[FRsAG] Postfix et TLS. Comment bien paramétrer ses ciphers ?

SERRUT Arnaud qqqrno at gmail.com
Mer 13 Mai 16:41:42 CEST 2020


Bonjour,

C'est avec ce genre d'arguments que chez nous on a notre donneur d'ordre
qui nous dit :
" pourquoi prendre la peine de redonder le réseau si de toute façon ils ont
pas mis leurs équipements sur onduleur ?

De leur côté je soupçonne fortement qu'ils se disent :
"Pourquoi prendre la peine de mettre des onduleurs si ils ont pas mis
quelque chose d'aussi simple que de redonder le réseau ?

Au final on se retrouve avec certains équipements critiques :
- 1: sans onduleurs
- 2 : pas de chemin réseau redondants

Il faut bien commencer quelque part, que soit la partie la plus essentielle
ou la partie la plus simple/ moins chère.
L'excuse du "je le fais pas parce qu'une autre partie qui n'a rien a voir
n'est pas faite", je pense pas qu'elle soit intégrée dans l'amélioration
continue

Arnaud

Le mer. 13 mai 2020 à 15:58, Guy Larrieu via FRsAG <frsag at frsag.org> a
écrit :

> Bonjour,
>
> En effet, ça ne te sert à rien à toi. Par contre, ça serait utile à tes
> clients, ça éviterait qu'ils aient des mails en clair qui se baladent
> sur Internet. C'est utile directement si quelqu'un écoute le réseau et
> indirectement parce que ça augmente le flux chiffré général de ce qui
> sort de son tuyau.
>
> Je n'y connais rien en fax, mais il m'étonnerait que ce soit les mêmes
> techniques ou entités qui puissent écouter ces deux réseaux, donc
> chiffrer l'amont est toujours intéressant.
>
> Et dans tous les cas, TLS est tellement facile à mettre en place de nos
> jours sur la plupart des serveurs de messagerie que j'ai du mal à voir
> le gain de ne pas le faire. C'est ce qu'on appelle par chez moi une
> économie de bout de chandelle.
>
> En tout cas, j'appelle de mes vœux une prise en compte du TLS et de sa
> version dans la notation des mails, ça ferait en effet bouger les
> lignes.
>
> Guy.
>
>
> Le 2020-04-06 16:54, Alexis a écrit :
> > Bonjour tout le monde,
> >
> > Répondre me démangeait depuis le début de ce thread, je saute le pas
> > (et le ton sera volontairement provocateur, en plus !)
> > Ce sera a double tranchants, soit j'apporterai ma pierre à l'édifice
> > soit je serai trainé devant la justice pour l'infamie mise en place
> > sur certains de mes serveurs.
> >
> > Contexte : j'ai développé des services de mail2fax. Des clients
> > envoient des e-mails vers <numéro destinataire>@mon-tld, je converti
> > ça en fax et hop, j'envoie ça au destinataire.
> > Sur le serveur SMTP mis en place pour ça, y'a QUE du SMTP non
> > authentifié. Pas de TLS, même pas de SSL. Rien, juste du SMTP en
> > clair.
> >
> > "Olala il a mal fait son travail, mort au roi !"
> >
> > Sauf que dans mon cas, je m'en fiche un peu ! Pourquoi je
> > m'emmerderais à mettre du TLS sur mon postfix ? Le risque est ou ?
> >
> > La chose la plus sensible de l'e-mail, c'est la pièce jointe qui sera
> > transmise ensuite par fax. Mais du coup, comme la partie la moins
> > sécurisée est l'envoi du fax lui-même, implémenter TLS c'est fermer
> > une fenêtre mais laisser la porte grande ouverte. L'implémenter ne
> > serait pas pire, mais ça n'améliorerait pas non plus la situation,
> > honnêtement.
> >
> > Du coup, DMARC/DKIM/SPF sont déclarés pour mon fax2mail/mail2fax parce
> > que ça améliore ma note de SPAM, mais tant que les providers de
> > comptes e-mails ne me pénaliseront pas sur le fait que je ne fais que
> > du non-chiffré sur ce service précis, bah je ne passerai pas plus de
> > temps de mon côté.
> > Le jour ou Google et Microsoft (parce que ce sont eux qui font tourner
> > le monde des e-mails, grosso modo) décideront de me coller un malus,
> > j'y jetterai un oeil.
> >
> > (si vous avez des arguments contre, je suis preneur quand même :p)
> >
> > Alexis
> >
> > Le 03/04/2020 à 12:53, Jonathan Leroy - Inikup via FRsAG a écrit :
> >> Salut,
> >>
> >>
> >> Le ven. 3 avr. 2020 à 12:06, P. MARCHAND <kikadisa at gmail.com> a écrit
> >> :
> >>> Sauf que j'avoue être confronté à l'interopérabilité avec les
> >>> serveurs SMTP tiers.
> >>> J'ai pris la décision de "respecter" certains standard et actes
> >>> conseillé, cependant je crois que cela est un poil barbare.
> >> Il y a 2-3 ans, j'ai tenté la même chose sur une partie de mon infra :
> >> j'ai très rapidement dû faire un rollback devant l'état catastrophique
> >> des configurations TLS de la plupart des serveurs SMTP.
> >>
> >> C'est triste à dire, mais ça va sûrement se terminer comme pour HTTPS
> >> : un beau jour Google, Yahoo! et Microsoft vont décréter que leurs
> >> serveurs ne parleront plus avec ceux n'ayant pas une configuration TLS
> >> valide et moderne. Et alors en 6 mois 90 % des serveurs SMTP de la
> >> planète seront mis à jour.
> >>
> >> En l'état actuel des choses, activer une configuration TLS "moderne"
> >> en SMTP c'est forcer une bonne partie des mails à transiter en clair,
> >> malheureusement.
> >>
> > _______________________________________________
> > Liste de diffusion du FRsAG
> > http://www.frsag.org/
> _______________________________________________
> Liste de diffusion du FRsAG
> http://www.frsag.org/
>
-------------- section suivante --------------
Une pièce jointe HTML a été nettoyée...
URL: <http://www.frsag.org/pipermail/frsag/attachments/20200513/5f8135b7/attachment-0001.htm>


Plus d'informations sur la liste de diffusion FRsAG