Re: [FRnOG] Journées Federez 2006 - recherche de contributeurs

2006-02-22 Thread Raphaël Marichez
Salut à tous,

c'est une bonne idée d'Alexandre, que je partage. Forcément, j'organise 
aussi ;)

La table ronde du 16 mars, à l'Ecole polytechnique, sur le Très Haut Débit, 
s'organise sereinement, mais nous sommes toujours ouverts à une proposition 
d'intervenant. Nous recherchons actuellement de préférence quelqu'un du 
milieu industriel (FAI, routage, backbones...). C'est pour cela que nous 
pensons en particulier aux membres du FRNOG.
La problématique reste (pour faire simple) le déploiement du THD et 
l'adéquation avec les besoins de l'utilisateur.

N'hésitez pas à vous manifester auprès de moi-même ou d'Alexandre si cela vous 
dit !

cordialement
-- 

Raphaël Marichez

[EMAIL PROTECTED]

---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Quagga : limites ?

2006-04-12 Thread Raphaël Marichez

> Je pense qu'il faudrait aussi voir de quel genre de traffic il s'agit,
> surtout en terme de paquets par secondes.
> Un quagga routant 250 mbits/sec de traffic web, ftp ou autre ne routera
> peut être pas 250 mbits/sec de jeu


J'ajouterai aussi le nombre de connexions simultanées.
Plusieurs bittorents, qui utilisent chacun plusieurs dizaines (si ce n'est 
plus) de sessions TCP actives, remplissent très vite la table de "connection 
tracking"... Si on ajoute à cela de la classification de paquet et de la QoS, 
on a plus vite fait d'atteindre les limites du noyau linux.



-- 

Raphaël Marichez

[EMAIL PROTECTED]


pgpkKjNjFnBfG.pgp
Description: PGP signature


Re: [FRnOG] Smtp de Wanadoo

2006-11-23 Thread Raphaël Marichez
On Thu, 23 Nov 2006, Sebastien Gioria wrote:

> Bonsoir,
> 
> Je viens de parcourir mes logs postfix apres mis en place d'un parametre
> surpplémentaire de postfix (reject_unkown_hostname) et je m'apercoit que je
> jettes tous les mails de wanadoo/orange (ou presque)
> 
> Je retrouve des lignes comme ceci :
> 
> Nov 22 15:05:04 away postfix/smtpd[79394]: NOQUEUE: reject: RCPT from
> smtp9.orange.fr[193.252.22.22]: 450 : Helo command
> rejected: Host not found; from= to= proto=ESMTP
> helo=

Bonsoir,

la configuration d'Orange n'est pas parfaite certes (pas de résolution
du HELO/EHLO smtp-msa-out09.orange.fr), mais rien n'oblige le client
SMTP à fournir un HELO/EHLO qui résolve. En tout cas pas dans les RFC.

La restriction reject_unkown_hostname sur Postfix me semble réellement
trop violente, je ne connais personne qui s'en serve (du moins la couple
avec une erreur 500. Ce type de vérification peut servir dans
l'attribution d'une note de spamicité globale ou bien en couplage avec
une solution non-"létale", du type greylisting).

D'un autre côte, reject_unkown_hostname n'est vraiment pas tant efficace
que cela face aux virus/spambots.

Par contre on peut filtrer sur des HELO/EHLO mal formés
( reject_invalid_hostname ou reject_invalid_helo_hostname ) : notamment de
nombreux virus positionnent le HELO/EHLO au nom du *serveur* SMTP, voire
même l'IP du *serveur* SMTP qu'il est en train de contacter, ce qui
n'est vraiment pas normal du tout. Donc un check_helo_access avec un
REJECT sur les IPs et les noms DNS du serveur SMTP est déjà une bonne
chose générant peu de faux-positifs.
Par contre je déconseillerais de rejecter des HELO qui ne sont pas FQDN.
Il y a de vrais clients SMTP qui ont un HELO qui est un nom simple (machine),
sans domaine (machine.domain.tld). Evidemment de tels HELO ne résolvent
pas et sont "attrapés" par reject_unkown_hostname.

> 
> 
> Et que tous les smtp-msa-out?? Sont inconnus.
> 
> Resultat j'ai retiré le parametre de postfixmais ca m'arrange pas car il
> est plutot pratique contre les spammers
> 
> 
> Je suis le seul a être aussi restrictif sur mes smtp ? Ou d'autres aussi  et
> ont trouvé une solution juste pour oragne ?
> 

Tu peux toujours faire précéder ton reject_unknown_hostname par un
"permit" sur les clients SMTP d'Orange, mais ça n'est pas une solution
car tu trouveras d'autres clients SMTP "très connus" qui poseront le
même type de problème (bien que je n'en ai pas en tête pour l'instant).

Bref il n'y a pas *une* solution pour lutter contre les spammeurs. Il
faut un assemblage de solutions, un assemblage intelligent et pertinent
(et donc qui dépend du type d'utilisateurs).


Cordialement,
-- 
Raphaël Marichez

[EMAIL PROTECTED]


pgp2zAecX27NV.pgp
Description: PGP signature


Re: [FRnOG] Smtp de Wanadoo

2006-11-24 Thread Raphaël Marichez
On Fri, 24 Nov 2006, Sebastien Gioria wrote:

> Ouica m'arrange pas cela.
> Si au moins wanadoo/oragne publiait du SPFca aiderai
> 
> 
> Est-ce que qqn a une expérince bonne avec SPF ?

"bonne", non, il faut le prendre pour ce que c'est : un moyen de lutte
contre le phishing. Donc effectivement vous pouvez, si vous êtes un
envoyeur de mails, "protéger" votre domaine auprès des serveurs qui
implémentent le SPF.
Mais en tant que receveur de mails, ce n'est pas un moyen de lutte
contre le spam... ne serait-ce que parce que la plupart des domaines
n'ont pas d'enregistrements SPF.

Concernant les faux-positifs : les utilisateurs itinérants qui émettent
du courrier venant d'une adresse professionnelle protégée par SPF,
lorsqu'ils sont chez eux (ADSL), sont souvent bloqués par SPF. Il y a
des solutions pour cela (SRS), mais il faudrait que tous les relais SMTP
les mettent en place.
Sur une plate-forme de 300.000 mails par jour on a assez rapidement SPF
supprimé en raison des faux-positifs. (SPF était utilisé en complément
d'autres critères)


-- 
Raphaël Marichez

[EMAIL PROTECTED]


pgpQLNO7ANn3B.pgp
Description: PGP signature


Re: [FRnOG] Smtp de Wanadoo

2006-11-24 Thread Raphaël Marichez
> De plus, les RBLs faisant baisser considérablement la charge de nos machines, 
> c'est moi qui ne comprend pas pourquoi tout le monde, ou presque, et en train 
> de cracher dessus. Si 
> demain, vous utilisez les RBLs, ce ne sera plus un probleme.


Si demain, tout le monde utilise SPF, et que tous les serveurs SMTP
recquièrent l'utilisation de SPF, alors ça n'est plus un problème non
plus :)

> Je compte aussi utiliser dans peu de temps le système de greylist


Attention : si demain, tout le monde utilise le greylist, alors le
greylist ne sera plus efficace du tout puisque les spammeurs le
contourneront. (ça commence d'ailleurs a être le cas). Il suffit
d'embarquer un client SMTP capable de gérer un 2è envoi.

Au passage, le greylist n'est pas utilisable à très grande échelle, à cause
du nombre de triplets {IP, adresse source, adresse cible} générés.


> qui me semble aussi relativement prometteur et efficace. Je pense qu'en le 
> positionnant avant les RBLs, on 
> optimise bien la chaine: à la fois réduction du spam et réduction de la 
> charge.


J'ai pu expérimenter en production une solution intéressante de couplage
de RBL et de greylist, mais pas comme tu dis :
Ici les clients SMTP figurant dans les RBL sont greylistés et non pas
blacklistés.
Cela réduit l'impact négatif de faux-positifs (ils sont "juste"
retardés), et ne réduit pas (ou peu) l'efficacité des RBL.
Malheureusement je constate une augmentation des spams résistants au
greylisting. Pas encore catastrophique cependant.


-- 
Raphaël Marichez

[EMAIL PROTECTED]


pgp3RknlEKTkX.pgp
Description: PGP signature


Re: [FRnOG] Re: [FRnOG] Con tent Delivery Network (CDN) à la francaise

2006-11-29 Thread Raphaël Marichez
On Wed, 29 Nov 2006, Francois Petillon wrote:

> Ensuite, tous les softs de P2P utilisent de manière merdiques les ressources. 
> Déjà, ils ouvrent de très nombreuses connexions ce qui est 
> susceptible de générer un fort déséquilibre de la répartition de la BP par 
> rapport aux applications plus raisonnables/respectueuses (bref, le 
> jour où on tourne en connexion symétrique, un téléchargement FTP/HTTP sur un 
> site n'aurait plus aucune BP). 

Malheureusement, pas besoin d'être en symétrique pour réussir à bloquer
des connexions légitimes... par saturation du lien montant et donc des
TCP ACK. (certes on peut réserver artificiellement 5% ou 10% de la BP
montante pour les ACK)  :(


-- 
Raphaël Marichez

[EMAIL PROTECTED]


pgpVT2skjWD3p.pgp
Description: PGP signature


Re: [FRnOG] Content Deliver y Network (CDN) à la francaise

2006-11-29 Thread Raphaël Marichez
On Wed, 29 Nov 2006, Clement Cavadore wrote:

> Des textes, souvent accompagnés de nombreuses images, pour les blogs de
> djeunz dans la mouvance actuelle. Cf les (sky|over|...)blog & co...
> 

oui il y a malheureusement des échanges d'albums photos sur une couche
de transport "blog over http". Merci du rappel, car en effet ça n'est
probablement pas le cas des quelques blogueurs du frnog (qui fournissent
de l'information et pas des photos/vidéos.)

Donc si ça peut permettre de sélectionner les blogs, pourquoi pas !
(non je ne suis pas intégriste)

-- 
Raphaël Marichez

[EMAIL PROTECTED]


pgpyQNUzyQgH9.pgp
Description: PGP signature


Re: [FRnOG] fonctionnement de la ML

2007-09-24 Thread Raphaël Marichez
On Sun, 23 Sep 2007, Francois Petillon wrote:

> Romain Tournier wrote:
>> dans la conf actuel de la ml, en recevant les putains de mail de merde
>> des gens qui disent "je ne suis pas la pour les quelques jours a
>> venir"... tu comprends pourquoi ne pas mettre le reply-to sur la ml
>> c'est pas si mal.. ca ferait du bruit pour rien...
>
> Normalement, les répondeurs automatique sont censés répondre au From 
> enveloppe, pas au Reply-To.
>

Bonjour,

Je ne m'y fierais pas :)  D'après ce que j'observe:

"Microsoft Exchange V6.5" répond au From: SMTP 2622.

Yahoo! et Lotus répondent au Reply-to:

Même pour les bounces, c'est une règle qui est mal respectée.

Je poste régulièrement sur de *grosses* listes de diffusion, et on voit
*vraiment* tout et n'importe quoi... y compris des mails qui sont
retransmis en boucle au destinataire d'origine (malveillance?)

Je ne dirais pas que ces mails sont des "mails de merde", au contraire,
on apprend pas mal de choses grâce à eux... !

Le plus drôle c'est ce monsieur qui était parti faire le tour du monde à
vélo sur une année... le message de réponse a cessé, mais ça ne veut pas
dire qu'il est revenu sain et sauf, on finirait presque par s'inquitérer
pour eux...

Ah et il y a ce pédiatre qui est parti faire un stage en Afrique...
Ou ce chef de projet clientèle de (un opérateur) qui vient de partir au
Yémen... hum


Cordialement,
-- 
Raphaël Marichez
[EMAIL PROTECTED]
Hervé Schauer Consultants (HSC)


pgpDM0WzOQoHC.pgp
Description: PGP signature


Re: [FRnOG] Journées Federez 2006 - recherche de contributeurs

2006-02-22 Thread Raphaël Marichez
Salut à tous,

c'est une bonne idée d'Alexandre, que je partage. Forcément, j'organise 
aussi ;)

La table ronde du 16 mars, à l'Ecole polytechnique, sur le Très Haut Débit, 
s'organise sereinement, mais nous sommes toujours ouverts à une proposition 
d'intervenant. Nous recherchons actuellement de préférence quelqu'un du 
milieu industriel (FAI, routage, backbones...). C'est pour cela que nous 
pensons en particulier aux membres du FRNOG.
La problématique reste (pour faire simple) le déploiement du THD et 
l'adéquation avec les besoins de l'utilisateur.

N'hésitez pas à vous manifester auprès de moi-même ou d'Alexandre si cela vous 
dit !

cordialement
-- 

Raphaël Marichez

[EMAIL PROTECTED]

---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Quagga : limites ?

2006-04-12 Thread Raphaël Marichez

> Je pense qu'il faudrait aussi voir de quel genre de traffic il s'agit,
> surtout en terme de paquets par secondes.
> Un quagga routant 250 mbits/sec de traffic web, ftp ou autre ne routera
> peut être pas 250 mbits/sec de jeu


J'ajouterai aussi le nombre de connexions simultanées.
Plusieurs bittorents, qui utilisent chacun plusieurs dizaines (si ce n'est 
plus) de sessions TCP actives, remplissent très vite la table de "connection 
tracking"... Si on ajoute à cela de la classification de paquet et de la QoS, 
on a plus vite fait d'atteindre les limites du noyau linux.



-- 

Raphaël Marichez

[EMAIL PROTECTED]


pgpkKjNjFnBfG.pgp
Description: PGP signature


Re: [FRnOG] Smtp de Wanadoo

2006-11-23 Thread Raphaël Marichez
On Thu, 23 Nov 2006, Sebastien Gioria wrote:

> Bonsoir,
> 
> Je viens de parcourir mes logs postfix apres mis en place d'un parametre
> surpplémentaire de postfix (reject_unkown_hostname) et je m'apercoit que je
> jettes tous les mails de wanadoo/orange (ou presque)
> 
> Je retrouve des lignes comme ceci :
> 
> Nov 22 15:05:04 away postfix/smtpd[79394]: NOQUEUE: reject: RCPT from
> smtp9.orange.fr[193.252.22.22]: 450 : Helo command
> rejected: Host not found; from= to= proto=ESMTP
> helo=

Bonsoir,

la configuration d'Orange n'est pas parfaite certes (pas de résolution
du HELO/EHLO smtp-msa-out09.orange.fr), mais rien n'oblige le client
SMTP à fournir un HELO/EHLO qui résolve. En tout cas pas dans les RFC.

La restriction reject_unkown_hostname sur Postfix me semble réellement
trop violente, je ne connais personne qui s'en serve (du moins la couple
avec une erreur 500. Ce type de vérification peut servir dans
l'attribution d'une note de spamicité globale ou bien en couplage avec
une solution non-"létale", du type greylisting).

D'un autre côte, reject_unkown_hostname n'est vraiment pas tant efficace
que cela face aux virus/spambots.

Par contre on peut filtrer sur des HELO/EHLO mal formés
( reject_invalid_hostname ou reject_invalid_helo_hostname ) : notamment de
nombreux virus positionnent le HELO/EHLO au nom du *serveur* SMTP, voire
même l'IP du *serveur* SMTP qu'il est en train de contacter, ce qui
n'est vraiment pas normal du tout. Donc un check_helo_access avec un
REJECT sur les IPs et les noms DNS du serveur SMTP est déjà une bonne
chose générant peu de faux-positifs.
Par contre je déconseillerais de rejecter des HELO qui ne sont pas FQDN.
Il y a de vrais clients SMTP qui ont un HELO qui est un nom simple (machine),
sans domaine (machine.domain.tld). Evidemment de tels HELO ne résolvent
pas et sont "attrapés" par reject_unkown_hostname.

> 
> 
> Et que tous les smtp-msa-out?? Sont inconnus.
> 
> Resultat j'ai retiré le parametre de postfixmais ca m'arrange pas car il
> est plutot pratique contre les spammers
> 
> 
> Je suis le seul a être aussi restrictif sur mes smtp ? Ou d'autres aussi  et
> ont trouvé une solution juste pour oragne ?
> 

Tu peux toujours faire précéder ton reject_unknown_hostname par un
"permit" sur les clients SMTP d'Orange, mais ça n'est pas une solution
car tu trouveras d'autres clients SMTP "très connus" qui poseront le
même type de problème (bien que je n'en ai pas en tête pour l'instant).

Bref il n'y a pas *une* solution pour lutter contre les spammeurs. Il
faut un assemblage de solutions, un assemblage intelligent et pertinent
(et donc qui dépend du type d'utilisateurs).


Cordialement,
-- 
Raphaël Marichez

[EMAIL PROTECTED]


pgp2zAecX27NV.pgp
Description: PGP signature


Re: [FRnOG] Smtp de Wanadoo

2006-11-24 Thread Raphaël Marichez
On Fri, 24 Nov 2006, Sebastien Gioria wrote:

> Ouica m'arrange pas cela.
> Si au moins wanadoo/oragne publiait du SPFca aiderai
> 
> 
> Est-ce que qqn a une expérince bonne avec SPF ?

"bonne", non, il faut le prendre pour ce que c'est : un moyen de lutte
contre le phishing. Donc effectivement vous pouvez, si vous êtes un
envoyeur de mails, "protéger" votre domaine auprès des serveurs qui
implémentent le SPF.
Mais en tant que receveur de mails, ce n'est pas un moyen de lutte
contre le spam... ne serait-ce que parce que la plupart des domaines
n'ont pas d'enregistrements SPF.

Concernant les faux-positifs : les utilisateurs itinérants qui émettent
du courrier venant d'une adresse professionnelle protégée par SPF,
lorsqu'ils sont chez eux (ADSL), sont souvent bloqués par SPF. Il y a
des solutions pour cela (SRS), mais il faudrait que tous les relais SMTP
les mettent en place.
Sur une plate-forme de 300.000 mails par jour on a assez rapidement SPF
supprimé en raison des faux-positifs. (SPF était utilisé en complément
d'autres critères)


-- 
Raphaël Marichez

[EMAIL PROTECTED]


pgpQLNO7ANn3B.pgp
Description: PGP signature


Re: [FRnOG] Smtp de Wanadoo

2006-11-24 Thread Raphaël Marichez
> De plus, les RBLs faisant baisser considérablement la charge de nos machines, 
> c'est moi qui ne comprend pas pourquoi tout le monde, ou presque, et en train 
> de cracher dessus. Si 
> demain, vous utilisez les RBLs, ce ne sera plus un probleme.


Si demain, tout le monde utilise SPF, et que tous les serveurs SMTP
recquièrent l'utilisation de SPF, alors ça n'est plus un problème non
plus :)

> Je compte aussi utiliser dans peu de temps le système de greylist


Attention : si demain, tout le monde utilise le greylist, alors le
greylist ne sera plus efficace du tout puisque les spammeurs le
contourneront. (ça commence d'ailleurs a être le cas). Il suffit
d'embarquer un client SMTP capable de gérer un 2è envoi.

Au passage, le greylist n'est pas utilisable à très grande échelle, à cause
du nombre de triplets {IP, adresse source, adresse cible} générés.


> qui me semble aussi relativement prometteur et efficace. Je pense qu'en le 
> positionnant avant les RBLs, on 
> optimise bien la chaine: à la fois réduction du spam et réduction de la 
> charge.


J'ai pu expérimenter en production une solution intéressante de couplage
de RBL et de greylist, mais pas comme tu dis :
Ici les clients SMTP figurant dans les RBL sont greylistés et non pas
blacklistés.
Cela réduit l'impact négatif de faux-positifs (ils sont "juste"
retardés), et ne réduit pas (ou peu) l'efficacité des RBL.
Malheureusement je constate une augmentation des spams résistants au
greylisting. Pas encore catastrophique cependant.


-- 
Raphaël Marichez

[EMAIL PROTECTED]


pgp3RknlEKTkX.pgp
Description: PGP signature


Re: [FRnOG] Re: [FRnOG] Con tent Delivery Network (CDN) à la francaise

2006-11-29 Thread Raphaël Marichez
On Wed, 29 Nov 2006, Francois Petillon wrote:

> Ensuite, tous les softs de P2P utilisent de manière merdiques les ressources. 
> Déjà, ils ouvrent de très nombreuses connexions ce qui est 
> susceptible de générer un fort déséquilibre de la répartition de la BP par 
> rapport aux applications plus raisonnables/respectueuses (bref, le 
> jour où on tourne en connexion symétrique, un téléchargement FTP/HTTP sur un 
> site n'aurait plus aucune BP). 

Malheureusement, pas besoin d'être en symétrique pour réussir à bloquer
des connexions légitimes... par saturation du lien montant et donc des
TCP ACK. (certes on peut réserver artificiellement 5% ou 10% de la BP
montante pour les ACK)  :(


-- 
Raphaël Marichez

[EMAIL PROTECTED]


pgpVT2skjWD3p.pgp
Description: PGP signature


Re: [FRnOG] Content Deliver y Network (CDN) à la francaise

2006-11-29 Thread Raphaël Marichez
On Wed, 29 Nov 2006, Clement Cavadore wrote:

> Des textes, souvent accompagnés de nombreuses images, pour les blogs de
> djeunz dans la mouvance actuelle. Cf les (sky|over|...)blog & co...
> 

oui il y a malheureusement des échanges d'albums photos sur une couche
de transport "blog over http". Merci du rappel, car en effet ça n'est
probablement pas le cas des quelques blogueurs du frnog (qui fournissent
de l'information et pas des photos/vidéos.)

Donc si ça peut permettre de sélectionner les blogs, pourquoi pas !
(non je ne suis pas intégriste)

-- 
Raphaël Marichez

[EMAIL PROTECTED]


pgpyQNUzyQgH9.pgp
Description: PGP signature


Re: [FRnOG] fonctionnement de la ML

2007-09-24 Thread Raphaël Marichez
On Sun, 23 Sep 2007, Francois Petillon wrote:

> Romain Tournier wrote:
>> dans la conf actuel de la ml, en recevant les putains de mail de merde
>> des gens qui disent "je ne suis pas la pour les quelques jours a
>> venir"... tu comprends pourquoi ne pas mettre le reply-to sur la ml
>> c'est pas si mal.. ca ferait du bruit pour rien...
>
> Normalement, les répondeurs automatique sont censés répondre au From 
> enveloppe, pas au Reply-To.
>

Bonjour,

Je ne m'y fierais pas :)  D'après ce que j'observe:

"Microsoft Exchange V6.5" répond au From: SMTP 2622.

Yahoo! et Lotus répondent au Reply-to:

Même pour les bounces, c'est une règle qui est mal respectée.

Je poste régulièrement sur de *grosses* listes de diffusion, et on voit
*vraiment* tout et n'importe quoi... y compris des mails qui sont
retransmis en boucle au destinataire d'origine (malveillance?)

Je ne dirais pas que ces mails sont des "mails de merde", au contraire,
on apprend pas mal de choses grâce à eux... !

Le plus drôle c'est ce monsieur qui était parti faire le tour du monde à
vélo sur une année... le message de réponse a cessé, mais ça ne veut pas
dire qu'il est revenu sain et sauf, on finirait presque par s'inquitérer
pour eux...

Ah et il y a ce pédiatre qui est parti faire un stage en Afrique...
Ou ce chef de projet clientèle de (un opérateur) qui vient de partir au
Yémen... hum


Cordialement,
-- 
Raphaël Marichez
[EMAIL PROTECTED]
Hervé Schauer Consultants (HSC)


pgpDM0WzOQoHC.pgp
Description: PGP signature