Re: [FRnOG] [TECH] fin du support de ssh-rsa signé avec sha-1
Openssh 8.7 est sorti le 2021-08-20. Les problèmes de SHA1 sont connus depuis encore bien plus longtemps. De ce que je comprend, si ta clé est super ancienne (ssh-rsa en sha1) elle ne devrait plus être acceptée, même si elle est dans les ~/.ssh/authorized_keys Il existe des autres clés RSA faites plus récemment qui vont continuer de fonctionner (SHA256, SHA512). Faire une nouvelle clé est super facile. Perso je conseille une clé elliptique: ssh-keygen -t ed25519 -C "u...@example.org" (n'oublie pas de changer le -C) La partie plus embêtante est de copier ta nouvelle clé publique sur tous les serveurs. Je comprend pas le commentaire sur la signature. Est-ce le fait de signer une clé dans un CA? Je n'ai jamais joué avec ça et il me semble que cela se fait rarement. Courage, Laurent --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Migration Office
Bonjour, Réfléchissez à 2 fois avant de passer à O365. Les autorités sont en train de réaliser que cela peut poser des problèmes au niveau de la protection des données: https://siecledigital.fr/2022/11/17/le-ministre-de-leducation-nationale-ne-veut-pas-de-microsoft-office-365-ni-de-google-workspace/ Je ne tiens à pas lancer un débat sur la protection des données ou sur les 'ricains... Courage ;) Laurent --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Re: Orange Offre
-BEGIN PGP SIGNED MESSAGE- Hash: SHA256 On 27.11.23 22:39, Jerome Marteaux wrote: > Finalement le seul risque de démarrer ce projet c'est d'échouer ! > Et si échec, il n'y aura aucune conséquence, comme dirait l'autre: "Je > ne dirais pas que c'est un échec : ça n'a pas marché" ! Mise à par le coût écologique, il est toujours bon de rappeler les risques du Syndrome de Kessler. Voici en très court ce que wikipédia en dit: > Le syndrome de Kessler est un scénario envisagé en 1978 par le consultant de > la National Aeronautics and Space Administration (NASA) Donald J. Kessler, > dans lequel le volume des débris spatiaux en orbite basse dû à la pollution > spatiale atteint un seuil au-dessus duquel les objets en orbite sont > fréquemment heurtés par des débris, et se brisent en plusieurs morceaux, > augmentant du même coup et de façon exponentielle le nombre des débris et la > probabilité des impacts. Au-delà d'un certain seuil, un tel scénario rendrait > quasi impossible l'exploration spatiale et même l'utilisation des satellites > artificiels pour plusieurs générations. Je ne sais pas vous, mais moi, du coup, j'ai la boule au ventre à chaque fois que j'entends parler de Starlink et de la démesure du Musk. -BEGIN PGP SIGNATURE- Version: ProtonMail wnUEARYIACcFAmVlv4cJEGrKMAvEr8lYFiEE7GCsX266hFD8sTLtasowC8Sv yVgAAGIfAP9QkTRFk8vLdz7eBfMHwgHD5A8CZ3rRBzkJXyWhxUjl9wEAtpoK 1FQAJkrIzQ4QIHQ9SGDz2hUcizJQX7tBvcNSpwM= =c4DN -END PGP SIGNATURE- --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] UCEPROTECTL3 blacklist
Bonjour, Je ne connais aucun serveur mail sérieux qui utilise UCEPROTECTL3 comme signal important dans la classification spam. Cette RBL a pour but de lister des plages IP plutôt larges. Donc presque toutes les VPS de OVH y sont, mais aussi d'autre fournisseurs pas toujours très réactifs aux abus. A noter de UCEPROTECT permet de se délister dans certains cas de UCEPROTECTL1 ou UCEPROTECTL2 (si je ne me trompe pas) si l'opérateur de l'IP paye une rançon... Je considère que ce modèle commercial et cette manière de gérer une RBL ne sont pas éthiques. Google utilise une énorme quantité de signaux pour décider qu'est-ce qui est spam ou non. Je pense que cela vaut mieux de vérifier si les bonnes pratiques mailing sont respectées (rDNS, SPF, DKIM, ...) au lieu de se soucier de ce listing particulier. Par contre, oui OVH n'a pas une super bonne réputation au niveau de ses IPs, cela reste possible que cela soit en votre défaveur. Cordialement, Laurent On 11.01.24 11:13, Merwan Zenati wrote: > Bonjour a tous, > > Ce matin un de mes collaborateurs m'a fait part du fait que ses invit teams > se retrouvent dans les spams. Je vois que notre ndd est sur la > blacklist UCEPROTECTL3, le serveur 51.91.60.233 est IPTWIN hosted OVH. > Étrangement seuls les mails avec invitations sont flag en tant que SPAM par > google, les mails normaux passent, et le Mxtoolbox Health Analyzer me dit > que le domaine est plutôt en "bonne santé" sans me mentionner le blacklist > ci-dessus. > Sommes-nous les seuls dans cette situation ? > > Merci, > M > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] dgfip refusé par gmail
On 29.02.24 13:57, Stephane Bortzmeyer wrote: > On Thu, Feb 29, 2024 at 11:16:59AM +0100, > Alain Thivillon wrote > a message of 49 lines which said: > >>> https://mxtoolbox.com/SuperTool.aspx?action=dkim%3adgfip.finances.gouv.fr%3aemail&run=toolpage >>> >>> >> Ça montre juste qu'il n'y a pas de DKIM avec ce sélecteur "email" ? > > Oui, mxtoolbox est un service médiocre, pour tester sa config > SPF/DKIM/DMARC. Je recommande https://email-security-scans.org pour avoir une évaluation de SPF/DKIM/DMARC, mais aussi pour IPv6, DANE, MTA-STS et autres joyeusetés. Laurent --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Mails bloqués par Free.fr depuis Tenant Office365 Microsoft.
On 21.03.24 10:16, David Ponzone wrote: > T’as jamais pensé à mettre un robot en place qui envoie 50k mails clean > chaque jour vers des adresses gmail à toi ? Pas du tout nécessaire. Je loue un serveur pour 13€ par mois chez un hébergeur un brin moins connu, avec mon IP dédié (que je n'ai pas depuis si longtemps), je n'envoie qu'environ une douzaine de mails par mois. Je n'ai jamais été dans les spams de mes récipients, que ce soit google, microsoft ou n'importe quoi d'autre. Je n'ai même pas du m'embêter à mettre dkim en place. Des fois, aucune réputation est une meilleure solution que la réputation de microsoft. Merci beaucoup à Free d'avoir le courage de faire un tel blocage bien mérité. Microsoft se croient invincibles et transmettent probablement tous les rapports soigneusement préparés par François Petillon à /dev/null. Cordialement, Laurent --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Wanadoo / SMTP Pro Orange - Defaut d'alignement DMARC vers Gmail
Bonjour, Le SPF qui finit en ?all est à éviter. S'ils sont sûr de ne rien avoir oublié, je leur conseil vivement de passer au minimum à ~all. Cela pourrait déjà améliorer la situation lorsque le domaine de l'adresse enveloppe est la même que celle du domaine de l'adresse d'entête "From". L'entête DKIM est signée avec "d=wanadoo.fr" ce qui n'est ni l'adresse d'entête, ni l'adresse d'enveloppe... donc alignée sur rien du tout. Pour l'alignement DMARC, il faudrait (en simplifiant) que ce soit signé par le domaine de l'adresse d'entête "From". C'est à dire, il leur faut trouver un moyen pour signer le DKIM avec "d=chenes-lieges.fr". Je ne m'y connais rien sur la messagerie d'Orange Pro, je ne peux pas aider là. Bonne chance, Laurent On 30.09.24 13:49, Frederic Dumas wrote: > > Bonjour, > > un ami s'occupe d'une asso, il reçoit de Gmail des rapports de non alignement > DMARC quand il fait des envois groupés de mails par plusieurs dizaines de > membres à la fois. Les SMTP et DNS de l'association sont chez Orange. Le > client de messagerie est configuré pour utiliser le SMTP d'Orange. > > > émetteur Wanadoo/Orange -> récepteur Gmail > >> ;; ANSWER SECTION: >> chenes-lieges.fr. 86400 IN MX 10 smtppromx.orange.fr. > > > Extrait d'en-tête de mail reçu par Gmail: > >> Return-Path: >> Received: from msa.smtpout.orange.fr (msa-210.smtpout.orange.fr. >> [193.252.23.210]) >> by mx.google.com with ESMTPS id >> a640c23a62f3a-a7dc9d67bf0si583820266b.458.2024.08.06.07.21.12 >> (version=TLS1_2 cipher=ECDHE-ECDSA-AES128-GCM-SHA256 bits=128/128); >> Tue, 06 Aug 2024 07:21:12 -0700 (PDT) >> Received-SPF: pass (google.com: domain of bur...@chenes-lieges.fr designates >> 193.252.23.210 as permitted sender) client-ip=193.252.23.210; >> Authentication-Results: mx.google.com; >> dkim=pass header.i=@wanadoo.fr header.s=t20230301 header.b=NJG4EMTN; >> spf=pass (google.com: domain of bur...@chenes-lieges.fr designates >> 193.252.23.210 as permitted sender) smtp.mailfrom=bur...@chenes-lieges.fr >> Received: from opme11oxa06aub.op.aub.pom.fr.intraorange ([10.110.82.102]) >> by smtp.orange.fr with ESMTP >> id bKWrsIy8K95X4bKWrse6ja; Tue, 06 Aug 2024 15:47:09 +0200 >> DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=wanadoo.fr; >> s=t20230301; t=1722952029; >> bh=zPh5QVE5V/dBG4I71BoetuM6g6wws1P+gXS11HgUY6M=; >> h=Date:From:Message-ID:Subject:MIME-Version; >> b=NJG4EMTN6NqLe4PgvI9GEtxf43o/8snDCk9TRVm4kz2q4VVzQeQwtwMo1Q5y2DjJ6 >> HMiMS7kGVvDxWc4NdBvsufsgmTDRqEE9nhCVhJT7BJ3zvntmFjeLZcCUjPmzag36C0 >> ZFtAvDHKpbiGC7XLU18RL7mauqu3YvlSfWtzYKObSeuatPaEsat4C+sl2SJ1Zp2Jow >> Qg37S7PdUOFslgLVAqz7SgdbAXqkkNZ0jbAQob6Ue9JTdTE8n2RHVHaLEopbulCp8w >> +7Dc2Wj3oJ1Xo9e6hHzT4dzn/tlJXM5vfjyaHSqe/6YxZP9x9df9dpKDjDY/PRb7Gh >> 4DzKjZGteDHgA== > [SNIP] >> Date: Tue, 6 Aug 2024 15:47:09 +0200 (CEST) >> From: CHENES LIEGES > > > Associés au domaine chenes-lieges.fr , on trouve les enregistrements suivants: > >> ;; ANSWER SECTION: >> chenes-lieges.fr. 2045 IN TXT "v=spf1 include:wanadoo.fr ?all" >> chenes-lieges.fr. 2045 IN TXT >> "google-site-verification=1eSWSCk_dqxgN_ZpzPl5CN6kXvZYoJOLsZb3Qyj_6wk" > > >> ;; ANSWER SECTION: >> _dmarc.chenes-lieges.fr. 2401 IN TXT "v=DMARC1; p=quarantine; aspf=r" > > > Par contre > >> dig t20230301._domainkey.chenes-lieges.fr TXT > > ne renvoie aucune réponse. Pour trouver la clé DKIM associée au sélecteur > t20230301, il faut interroger le domain wanadoo.fr: > >> % dig t20230301._domainkey.wanadoo.fr TXT > >> ;; ANSWER SECTION: >> t20230301._domainkey.wanadoo.fr. 3600 IN TXT "v=DKIM1; k=rsa; >> p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAuPHvs+06M3wpFzT/WbbK+NOTyyfnTuXfjkjFXqyhykcu7jrvYwXzz4aw1VswJmaLs3s7aHS7SUQcMcl70IazW1FR1aYvBpf4OGrefekbPnRSxbH9keC0h2KQtGozzkfi2+BMduaEVJ7eZtCcK073bvWHUZ" >> >> "W2wiDtZVLtiVzcooT4NFOvHgEi9L/j6tflm71iZYdyf+XoY/AzdRrf7+OBrCZ5eUiFHHEQw8PXYWmKvKGjslDW+sQGcOV48h15JJg3RgWANHKsSv0Z2NzcIlFatrTuc+Lw6QmbUaVTs309LupW/bXZXpOpr4XkxAZmz+Y64PeRh9B/i2Arh2Gbxv+NFwIDAQAB;" > > > > La validation par Gmail de DKIM sur le domaine wanadoo.fr et non sur > chenes-lieges.fr est-elle la cause du défaut d'alignement DMARC ? Le panneau > de configuration des abonnées Orange Pro a-t-il un paramètre pour importer > sur le domaine chenes-lieges.fr la configuration DKIM de wanadoo.fr ? > > > Merci pour vos conseils. > > -- > Frédéric Dumas > f.du...@ellis.siteparc.fr > > > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
