Re: [FRnOG] Journées Federez 2006 - recherche de contributeurs
Salut à tous, c'est une bonne idée d'Alexandre, que je partage. Forcément, j'organise aussi ;) La table ronde du 16 mars, à l'Ecole polytechnique, sur le Très Haut Débit, s'organise sereinement, mais nous sommes toujours ouverts à une proposition d'intervenant. Nous recherchons actuellement de préférence quelqu'un du milieu industriel (FAI, routage, backbones...). C'est pour cela que nous pensons en particulier aux membres du FRNOG. La problématique reste (pour faire simple) le déploiement du THD et l'adéquation avec les besoins de l'utilisateur. N'hésitez pas à vous manifester auprès de moi-même ou d'Alexandre si cela vous dit ! cordialement -- Raphaël Marichez [EMAIL PROTECTED] --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Quagga : limites ?
> Je pense qu'il faudrait aussi voir de quel genre de traffic il s'agit, > surtout en terme de paquets par secondes. > Un quagga routant 250 mbits/sec de traffic web, ftp ou autre ne routera > peut être pas 250 mbits/sec de jeu J'ajouterai aussi le nombre de connexions simultanées. Plusieurs bittorents, qui utilisent chacun plusieurs dizaines (si ce n'est plus) de sessions TCP actives, remplissent très vite la table de "connection tracking"... Si on ajoute à cela de la classification de paquet et de la QoS, on a plus vite fait d'atteindre les limites du noyau linux. -- Raphaël Marichez [EMAIL PROTECTED] pgpkKjNjFnBfG.pgp Description: PGP signature
Re: [FRnOG] Smtp de Wanadoo
On Thu, 23 Nov 2006, Sebastien Gioria wrote: > Bonsoir, > > Je viens de parcourir mes logs postfix apres mis en place d'un parametre > surpplémentaire de postfix (reject_unkown_hostname) et je m'apercoit que je > jettes tous les mails de wanadoo/orange (ou presque) > > Je retrouve des lignes comme ceci : > > Nov 22 15:05:04 away postfix/smtpd[79394]: NOQUEUE: reject: RCPT from > smtp9.orange.fr[193.252.22.22]: 450 : Helo command > rejected: Host not found; from= to= proto=ESMTP > helo= Bonsoir, la configuration d'Orange n'est pas parfaite certes (pas de résolution du HELO/EHLO smtp-msa-out09.orange.fr), mais rien n'oblige le client SMTP à fournir un HELO/EHLO qui résolve. En tout cas pas dans les RFC. La restriction reject_unkown_hostname sur Postfix me semble réellement trop violente, je ne connais personne qui s'en serve (du moins la couple avec une erreur 500. Ce type de vérification peut servir dans l'attribution d'une note de spamicité globale ou bien en couplage avec une solution non-"létale", du type greylisting). D'un autre côte, reject_unkown_hostname n'est vraiment pas tant efficace que cela face aux virus/spambots. Par contre on peut filtrer sur des HELO/EHLO mal formés ( reject_invalid_hostname ou reject_invalid_helo_hostname ) : notamment de nombreux virus positionnent le HELO/EHLO au nom du *serveur* SMTP, voire même l'IP du *serveur* SMTP qu'il est en train de contacter, ce qui n'est vraiment pas normal du tout. Donc un check_helo_access avec un REJECT sur les IPs et les noms DNS du serveur SMTP est déjà une bonne chose générant peu de faux-positifs. Par contre je déconseillerais de rejecter des HELO qui ne sont pas FQDN. Il y a de vrais clients SMTP qui ont un HELO qui est un nom simple (machine), sans domaine (machine.domain.tld). Evidemment de tels HELO ne résolvent pas et sont "attrapés" par reject_unkown_hostname. > > > Et que tous les smtp-msa-out?? Sont inconnus. > > Resultat j'ai retiré le parametre de postfixmais ca m'arrange pas car il > est plutot pratique contre les spammers > > > Je suis le seul a être aussi restrictif sur mes smtp ? Ou d'autres aussi et > ont trouvé une solution juste pour oragne ? > Tu peux toujours faire précéder ton reject_unknown_hostname par un "permit" sur les clients SMTP d'Orange, mais ça n'est pas une solution car tu trouveras d'autres clients SMTP "très connus" qui poseront le même type de problème (bien que je n'en ai pas en tête pour l'instant). Bref il n'y a pas *une* solution pour lutter contre les spammeurs. Il faut un assemblage de solutions, un assemblage intelligent et pertinent (et donc qui dépend du type d'utilisateurs). Cordialement, -- Raphaël Marichez [EMAIL PROTECTED] pgp2zAecX27NV.pgp Description: PGP signature
Re: [FRnOG] Smtp de Wanadoo
On Fri, 24 Nov 2006, Sebastien Gioria wrote: > Ouica m'arrange pas cela. > Si au moins wanadoo/oragne publiait du SPFca aiderai > > > Est-ce que qqn a une expérince bonne avec SPF ? "bonne", non, il faut le prendre pour ce que c'est : un moyen de lutte contre le phishing. Donc effectivement vous pouvez, si vous êtes un envoyeur de mails, "protéger" votre domaine auprès des serveurs qui implémentent le SPF. Mais en tant que receveur de mails, ce n'est pas un moyen de lutte contre le spam... ne serait-ce que parce que la plupart des domaines n'ont pas d'enregistrements SPF. Concernant les faux-positifs : les utilisateurs itinérants qui émettent du courrier venant d'une adresse professionnelle protégée par SPF, lorsqu'ils sont chez eux (ADSL), sont souvent bloqués par SPF. Il y a des solutions pour cela (SRS), mais il faudrait que tous les relais SMTP les mettent en place. Sur une plate-forme de 300.000 mails par jour on a assez rapidement SPF supprimé en raison des faux-positifs. (SPF était utilisé en complément d'autres critères) -- Raphaël Marichez [EMAIL PROTECTED] pgpQLNO7ANn3B.pgp Description: PGP signature
Re: [FRnOG] Smtp de Wanadoo
> De plus, les RBLs faisant baisser considérablement la charge de nos machines, > c'est moi qui ne comprend pas pourquoi tout le monde, ou presque, et en train > de cracher dessus. Si > demain, vous utilisez les RBLs, ce ne sera plus un probleme. Si demain, tout le monde utilise SPF, et que tous les serveurs SMTP recquièrent l'utilisation de SPF, alors ça n'est plus un problème non plus :) > Je compte aussi utiliser dans peu de temps le système de greylist Attention : si demain, tout le monde utilise le greylist, alors le greylist ne sera plus efficace du tout puisque les spammeurs le contourneront. (ça commence d'ailleurs a être le cas). Il suffit d'embarquer un client SMTP capable de gérer un 2è envoi. Au passage, le greylist n'est pas utilisable à très grande échelle, à cause du nombre de triplets {IP, adresse source, adresse cible} générés. > qui me semble aussi relativement prometteur et efficace. Je pense qu'en le > positionnant avant les RBLs, on > optimise bien la chaine: à la fois réduction du spam et réduction de la > charge. J'ai pu expérimenter en production une solution intéressante de couplage de RBL et de greylist, mais pas comme tu dis : Ici les clients SMTP figurant dans les RBL sont greylistés et non pas blacklistés. Cela réduit l'impact négatif de faux-positifs (ils sont "juste" retardés), et ne réduit pas (ou peu) l'efficacité des RBL. Malheureusement je constate une augmentation des spams résistants au greylisting. Pas encore catastrophique cependant. -- Raphaël Marichez [EMAIL PROTECTED] pgp3RknlEKTkX.pgp Description: PGP signature
Re: [FRnOG] Re: [FRnOG] Con tent Delivery Network (CDN) à la francaise
On Wed, 29 Nov 2006, Francois Petillon wrote: > Ensuite, tous les softs de P2P utilisent de manière merdiques les ressources. > Déjà, ils ouvrent de très nombreuses connexions ce qui est > susceptible de générer un fort déséquilibre de la répartition de la BP par > rapport aux applications plus raisonnables/respectueuses (bref, le > jour où on tourne en connexion symétrique, un téléchargement FTP/HTTP sur un > site n'aurait plus aucune BP). Malheureusement, pas besoin d'être en symétrique pour réussir à bloquer des connexions légitimes... par saturation du lien montant et donc des TCP ACK. (certes on peut réserver artificiellement 5% ou 10% de la BP montante pour les ACK) :( -- Raphaël Marichez [EMAIL PROTECTED] pgpVT2skjWD3p.pgp Description: PGP signature
Re: [FRnOG] Content Deliver y Network (CDN) à la francaise
On Wed, 29 Nov 2006, Clement Cavadore wrote: > Des textes, souvent accompagnés de nombreuses images, pour les blogs de > djeunz dans la mouvance actuelle. Cf les (sky|over|...)blog & co... > oui il y a malheureusement des échanges d'albums photos sur une couche de transport "blog over http". Merci du rappel, car en effet ça n'est probablement pas le cas des quelques blogueurs du frnog (qui fournissent de l'information et pas des photos/vidéos.) Donc si ça peut permettre de sélectionner les blogs, pourquoi pas ! (non je ne suis pas intégriste) -- Raphaël Marichez [EMAIL PROTECTED] pgpyQNUzyQgH9.pgp Description: PGP signature
Re: [FRnOG] fonctionnement de la ML
On Sun, 23 Sep 2007, Francois Petillon wrote: > Romain Tournier wrote: >> dans la conf actuel de la ml, en recevant les putains de mail de merde >> des gens qui disent "je ne suis pas la pour les quelques jours a >> venir"... tu comprends pourquoi ne pas mettre le reply-to sur la ml >> c'est pas si mal.. ca ferait du bruit pour rien... > > Normalement, les répondeurs automatique sont censés répondre au From > enveloppe, pas au Reply-To. > Bonjour, Je ne m'y fierais pas :) D'après ce que j'observe: "Microsoft Exchange V6.5" répond au From: SMTP 2622. Yahoo! et Lotus répondent au Reply-to: Même pour les bounces, c'est une règle qui est mal respectée. Je poste régulièrement sur de *grosses* listes de diffusion, et on voit *vraiment* tout et n'importe quoi... y compris des mails qui sont retransmis en boucle au destinataire d'origine (malveillance?) Je ne dirais pas que ces mails sont des "mails de merde", au contraire, on apprend pas mal de choses grâce à eux... ! Le plus drôle c'est ce monsieur qui était parti faire le tour du monde à vélo sur une année... le message de réponse a cessé, mais ça ne veut pas dire qu'il est revenu sain et sauf, on finirait presque par s'inquitérer pour eux... Ah et il y a ce pédiatre qui est parti faire un stage en Afrique... Ou ce chef de projet clientèle de (un opérateur) qui vient de partir au Yémen... hum Cordialement, -- Raphaël Marichez [EMAIL PROTECTED] Hervé Schauer Consultants (HSC) pgpDM0WzOQoHC.pgp Description: PGP signature
Re: [FRnOG] Journées Federez 2006 - recherche de contributeurs
Salut à tous, c'est une bonne idée d'Alexandre, que je partage. Forcément, j'organise aussi ;) La table ronde du 16 mars, à l'Ecole polytechnique, sur le Très Haut Débit, s'organise sereinement, mais nous sommes toujours ouverts à une proposition d'intervenant. Nous recherchons actuellement de préférence quelqu'un du milieu industriel (FAI, routage, backbones...). C'est pour cela que nous pensons en particulier aux membres du FRNOG. La problématique reste (pour faire simple) le déploiement du THD et l'adéquation avec les besoins de l'utilisateur. N'hésitez pas à vous manifester auprès de moi-même ou d'Alexandre si cela vous dit ! cordialement -- Raphaël Marichez [EMAIL PROTECTED] --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Quagga : limites ?
> Je pense qu'il faudrait aussi voir de quel genre de traffic il s'agit, > surtout en terme de paquets par secondes. > Un quagga routant 250 mbits/sec de traffic web, ftp ou autre ne routera > peut être pas 250 mbits/sec de jeu J'ajouterai aussi le nombre de connexions simultanées. Plusieurs bittorents, qui utilisent chacun plusieurs dizaines (si ce n'est plus) de sessions TCP actives, remplissent très vite la table de "connection tracking"... Si on ajoute à cela de la classification de paquet et de la QoS, on a plus vite fait d'atteindre les limites du noyau linux. -- Raphaël Marichez [EMAIL PROTECTED] pgpkKjNjFnBfG.pgp Description: PGP signature
Re: [FRnOG] Smtp de Wanadoo
On Thu, 23 Nov 2006, Sebastien Gioria wrote: > Bonsoir, > > Je viens de parcourir mes logs postfix apres mis en place d'un parametre > surpplémentaire de postfix (reject_unkown_hostname) et je m'apercoit que je > jettes tous les mails de wanadoo/orange (ou presque) > > Je retrouve des lignes comme ceci : > > Nov 22 15:05:04 away postfix/smtpd[79394]: NOQUEUE: reject: RCPT from > smtp9.orange.fr[193.252.22.22]: 450 : Helo command > rejected: Host not found; from= to= proto=ESMTP > helo= Bonsoir, la configuration d'Orange n'est pas parfaite certes (pas de résolution du HELO/EHLO smtp-msa-out09.orange.fr), mais rien n'oblige le client SMTP à fournir un HELO/EHLO qui résolve. En tout cas pas dans les RFC. La restriction reject_unkown_hostname sur Postfix me semble réellement trop violente, je ne connais personne qui s'en serve (du moins la couple avec une erreur 500. Ce type de vérification peut servir dans l'attribution d'une note de spamicité globale ou bien en couplage avec une solution non-"létale", du type greylisting). D'un autre côte, reject_unkown_hostname n'est vraiment pas tant efficace que cela face aux virus/spambots. Par contre on peut filtrer sur des HELO/EHLO mal formés ( reject_invalid_hostname ou reject_invalid_helo_hostname ) : notamment de nombreux virus positionnent le HELO/EHLO au nom du *serveur* SMTP, voire même l'IP du *serveur* SMTP qu'il est en train de contacter, ce qui n'est vraiment pas normal du tout. Donc un check_helo_access avec un REJECT sur les IPs et les noms DNS du serveur SMTP est déjà une bonne chose générant peu de faux-positifs. Par contre je déconseillerais de rejecter des HELO qui ne sont pas FQDN. Il y a de vrais clients SMTP qui ont un HELO qui est un nom simple (machine), sans domaine (machine.domain.tld). Evidemment de tels HELO ne résolvent pas et sont "attrapés" par reject_unkown_hostname. > > > Et que tous les smtp-msa-out?? Sont inconnus. > > Resultat j'ai retiré le parametre de postfixmais ca m'arrange pas car il > est plutot pratique contre les spammers > > > Je suis le seul a être aussi restrictif sur mes smtp ? Ou d'autres aussi et > ont trouvé une solution juste pour oragne ? > Tu peux toujours faire précéder ton reject_unknown_hostname par un "permit" sur les clients SMTP d'Orange, mais ça n'est pas une solution car tu trouveras d'autres clients SMTP "très connus" qui poseront le même type de problème (bien que je n'en ai pas en tête pour l'instant). Bref il n'y a pas *une* solution pour lutter contre les spammeurs. Il faut un assemblage de solutions, un assemblage intelligent et pertinent (et donc qui dépend du type d'utilisateurs). Cordialement, -- Raphaël Marichez [EMAIL PROTECTED] pgp2zAecX27NV.pgp Description: PGP signature
Re: [FRnOG] Smtp de Wanadoo
On Fri, 24 Nov 2006, Sebastien Gioria wrote: > Ouica m'arrange pas cela. > Si au moins wanadoo/oragne publiait du SPFca aiderai > > > Est-ce que qqn a une expérince bonne avec SPF ? "bonne", non, il faut le prendre pour ce que c'est : un moyen de lutte contre le phishing. Donc effectivement vous pouvez, si vous êtes un envoyeur de mails, "protéger" votre domaine auprès des serveurs qui implémentent le SPF. Mais en tant que receveur de mails, ce n'est pas un moyen de lutte contre le spam... ne serait-ce que parce que la plupart des domaines n'ont pas d'enregistrements SPF. Concernant les faux-positifs : les utilisateurs itinérants qui émettent du courrier venant d'une adresse professionnelle protégée par SPF, lorsqu'ils sont chez eux (ADSL), sont souvent bloqués par SPF. Il y a des solutions pour cela (SRS), mais il faudrait que tous les relais SMTP les mettent en place. Sur une plate-forme de 300.000 mails par jour on a assez rapidement SPF supprimé en raison des faux-positifs. (SPF était utilisé en complément d'autres critères) -- Raphaël Marichez [EMAIL PROTECTED] pgpQLNO7ANn3B.pgp Description: PGP signature
Re: [FRnOG] Smtp de Wanadoo
> De plus, les RBLs faisant baisser considérablement la charge de nos machines, > c'est moi qui ne comprend pas pourquoi tout le monde, ou presque, et en train > de cracher dessus. Si > demain, vous utilisez les RBLs, ce ne sera plus un probleme. Si demain, tout le monde utilise SPF, et que tous les serveurs SMTP recquièrent l'utilisation de SPF, alors ça n'est plus un problème non plus :) > Je compte aussi utiliser dans peu de temps le système de greylist Attention : si demain, tout le monde utilise le greylist, alors le greylist ne sera plus efficace du tout puisque les spammeurs le contourneront. (ça commence d'ailleurs a être le cas). Il suffit d'embarquer un client SMTP capable de gérer un 2è envoi. Au passage, le greylist n'est pas utilisable à très grande échelle, à cause du nombre de triplets {IP, adresse source, adresse cible} générés. > qui me semble aussi relativement prometteur et efficace. Je pense qu'en le > positionnant avant les RBLs, on > optimise bien la chaine: à la fois réduction du spam et réduction de la > charge. J'ai pu expérimenter en production une solution intéressante de couplage de RBL et de greylist, mais pas comme tu dis : Ici les clients SMTP figurant dans les RBL sont greylistés et non pas blacklistés. Cela réduit l'impact négatif de faux-positifs (ils sont "juste" retardés), et ne réduit pas (ou peu) l'efficacité des RBL. Malheureusement je constate une augmentation des spams résistants au greylisting. Pas encore catastrophique cependant. -- Raphaël Marichez [EMAIL PROTECTED] pgp3RknlEKTkX.pgp Description: PGP signature
Re: [FRnOG] Re: [FRnOG] Con tent Delivery Network (CDN) à la francaise
On Wed, 29 Nov 2006, Francois Petillon wrote: > Ensuite, tous les softs de P2P utilisent de manière merdiques les ressources. > Déjà, ils ouvrent de très nombreuses connexions ce qui est > susceptible de générer un fort déséquilibre de la répartition de la BP par > rapport aux applications plus raisonnables/respectueuses (bref, le > jour où on tourne en connexion symétrique, un téléchargement FTP/HTTP sur un > site n'aurait plus aucune BP). Malheureusement, pas besoin d'être en symétrique pour réussir à bloquer des connexions légitimes... par saturation du lien montant et donc des TCP ACK. (certes on peut réserver artificiellement 5% ou 10% de la BP montante pour les ACK) :( -- Raphaël Marichez [EMAIL PROTECTED] pgpVT2skjWD3p.pgp Description: PGP signature
Re: [FRnOG] Content Deliver y Network (CDN) à la francaise
On Wed, 29 Nov 2006, Clement Cavadore wrote: > Des textes, souvent accompagnés de nombreuses images, pour les blogs de > djeunz dans la mouvance actuelle. Cf les (sky|over|...)blog & co... > oui il y a malheureusement des échanges d'albums photos sur une couche de transport "blog over http". Merci du rappel, car en effet ça n'est probablement pas le cas des quelques blogueurs du frnog (qui fournissent de l'information et pas des photos/vidéos.) Donc si ça peut permettre de sélectionner les blogs, pourquoi pas ! (non je ne suis pas intégriste) -- Raphaël Marichez [EMAIL PROTECTED] pgpyQNUzyQgH9.pgp Description: PGP signature
Re: [FRnOG] fonctionnement de la ML
On Sun, 23 Sep 2007, Francois Petillon wrote: > Romain Tournier wrote: >> dans la conf actuel de la ml, en recevant les putains de mail de merde >> des gens qui disent "je ne suis pas la pour les quelques jours a >> venir"... tu comprends pourquoi ne pas mettre le reply-to sur la ml >> c'est pas si mal.. ca ferait du bruit pour rien... > > Normalement, les répondeurs automatique sont censés répondre au From > enveloppe, pas au Reply-To. > Bonjour, Je ne m'y fierais pas :) D'après ce que j'observe: "Microsoft Exchange V6.5" répond au From: SMTP 2622. Yahoo! et Lotus répondent au Reply-to: Même pour les bounces, c'est une règle qui est mal respectée. Je poste régulièrement sur de *grosses* listes de diffusion, et on voit *vraiment* tout et n'importe quoi... y compris des mails qui sont retransmis en boucle au destinataire d'origine (malveillance?) Je ne dirais pas que ces mails sont des "mails de merde", au contraire, on apprend pas mal de choses grâce à eux... ! Le plus drôle c'est ce monsieur qui était parti faire le tour du monde à vélo sur une année... le message de réponse a cessé, mais ça ne veut pas dire qu'il est revenu sain et sauf, on finirait presque par s'inquitérer pour eux... Ah et il y a ce pédiatre qui est parti faire un stage en Afrique... Ou ce chef de projet clientèle de (un opérateur) qui vient de partir au Yémen... hum Cordialement, -- Raphaël Marichez [EMAIL PROTECTED] Hervé Schauer Consultants (HSC) pgpDM0WzOQoHC.pgp Description: PGP signature