• [^] # Re: Hey mais c'est génial ca!!

    Posté par . En réponse à la dépêche Sender ID, passage en force de Microsoft. Évalué à 9.

    "Désolé mais j'utilise partout mon propre MTA et je n'ai aucun problème hors AOL et universités. Comme quoi la plupart des serveurs SMTP tolèrent un peu le bordel comme tu dis et n'ont pas l'air de s'en porter plus mal."
    Et ? Ça veut dire que c'est bien ? C'est pas parce qu'une majorité ne prennent pas quelques précautions qu'on doit tous faire de même.

    Le spam, tu veux parler de ce test ?
    tests=NO_DNS_FOR_FROM
    Et, ça prouve quoi ? Pour info, la valeur de ce test est ajustable.
    C'est justement marrant que tu parles des universités, parce que mon taf consiste à administrer certains de leurs serveurs, de même que ceux des lycées, écoles privées, etc....
    Et forcément, si ton mta est localhost.localdomain, ou ton @ IP, bref qu'il est tout simplement pas distinguable, t'étonnes pas si ça passe pas, parce que la valeur du test ci dessus elle vaut déjà 3 pour nous, et la limite de que l'on fixe pour spamassassin, c'est justement 3. Donc tu peux abandonner tout de suite, ça passera pas.
    Pour info, nos serveurs doivent répondrent à certaines contraintes de sécurité, fixées par le rectorat local, qui les tient du ministère. Pas en terme technique bien sûr, la retranscription étant à la discrétions des "admins", du chef des travaux (si y'a) et du directeur de l'établissement.
    Déjà pour les accés web, proxy, car tous les sites pornographiques, les sites de tchattes, les warez, emule etc... interdits. Bientôt on va même sans doute interdire les blogs et les webmail. Ben ouais c'est comme ça. Merci squid... Pourquoi ? Prends par exemple le cas d'une école privé, qui assure en général 6ème->BTS voir plus, ben si le gamin de 11 ans tombe sur un site X au cours d'une recherche ou grâce à un de ses potes qui lui a filé l'adresse (ou toi par exemple si je te laissais envoyer des mails locaux sans vérifier qui tu es ni contrôler si tu existes et ce que tu envoies) et que les parents viennent à apprendre ça, je te laisse imaginer jusqu'où ça peut aller (plainte, procés etc etc... rigole pas c'est déjà arrivé plusieurs fois). Déjà, le directeur va en prendre plein la tête, il risque même sa place, et moi je suis dans le même cas. Si on perd pas notre place sur un coup comme ça, le dossier d'appréciation sera tellement chargé qu'on est ensuite grillé de partout.
    Et cela n'est qu'une partie des contraintes. Je te causes même pas des logs et du travail de sécurisations fournis derrière, parce que des sites X ils en sort des milliers par jour...
    Pour les mails, je pourrais te montrer des logs qui pèseraient 50 pages A4, rempli de tentatives d'envois avec des domaines inexistants, de tentative de relaying, de spams, de brute force sur le smtp et le pop (ben si ça se fait !), brute force ssh, scanning de ports etc... Là où tu hallucinerais c'est que ces 50 pages représentent 5 secondes de la vie du serveur. Fais toi une idée de ce que ça représente par jour. Aussi tu comprendras aiséments que des serveurs de prods, surtout ceux de l'éducation nationale, ne puissent en aucun cas fonctionner comme ton pc à la maison ni être aussi permissifs.
    Ton FAI et une majorité ne vérifie pas le mx ? Tant mieux pour eux, en plus ça leur fait gagner du temps et des octets. Après tout chez toi, tu es seul responsable de ce que toi et ton entourage voit ou affiche sur l'écran. Si t'as mal configuré ta sécurité parentale et que ton môme tombe sur la couverture de hardeuses extrèmes ou un truc comme ça, c'est uniquement ta faute, point. Et pour l'instant la responsabilité des FAI n'apparait toujours pas comme engagée.
    Dans les établissements scolaires, ça ne se passe pas du tout comme ça. Le problème est tout autre. D'abord on a autre chose que Free ou wanadoo en FAI (ça c'est le trait d'humour). Le chef d'établissement, le chef des travaux et l'admin système/réseaux sont RESPONSABLES de ce qui se passe sur le réseau, de la sécurité de celui-ci, et de TOUTES les informations qui y transitent ! Ainsi, si un prof, un élève, un pion ou autre est victime de harcèments (moral et/ou sexuel, racket) de la part d'un autre prof,élève, etc ... en se servant du réseau de l'établissement, par exemple par email, Messagerie instantanée local, etc... nous devons absolument le savoir et pouvoir le démontrer. Officieusement, on nous demande même de l'anticiper. Officiellement, les communications ne sont pas espionnés. Mais le principe de précaution prévaut. Bien sûr, comme je te l'ai dit, le chef d'établissement peut décider d'être plus souple. Mais à ce moment là il engage sa responsabilité. Et tu comprendra aussi qu'on ne puisse absolument pas autoriser n'importe quelle connexion extérieure.
    J'avoue que de telles mesures dans les établissements scolaires sont indispensables, et en tant que parent cela même me rassure. Certes, ce n'est pas la majorité des établissements qui se sont "mis-à-jour", loin de là même, j'avoue que dans certains lycées j'ai vu des trucs inomables, et les serveurs de
    l'éduc trainent encore une réputation de passoir (c'est aussi pour cela qu'ils font parti des serveurs les plus attaqués). Mais c'est de moins en moins vrai, et au contraire, certains se hissent au rang des serveurs les plus fortifiés (HIDS, NIDS, scanlog, random port, honey pot....) . En plus faut pas oublier qu'attaquer un serveur de l'éduc, c'est de la détérioration de matériel de l'état...

    PS: pour spamassassin, tu peux choisir plusieurs comportement:
    >/dev/null
    réécriture de l'entête genre :***ATTENTION POURRIEL POTENTIEL****
    idem que réécriture avec modification du corps avertissant sur les dangers que peut réprésenter l'ouverture du message concerné, fourni en pièce jointe