En essayant de rassembler tout ce qui a été échangé.
Le ven. 3 avr. 2020 à 14:54, Vincent Tondellier via FRsAG frsag@frsag.org a écrit :
Le Friday 03 April 2020 13:46:00 Wallace a écrit :
C'est comme le RGPD qui a été renforcé dans certains états EU, les danois ont ainsi l'obligation d'utiliser TLS 1.2 minimum, dans les premiers mois du RGPD
Moui, il a bon dos le RGPD ... Impressionnant la quantité de choses décidées unilatéralement sans aucune obligation légale que certains essayent de faire passer au nom du RGPD ...
Ce point est intéressant, car la RGPD est une reglementation Européenne qui s'applique sur un espace sans limites de "frontières". Avec un peu de recul cela semble abérrant. Je comprends le besoin législatif à outrance, mais cela ne sert à personnes, et semble plutôt consituer une décharge de nombreuses responsabilité vers des acteurs hégémonique...
tous les domaines d'Orange ne pouvait recevoir de mails venant de danois car leurs serveurs n'étaient pas compatible TLS 1.2. Je n'ai pas eu la fin de l'histoire, j'ose espérer que Orange a
évolué.
Nope. Rien de changé.
in :
$ grep 'TLSv1 ' /var/log/mail.log | grep orange | tail -n1 Mar 29 19:12:56 gaia postfix/smtpd[708438]: Anonymous TLS connection established from smtp08.smtpout.orange.fr[80.12.242.130]: TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits)
out :
$ zgrep 'TLSv1 ' /var/log/mail.log.2.gz | grep orange | tail -n1 Mar 18 18:37:13 alpheratz postfix/smtp[535068]: Trusted TLS connection established to smtp-in.orange.fr[80.12.242.9]:25: TLSv1 with cipher DHE-RSA- AES256-SHA (256/256 bits)
C'est orange hein, faut pas en demander trop ...
Ne pourrait-on pas les tacler législativement ? En soit ne mettent-il pas en risque leurs usagers ? ............Allô la Quadra ?
De : jonathan@inikup.com
C'est triste à dire, mais ça va sûrement se terminer comme pour HTTPS : un beau jour Google, Yahoo! et Microsoft vont décréter que leurs serveurs ne parleront plus avec ceux n'ayant pas une configuration TLS valide et moderne. Et alors en 6 mois 90 % des serveurs SMTP de la planète seront mis à jour.
Ces acteurs font la loi ? Ca me dégoute.
De : maxime@mouet-mouet.net
C'est tout le problème d'Internet : des réseaux indépendants à gouvernance
variable qui font au mieux pour discuter à peu près correctement avec à peu près tout le monde.
Au départ, nous étions d'accord sur le TCP/IP, maintenant chacun fait en fait qu'a sa tête (Il ya 13 standards, attend j'ai une idée => Il y a 14 standards)
Le protocole SSLv3 est officiellement déprécié, il est en principe interdit
de l'utiliser. Tu es en droit de le virer de ton côté.
Etrangement sur ce point, tout le monde semble avoir honnis le SSLv3, ce qui montre qu'il y a bien un consensus à minima pour s'accorder sur des standards.
Et ce n'est pas Wanadoo qui essaie de te contacter, mais une adresse
assignée à un abonnement Wanadoo. Peut-être quelqu'un qui s'auto-héberge (particulier ou entreprise), peut-être quelqu'un qui scanne, peut-être un robot malveillant
Oui, c'était bien un scan; fausse alerte.
Oui il y a des algo obsolètes et vulnérables, et des tests en ligne (comme
internet.nl) vont râler, mais c'est toujours mieux (IMHO et celle d'autres personnes comme les dévs de postfix) que le repli vers le texte clair ...
Je veux bien la source de tes propos sur les devs de Postfix pour enrichir mes connaissances.
De : tonton+frsag@team1664.org
l'option afférente étant : smtpd_tls_auth_only = yes
Ca c'est pas du tout pour forcer le tls. C'est pour forcer que l'authentification soit annoncée et se fasse uniquement si tls est présent. Il ne faut activer ca que pour le msa sur le port submission/587 ou 465. Voir http://www.postfix.org/TLS_README.html et http://www.postfix.org/SASL_README.html
Pardon pour la mauvaise info, merci pour l'enrichissement ;) je croyais que coupler au chiffrement opportuniste (starttls) cela permettait d'éviter le transfert non chiffré.
Ces recommandations sont faites pour le web ou les clients tls (les
navigateurs) sont mis a jour régulièrement. Pour le mail, c'est beaucoup plus lent, voir même fossilisé. Dans certains cas, il faut même attendre que le boitier utm/sécurité/antivirus/antispam jamais mis a jour (et pas forcément a cause de l'utilisateur) tombe en panne pour qu'il soit remplacé
C'est vrai, je n'y avais pas pensé à ce décalage entre le "oueb" et le mail, par contre en jetant un oeil à la RFC du TLS 1.1 (pour l'exemple)
This document specifies Version 1.1 of the Transport Layer Security (TLS) protocol. The TLS protocol provides communications security over the Internet. The protocol allows client/server applications to communicate in a way that is designed to prevent eavesdropping, tampering, or message forgery.
Il est nullement question d'une segmentation Web/Mail...
Bref, merci à tous pour vos retour. Ce que je conclus c'est : - disposez de sa boîte mail comme de sa boîte aux lettre semble compliqué. - Il est difficile de s'acorder ensemble sur les protocoles à tenir pour dialoguer - Il semble qu'il y ait une dichotomie entre les reglementations et les RFC. Là où les premiers sont limité géographiquement, le second est global (sans frontières) - Les versions du TLS sont mises à dispositions et sont retiré par chacun au fur et à mesure (exemple pour le retrait du TLS 1.1 de firefox : https://blog.mozilla.org/security/2018/10/15/removing-old-versions-of-tls/) à coup de décisions unilatéral sans consortium (je veux bien une confirmation)
Bonne journée, bon hardening, bons updates (oui, Haproxy et sa CVE cette nuit),
exit 0
Le ven. 3 avr. 2020 à 14:54, Vincent Tondellier via FRsAG frsag@frsag.org a écrit :
Le Friday 03 April 2020 13:46:00 Wallace a écrit :
C'est comme le RGPD qui a été renforcé dans certains états EU, les danois ont ainsi l'obligation d'utiliser TLS 1.2 minimum, dans les premiers mois du RGPD
Moui, il a bon dos le RGPD ... Impressionnant la quantité de choses décidées unilatéralement sans aucune obligation légale que certains essayent de faire passer au nom du RGPD ...
tous les domaines d'Orange ne pouvait recevoir de mails venant de danois car leurs serveurs n'étaient pas compatible TLS 1.2. Je n'ai pas eu la fin de l'histoire, j'ose espérer que Orange a
évolué.
Nope. Rien de changé.
in :
$ grep 'TLSv1 ' /var/log/mail.log | grep orange | tail -n1 Mar 29 19:12:56 gaia postfix/smtpd[708438]: Anonymous TLS connection established from smtp08.smtpout.orange.fr[80.12.242.130]: TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits)
out :
$ zgrep 'TLSv1 ' /var/log/mail.log.2.gz | grep orange | tail -n1 Mar 18 18:37:13 alpheratz postfix/smtp[535068]: Trusted TLS connection established to smtp-in.orange.fr[80.12.242.9]:25: TLSv1 with cipher DHE-RSA- AES256-SHA (256/256 bits)
C'est orange hein, faut pas en demander trop ... _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/