La Fibre
Fonctionnement du forum => A lire avant de commencer... => Discussion démarrée par: Hugues le 28 mars 2023 à 23:24:25
-
Vous m'avez manqué <3
Pour l'instant, lafibre.info est chez moi, dans mon bureau !
(https://lafibre.info/images/adeli/202302_28mars2023_serveur_lafibre.webp)
-
La raison de cette longue absence : https://lafibre.info/maxnod/28032023-incendie-dans-le-datacenter-maxnod/msg1009178/#msg1009178
-
Au top 8)
-
Bon courage pour la suite !
-
13H de downtime, bel exploit ! Bravo.
-
Je suis allé sauver le serveur des flammes au péril de ma vie !
(https://lafibre.info/images/adeli/202302_maxnod_incendie_28mars2023_interieur_12.webp)
La gueule de la salle serveurs :
(https://lafibre.info/images/adeli/202302_maxnod_incendie_28mars2023_interieur_01.webp)
(https://lafibre.info/images/adeli/202302_maxnod_incendie_28mars2023_interieur_02.webp)
Plus sérieusement, bravo aux pompiers qui ont sauvegardé la salle serveurs
-
Un grand merci à Hugues et toute l'équipe de MilkyWan qui ont fait un travail fantastique !
Et de nombreuses photos que Nico est en train de mettre dans un sujet dans la rubrique Maxnod.
-
Déjà de retour ! Merci les pompiers et toute l'équipe :)
-
Vous m'avez manqué <3
Je croivais que jamais je ne te reverrais :'(
-
Un grand merci à Hugues et toute l'équipe de MilkyWan qui ont fait un travail fantastique !
Franchement quand on a pu récupérer les serveurs, on a appelé deux membres de l'asso + deux abonnés (dont mattmatt que vous connaissez ici) qui sont venus direct nous préter main forte. On a déménagé une baie de 42U en moins d'une heure, câblage compris ! Ils sont au top :-*
-
Bravo pour le retour online !
-
On dirait que quelqu'un a stabiliser le serveur de base de donnée.
Félicitation pour le rétablissement rapide.
-
Il y avait des erreurs dans la base de données qui ont été corrigées.
Ce n'est pas inhabituel après un arrêt brutal.
-
Un grand merci à toi Hugues ainsi qu'à tout ceux qui t'ont aidé à déménager tout ça :)
Je n'oublie pas non plus les pompiers sans qui tout ce beau matos serait parti en fumée.
-
Franchement vous m'avez bluffé -> vu les photos, je m'attendais à un "outage" de plusieurs jours.
Bravo et merci pour le travail réalisé ;)
-
Vous m'avez manqué <3
Pour l'instant, lafibre.info est chez moi, dans mon bureau !
Un grand merci à Hugues et aux équipes.
Du coup, c'est le même serveur que vous avez nettoyé suffisamment pour le remettre en route?
Ou alors vous avez juste swappé le SSD sur un un autre serveur que vous aviez en stock?
Parce que ta photo du serveur montre de la suie sur la carte mère, c'est pas bon du tout.
(https://lafibre.info/images/adeli/202302_maxnod_incendie_28mars2023_interieur_13.webp)
Leon.
-
Bravo Hugues pour avoir sauvé le serveur et ses données, et sa remise en ligne rapide :)
Bon courage à l'équipe de Maxnod pour se relever après le sinistre.
-
Ou alors vous avez juste swappé le SSD sur un un autre serveur que vous aviez en stock?
C'est bien un swap du SSD dans un serveur de spare.
-
Nouveau serveur, le serveur ne semble par récupérable.
La partie arrière du serveur a reçu pas mal de suie via les aérations (donc une fois l'électricité coupée). C'est plus propre sur la face avant. Les fumées sont donc entrées par l'allée chaude.
Lionel avait mis des connexions d'air entre les parties du bâtiment, pour que l'air chaud de la salle informatique chauffe les bureaux. Il y avait donc un passage d'air entre la partie qui a brulé et la salle informatique, ce qui a permis à la suie de rentrer dès que les centrales d'air ont été coupées.
Si on regarde le serveur, les connecteurs Ethernet visible sur la photo sont parfaitement noirs, mais ce n'est pas du tout leur couleur, c'est métallique et devrait être de la même couleur que l'alimentation électrique.
Des parties sont propres comme là où il y a le radiateur ou l'alimentation, mais c'est, car il est en hauteur, la suie ne s'est pas déposée. Le plus fragile, la carte mère, en a pris un maximum.
-
Le gars à quand même le serveur lafibre.info sur son bureau :D 8)
Bravo à tous pour le retour en ligne ;D
-
13H de downtime, bel exploit ! Bravo.
En comptant une nuit. Félicitations à tous ! Et à Hugues et aux quatre qui sont intervenus en particulier.
-
Félicitations, belle performance de tous ceux qui ont contribué à ce rétablissement.
@vivien, tu n'as pas encore ouvert une cagnotte en ligne pour que les fans de ce lafibre.info puissent contribuer au remplacement du matériel perdu ?
-
La partie arrière du serveur a reçu pas mal de suie via les aérations (donc une fois l'électricité coupée). C'est plus propre sur la face avant. Les fumées sont donc entrées par l'allée chaude.
Lionel avait mis des connexions d'air entre les parties du bâtiment, pour que l'air chaud de la salle informatique chauffe les bureaux. Il y avait donc un passage d'air entre la partie qui a brulé et la salle informatique, ce qui a permis à la suie de rentrer dès que les centrales d'air ont été coupées.
Ce n'est pas très bon pour l'ensemble des serveurs de Maxnod, cela. Une leçon, en cas d'incendie, il faut pouvoir fermer, même manuellement, les ouvertures entre la salle informatique et les autres parties.
-
Félicitations, belle performance de tous ceux qui ont contribué à ce rétablissement.
@vivien, tu n'as pas encore ouvert une cagnotte en ligne pour que les fans de ce lafibre.info puissent contribuer au remplacement du matériel perdu ?
C'est une bonne idée, au profit de Hugues, qui a tout réalisé (aller chercher le serveur, fournir un serveur de remplacement, remise en place du nouveau serveur et qui va maintenant héberger le serveur et lui fournir toute la connectivité).
Situation jusqu'au 28 mars :
- Hébergement physique du serveur : Maxnod / Adeli
- IPv4 : MilkyWan (pour pouvoir gérer des attaques DDOS)
- IPv6 : Maxnod / Adeli
Situation depuis le 28 mars :
- Hébergement physique du serveur : MilkyWan
- IPv4 : MilkyWan
- IPv6 : MilkyWan
-
La raison de cette longue absence : https://lafibre.info/maxnod/28032023-incendie-dans-le-datacenter-maxnod/msg1009178/#msg1009178
Pas de fausse modestie, c'est une très belle performance vue la situation.
Bravo.
-
Vous m'avez manqué <3
Pour l'instant, lafibre.info est chez moi, dans mon bureau !
Ce que Hugues a oublié de dire ici, c'est que le nouveau serveur est actuellement dans un site avec liaisons en fibre noire redondantes, derrière onduleurs + groupe électrogène.
C'est au Datagarage / Netsyst.
https://lafibre.info/netsyst/datagarage/
https://lafibre.info/netsyst/groupe-electrogene-38kva/
C'est pas le bureau de M tout le monde! ;)
https://x.com/huguesdelamure/status/1640826891325112321
Forum @lafibreinfo de retour ! Hébergé chez #DataGarage sur mon bureau (ondulé + groupes + clim) jusqu'a déplacement dans un DC du coin dans qqs temps ;-)
Leon.
-
C'est une bonne idée, au profit de Hugues, qui a tout réalisé (aller chercher le serveur, fournir un serveur de remplacement, remise en place du nouveau serveur et qui va maintenant héberger le serveur et lui fournir toute la connectivité).
Situation jusqu'au 28 mars :
- Hébergement physique du serveur : Maxnod / Adeli
- IPv4 : MilkyWan (pour pouvoir gérer des attaques DDOS)
- IPv6 : Maxnod / Adeli
Situation depuis le 28 mars :
- Hébergement physique du serveur : MilkyWan
- IPv4 : MilkyWan
- IPv6 : MilkyWan
D'accord pour contribuer.
-
Oh c'est pas un R210II qui coute grand chose, j'en donnais a une époque (et c'est Gary/netsyst qui l'offre, pas moi)
Perso j'ai perdu un switch et un routeur (et encore, on va essayer de les nettoyer), y'en a pour moins de 1000 balles et c'était plus en prod (sauf pour lafibre.info) donc rien de bien grave
ce qui a le plus perdu dans l'histoire c'est mes poumons je pense, j'ai passé environ 2h dans le datacenter pour coordonner le dérackage et décâbler la baie (a la différence de mes collègues qui faisaient des aller/retour avec l'extérieur) et clairement c'était pas super sain comme atmosphère ^^ Je sais c'est mal mais a un moment faut faire des choix dans la vie :)
-
Salut et bravo pour la performance...
Pour info je bosse dans une boite d'électronique dans l'Ain, si tu as besoin d'un coup de main pour nettoyer tes cartes n'hésites pas, on sait faire !
-
Ah ben franchement je dis pas non clairement, on a pas beaucoup de pistes à ce sujet...
-
Ok on peut continuer en MP si tu le souhaites (ou ici...) pour la synchro logistique
-
Je reviens vers toi rapidement, on retourne au DC ce matin :)
-
Ok tiens moi au jus
-
Situation depuis le 28 mars :
- Hébergement physique du serveur : MilkyWan
- IPv4 : MilkyWan
- IPv6 : MilkyWan
Petite correction, l'hébergement c'est Netsyst/Gary, pas moi, ça a son importance ^^
-
En comptant une nuit. Félicitations à tous ! Et à Hugues et aux quatre qui sont intervenus en particulier.
10h-23h, pas de nuit la dedans ;)
-
Ce que Hugues a oublié de dire ici, c'est que le nouveau serveur est actuellement dans un site avec liaisons en fibre noire redondantes, derrière onduleurs + groupe électrogène.
Je me demande si, transitoirement (le temps de remettre en droit les deux FON qui allait à MXD) c'est toujours sécurisé côté fibre.
(oui, je pinaille là)
-
Oui la partie accès internet, c'est sécurisé : Orange en direct + FON SIEA vers Nexeren + L2L ielo vers Venissieux
Et on va ajouter un L2L Nexeren-Venissieux pour reconstituer un triangle assez rapidement sur la partie hébergement
-
Salut et bravo pour la performance...
Pour info je bosse dans une boite d'électronique dans l'Ain, si tu as besoin d'un coup de main pour nettoyer tes cartes n'hésites pas, on sait faire !
Il y a moyen de s’assurer qu’aucun dommage dû à la corrosion des suies ne se développera et limitera la durée de vie d’une machine quoi qu’il en soit ?
-
Non, la seule chose à faire c'est d'effectuer le nettoyage le mieux possible, avec les produits et le matériel adaptés.
Mais rien ne garantie la pérennité ni la fiabilité du matériel dans le temps, malheureusement... :(
-
Je me demande si, transitoirement (le temps de remettre en droit les deux FON qui allait à MXD) c'est toujours sécurisé côté fibre.
(oui, je pinaille là)
Oui la partie accès internet, c'est sécurisé : Orange en direct + FON SIEA vers Nexeren + L2L ielo vers Venissieux
Et on va ajouter un L2L Nexeren-Venissieux pour reconstituer un triangle assez rapidement sur la partie hébergement
Voilà la Weathermap de Netsyst, ça fait la gueule, mais il reste de la redondance de chemins, à la fois à Datagarage et à Nexeren.
https://as209097.net/?switchs
(https://lafibre.info/images/pro/202303_netsyst_wethermap_maxnod_down.webp)
Ce qui est intéressant c'est qu'on voit que la majorité du transit vers NetSyst vient désormais de MilkyWan.
En tout cas, c'est une belle infra à 3 sites redondés. Cet événement prouve la robustesse de l'infra.
Du coup, @Hugues, c'est possible de savoir comment tu fais arriver MilkyWan (AS2027) jusqu'au DataGarage, stp? Sur un VLAN (overlay VxLAN?) dédié sur l'infra NetSyst? Une sorte de Lan2Lan entre amis?
Leon.
-
Du coup, @Hugues, c'est possible de savoir comment tu fais arriver MilkyWan jusqu'au DataGarage, stp? Sur un VLAN (overlay VxLAN?) dédié sur l'infra NetSyst? Une sorte de Lan2Lan entre amis?
Lan2Lan entre venissieux et la maison + crossco a venissieux entre netsyst et MilkyWan
Pas spécialement entre amis, c'est un vrai Lan2Lan transportée sur la fabric VxLAN + EVPN que j'ai monté y'a un an pour netsyst
-
Ce qui est intéressant c'est qu'on voit que la majorité du transit vers NetSyst vient désormais de MilkyWan.
C'est lié au fait que Netsyst a perdu son france-ix et qu'on a un peering avec Online, NetSyst ayant beaucoup de serveurs chez eux historiquement
-
Voici la wethermap de MilkyWan :
(cliquer sur l'image pour zoomer)
(https://lafibre.info/images/associatif/202303_wethermap_milkywan.webp) (https://lafibre.info/images/associatif/202303_wethermap_milkywan.webp)
-
Bon c'est un peu de l'humour noir, mais perso je suis du genre a toujours rire de ce genre de situations, hier j'étais le seul dans le DC à faire des blagues en dérackant, j'espère que ça a un peu réchauffé l'ambiance :)
-
Bonjour,
le travail de fou, ont vois se qui aime leur métier,
-
Effectivement les remerciements sont nécessaires de même que la participation à la cagnotte si elle se fait. ;)
Même quand on est pas d'accord les discussions sont enrichissantes et c'est suffisamment rare pour valoir son pesant de suie, pardon d'or. :)
-
Merci Hugues ainsi qu'aux deux membres de l'asso et les deux abonnés venus aider pour votre réactivité !
Cela fait plaisir de revoir ce forum en route mais aussi l'entraide dans le domaine :)
-
Lionel avait mis des connexions d'air entre les parties du bâtiment, pour que l'air chaud de la salle informatique chauffe les bureaux. Il y avait donc un passage d'air entre la partie qui a brulé et la salle informatique, ce qui a permis à la suie de rentrer dès que les centrales d'air ont été coupées.
Je sais que c'est facile de faire du "yaka-fokon" après coup... mais même avec ce genre de montage, il est possible de faire une isolation coupe feu. Avec des clapets/registres aérauliques qui se ferment automatiquement en cas d'incendie, avec une très bonne résistance au feu.
C'est très utilisé dans les installations industrielles où les risques d'incendie sont élevés.
Leon.
-
Il y a moyen de s’assurer qu’aucun dommage dû à la corrosion des suies ne se développera et limitera la durée de vie d’une machine quoi qu’il en soit ?
Déjà pour limiter les dommages immédiats, ce serait bien d'enlever la pile CMOS, qui est toujours présente sur la photo.
Ensuite, je pense qu'il est plus prudent de remplacer l'alimentation dans tous les cas, compte tenu des tensions.
Les ventilateurs je ne sais pas, tout dépend s'ils sont étanches ou pas.
-
Le serveur est sous bonne garde...
(https://pix.milkywan.fr/1lgFXRbb.jpeg)
-
Trop mignon :)
Content d'avoir pu sauver ce serveur avec toi pour qu'il puisse servir temporairement de bouillotte aux chats de la maison 8)
-
Vous avez surtout sauvé le SSD, ce qui a permis de ne rien perdre et de reparti rapidement.
Le serveur là, c'est celui de NetSyst (quasiment identique).
Le mien, il est bon pour faire des expériences et voir s'il supporte un lavage à grande eau...
-
Coucou,
Je crois qu'on a perdu les notifications mail dans la bataille. Pas bien grave vu le contexte mais je le signale quand même. :)
-
Je crois qu'on a perdu les notifications mail dans la bataille. Pas bien grave vu le contexte mais je le signale quand même. :)
Niet!
J'en reçois.
-
Chez moi CPT les mails.
-
C'est de ma faute, le champ SPF qui définit quelles IP ont le droit d'envoyer des mails pour un nom de domaine n'avait pas été mis à jour (c'était l'IPv4 Adeli et l'IPv6 Adeli). C'est corrigé à l'instant, il faut peut-être attendre un peu pour que cela soit pris en compte.
Maintenant, je sais que c'est compliqué avec Gmail. J'ai entendu dans le cadre de mon travail des plaintes d'acteurs qui n'arrivent pas à envoyer des mails vers Gmail (je me souviens avoir répondu qu'ils devraient essayer de mettre de l'IPv6, Gmail étant un des rares acteurs à gérer l'IPv6 dans les mails).
Ma conf postftix à une dizaine d'années, il faudrait que je me remette sur le sujet. S'il y en a qui ont des compétences sur le sujet, je suis preneur.
Vivien
Outil de test : https://www.mail-tester.com/
Article NextINpact : https://www.nextinpact.com/article/71368/securite-emails-trop-peu-fr-sont-proteges-quid-quatre-fai-nationaux
Tuto NextINpact : https://www.nextinpact.com/article/30341/109074-emails-avec-spf-dkim-dmarc-arcet-bimi-a-quoi-ca-sert-comment-en-profiter
Recommandations Google : https://support.google.com/mail/answer/81126#authentication
-
[hs pb mail]
wanadoo a eu un problème avec un durcissement des demandes de sécurité de Gmail et pendant quelques jours les mail wanadoo étaient rejetés.
Le problème avait été corrigé.
Suivant le prestataire mail et l'évolution des politiques de sécurité, il peut être difficile d'envoyer vers Gmail par moments
[/hs pb mail]
-
C'est de ma faute, le champ SPF qui définit quelles IP ont le droit d'envoyer des mails pour un nom de domaine n'avait pas été mis à jour (c'était l'IPv4 Adeli et l'IPv6 Adeli). C'est corrigé à l'instant, il faut peut-être attendre un peu pour que cela soit pris en compte.
J'avais imaginé un truc du genre, c'est bien corrigé, j'ai reçu une première notification à l'instant (pour un autre sujet que celui-ci). Merci ! :)
-
Maintenant, je sais que c'est compliqué avec Gmail. J'ai entendu dans le cadre de mon travail des plaintes d'acteurs qui n'arrivent pas à envoyer des mails vers Gmail (je me souviens avoir répondu qu'ils devraient essayer de mettre de l'IPv6, Gmail étant un des rares acteurs à gérer l'IPv6 dans les mails).
Perso, j’ai plus de mal avec Microsoft qu’avec Gmail …
-
Idem. Jamais été embêté avec Gmail même lorsque mon serveur était configuré avec le cul, quand la configuration n'était pas terminée ;D Microsoft par contre, dans le spam d'en face systématiquement pendant au moins deux ans malgré inscription sur leurs listes censées faciliter la chose.
Effectivement en regardant mes logs ce matin, j'ai remarqué ça.
-
Vous envoyez vos mails en IPv6 ? ou IPv4 vers Gmail ?
Les acteurs qui se plaignaient de problème avec Gmail envoient des mails avec de l'IPv4.
Si on peut affirmer que Google est plus tolérant avec IPv6, on a trouvé une "kill-app" IPv6 pour les mails : ils mettront en place rapidement IPv6.
Hier, on m'a rapporté qu'un prof avait dit "On déploie principalement IPv6 pour faire plaisir à Google" (en parlant du web, pas du mail), cette phrase erronée pourrait devenir réalité pour le mail.
-
Vous envoyez vos mails en IPv6 ? ou IPv4 vers Gmail ?
Les deux, aucun problème, ni avec Gmail, ni Microsoft.
Encore faut il mettre en oeuvre ce qu'il est nécessaire. ( cf message un de mes messages concernant la messagerie et outils de tests.)
-
Il y avait des erreurs dans la base de données qui ont été corrigées.
Quel était ou est à ce jour la politique sauvegarde/backup du serveur ?
-
Mon serveur mail a IPv4 et IPv6, mais il reste une proportion de mails vers des fournisseurs qui ont de l'IPv6 qui partent en IPv4.
-
Quel était ou est à ce jour la politique sauvegarde/backup du serveur ?
Sauvegarde tous les 2 jours chez moi.
Script utilisé : Sauvegarde incrémentielle et différentielle d'un serveur (https://lafibre.info/ubuntu/sauvegarde-serveur/)
C'est un vieux PC dédié à cette tâche que je lance généralement le matin.
-
Les deux, aucun problème, ni avec Gmail, ni Microsoft.
Encore faut il mettre en oeuvre ce qu'il est nécessaire. ( cf message un de mes messages concernant la messagerie et outils de tests.)
Delivered-To: philippe.marques@marques.xxx
Received: by 2002:a17:906:3ad8:b0:946:c265:7798 with SMTP id z24csp290342ejd;
Thu, 30 Mar 2023 19:31:08 -0700 (PDT)
X-Google-Smtp-Source: AKy350avbfeEdp7fNp8jsxsjcrP+i33EV/MZG3dqSHDw4eU4SB3xUAtYex7h6Eg6haREwHrOl8GF
X-Received: by 2002:a17:906:25d5:b0:932:40f4:5c44 with SMTP id n21-20020a17090625d500b0093240f45c44mr25261075ejb.36.1680229868237;
Thu, 30 Mar 2023 19:31:08 -0700 (PDT)
ARC-Seal: i=1; a=rsa-sha256; t=1680229868; cv=none;
d=google.com; s=arc-20160816;
b=sJUhQWp0fOcT5TSkkVWHWeHpXyf0mdgfSZbhU7AZTxNCCWwMmyE7PJFojU+Pv63HX1
0M3L1J2s43P8IvxwMIyvX5HHovCrJU/iZqdHMvyJFkT+i8gb+jFi5NRKjV5l7cULnsFx
UQUw91eem5qjdPVEGNmcxB/YKIkF3G5b1fj0HjhMbshzHBYDBbzFM3m2TEmJfajiJvMU
1heC9AiWNC6zHQPZ6BUPZIYe1bJdz6oeRoeTbA3wxZehXIMqHHKE4r/GjaEPJx5f6hD/
SWmnvGoeAb6X3/JP+7qK25mx5S1wFBDlrb9A9c0111Z348lMjeCCOOqFhvyL4gjgPGXE
LUog==
ARC-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20160816;
h=thread-topic:thread-index:mime-version:subject:message-id:to:from
:date:dkim-signature:dkim-filter;
bh=9EDiGXVp5eN62bdXh/4rY2cjf8+ZCR6ABKb9x3f7B7w=;
b=qRjr+j5iah/cw2XX/8JMPbMKH0SnBRHaEOrI+seGXz2VVIjCwJ7jZP52tB22CTMOFP
TtshQDiPB0Y1mPZO43qVhTesCN1q7228W4nK0QWe49aTAYcXHVzNoLEvSn7cuz8/d0ll
IpQaikiqWEPWkqIPi6KN/okgG2UZNinu4HcwcTdKedc+31m6baoEUNuko54pNRCTg60W
wN/afDThEyLakBJ0JRQcLoo2z/5SIk/EWlyfhmCpDk1+dkGsJxyoa+X4UPjwYU0HwigQ
0a+3xBAo8cXuEQedG1e0Vp3JPY+23+1cLieM1CtzytlEX7UoFGM5eNn5sDqNGk7k5m+h
3SvA==
ARC-Authentication-Results: i=1; mx.google.com;
dkim=pass header.i=@marques.xxx header.s=81AD337C-EF0E-11EA-BC0A-EFF489716FD9 header.b="jG/zB+n/";
spf=pass (google.com: domain of philippe.marques@marques.xxx designates xxx.xxx.xxx.xxx as permitted sender) smtp.mailfrom=philippe.marques@marques.xxx;
dmarc=pass (p=REJECT sp=REJECT dis=NONE) header.from=marques.xxx
Return-Path: <philippe.marques@marques.xxx>
Received: from mail.marques.xxx (mail.marques.xxx. [XXX.XXX.XXX.XXX])
by mx.google.com with ESMTPS id hx22-20020a170906847600b00939fc1918e2si925923ejc.639.2023.03.30.19.31.08
for <philippe.marques@marques.xxx>
(version=TLS1 cipher=ECDHE-ECDSA-AES128-SHA bits=128/128);
Thu, 30 Mar 2023 19:31:08 -0700 (PDT)
Received-SPF: pass (google.com: domain of philippe.marques@marques.xxx designates XXX.XXX.XXX.XXX as permitted sender) client-ip=XXX.XXX.XXX.XXX;
Authentication-Results: mx.google.com;
dkim=pass header.i=@marques.xxx header.s=81AD337C-EF0E-11EA-BC0A-EFF489716FD9 header.b="jG/zB+n/";
spf=pass (google.com: domain of philippe.marques@marques.xxx designates XXX.XXX.XXX.XXX as permitted sender) smtp.mailfrom=philippe.marques@marques.xxx;
dmarc=pass (p=REJECT sp=REJECT dis=NONE) header.from=marques.xxx
Received: from localhost (localhost [IPv6:::1]) by mail.marques.xxx (Postfix) with ESMTP id 4E9AE13F767 for <philippe.marques@marques.xxx>; Fri, 31 Mar 2023 04:30:59 +0200 (CEST)
Received: from mail.marques.xxx ([IPv6:::1]) by localhost (mail.marques.xxx [IPv6:::1]) (amavisd-new, port 10032) with ESMTP id 3hpzFrTrcKxm for <philippe.marques@marques.xxx>; Fri, 31 Mar 2023 04:30:53 +0200 (CEST)
Received: from localhost (localhost [IPv6:::1]) by mail.marques.xxx (Postfix) with ESMTP id 038AD13F76F for <philippe.marques@marques.xxx>; Fri, 31 Mar 2023 04:30:53 +0200 (CEST)
DKIM-Filter: OpenDKIM Filter v2.10.3 mail.marques.xxx 038AD13F76F
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=marques.xxx; s=81AD337C-EF0E-11EA-BC0A-EFF489716FD9; t=1680229853; bh=9EDiGXVp5eN62bdXh/4rY2cjf8+ZCR6ABKb9x3f7B7w=; h=Date:From:To:Message-ID:MIME-Version; b=jG/zB+n/T+/IuW9o/dTtlxOWcePOnWVsIXl3z9862WidCSD0cLnvM6aQqqPKp6eiE
XaDmaQBLwpjt6FiYMZnwbQOHoPZ4Sg++QJmjt0Q7HQThFhhLGhNEITy56pNE0mWyza
8++bQb03QwAQLXTHdPWR3VvOqh21CU0Gpko1rArgDouq/dPZp8hBuxSerfeenO/obl
E/fpgtCcOZBsDA7+MVyzgUmXJ9NzJux9+cYtqSp5Yy1U5UntWINqSrMyacnCfru+ra
1yg1G1wSII3Fl8Pa2qfH+VzhlcgqdC83vL2d+pUpU879s05XMWX55abL6gqlX96p8F
y1hnW90OaMDSg==
X-Virus-Scanned: amavisd-new at mail.marques.xxx
Received: from mail.marques.xxx ([IPv6:::1]) by localhost (mail.marques.xxx [IPv6:::1]) (amavisd-new, port 10026) with ESMTP id 5iJsX-Sefq-y for <philippe.marques@marques.xxx>; Fri, 31 Mar 2023 04:30:51 +0200 (CEST)
Received: from mail.marques.xxx (localhost.localdomain [127.0.0.1]) by mail.marques.xxx (Postfix) with ESMTP id C9D9113F767 for <philippe.marques@marques.xxx>; Fri, 31 Mar 2023 04:30:51 +0200 (CEST)
Alors je me suis permis d'aller voir ta config, car j'héberge à titre perso un serveur de mail et j'ai toujours eu des difficultés avec Microsoft, je passe désormais par un relais SendGrid, c'est bien moins prise de tête vu le faible usage que j'en ai.
Tu as pris soin de masquer l'extension de ton NDD, mais c'est facilement récupérable via les données du RIPE...
Tout est géré par les Googles Apps, et ton MX personnel hébergé sur ton adresse IP Free (dont le reverse n'est pas bon, donc tu te fais jeter par n'importe quel serveur ayant une config configurée au minimum) a la priorité la plus faible (ce qui est logique puisque le port 25 ne répond pas ...). Pas de config DMARC également...
Tu m'étonnes de n'avoir aucun problème, tu payes simplement Gsuite.
-
Vous envoyez vos mails en IPv6 ? ou IPv4 vers Gmail ?
Les acteurs qui se plaignaient de problème avec Gmail envoient des mails avec de l'IPv4.
Si on peut affirmer que Google est plus tolérant avec IPv6, on a trouvé une "kill-app" IPv6 pour les mails : ils mettront en place rapidement IPv6.
Hier, on m'a rapporté qu'un prof avait dit "On déploie principalement IPv6 pour faire plaisir à Google" (en parlant du web, pas du mail), cette phrase erronée pourrait devenir réalité pour le mail.
Je me permets une réponse qui peut être intéressante : j'ai mis en place IPv6 sur mon serveur mail perso via un tunnel VPN et j'ai l'impression que Google aime bien l'IPv6. Pire, j'ai actuellement un conflit entre mon tunnel VPN et mon conteneur LXC qui choppe une adresse IPv6 de mon routeur et mon serveur mail envoie avec cette adresse au lieu de celle du VPN : la conséquence est que Google bloque mes mails, car mauvaise adresse IPv6.
C'est assez récent, mais bon à savoir !
(Mon tunnel va être remplacé par une VM avec une IP dédiée donc plus de conflit)
-
Tu as pris soin de masquer l'extension de ton NDD, mais c'est facilement récupérable via les données du RIPE...
Tout est géré par les Googles Apps, et ton MX personnel hébergé sur ton adresse IP Free (dont le reverse n'est pas bon, donc tu te fais jeter par n'importe quel serveur ayant une config configurée au minimum) a la priorité la plus faible (ce qui est logique puisque le port 25 ne répond pas ...). Pas de config DMARC également...
Tu m'étonnes de n'avoir aucun problème, tu payes simplement Gsuite.
Analyse partielle, sur 1 de mes domaines, celui de réception, qui effectivement est sur gsuite, donc chez gmail, et qui réceptionne bien un mail, d'une autre de mes domaines.
Donc si tu es étonné que je n'ai pas de problème sur gsuite,et donc chez Google j'en suis ravi.
Analyse partielle, conclusion partielle.
-
J'ai toujours de trés nombreux mails qui me retournent "Mail rejected. SPF check failed." ou "Recipient address rejected: Message rejected due to: SPF fail - not authorized."
Voici mon SPF :
v=spf1 a mx ip4:80.67.167.77 ip6:2a0b:cbc0:10:1af1:b2e::42 include:mx.ovh.com -all
80.67.167.77 / 2a0b:cbc0:10:1af1:b2e::42 étant les IP utilisées par l'envoi de mail par le forum.
J'ai aussi besoin de mx.ovh.com quand les mais sont envoyés par OVH.
Si vous avez une idée...
Étant donné que les IP du serveur sont dans la a / aaaa, il me semble qu'il doit être possible de supprimer ip4:80.67.167.77 ip6:2a0b:cbc0:10:1af1:b2e::42 c'est peut-être redondant, mais cela ne devrait pas dégrader la situation.
Cela autorise 7 IPv4 et 2 IPv 6 (qui sont identiques)
-
Je viens de simplifier pour limiter les IP autorisées :
v=spf1 ip4:80.67.167.77 ip6:2a0b:cbc0:10:1af1:b2e::42 include:mx.ovh.com -all
Avant le changement du serveur j'étais sur ce type de config.
Cela autorise 3 IPv4 et 1 IPv 6
-
Il y a "none" à la vérification DMARC, as-tu créé/actualisé l'enregistrement ? Tu as le seul domaine qui donne ça (j'ai "pass" avec les autres aussi loin que va le journal). Avec dig, je n'en trouve aucun dessus. Je reçois quand même tes mails, mais ça doit dépendre de la configuration opendmarc sur absence d'enregistrement. Je vais d'ailleurs devoir regarder pourquoi ça accepte les mails venant de domaine sans enregistrement valide, ce n'est peut-être pas optimal.
-
Je n'avais pas de DMARC avant (c'est dans ma todo liste).
Mon hypothèse est que l'augmentation du nombre d'IP autorisée n'a pas été apprécié, d'où mon retour à la configuration avec 3 IPv4 + 1 IPv6.
-
Je suis surpris, sans directive sur que faire d'un mail venant d'une IP interdite par le SPF, je pensais que le serveur de réception serait paumé et que c'est ça qui expliquait le résultat aléatoire. Je ne pensais pas que les mails d'un domaine sans DMARC pouvaient fonctionner durablement.
-
J'ai toujours des erreurs de SPF (plus avec Google qui est en IPv6).
Mon serveur a une IPv4 10.1.1.62 avant d'avoir son IPv4 publique 80.67.167.77
Voici le fichier /etc/network/interfaces :
auto lo
iface lo inet loopback
post-up ip addr add 80.67.167.77/32 dev lo
auto eth0
iface eth0 inet static
address 10.1.1.62/30
gateway 10.1.1.61 src 80.67.167.77
iface eth0 inet6 static
address 2a0b:cbc0:10:1af1:b2e::42/64
gateway 2a0b:cbc0:10:1af1:b2e::1
dns-nameservers 2a0b:cbc0:42::42 2001:4860:4860::8888
Il faudrait que je rajoute 10.1.1.62 dans le SPF ?
-
si tu tcpdump, tu sors avec quelle ip tes mails ? normalement la .77
-
Je vais regarder, en attendant, je vais demande plus de souplesse pour les mails et certains pouraient ne plus rejetter le SPF qui ne correspond pas, j'ai demandé le "safe mode"
SPF avant :
600 IN TXT "v=spf1 ip4:80.67.167.77 ip6:2a0b:cbc0:10:1af1:b2e::42 include:mx.ovh.com -all"
SPF modifié à l'instant :
600 IN TXT "v=spf1 ip4:80.67.167.77 ip6:2a0b:cbc0:10:1af1:b2e::42 include:mx.ovh.com ~all"
(https://lafibre.info/images/ovh/202304_ovh_spf.webp)
-
Vous m'avez manqué <3
Pour l'instant, lafibre.info est chez moi, dans mon bureau !
Bravo à toi et à Milkywan ! ;)
-
Problématique des mails envoyés en IPv4 résolue
La cause ?
L'utilisation d'un mauvais DNS !
En effet, j'utilisais un DNS qui fait du DNS64 et qui répond un AAAA à tous les domaines IPv4 only, y compris les MX.
L'IPv6 est renvoyé vers une plateforme NAT64 MilkyWan qui a une autre adresse IPv4 que celle du SPF, d'où le refus.
Je suis repassé sur un DNS standard et un SPF strict :
600 IN TXT "v=spf1 a include:mx.ovh.com -all"
-
Les mails sont envoyés et reçus via un relai OVH ?
C'est moche, en plus ils ne savent pas faire de v6.
-
L'IPv6 est renvoyé vers une plateforme NAT64 MilkyWan qui a une autre adresse IPv4 que celle du SPF, d'où le refus.
Une solution alternative serait de mettre l'adresse IPv4 de la passerelle NAT64 dans ton record SPF.
-
Une solution alternative serait de mettre l'adresse IPv4 de la passerelle NAT64 dans ton record SPF.
Dans ce cas-là je n'ai pas de reverse-DNS qui correspond (je ne sais pas si c'est encore important de nos jours, il y a 10 ans, cela l'était)
Les mails sont envoyés et reçus via un relai OVH ?
C'est moche, en plus ils ne savent pas faire de v6.
Non, les mails sont envoyés par le forum, directement en IPv6 quand c'est possible.
Par contre, quand j'envoie des mails @lafibre.info via Thunderbird, c'est avec les MX OVH, mais je vais devoir changer ça pour rajouter DKIM.
-
Depuis l'incident, je ne reçois plus les mails de notification.
-
Oui, les serveurs de mails qui sont en IPv4 only ne fonctionnement toujours pas (ok en IPv6).
Maintenant, postfix utilise bien l'IPv4 du forum, sauf qu'elle a une protection anti-DDOS qui a pour effet collatéral de bloquer les mails.
Hugues va trouver une solution...
-
Hugues va trouver une solution...
Passez vos serveurs mails en IPv6, la vie n'en sera que plus belle :D
-
Non, les mails sont envoyés par le forum, directement en IPv6 quand c'est possible.
Ton SPF indique le contraire.
-
Étant donné que les IP du serveur sont dans la a / aaaa, il me semble qu'il doit être possible de supprimer ip4:80.67.167.77 ip6:2a0b:cbc0:10:1af1:b2e::42 c'est peut-être redondant, mais cela ne devrait pas dégrader la situation.
La réponse était deux pages avant.
-
Hugues va trouver une solution...
Hugues a trouvé la solution. Les mails en attente (environ 200 mails), sont en train de partir (et sans problème sur le SPF)
(https://lafibre.info/images/stats/202304_lafibre_postfix_mailqueue.webp)
-
Je n'avais pas de DMARC avant (c'est dans ma todo liste).
Pas de raison que cela change, cela va rester dans ta todo liste, au fin fond des tâches à procrastiner bien fort, tant que ça marche.
-
On est revenu dans la situation qu'on avait avant l'incendie pour les mails :
(https://lafibre.info/images/stats/202304_lafibre_postfix_mailqueue2.webp)
DMARC va être rajouté, mais après le passage du forum en version 2.1.x
-
Pour pinailler, il reste à mettre à jour les mentions légales pour le volet hébergeur : https://lafibre.info/forum/mentions-legales/ (https://lafibre.info/forum/mentions-legales/)
-
Exact !
C'est modifié.
-
Le serveur après être resté plus d'un mois sur le bureau de Hugues a été déplacé en datacenter cet après-midi.
Le choix de Hugues s'est porté sur Hostelyon ( https://www.hostelyon.fr/ ) qui permet d'avoir plus de capacité réseau que DataGarage.
Le serveur est maintenant connecté à Internet à 20 Gb/s (agrégation de 2 x 10 Gb/s). L'unique but de cette bande passante est de pouvoir gérer plus facilement les DDOS.
Pour information, le serveur était connecté avec 1 Gb/s depuis le 5 octobre 2011 (entre le 1er mars 2007 et le 5 octobre 2011 le débit était de 100 Mb/s).
L'IPv6 a changé pour indiquer lafibre.info en hexadécimal : 2a0b:cbc0:10:1af1:b2e::1f0
Un grand merci à Hugues, mais aussi NetSyst pour le serveur et les différentes personnes de MilkyWan qui sont intervenus que ce soit pour la mise en place d'une page informant des travaux ou pour le nettoyage du SSD.
Le serveur était pendant 6 semaines sur le bureau de Hugues :
Vous m'avez manqué <3
Pour l'instant, lafibre.info est chez moi, dans mon bureau !
(https://lafibre.info/images/adeli/202302_28mars2023_serveur_lafibre.webp)
-
Je ferais une photo quand il sera racké définitivement, je n'avais pas les bons rails avec moi :/
-
À noter que si le SSD mis en place en 2016 (cf Le SSD de LaFibre.info (https://lafibre.info/evolution/ssd-lafibre-info/)) a été conservé, le serveur a été changé (merci à NetSyst pour le serveur).
C'est toujours un Dell R210 II, mais la configuration évolue :
- CPU + 0,1 Ghz : Xeon E3-1230 V2 - 4 cœurs HT à 3,3 Ghz ⇒ Xeon E3-1240 V2 - 4 cœurs HT à 3,4 Ghz
- RAM + 8 Go : 16 Go de DDR3 ⇒ 24 Go de DDR3
- Réseau + 2x10 Gb/s : 2 x 1 Gb/s NetXtreme II BCM5716 intégré ⇒ 2 x 1 Gb/s NetXtreme II BCM5716 intégré + carte fille 2 x 10 Gb/s Intel 82599ES 10-Gigabit SFP+
C'est surdimensionné, mais c'est bien pratique d'avoir du CPU, RAM et réseau de réserver pour gérer les attaques.
J'ai mis à jour le sujet qui historise ce qui est fait pour l'hébergement du forum : Historique de LaFibre.info (https://lafibre.info/forum/historique/msg1015775/#msg1015775)
-
L'IPv6 a changé [...]
Pourquoi spoiler volontairement ce charmant détail au lieu de laisser les habitués du forum le découvrir ? :-)
-
est qu'il est encore dans ton bureau le serveur ?
et comment tu fais avec le bruit ?
-
Exact !
C'est modifié.
salut, tu as oublié la page d'accueil
bonne journée
-
est qu'il est encore dans ton bureau le serveur ?
Selon toi ?
Le serveur après être resté plus d'un mois sur le bureau de Hugues a été déplacé en datacenter cet après-midi.
-
Selon toi ?
il n'y est plus donc mais dans quel datacenter ?
-
il n'y est plus donc mais dans quel datacenter ?
Tu le fais exprès ? C'est une caméra cachée ?
Le choix de Hugues s'est porté sur Hostelyon ( https://www.hostelyon.fr/ ) qui permet d'avoir plus de capacité réseau que DataGarage.
Fais un effort, vraiment.
-
Tu le fais exprès ? C'est une caméra cachée ?
Fais un effort, vraiment.
j'essayerais peut être et aucune caméra cachée
-
Était-ce bien utile de déterrer un sujet après 6 mois pour poser une question qui est dans le sujet ?