La Fibre
Fournisseurs d'accès à Internet fixe en France métropolitaine => Orange / Sosh => 
Actus Orange => Discussion démarrée par: nicox11 le 21 février 2021 à 19:26:11
-
Hors sujet extrait su sujet Neutralité du net et blocage port 53 chez SFR (https://lafibre.info/4g-sfr/neutralite-du-net-et-blocage-port-53-chez-sfr/)
Je relance un peu le sujet : le problème est toujours d'actualité chez SFR Mobile, le port 53 est filtré pour certaines utilisations, et le traffic passant dessus semble analysé.
Malgré un signalement à l'ARCEP, pas de nouvelles...
Orange bloque le port 25 (SMTP) depuis des années et n'a pas à s'inquiéter de quoi que ce soit par rapport à la neutralité du net.
Donc je pense que c'est un combat perdu (malheureusement) d'avance, et que l'ARCEP n'y pourra pas grand chose.
Qu'on m'en prouve le contraire et j'en serais bien content. Pour le moment, toujours impossible d'utiliser ce port chez Orange, ce que je trouve inadmissible.
-
Le port 25 est bloqué chez Orange en IPv4 seulement. En IPv6, c'est ok.
-
Le blocage du port 25, c'est une bonne pratique afin de bloquer le SPAM.
Citation de Wikipedia:
En 2006, l'AFA recommande aux fournisseurs d'accès internet (FAI) de bloquer les paquets TCP/IP sortant à destination du port 25. L'idée développée est qu'« un utilisateur résidentiel ne devrait pouvoir émettre ses messages électroniques que via le serveur de son fournisseur de messagerie électronique. »
À l'époque entre 50 % et 80 % du spam était généré par des ordinateurs infectés.
En France et au Canada, les principaux FAI ont suivi cette recommandation : Orange, Bell, Videotron et CCAPcable bloquent le port 25 depuis juin 2007, Free depuis décembre 2006 (c'est une option, le blocage peut être désactivé), AOL depuis 2003.
La pratique aujourd'hui est la soumission du message par l'utilisateur au serveur de messagerie en utilisant du SMTP authentifié (port 587). Le port 25 sert uniquement aux serveurs SMTP entre eux.
Source : Page SMTP de Wikipédia (https://fr.wikipedia.org/wiki/Simple_Mail_Transfer_Protocol)
Sur le fixe tous les opérateurs bloquent le port 25 par défaut (certains comment Bouygues / Free permettent de désactiver ce blocage dans l'interface de la box)
Sur le mobile, le risque est plus faible (seulement le partage de connexion).
Cela ne devrait pas poser de problème car:
- Les SMTP des l'béergeurs de mails proposent un autre port : Port TCP 465 (chiffrement implicite) ou port 587 (chiffrement explicite)
- L'envoi direct de mail (ton propre SMTP sur ta machine) ferait que les messages seraient supprimés par les destinataire comme étant du SPAM
-
"un utilisateur résidentiel ne devrait pouvoir émettre ses messages électroniques que via le serveur de son fournisseur de messagerie électronique"
Pourquoi ? Pourquoi ne puis-je pas faire un serveur mail ?
Juste parce que c'est difficile de bloquer le vrai spam ?
Pourquoi ne pas bloquer tor vu que c'est utilisé par des spammer/criminel si on va dans ce sens...
Bonne nouvelle pour IPv6 en tout cas...
-
Si tu fais ton propre serveur mail sur ta co perso, à moins que tu puisses personnaliser le reverse DNS de tes IPv4 et IPv6 tu vas te faire jeter par tous les serveurs de mail pour SPAM
Il faut que le champ MX des DNS colle avec le reverse DNS de l'IP du serveur mail, il faut donc pouvoir le personnaliser. Chez les big4 seul Free le propose, en xDSL, et sur leur ancienne infra (pas la nouvelle en IPv6 natif).
A l'époque des vers émetteurs de SPAM c'était une nécessité de bloquer le port 25. Si tu veux envoyer des mails via le port 25 il faut utiliser le SMTP de ton FAI (ce qui est une très mauvaise chose à faire si tu utilises une autre boîte que celle fournie par ton FAI). Mais en SMTP chiffré, aucun soucis.
Chez Orange et Free tu peux débloquer le port 25 dans la box (le port est bloqué par la box, pas par le réseau de l'opérateur).
Sur le mobile je n'ai jamais testé de blocage de ports 25, c'est peut-être bloqué ou peut-être pas, mais de toute manière le port 25 en 4G n'a aucun intérêt.
Autant ça m'emmerde dès qu'un port est bloqué, autant le port 25 c'est totalement compréhensible.
-
On dévie du propo initial, j'en suis désolé. Mais je suis pas convaincu par vos réponse, ça pourrait mériter un autre sujet (ou non).
-
Même avec un reverse DNS, les opérateurs déclarent les plages IP des clients grand public et derrière c'est directement considéré comme du SPAM même si tout le reste est ok.
-
Même avec un reverse DNS, les opérateurs déclarent les plages IP des clients grand public et derrière c'est directement considéré comme du SPAM même si tout le reste est ok.
C'est quand même bizarre d'interdire à un client d'avoir son serveur de mail personnel.
Avec K-net, je peux configurer mon reverse PTR personnalisé. J'ai déclaré dans mon DNS du DKIM, DMARK et SPF.
-
Encore une fois, il faut voir les abonnés dans leur ensemble. Evidemment, vous êtes un public averti.
Mais vous êtes loin d'imaginer les merdes que se trainent certains abonnés, du fait que leurs machines sont infectées, que le port de partage Windows soit accessible, que le port 25 est grand ouvert pour faire relay, etc. D'où le filtrage. Et c'est un mal nécessaire quand les GAFAM te blacklistent toute la plage IP.
Pensez toujours que votre voisin d'IP n'est pas aussi clean que vous. ;)
-
Encore une fois, il faut voir les abonnés dans leur ensemble. Evidemment, vous êtes un public averti.
Mais vous êtes loin d'imaginer les merdes que se trainent certains abonnés, du fait que leurs machines sont infectées, que le port de partage Windows soit accessible, que le port 25 est grand ouvert pour faire relay, etc. D'où le filtrage. Et c'est un mal nécessaire quand les GAFAM te blacklistent toute la plage IP.
Pensez toujours que votre voisin d'IP n'est pas aussi clean que vous. ;)
Moi je suis toujours partisan du facultatif. A savori bloquer de base pour la sécurité, pourquoi pas, mais laisser le choix de le debloquer au "public averti" qui veut pouvoir utiliser 100% de sa connexion.
C'est comme IPv6, je suis pour un firewall qui bloque les connexions entrantes de base, mais laisser le choix à l'utilisateur de le désactiver (cf https://lafibre.info/ipv6/ipv6-le-firewall/ ). Et la aussi tout le monde n'est pas d'accord, mais je ne vois aucun problème a donner le choix à l'utilisateur (tout le monde est content).
-
C'est comme IPv6, je suis pour un firewall qui bloque les connexions entrantes de base, mais laisser le choix à l'utilisateur de le désactiver (cf https://lafibre.info/ipv6/ipv6-le-firewall/ ). Et la aussi tout le monde n'est pas d'accord, mais je ne vois aucun problème a donner le choix à l'utilisateur (tout le monde est content).
Et si ton utilisateur final "qui s'y connait" fait n'importe quoi tu fais quoi ? résiliation de l'abonnement pour faute ?
-
Et si ton utilisateur final "qui s'y connait" fait n'importe quoi tu fais quoi ? résiliation de l'abonnement pour faute ?
Il a déjà les moyens de faire n'importe quoi.
-
C'est sur, que cela serait mieux de proposer une case pour désactiver le blocage du port 25, comme le proposent Free et Bouygues Telecom. De mémoire quand cela a été mis en place chez Orange, les box n'avaient pas la capacité de le faire, d'où un filtrage sur le réseau. Depuis les box ont évoluées, c'est vrai qu'il serait peut-être possible de revoir la solution technique pour la mettre dans la box.
Le filtrage s’enlève facilement sur la Bbox (c'est d’ailleurs pour moi un modèle en terme de fonctionnalité réseau la Bbox, ils ont dépassé Free pour le réseau - même si Free reste le premier avec les fonctionnalités type NAS)
(https://lafibre.info/images/bbox_fibre/202102_bbox_blocage_port25_1.png)
Le blocage en pratique :
(https://lafibre.info/images/bbox_fibre/202102_bbox_blocage_port25_2.png)
Si vous souhaitez tester, il faut faire le test en ligne de commande, les navigateurs refusent de se connecter sur le port 25.
IPv4 : wget -O /dev/null -4 https://k-net.testdebit.info:25/1M.iso
IPv6 : wget -O /dev/null -6 https://k-net.testdebit.info:25/1M.iso
J'ai testé deux box câble de SFR (SFR La Box EGCI384 UHD et RED Box Sagem Fast 3284 DC) et je vois qu'il n'y a pas de blocage du port 25 :
(https://lafibre.info/images/altice_cable/202102_sfr_cable_pas_de_blocage_port25.png)
-
Comme déjà énnoncé, KO en IPv4 et OK en IPv6 chez orange (donc du moment qu'on est en IPv6 on a le droit de spam :) ) :
nico@SGC:~$ wget -O /dev/null -4 https://k-net.testdebit.info:25/1M.iso
--2021-02-23 13:40:53-- https://k-net.testdebit.info:25/1M.iso
Resolving k-net.testdebit.info (k-net.testdebit.info)... 178.250.208.152
Connecting to k-net.testdebit.info (k-net.testdebit.info)|178.250.208.152|:25... ^C
nico@SGC:~$ wget -O /dev/null -6 https://k-net.testdebit.info:25/1M.iso
--2021-02-23 13:41:03-- https://k-net.testdebit.info:25/1M.iso
Resolving k-net.testdebit.info (k-net.testdebit.info)... 2a03:4980::f:0:17
Connecting to k-net.testdebit.info (k-net.testdebit.info)|2a03:4980::f:0:17|:25... connected.
HTTP request sent, awaiting response... 200 OK
Length: 1000000 (977K) [application/x-iso9660-image]
Saving to: ‘/dev/null’
/dev/null 100%[==============================================================================================================================================================>] 976,56K --.-KB/s in 0,08s
2021-02-23 13:41:03 (12,5 MB/s) - ‘/dev/null’ saved [1000000/1000000]
-
Orange Pro/Business, le bloque ce port 25 ?
-
Comme déjà énnoncé, KO en IPv4 et OK en IPv6 chez orange (donc du moment qu'on est en IPv6 on a le droit de spam :) ) :
Les spammeurs ne se sont pas encore mis à IPv6 ;D
On voit que Bouygues Telecom aussi laisse le port 25 ouvert en IPv6.
-
Orange Pro/Business, le bloque ce port 25 ?
Ni l'un ni l'autre ne le bloquent, après en pro tu ne peux pas modifier le ptr non plus, donc tu restes avec un abo.wanadoo.fr.
Sur mon serveur mail perso si je vois un dyn, dsl, abo ou même cust dans un ptr mon smtpd répond 550 avant même l'antispam. Très efficace.
-
Tiens, ce sujet de 2017 parle de la même chose 8)
La demande :
Salut
Je suis abonné en fibre chez Orange et je veux installer un serveur de mail (entre autre) derrière mon IP.
Est-t'il possible à l'heure actuelle, sans abonnement pro/business, de demander a Orange de changer l'enregistrement PTR ? Voir même d'obtenir la délégation pour mon IP ?
Merci d'avance
Fusion la modération ?
-
Après pour le coup autant j'aime l'auto hébergement autant auto host mes mails je trouve que c'est vraiment l'horreur, ça prend un temps fou c'est vraiment pas drôle :(
-
On voit que Bouygues Telecom aussi laisse le port 25 ouvert en IPv6.
Chez Bouygues le blocage de port se fait dans la box, d'ailleurs. Une fois remplacée par son propre routeur on a 100% des ports TCP dispo, au max de la vitesse de la connexion. :)
-
Perso j'ai un petit serveur mail perso, chez moi, sur une connexion Orange
Par rapport au blocage du port 25, je route le trafic dans un tunnel wireguard vers une VM chez OVH et je sors sur une IP fixe, sans blocage et sur laquelle je peux changer le reverse DNS
Mais du coup IPv4 only, et je vois pas comment mettre en place de l'IPv6 en sachant qu'OVH ne fournis qu'une seule IPv6 sur ses offres VPS
Et même en ayant SPF, DKIM et DMARC, je suis parfois dans les spams
Finalement, je me demande si je vais pas finir par passer par le smtp d'orange (ce que je fais de toute façon déjà pour la messagerie de microsoft, sinon je suis à 100% dans les spams)
-
Chez Bouygues le blocage de port se fait dans la box, d'ailleurs. Une fois remplacée par son propre routeur on a 100% des ports TCP dispo, au max de la vitesse de la connexion. :)
Débit max du routeur sur certains ports. On a bien vu que de nombreux routeurs ne savent pas gérer 1 Gb/s sur le port 1723, sauf à avoir un routeur basé sur un CPU Intel + OS Linux.
Merci tous vos tests. Je récapitule ici vos tests, avec les nouveaux tests et des précisions sur les box utilisées :
Limitation :
- Sosh 300 Mb/s sur Melun (77) avec Livebox 3 : Limitation à 56 Mb/s en IPv4 (pas de limite en IPv6) - testé par Vivien
- Orange 1 Gb/s sur Paris (75) avec Livebox Pro FTTH : Limitation à 62 Mb/s en IPv4 - testé par kgersen
- Sosh 300 Mb/s avec Livebox 4 : Limitation à 125 Mb/s en IPv4 - testé par Lucien
- Orange 1 Gb/s sur Chambly (60) avec Livebox 5 : Limitation à 29 Mb/s en IPv4 (pas de limite en IPv6) - testé par hwti
- Orange 1 Gb/s sur Château-Thierry (02) avec Livebox 5 : Limitation à 29 Mb/s en IPv4 (pas de limite en IPv6) - testé par Jiajo
- Orange 1 Gb/s sur Antibes (06) avec routeur Ubiquiti EdgeMax ER4 : Limitation à 364 Mb/s en IPv4 (pas de limite en IPv6) - testé par zoc
- Bouygues 1 Gb/s sur Paris (75) avec Bbox Wi-Fi 6 : Limitation à 228 Mb/s en IPv4 - testé par kgersen
- Free 1 Gb/s sur Orsay (91) en 10G-EPON avec Freebox révolution R1 : limitation à 130 Mb/s en IPv4 (pas de limite en IPv6) - testé par underground78
- Free 1 Gb/s sur Mondeville (14) en 10G-EPON avec Freebox Mini4k : limitation à 253 Mb/s en IPv4 (pas de limite en IPv6) - testé par Zweit
- SFR 4G sur Paris (75) avec Samsung S8 pour mode modem : limitation à 9,5 Mb/s en IPv4 - testé par Vivien
Pas de limitation (ou limitation non visible car ce sont des abonnements à 100 Mb/s) :
- Orange 1 Gb/s sur Antibes (06) avec routeur Debian (HP gen8 avec Intel Xeon E3-1220 V2 @3.1GHz) : Pas de limitation - testé par jeremyp3
- Free 2,5 Gb/s sur Marseille (13) avec Freebox Pop en P2P : pas de limitation à 1 Gb/s - testé par Free_me
- K-Net 100 Mb/s dans l'Ain (01) : pas de limitation sur ce port - testé par Nico_S
- RED 100 Mb/s sur Vitry-sur-Seine (94) avec Sagem F@st 3284DC : pas de limitation sur ce port - testé par Vivien
-
Pas besoin d'avoir un serveur mail perso pour être embêté par le blocage du port 25. Un site web qui envoie des newsletters ou un formulaire de contact et hop ça marche plus
-
Un site web qui envoie des newsletters ou un formulaire de contact et hop ça marche plus
Je veut bien un exemple concret.
-
Pas besoin d'avoir un serveur mail perso pour être embêté par le blocage du port 25. Un site web qui envoie des newsletters ou un formulaire de contact et hop ça marche plus
Faut configurer le site web autrement qu'avec le port 25. généralement avec du SMTP authentifié , smtp.orange.fr port 465.
Un site web style wordpress qui envoie des emails c'est exactement comme un client email dit 'lourd' style Outlook ou Thunderbird. Il subit les memes contraintes pour l'envoi.
Ne pas utiliser le port 25 est même mieux car ca évite aux novices de faire une config qui marche chez eux derrier leur box mais pas quand ils vont sur un autre réseau (ordi portable par exemple).
-
Oui, dans le cadre de l'auto-hébergement d'un site derrière la Livebox, le serveur smtp (Postfix par exemple) peut être configuré comme un relais vers smtp.orange.fr au lieu d'envoyer les mails directement sur Internet.
C'est intéressant car les mails ont moins de chance d'être considérées comme du SPAM.
Par contre il y a des limites en terme de mails envoyés dan un intervalle de temps et en nombre de destinataires en copie cachée (j'ai une association qui les a dépassé)
-
Yo,
Désolé de up ce post, mais j'ai une question bête. Si on met de coté SSL/TLS (car de toute façon il est possible de faire du SSL/TLS sur le port 25 suivant les serveurs de mails), le "blocage d'orange du port 25" ne serait pas du coté de la box puisqu'on peut contacter smpt.orange.fr sur le port 25 ?
-
Pour moi il y a un blocage coté réseau avec quelques IP autorisées (dont les IP du smtp.orange.fr).
Il serait souhaitable que ce blocage soit fait sur les box et plus sur le réseau et qu'il soir possible de le désactiver.
-
Hum d'accord.
On connait la volumétrie autorisé sur smpt.orange.fr avec un compte client ?
J'effectue des tests avec mon propre domaine sur un Synology qui utilise smpt.orange.fr en relai SMTP.
Ca marche bien, une fois ajouté smpt.smptout.orange et out.smtpout.orange.fr en SPF sur la zone de mon domaine. (idem DKIM / DMARC)
-
Je n’utilise aucune box d’orange et le blocage est bien là quand même. Clairement c’est sur le réseau.
J’ai contourné le problème avec un VPS (le moins cher) chez OVH pour mon SMTP sortant (pas envie de mettre les SMTP d’Orange dans mes enregistrements SPF donc il est exclus que j’utilise leurs serveurs…).
-
Même avec un reverse DNS, les opérateurs déclarent les plages IP des clients grand public et derrière c'est directement considéré comme du SPAM même si tout le reste est ok.
Pour info je suis chez orange, j'ai bien mi en place un reverse dns, j'ai fait deban mon rang d'ip et je suis maintenant totalement libre de recevoir/emettre directement du trafic smtp.
Je suis chez orange pro (pour ne pas être bridé niveau port), mais ça ne chaange rien à la problématique car les mêmes politiques s'applique sur les rank d'ip ban etc.
Pour info, mon score de confiance de serveur mail auprès des grands fournisseur de service SMTP est de loin meilleur que ceux de orange/SFR/et tralala. Je reçois même plus de trafic (je ne parle pas de bande passante, mais d'échange d'information de confiance) et protocole d'échange que orange ou SFR (dmarc, etc.). Lors qu'un mail d'orange et un des mes mail est dans le pipeline de gmail (par exemple), le mien est traité en priorité car de confiance (garanti sans spam). Il est impossible d'utiliser mon serveur STMP pour faire du spam (SPF, dkim, dmarc, dnssec, SSL only TLS1.2 min / starttls si nécessaire, auth obligatoire).
Tout ça pour dire que c'est souhaitable et de bien meilleur qualité que les merde de serveur orange and co qui eux émettent une belle chier de spam.
Que ça ne soit pas ouvert par défaut, pourquoi pas, mais orange devrait avoir une option pour débloquer.
Exemple, si quelqu'un utilise mon nom de domain pour fake une adresse mail, non seulement c'est détecté et le mail n'est pas transmis, mais en plus je reçois un rapport de xyz (gmail par exemple), qui stipule que l'IP X en envoyé un mail en mon nom de domain sans accord (pour le nécessaire si besoin de poursuite judiciaire / abuse)
-
J'ai un serveur mail qui est hébergé chez Oneprovider depuis plusieurs années. Fin août son IP a été blacklistée ainsi que tout le range IP. Je ne pouvais plus envoyer de mail vers outlook/microsoft and co. J'ai ouvert plusieurs tickets (microsoft, oneprovider) mais ça trainait en longueur ...
Comme j'héberge quelques trucs chez moi et que je fais de la réplication ZFS, j'ai basculé mon serveur mail derrière ma bbox. Hormis le reverse qui ne correspond pas, je n'ai pas encore eu de soucis d'envoi/réception/blacklist. Mes domaines ont aussi un score de confiance élevé malgré tout. D'ailleurs chez oneprovider j'ai 2 domaines derrière 1 seule IP, donc forcément un reverse incorrect pour un des 2 domaines.
Depuis, mon IP Oneprovider a été déblacklisté, je vais effectuer la bascule inverse d'ici quelques temps.
Je vois beaucoup de domaines / boites qui ont des serveurs mal configurés, que moi-même je dégage ... (HELO dégueulasses, email non existants, etc). Parfois je suis même obligé d'adopter une conf un peu plus laxiste pour recevoir leurs mails ... J'ai l'impression que c'est rentré dans les mœurs. Combien de fois on voit / entend : "Vérifier dans vos spams". Bein non, justement, on devrait pas. Si ?
edit #1 : désolé, un peu HS. En tout cas chez Bouygues on peut désactiver la règle FW qui bloque le trafic smtp sortant. En IPv6, il n'y a pas de telle règle.
edit #2 : ortho
-
J'ai un serveur mail qui est hébergé chez Oneprovider depuis plusieurs années. Fin août son IP a été blacklistée ainsi que tout le range IP. Je ne pouvais plus envoyer de mail vers outlook/microsoft and co. J'ai ouvert plusieurs tickets (microsoft, oneprovider) mais ça trainait en longueur ...
Comme j'héberge quelques trucs chez moi et que je fais de la réplication ZFS, j'ai basculé mon serveur mail derrière ma bbox. Hormis le reverse qui ne correspond pas, je n'ai pas encore eu de soucis d'envoi/réception/blacklist. Mes domaines ont aussi un score de confiance élevé malgré tout. D'ailleurs chez oneprovider j'ai 2 domaines derrière 1 seule IP, donc forcément un reverse incorrect pour un des 2 domaines.
Depuis, mon IP Oneprovider a été déblacklisté, je vais effectuer la bascule inverse d'ici quelques temps.
Je vois beaucoup de domaines / boites qui ont des serveurs mal configurés, que moi-même je dégage ... (HELO dégueulasses, email non existants, etc). Parfois je suis même obligé d'adopter une conf un peu plus laxiste pour recevoir leurs mails ... J'ai l'impression que c'est rentré dans les mœurs. Combien de fois on voit / entend : "Vérifier dans vos spams". Bein non, justement, on devrait pas. Si ?
edit #1 : désolé, un peu HS. En tout cas chez Bouygues on peut désactiver la règle FW qui bloque le trafic smtp sortant. En IPv6, il n'y a pas de telle règle.
edit #2 : ortho
L'ip a probablement été blacklister chez les bases de données RBL ou blacklist (ex https://www.spamhaus.org/). Tu peux aller sur l'un des site et faire unban ton ip (il faut pouvoir prouver que tu es bien propriétaire de l'ip), en général ça solutionne le problème. C'est dans plus de 90% le cas. Ces platformes servent de blacklist et sont appeler par les serveur SMTP pour vérifier si l'IP est un abuseur ou non (ip émettrice d'un mail vers ton serveur mail). Bien souvent les datacenter envoient d'eux même leur rang d'ip ou un tier le fait.
Un outil pour tester en masse : https://www.anti-abuse.org/multi-rbl-check-results
-
L'ip a probablement été blacklister chez les bases de données RBL ou blacklist (ex https://www.spamhaus.org/). Tu peux aller sur l'un des site et faire unban ton ip (il faut pouvoir prouver que tu es bien propriétaire de l'ip), en général ça solutionne le problème. C'est dans plus de 90% le cas. Ces platformes servent de blacklist et sont appeler par les serveur SMTP pour vérifier si l'IP est un abuseur ou non (ip émettrice d'un mail vers ton serveur mail). Bien souvent les datacenter envoient d'eux même leur rang d'ip ou un tier le fait.
Un outil pour tester en masse : https://www.anti-abuse.org/multi-rbl-check-results
Oui, j'avais effectué ces vérifications et mon IP n'était pas listée. J'avais oublié de préciser que le souci n'était présent qu'avec Microsoft. D'ailleurs, sur le SNDS, mon IP était bien listée. En revanche dès que j'ouvrais un ticket on me répondait que tout allait bien avec mon IP ::)
C'est là que j'ai ouvert un case chez Oneprovider car 1) ils sont un peu plus de poids qu'un simple particulier 2) ils sont propriétaires de l'IP. Quelques jours plus tard, l'envoi de mail vers Microsoft fonctionnait à nouveau.