Comme d’habitude avec ces sondes, entre celles dans des datacenters et celles opérées par des gens qui n’utilisent pas le résolveur de leur FAI, les résultats sont toujours contrastés, mais pour le coup, le blocage par Free est bien visible
(Et sinon, le .ws propose ce genre de bêtises depuis longtemps, voir i❤️tacos.ws ou 📪.ws par exemple. Par ailleurs, Firefox a une gestion laxiste d’IDNA 2008 et on peut visiter le site derrière i❤️tacos.ws par exemple)
Le
15/02/2022 à
12h
13
Punycode n’est qu’un encodage d’Unicode. La norme qui régit les noms de domaines internationalisés est IDNA2008, décrite dans les RFC 5890 à 5894
En l’occurrence, c’est le RFC 5892 qui définit les caractères autorisés et les émojis n’en font pas partis.
Ensuite les gestionnaires de TLD peuvent imposer les caractères autorisés dans les sous-domaines : sur .fr par exemple, on peut acheter un nom avec tous les caractères accentués du français plus quelques autres (le ß que l’on peut trouver en alsaciens par exemple).
Bref, un logiciel qui suit la norme enverra bouler les gens avec 🦆.duck, ce qui implique que les émojis dans un nom de domaines : 🚮
La bonne nouvelle c’est que les personnes qui utilisent Debian Testing (c’est mon cas) vont enfin voir le dégel et l’arrivée des nouvelles versions des softs (genre NSD 4.3.7 qui devrait sortir dans quelques jours 🤤)
Pour les VPN, je n’ai pas fait de tests sur place. De ce que je comprends, c’est essentiellement un blocage des IPs des fournisseurs de VPN (les expats que je connais sur place galèrent fréquemment à en trouver de nouveaux). Un blocage par port, le 1194 notamment (réservé à OpenVPN) n’est pas exclure, mais sans mesures dur à dire
(Et TOR, c’est trivial les adresses des nœuds sont publiques. Pas testés les mécanismes de contournement de la censure ceci)
Le
13/07/2021 à
12h
59
C’est plus fourbe que ça : le GFW modifie à la volée les requêtes DNS contenant un nom de domaine censurée et tu reçoit une réponse bidon.
C’est particulièrement visible en demandant par ex. l’adresse de twitter.com à la racine du DNS. La réponse normale de la racine est : « Va voir les serveurs de .com ». Depuis la Chine tu reçois une IP au pif (parfois tu demande twitter.com, tu reçois l’IP de Facebook en retour…)
Faire tourner son propre résolveur sur sa machine ne change rien
Le seul moyen actuellement d’éviter cette censure, c’est d’utiliser DNS sur TLS ou sur HTTPS vers un résolveur de confiance.
Mais de toutes façons ça ne sert à rien : contrairement aux autres pays pratiquant la censure d’Internet, la Chine ne se limite pas à une seule technique de blocage et on a beau avoir la bonne IP de Wikipédia, ça restera inaccessible (sauf à trouver du VPN qui marche — oublier Tor, bloqué normalement)
Stadia ou Geforce Now, sont dispo tout de suite. Je m’abonne et je joue.
Stadia, c’est le machin révolutionnaire à latence négative en 4K 60fps avec une manette sans fil et dispo sur tous les appareils et vous allez voir ce que vous allez voir crénom d’une pipe et qui est sorti sans 4K, avec une manette sans fil nécessitant un fil pour fonctionner, pas dispo sur plein de Google Bibule parce que “le firmware est pas à jour” et qui avait un magnifique catalogue de jeux de l’année d’avant (au mieux) et des exclus qui sont toujours pas sorties ?
L’équipe sécurité aurait dégagée également selon les témoignages glanées sur Touitteur et Mastodon
Le
12/08/2020 à
17h
32
Oui, c’est MozCorp qui lui file des brouzoufs en compensation (comme disent les américains) de sa double casquette de cheffe/jefe/boss/grande manitou de Moz Corp et de la fondation. Voir le rapport de 2018
Ceci dit, MozCorp est contrôlée à 100% par la fondation donc..
À noter qu’entre 2017 et 2018 ces revenus sont passés de 1M\( à 2,5 M\) (il me semble que les chiffres 2019 sont encore à paraître)
Bah moi aussi je le fais moi-même, avec mon résolveur.
Et les machines sur lesquelles je ne peux pas mettre de bloqueur de pubs/traqueurs en profite (typiquement les consoles de jeux, qui doivent bien faire tourner des trucs remplis de Google Analytics & cie).
Étant donné que (presque) toute activité sur Internet commence par une requête DNS, agir à ce niveau est logique
Le
25/06/2020 à
17h
01
jpaul a écrit :
est-ce vraiment le rôle du DNS que de bloquer la publicité ?
Dans la mesure où avec le DNS tu peux bloquer le mal à la racine (huhu), proprement et sans faire fuiter de requêtes vers l’extérieur : oui
L’immense problème de MTA-STS, c’est qu’il nécessite un site web sur un domaine spécifique (mta-sts.example.com) pour servir la politique.
Transporter du mail (on est entre MTA là) ne devrait pas nécessiter d’HTTP au milieu.
Mieux que STS, il y a DANE qui est bien plus efficace, n’utilise pas d’autre protocoles que ceux déjà utilisés par le mail, mais - s’il commence à être pas mal déployé - ne l’ai pas par les ogres du mail
Sinon, SMTP s’est récemment doté d’une option pour exiger TLS (RFC 8689), mais c’est vraiment tout frais. (Je pense essayer quand il sera dispo dans Postfix :) ). Bon le problème avec cette option, c’est que je la vois mal fleurir sur les serveurs pour l’instant (trop risqué encore malheureusement)
Le
17/06/2020 à
10h
34
Ce n’est pas une question de lire les entêtes (je ne les regarde que rarement, surtout que désormais le mail plus simple contient 4ko d’entêtes pour 20 octets de corps de message)
Le
17/06/2020 à
10h
30
C’est ce qui permet de maquiller facilement un mail et détourner l’attention (phising)
Le tracking
Ajouter du JS -> perte de sécurité
Le
16/06/2020 à
12h
20
Mihashi a écrit :
C’est ce que je fais et je pleure quand je reçois des courriels de mac-users qui intègrent les pièces jointes dans l’HTML (et ne sont donc pas visible en mode texte seulement)…
Je crois que la personne personne sous Mac avec qui j’échange des mails régulièrement est bien éduquée :)
Le
16/06/2020 à
11h
41
En mail pro, j’ai abandonné tout espoir de comportement raisonnable des gens.
Pour mon mail perso, si les gens ne sont pas content que mes mails soient en texte pur, ils peuvent aller gentiment aller voir ailleurs si j’y suis (c’est jamais arrivé) :)
Le
16/06/2020 à
10h
48
J’ajouterai que quand cela est possible, forcer l’affichage du mail en texte dans son client : HTML dans le mail, cay mal et la plupart des mails en HTML sont en réalité en “multipart/alternative”, contenant à la fois le mail en texte simple et en HTML (avec parfois des surprises).
Sous Thunderbird, c’est dans “Affichage” / “Corps du message en” / “Texte seul”
Fort possible. Mes mails OVH de ce type arrivent sur une boite ProtonMail, du coup, le transport doit être relativement propre
Le
17/06/2020 à
11h
37
Pareil et pourtant avec un bloc pas top niveau réputation à l’époque (qui m’a valu bien des CAPTCHA et des impossibilités d’éditer Wikipedia en IPv6) puisque d’OVH Télécom (quand l’IPv6 de la partie FAI était annoncé comme venant de l’AS OVH et non OVH Telecom)
Le
17/06/2020 à
11h
33
Étrange. En plus la clé semble être en place depuis au moins 2018. Et comme ils utilisent aussi DMARC, une erreur se verrait dans les Authentification-Results. Hmmmm " />
Le
17/06/2020 à
10h
58
Soriatane a écrit :
Doit-on aussi parler de l’IPv6 pour insérez le nom du service ?? Il me semble que le sujet n’est pas plus glorieux…
Voilà, j’ai rendu le commentaire plus générique, vu qu’il n’y a pas que le mail où IPv6 a un taux d’utilisation minable :/
Le
17/06/2020 à
10h
43
La news a écrit :
Ainsi, les alertes de connexion à votre compte ou de notification de facture ont un statut DKIM « fail ». Leur SPF est par contre valide, ce qui explique qu’ils sont tout de même considérés comme légitimes.
Pour moi, ils apparaissent bien valides avec le sélecteur “mailout” (domaine ovh.com)
Ça et le fait qu’ils utilisent rspamd et que c’était juste 2-3 options à cocher quelque part si j’en crois leur admin à chapeau :)
Le
13/06/2020 à
17h
01
Pouce haut :)
La seule implémentation facilement disponible pour le moment semble être rspamd. Les gens de Trusted Domain (qui font OpenDMARC et OpenDKIM) semblent bosser sur un OpenARC, mais pas de commit depuis 2018 et pas de paquets dispo (sous Debian en tout cas)
Le
13/06/2020 à
15h
00
ARC ? RFC 8617 de juillet dernier. Bon il a le statut expérimental :)
Framasoft l’utilise pour ces mails (je m’en suis rendu compte cette semaine)
Microsoft l’utilisait encore en novembre dernier (dernier message que j’ai reçu d’un contact avec une adresse mail Live/Hotmail/Outlook)
Le
13/06/2020 à
12h
15
Pour du mailing en masse, DMARC est à éviter, il pose trop de problèmes (voir le RFC 7960 qui en cause). Préférer le plus récent ARC, qui résout ces soucis (dispos dans rspamd pour les amateur·trice·s)
Le
13/06/2020 à
12h
11
Chez Free, il faut aussi débloquer le port 25, quelque part dans les options de ton compte je crois
Le
12/06/2020 à
23h
20
Note : le tuto en lien ne fourni pas de conf pour TLS. Je ne sais plus où j’avais choppé ma conf initiale… Surtout que ça a un peu bougé dans Postfix depuis.
Le
12/06/2020 à
23h
12
Pour l’installation du bordel logiciel, j’avais suivi ce tutoriel (Dovecot + Postfix, j’ai zappé le webmail).
Pour le DNS, il faut configurer
Un enregistrement MX
Un enregistrement A ou AAAA pour le nom passé en MX
Un enregistrement PTR pour les adresses (là faut espérer que ton FAI te laisse changer les reverse de tes IPs si tu héberge de chez toi).
Et il faut que le serveur SMTP ait le même nom que celui des PTR (paramètre myhostname dans Postfix - j’ai choisi la solution la plus simple, même nom partout)
Je suis en train de regarder chez OVH, mais leur site est tellement bien foutu… ^^ De ce que je comprends, ils ne le proposent pas : uniquement de la vérif pour le courrier entrant, et uniquement sur leurs offres avec du Exchange derrière (brrrrrrr " /> )
Du coup je serai curieux de savoir pourquoi Gandi le propose pas.
Pour DMARC, c’est déjà beaucoup plus chiant à mettre en place - et c’est parfaitement optionnel (vu les difficultés qu’il pose pour les mailing-list ou les relais)
Le
12/06/2020 à
22h
04
6 ans que j’héberge mon mail (et 2 changements de Raspberry-Pi - pratique cette framboise : on met la carte SD dans le nouveau modèle, on boot et hop :) ), et je n’ai jamais eut affaire à des banlists (respectant tout bien les normes : certificats valides, du DANE, du DKIM, du DMARC et tout le toutim et me respectant moi même : pas de mail en HTML " /> - ça doit aider face au anti-spam).
Ceci dit, ma politique en la matière est de considérer que si le serveur en face refuse mon courrier, tant pis pour lui.
Le
12/06/2020 à
13h
35
L’avantage d’être amateur : je n’ai pas à subir les horreurs non-euclidiennes :)
Le
12/06/2020 à
12h
54
Après 3 ou 4 installations foirées ça fini par marcher Postfix (True Story) ^^
Va falloir que je vérifie mon niveau de karma " />
Le
12/06/2020 à
12h
41
J’allais dire Сталин.su mais il existe déjà :/ (et il y a un même site web)
Le
12/06/2020 à
12h
35
Je suis preneur de .su ! " />
Le
12/06/2020 à
12h
34
_domainkey.lejardinier.me n’existe pas, donc si les serveurs de Gandi ne sont pas bogués, pas de DKIM proposé (en tout cas par défaut)
Le
12/06/2020 à
12h
24
À noter que STARTTLS est à proscrire de nos jours car vulnérable à certaines attaques. La recommandation étant de faire du “TLS implicite” sur le port 465 (RFC 8314). :)
Tuto éclair : Sous Android 9 et +, tu cherches “dns” dans les paramètres, tu y choisi la 3e option et tu files le domaine de ton résolveur DoT dans le champ en dessous :)
C’est un problème déjà présent avec certaines méthode d’authentification de DoT.
Dans ces cas là, pas de solutions magiques : faire passer des méta-requêtes en clair via un résolveur classique
Ceci dit, même dans le cadre de DoH (comme pour DoT), il est envisageable d’avoir un client prenant un URL avec un nom de domaine comme autorité et donner en plus l’IP pour ne pas à avoir de méta-requêtes à faire. C’est le cas de Firefox en mode DoH strict (network.uri.mode à 3 avant la version 74, ça a changé depuis, mais il est tout de même possible de filer une IP en bootstrap via network.trr.bootstrapAddress)
Notons enfin qu’il est bien évidement possible de filer un URL avec une IP en lieu et place du nom de domaine mais le certificat en face devra contenir cette IP (j’ai cru comprendre que ce sera bientôt possible chez Let’s Encrypt d’avoir un certif’ pour une IP)
Oui, changer les clés est une bonne idée. Si le problème ne touche que Ubuntu Server, version que j’imagine beaucoup installé sur des VMs, le snapshot qui va bien s’impose :)
Le
13/05/2020 à
10h
35
A priori les logs déjà présents ne sont pas modifiés.
De toutes façons, le principe de précaution impose d’y passer un coup de lance-flamme préventif (et s’il ya vraiment besoin de les garder pour une raison X ou Y, chercher le mot de passe et y passer un coup de scalpel)
10273 commentaires
Brouillard autour de la suspension de RT et Sputnik en Europe
02/03/2022
Le 02/03/2022 à 19h 31
Je confirme que Free bloque les domaines : rt.com, francais.rt.com et sputniknews.fr
Voici ce que voient les sondes RIPE Atlas situées en France
Comme d’habitude avec ces sondes, entre celles dans des datacenters et celles opérées par des gens qui n’utilisent pas le résolveur de leur FAI, les résultats sont toujours contrastés, mais pour le coup, le blocage par Free est bien visible
Opera accepte désormais les adresses web… en emojis
15/02/2022
Le 15/02/2022 à 12h 20
(Et sinon, le .ws propose ce genre de bêtises depuis longtemps, voir i❤️tacos.ws ou 📪.ws par exemple. Par ailleurs, Firefox a une gestion laxiste d’IDNA 2008 et on peut visiter le site derrière i❤️tacos.ws par exemple)
Le 15/02/2022 à 12h 13
Punycode n’est qu’un encodage d’Unicode. La norme qui régit les noms de domaines internationalisés est IDNA2008, décrite dans les RFC 5890 à 5894
En l’occurrence, c’est le RFC 5892 qui définit les caractères autorisés et les émojis n’en font pas partis.
Ensuite les gestionnaires de TLD peuvent imposer les caractères autorisés dans les sous-domaines : sur .fr par exemple, on peut acheter un nom avec tous les caractères accentués du français plus quelques autres (le ß que l’on peut trouver en alsaciens par exemple).
Bref, un logiciel qui suit la norme enverra bouler les gens avec 🦆.duck, ce qui implique que les émojis dans un nom de domaines : 🚮
Debian 11 Bullseye : une force tranquille qui n’a plus rien à prouver
20/07/2021
Le 20/07/2021 à 17h 45
:P
La bonne nouvelle c’est que les personnes qui utilisent Debian Testing (c’est mon cas) vont enfin voir le dégel et l’arrivée des nouvelles versions des softs (genre NSD 4.3.7 qui devrait sortir dans quelques jours 🤤)
13 % des 311 000 sites censurés par la Chine le sont « par accident »
13/07/2021
Le 13/07/2021 à 18h 52
Pour les VPN, je n’ai pas fait de tests sur place. De ce que je comprends, c’est essentiellement un blocage des IPs des fournisseurs de VPN (les expats que je connais sur place galèrent fréquemment à en trouver de nouveaux). Un blocage par port, le 1194 notamment (réservé à OpenVPN) n’est pas exclure, mais sans mesures dur à dire
(Et TOR, c’est trivial les adresses des nœuds sont publiques. Pas testés les mécanismes de contournement de la censure ceci)
Le 13/07/2021 à 12h 59
C’est plus fourbe que ça : le GFW modifie à la volée les requêtes DNS contenant un nom de domaine censurée et tu reçoit une réponse bidon.
C’est particulièrement visible en demandant par ex. l’adresse de twitter.com à la racine du DNS. La réponse normale de la racine est : « Va voir les serveurs de .com ». Depuis la Chine tu reçois une IP au pif (parfois tu demande twitter.com, tu reçois l’IP de Facebook en retour…)
Faire tourner son propre résolveur sur sa machine ne change rien
Le seul moyen actuellement d’éviter cette censure, c’est d’utiliser DNS sur TLS ou sur HTTPS vers un résolveur de confiance.
Mais de toutes façons ça ne sert à rien : contrairement aux autres pays pratiquant la censure d’Internet, la Chine ne se limite pas à une seule technique de blocage et on a beau avoir la bonne IP de Wikipédia, ça restera inaccessible (sauf à trouver du VPN qui marche — oublier Tor, bloqué normalement)
Jean Baptiste Kempf (VLC), nouveau CTO de Blade : « pourquoi je crois en Shadow »
16/09/2020
Le 16/09/2020 à 17h 56
Mozilla licencie 250 personnes, la quête de la rentabilité au premier plan
12/08/2020
Le 12/08/2020 à 17h 51
Le touitte que j’ai vu passé causait de la “threat management team” :/
Le 12/08/2020 à 17h 34
L’équipe sécurité aurait dégagée également selon les témoignages glanées sur Touitteur et Mastodon
Le 12/08/2020 à 17h 32
Oui, c’est MozCorp qui lui file des brouzoufs en compensation (comme disent les américains) de sa double casquette de cheffe/jefe/boss/grande manitou de Moz Corp et de la fondation. Voir le rapport de 2018
Ceci dit, MozCorp est contrôlée à 100% par la fondation donc..
À noter qu’entre 2017 et 2018 ces revenus sont passés de 1M\( à 2,5 M\) (il me semble que les chiffres 2019 sont encore à paraître)
Apple va supporter DNS over HTTPS (DoH) et DNS over TLS (DoT)… à sa manière
25/06/2020
Le 25/06/2020 à 20h 23
Bah moi aussi je le fais moi-même, avec mon résolveur.
Et les machines sur lesquelles je ne peux pas mettre de bloqueur de pubs/traqueurs en profite (typiquement les consoles de jeux, qui doivent bien faire tourner des trucs remplis de Google Analytics & cie).
Étant donné que (presque) toute activité sur Internet commence par une requête DNS, agir à ce niveau est logique
Le 25/06/2020 à 17h 01
Les emails d’Orange bénéficieront de DKIM dès cette année « avec un SPF plus restrictif »
23/06/2020
Le 25/06/2020 à 17h 06
Maintenant, s’ils pouvaient activer le chiffrement sur leurs SMTP…
Emails avec SPF, DKIM, DMARC, ARC et BIMI : à quoi ça sert, comment en profiter ?
16/06/2020
Le 19/06/2020 à 00h 12
L’immense problème de MTA-STS, c’est qu’il nécessite un site web sur un domaine spécifique (mta-sts.example.com) pour servir la politique.
Transporter du mail (on est entre MTA là) ne devrait pas nécessiter d’HTTP au milieu.
Mieux que STS, il y a DANE qui est bien plus efficace, n’utilise pas d’autre protocoles que ceux déjà utilisés par le mail, mais - s’il commence à être pas mal déployé - ne l’ai pas par les ogres du mail
Sinon, SMTP s’est récemment doté d’une option pour exiger TLS (RFC 8689), mais c’est vraiment tout frais. (Je pense essayer quand il sera dispo dans Postfix :) ). Bon le problème avec cette option, c’est que je la vois mal fleurir sur les serveurs pour l’instant (trop risqué encore malheureusement)
Le 17/06/2020 à 10h 34
Ce n’est pas une question de lire les entêtes (je ne les regarde que rarement, surtout que désormais le mail plus simple contient 4ko d’entêtes pour 20 octets de corps de message)
Le 17/06/2020 à 10h 30
Le 16/06/2020 à 12h 20
Le 16/06/2020 à 11h 41
En mail pro, j’ai abandonné tout espoir de comportement raisonnable des gens.
Pour mon mail perso, si les gens ne sont pas content que mes mails soient en texte pur, ils peuvent aller gentiment aller voir ailleurs si j’y suis (c’est jamais arrivé) :)
Le 16/06/2020 à 10h 48
J’ajouterai que quand cela est possible, forcer l’affichage du mail en texte dans son client : HTML dans le mail, cay mal et la plupart des mails en HTML sont en réalité en “multipart/alternative”, contenant à la fois le mail en texte simple et en HTML (avec parfois des surprises).
Sous Thunderbird, c’est dans “Affichage” / “Corps du message en” / “Texte seul”
StopCovid : selon Margrethe Vestager, l’application française ne serait pas compatible avec le reste de l’Union européenne
17/06/2020
Le 17/06/2020 à 12h 12
Zont qu’à faire une proposition à l’IETF. " />
Rendez-vous dans 10 ans pour la publication du RFC (ou pas) :)
Protection contre le phishing et le spoofing d’email via SPF et DKIM : une faillite française
17/06/2020
Le 17/06/2020 à 11h 38
Fort possible. Mes mails OVH de ce type arrivent sur une boite ProtonMail, du coup, le transport doit être relativement propre
Le 17/06/2020 à 11h 37
Pareil et pourtant avec un bloc pas top niveau réputation à l’époque (qui m’a valu bien des CAPTCHA et des impossibilités d’éditer Wikipedia en IPv6) puisque d’OVH Télécom (quand l’IPv6 de la partie FAI était annoncé comme venant de l’AS OVH et non OVH Telecom)
Le 17/06/2020 à 11h 33
Étrange. En plus la clé semble être en place depuis au moins 2018. Et comme ils utilisent aussi DMARC, une erreur se verrait dans les Authentification-Results. Hmmmm " />
Le 17/06/2020 à 10h 58
Le 17/06/2020 à 10h 43
Comment créer un nom de domaine personnalisé et votre propre adresse email
12/06/2020
Le 15/06/2020 à 20h 11
Ça et le fait qu’ils utilisent rspamd et que c’était juste 2-3 options à cocher quelque part si j’en crois leur admin à chapeau :)
Le 13/06/2020 à 17h 01
Pouce haut :)
La seule implémentation facilement disponible pour le moment semble être rspamd. Les gens de Trusted Domain (qui font OpenDMARC et OpenDKIM) semblent bosser sur un OpenARC, mais pas de commit depuis 2018 et pas de paquets dispo (sous Debian en tout cas)
Le 13/06/2020 à 15h 00
ARC ? RFC 8617 de juillet dernier. Bon il a le statut expérimental :)
Framasoft l’utilise pour ces mails (je m’en suis rendu compte cette semaine)
Microsoft l’utilisait encore en novembre dernier (dernier message que j’ai reçu d’un contact avec une adresse mail Live/Hotmail/Outlook)
Le 13/06/2020 à 12h 15
Pour du mailing en masse, DMARC est à éviter, il pose trop de problèmes (voir le RFC 7960 qui en cause). Préférer le plus récent ARC, qui résout ces soucis (dispos dans rspamd pour les amateur·trice·s)
Le 13/06/2020 à 12h 11
Chez Free, il faut aussi débloquer le port 25, quelque part dans les options de ton compte je crois
Le 12/06/2020 à 23h 20
Note : le tuto en lien ne fourni pas de conf pour TLS. Je ne sais plus où j’avais choppé ma conf initiale… Surtout que ça a un peu bougé dans Postfix depuis.
Le 12/06/2020 à 23h 12
Pour l’installation du bordel logiciel, j’avais suivi ce tutoriel (Dovecot + Postfix, j’ai zappé le webmail).
Pour le DNS, il faut configurer
Pour mon domaine, ça donne :
Le MX
Les adresses associées au domaine
Un des PTR
Et il faut que le serveur SMTP ait le même nom que celui des PTR (paramètre myhostname dans Postfix - j’ai choisi la solution la plus simple, même nom partout)
Le 12/06/2020 à 22h 19
Du coup, Gandi le précise dans sa FAQ.
Je suis en train de regarder chez OVH, mais leur site est tellement bien foutu… ^^ De ce que je comprends, ils ne le proposent pas : uniquement de la vérif pour le courrier entrant, et uniquement sur leurs offres avec du Exchange derrière (brrrrrrr " /> )
Du coup je serai curieux de savoir pourquoi Gandi le propose pas.
Pour DMARC, c’est déjà beaucoup plus chiant à mettre en place - et c’est parfaitement optionnel (vu les difficultés qu’il pose pour les mailing-list ou les relais)
Le 12/06/2020 à 22h 04
6 ans que j’héberge mon mail (et 2 changements de Raspberry-Pi - pratique cette framboise : on met la carte SD dans le nouveau modèle, on boot et hop :) ), et je n’ai jamais eut affaire à des banlists (respectant tout bien les normes : certificats valides, du DANE, du DKIM, du DMARC et tout le toutim et me respectant moi même : pas de mail en HTML " /> - ça doit aider face au anti-spam).
Ceci dit, ma politique en la matière est de considérer que si le serveur en face refuse mon courrier, tant pis pour lui.
Le 12/06/2020 à 13h 35
L’avantage d’être amateur : je n’ai pas à subir les horreurs non-euclidiennes :)
Le 12/06/2020 à 12h 54
Après 3 ou 4 installations foirées ça fini par marcher Postfix (True Story) ^^
Va falloir que je vérifie mon niveau de karma " />
Le 12/06/2020 à 12h 41
J’allais dire Сталин.su mais il existe déjà :/ (et il y a un même site web)
Le 12/06/2020 à 12h 35
Je suis preneur de .su ! " />
Le 12/06/2020 à 12h 34
_domainkey.lejardinier.me n’existe pas, donc si les serveurs de Gandi ne sont pas bogués, pas de DKIM proposé (en tout cas par défaut)
Le 12/06/2020 à 12h 24
À noter que STARTTLS est à proscrire de nos jours car vulnérable à certaines attaques. La recommandation étant de faire du “TLS implicite” sur le port 465 (RFC 8314). :)
DNS over HTTPS (DoH) arrive dans les paramètres réseau de Windows 10 : comment ça marche ?
06/08/2020
Le 14/05/2020 à 14h 11
Tuto éclair : Sous Android 9 et +, tu cherches “dns” dans les paramètres, tu y choisi la 3e option et tu files le domaine de ton résolveur DoT dans le champ en dessous :)
(Pub, voir capture ici :https://www.shaftinc.fr/chiffrement-dns-pratique.html )
Le 14/05/2020 à 14h 08
network.trr.mode et pas network.uri.mode :)
Le 14/05/2020 à 14h 07
Le turfu est sclérosé " />
Le 14/05/2020 à 14h 03
DoT par défaut est préférable à DoH par défaut :P
Le 14/05/2020 à 14h 01
C’est un problème déjà présent avec certaines méthode d’authentification de DoT.
Dans ces cas là, pas de solutions magiques : faire passer des méta-requêtes en clair via un résolveur classique
Ceci dit, même dans le cadre de DoH (comme pour DoT), il est envisageable d’avoir un client prenant un URL avec un nom de domaine comme autorité et donner en plus l’IP pour ne pas à avoir de méta-requêtes à faire. C’est le cas de Firefox en mode DoH strict (network.uri.mode à 3 avant la version 74, ça a changé depuis, mais il est tout de même possible de filer une IP en bootstrap via network.trr.bootstrapAddress)
Notons enfin qu’il est bien évidement possible de filer un URL avec une IP en lieu et place du nom de domaine mais le certificat en face devra contenir cette IP (j’ai cru comprendre que ce sera bientôt possible chez Let’s Encrypt d’avoir un certif’ pour une IP)
L’installeur d’Ubuntu Server enregistrait en clair une phrase de passe
13/05/2020
Le 14/05/2020 à 13h 54
Oui, changer les clés est une bonne idée. Si le problème ne touche que Ubuntu Server, version que j’imagine beaucoup installé sur des VMs, le snapshot qui va bien s’impose :)
Le 13/05/2020 à 10h 35
A priori les logs déjà présents ne sont pas modifiés.
De toutes façons, le principe de précaution impose d’y passer un coup de lance-flamme préventif (et s’il ya vraiment besoin de les garder pour une raison X ou Y, chercher le mot de passe et y passer un coup de scalpel)
Le 13/05/2020 à 10h 18
Oh que oui ils sont conservés
Attestation numérique de déplacement : le formulaire passe en version 1.1.1
10/04/2020
Le 10/04/2020 à 18h 34
Pourquoi être agressif comme ça ?
Ma connexion Internet : entrez votre adresse, l’Arcep liste les FAI et technologies disponibles
10/04/2020
Le 10/04/2020 à 18h 14
Et région historique en terme de R&D Telco (Lannion et Rennes/Cesson - pour les heures sombres de l’histoire dans ce cas " />)
En tout cas, chez ma mère (Côtes-d’Armor, ville de 10000 hab), l’armoire était posée Nowel dernier