 03/10/2016 12:29, Jonathan Leroy wrote:

Le 3 octobre 2016 à 10:09, Wallace  a écrit :

Quand je pense que Nérim premier FAI nationnal à proposer de l'ipv6 tout
début 2000 j'étais super content de cette connexion même s'il y avait
peu d'usages. Mais c'est cette possibilité qui m'a fait développer le v6
côté hosting pour pouvoir de chez moi aller sur des serveurs derrières
des nat multiples en v4 avec juste quelques règles de filtrage en v6.

Depuis 5 ans, je déploie IPv6 sur tous les nouveaux serveurs que
j'installe pour mes clients ou moi. Résultat ? Plus de 90 % de mon
parc est en dual-stack. La plupart des clients n'ont pas vu de
différence et ne sont probablement même pas au courant de l'existence
d'IPv6.

En 5 ans, j'ai dû avoir peut-être 2 ou 3 demandes de clients pour
désactiver IPv6. Je ne l'ai jamais fait : on regarde ce qui ne
fonctionne pas et on fixe.

Bref, activer IPv6 ne m'a pas pris plus de temps et ne m'a pas coûté
plus d'argent.
OK je ne gère pas mon AS et n'ai X k€ de matos réseau à renouveler,
mais c'est aussi le cas de la plupart des personnes concernées (admin
sys et devs).

C'est une question de volonté. Ceux qui en 2016 sortent encore le coup
de "ça coûte du temps et de l'argent" ne veulent juste pas bosser :)



Quand on voit comment Google avec Chrome va rendre le http obsolète en
mettant des warning partout parce que c'est pas chiffré pour des sites
où rien n'est sensible, ils devraient faire pareil en v6 ça ferait
bouger les services marketing pour pas avoir de warning sur leurs sites :P

Depuis 6 mois j'adopte la même stratégie pour HTTPS qu'avec IPv6 :
everywhere, sans demander au client.
Ça marche très bien.

Pour IPv6 ce n'est pas côté Chrome que ça va se jouer, mais côté
Google Search. Un beau jour Google va décréter que IPv6 > IPv4 dans
leurs algos et tout les clients vont vouloir une IPv6.

Comme quoi, parfois, les GAFA ça a du bon :)




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Rapport ARCEP sur problème IPv6

[Jonathan Leroy]

Le 3 octobre 2016 à 12:45, Arthur Darcet  a écrit :
> https://cloud.google.com/compute/docs/networking
> Google Cloud ne supporte simplement pas l'IPv6.
>
> Donc non, ce n'est pas qu'une question de volonté, et non, tout ne supporte
> pas d'avoir une dual stack

Je ne vois pas vraiment en quoi ça remet en cause mon message.
Un choix a été fait chez Google, comme chez AWS (mais ça commence à
changer), de considérer IPv6 comme un gadget non prioritaire.

-- 
Jonathan Leroy.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Rapport ARCEP sur problème IPv6

[Jonathan Leroy]

Le 3 octobre 2016 à 10:09, Wallace  a écrit :
> Quand je pense que Nérim premier FAI nationnal à proposer de l'ipv6 tout
> début 2000 j'étais super content de cette connexion même s'il y avait
> peu d'usages. Mais c'est cette possibilité qui m'a fait développer le v6
> côté hosting pour pouvoir de chez moi aller sur des serveurs derrières
> des nat multiples en v4 avec juste quelques règles de filtrage en v6.

Depuis 5 ans, je déploie IPv6 sur tous les nouveaux serveurs que
j'installe pour mes clients ou moi. Résultat ? Plus de 90 % de mon
parc est en dual-stack. La plupart des clients n'ont pas vu de
différence et ne sont probablement même pas au courant de l'existence
d'IPv6.

En 5 ans, j'ai dû avoir peut-être 2 ou 3 demandes de clients pour
désactiver IPv6. Je ne l'ai jamais fait : on regarde ce qui ne
fonctionne pas et on fixe.

Bref, activer IPv6 ne m'a pas pris plus de temps et ne m'a pas coûté
plus d'argent.
OK je ne gère pas mon AS et n'ai X k€ de matos réseau à renouveler,
mais c'est aussi le cas de la plupart des personnes concernées (admin
sys et devs).

C'est une question de volonté. Ceux qui en 2016 sortent encore le coup
de "ça coûte du temps et de l'argent" ne veulent juste pas bosser :)


> Quand on voit comment Google avec Chrome va rendre le http obsolète en
> mettant des warning partout parce que c'est pas chiffré pour des sites
> où rien n'est sensible, ils devraient faire pareil en v6 ça ferait
> bouger les services marketing pour pas avoir de warning sur leurs sites :P

Depuis 6 mois j'adopte la même stratégie pour HTTPS qu'avec IPv6 :
everywhere, sans demander au client.
Ça marche très bien.

Pour IPv6 ce n'est pas côté Chrome que ça va se jouer, mais côté
Google Search. Un beau jour Google va décréter que IPv6 > IPv4 dans
leurs algos et tout les clients vont vouloir une IPv6.

Comme quoi, parfois, les GAFA ça a du bon :)

-- 
Jonathan Leroy.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Rapport ARCEP surproblèmeIPv6

[Dominique Rousseau]

Le Fri, Sep 30, 2016 at 07:31:56PM +0200, Solarus [sola...@ultrawaves.fr] a 
écrit:
[...]
> > il doit rester des appliances qui n'ont pas le support v6. bouh...
> 
> C???est marrant, à chaque fois que je demande pourquoi IPv6 n,est pas
> disponible on me répond qu???il y a des incompatibilités avec les produits
> en service, mais quand je vérifie les docs constructeurs bizarrement
> c???est disponible.
> 
> J???en ai conclu deux choses :
> -Soit les personnes en internes qui gèrent ces produits sont des nuls,
> et c???est grave.
> -Soit les intégrateurs en charge de ces produits sont des nuls ou des
> escrocs et c???est encore plus grave.

Je t'en propose une troisieme : ils ont regardé, une fois, y'a 5 ans,
pour la boiboite pas mise a jour depuis qu'elle a été achetée, y'a 4
ans, et ils restent sur une généralité qui dit que les produits des
constructeurs sont pas compatibles ; ce qui les arrangent bien, ca fait
du boulot en moins !



-- 
Dominique Rousseau 
Neuronnexion, Prestataire Internet & Intranet
21 rue Frédéric Petit - 8 Amiens
tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Rapport ARCEP sur problème IPv6

[Wallace]

Bien vu cette analyse des deux sites, effectivement faut penser à tout.





signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [MISC] Rapport ARCEP sur problème IPv6

[Wallace]

Le 01/10/2016 à 14:31, Philippe Bourcier a écrit :
>
> Pour rappel, le plus gros frein au v6 à l'époque c'était les bases de
> Geoloc IP (ie: GeoIP).
> Là aussi les choses ont changé depuis... les bases GeoIP sont
> désormais toutes dispo en IPv6.
Et encore ce n'est pas un frein pour tout le monde...

Le frein de l'implémentation de certains protocoles d'adresses v6 n'est
pas non plus un frein, d'autres techniques existent et marchent depuis
longtemps.
Quand je pense que Nérim premier FAI nationnal à proposer de l'ipv6 tout
début 2000 j'étais super content de cette connexion même s'il y avait
peu d'usages. Mais c'est cette possibilité qui m'a fait développer le v6
côté hosting pour pouvoir de chez moi aller sur des serveurs derrières
des nat multiples en v4 avec juste quelques règles de filtrage en v6.

>
> Le seul frein qu'il reste n'est donc plus technique, côté content,
> mais financier, ie:
> Pourquoi dépenser du temps, donc de l'argent à s'occuper de :
>  - la partie DNS,
>  - la partie code,
>  - la partie LB,
>  - la partie monitoring,
> ... en doublant à chaque fois toutes les entrées (donc doublement des
> coûts de maintenance).
>
> Quand on parle de centaines d'IPs/VHosts, ca devient du gros projet...
> hors, tant qu'il n'y a pas d'accès v6-only et qu'il y aura des
> passerelles entre les deux mondes, aucune raison opérationnelle,
> financière et rationnelle de le faire. C'est purement un projet qui
> peut être poussé par les équipes comme "un truc fun à faire", mais ce
> sera impossible de le faire passer en prio par rapport à des projets
> "business".
Le v6 only arrive très rapidement, c'est déjà une réalité en Afrique et
ça comment à en parler sérieusement en Asie (combien de milliard de
personnes là bas déjà?)
>
> Conclusion : Il va falloir être patient... mais ce n'est pas grave, on
> l'a déjà été.
En Europe oui malheureusement. Après chacun fait comme il veut, mais je
préfère imposer cela à ma boite et pas être à la traine que de subir en
force.
Quand on voit comment Google avec Chrome va rendre le http obsolète en
mettant des warning partout parce que c'est pas chiffré pour des sites
où rien n'est sensible, ils devraient faire pareil en v6 ça ferait
bouger les services marketing pour pas avoir de warning sur leurs sites :P
>
> ps: Je note aussi que chez moi j'ai du couper IPv6 sur mon PC, car
> certains sites ou CDNs ne font visiblement pas le même monitoring sur
> leur service v6 que v4 et du coup certaines pages n'ont pas la même
> dispo en v6 qu'en v4. Donc faire du v6, bien, mais pas n'importe
> comment, merci :) D'ailleurs, monitorez-vous vos peerings v6, vos
> smokepings v6 autant que les v4 ? Je dis ça... je dis rien :)
J'ai une réaction très brutale dans ce cas là comme pour les sites qui
bloquent ceux avec bloqueur de pub, ce n'est pas moi qui m'adapte en
virant v6 ou le adblock, je banni ce site et vais trouver l'information
ailleurs tout simplement. Et dingue ça marche super bien et on trouve
d'autres sites bien mieux fait et dans l'esprit du gratuit du web des
années 90 et début 2000 où tout le monde partageait l'info sans
rétribution. Ca fait pas mal d'années que les sites des grands médias
n'ont pas vu de connexion de ma part et je m'en porte pas plus mal.

Sinon oui la supervision doit se faire pour chaque stack, c'est le seul
endroit où j'ai vu le coût d'exploitation grimper, chaque supervision
d'un nouvel élément doit être dupliqué et forcé sur chaque protocole.
Mais au final comme ça s'est fait depuis le début, c'est 10 sec de
perdus pour chaque nouvel élément à superviser, c'est pas un drame, une
pause café me coûte plus cher.



signature.asc
Description: OpenPGP digital signature