Se connecter
Se connecter
Mot de passe oublié ?
ou
Créer un compte
ou
Se connecter avec Facebook
Notifications
< Retour vers Fonctionnalités Audiofanzine
Agrandir
Fonctionnalités Audiofanzine
Forums thématiques
Fonctionnalités Audiofanzine
Actu 18 18
Articles 1 1
Médias 1 613 1,6k
Tutoriels Tutos 9 9
Forums 3 187 3,2k

Sujet Authentification sur le site AF.

  • 15 réponses
  • 4 participants
  • 516 vues
  • 5 followers
1 Authentification sur le site AF.
Bonjour à tous,
Je vais pousser un gros coup de gueule qui peut ne pas plaire, mais tant pis.

Je suis inscrit depuis 2011, ça ne date pas d'hier, je n'ai jamais eu de problème pour me connecter et je n'ai jamais reçu de mail d'AF depuis des années. L'accès a très bien fonctionné tout ce temps jusqu'à ce que je décide de répondre à une annonce.

Depuis ce matin, je reçois ce message :

Citation :
L'adresse e-mail liée à ce compte ne semble pas valide !
Les e-mails que nous avons envoyés à l’adresse ****@***.fr nous sont revenus avec un message d’erreur.


Mon adresse mail est bien valide et fonctionnelle juste qu'elle est protégée correctement (ce qui n'est pas le cas de 99% des adresses mails de monsieur "tout le monde").

Etant donné qu'il faut que je termine ma transaction via les petites annonces j'ai donc engagé une procédure exceptionnelle pour réactiver mon compte, mais la prochaine fois je le supprimerai car AF c'est avant tout des échanges non vitaux.

J'ai donc commencé par rechercher l'adresse IP du mailer bot (le robot qui envoie les mails) en pensant que ce serait lié aux plages IP de l'hébergeur ce qui n'a évidemment donné aucun résultat et pour cause.

Je me suis donc connecté à une machine en DMZ (zone démilitarisé ou zone sans protection) et là surprise :

Citation :
Oct 12 14:27:59 XXX01 XXXXX/smtpd[25759]: Anonymous TLS connection established from a3-2.smtp-out.eu-west-1.amazonses.com[54.240.3.2]: TLSv1.2 with cipher ECDHE-RSA-AES256-SHA384 (256/256 bits)
Oct 12 14:28:03 XXX01 sqlgrey: grey: new: 54.240.3(54.240.3.2), 0102016dbff0850a-2ebc5d67-0d46-4e9a-848a-31ad1d6346fd-000000@mail.audiofanzine.com -> ****@***.fr
Oct 12 14:28:03 XXX01 XXXXX/smtpd[25759]: NOQUEUE: reject: RCPT from a3-2.smtp-out.eu-west-1.amazonses.com[54.240.3.2]: 451 4.7.1 <****@***.fr>: Recipient address rejected: Greylisted for 5 minutes; from=<0102016dbff0850a-2ebc5d67-0d46-4e9a-848a-31ad1d6346fd-000000@mail.audiofanzine.com> to=<****@***.fr> proto=ESMTP helo=<a3-2.smtp-out.eu-west-1.amazonses.com>
Oct 12 14:28:03 XXX01 XXXXX/smtpd[25879]: Anonymous TLS connection established from a3-7.smtp-out.eu-west-1.amazonses.com[54.240.3.7]: TLSv1.2 with cipher ECDHE-RSA-AES256-SHA384 (256/256 bits)
Oct 12 14:28:06 XXX01 sqlgrey: grey: new: 54.240.3(54.240.3.7), 0102016dbfe26148-ad2d8569-f979-46f9-9b5a-7f8c2d588843-000000@mail.audiofanzine.com -> ****@***.fr
Oct 12 14:28:06 XXX01 XXXXX/smtpd[25879]: NOQUEUE: reject: RCPT from a3-7.smtp-out.eu-west-1.amazonses.com[54.240.3.7]: 451 4.7.1 <****@***.fr>: Recipient address rejected: Greylisted for 5 minutes; from=<0102016dbfe26148-ad2d8569-f979-46f9-9b5a-7f8c2d588843-000000@mail.audiofanzine.com> to=<****@***.fr> proto=ESMTP helo=<a3-7.smtp-out.eu-west-1.amazonses.com>


Les mails sont envoyés depuis le Royaume Uni via le datacenter Amazon Web Services Inc dont l'intégralité des pools IP sont blacklistés (liste noire) chez Spamhaus, AbuseIPDB, etc... Pour de très nombreux cas de spams, fishing, force brute, etc...
Juste une petite recherche Google "amazonses.com spam" donnera un aperçu.
https://www.abuseipdb.com/check/54.240.3.7
https://www.abuseipdb.com/check/54.240.3.2

C'est idem côté DNSBL, tout est blacklisté, autant dire que les mails d'AF ne risquaient pas d'arriver.

J'ai donc le choix entre faire "des trous dans la raquette" du firewall (pare feu) en générant des exceptions pour tous les sous domaines d'amazonses.com et donc de potentiellement créer des failles de sécurité dans mon CheckPoint ainsi que dans les serveurs de mails ou de laisser mourir mon compte sur ce site car pour moi il n'est pas question de créer une boite gmail ou ailleurs servant d'exutoire aux mails de masse.
La cyber sécurité primant, le choix sera vite fait!!

Il serait bien qu'AF prenne conscience que la cyber sécurité c'est primordial de nos jours et qu'un hébergeur digne de ce nom doit pouvoir envoyer et recevoir lui même ses mails sans passer par un tiers qui plus est a été classé dans toutes les listes noires du monde entier...

Le doute m'a donc envahi, du coup, je n'ai pas osé tester Looper.

Lorsque l'on se cogne la tête contre un pot et que cela sonne creux, ça n'est pas forcément le pot qui est vide.

2
Bah l'hébergeur digne de ce nom c'est amazon et ton problème n'a rien à voir avec la cyber sécurité, mais bien avec un litige avec AWS qui utilise des IP blacklistées dans des services de mail. Mais je pense que les admins vont s'en occuper et changer l'ip du serveur mail.

DK.Prod - DK.Loc

3
Donc les admins d'AF ont le pouvoir de changer les IP d'Amazon?
Au moins on en apprend tous les jours.

Lorsque l'on se cogne la tête contre un pot et que cela sonne creux, ça n'est pas forcément le pot qui est vide.

4
Hello,

Non, nous n'avons malheureusement pas la possibilité de changer les IPs d'Amazon.. Étant hébergés chez eux nous n'avons malheureusement pas d'autre solution dans notre budget pour le moment. On réfléchit à des solutions alternatives cependant car c'est effectivement problématique. Merci pour ton retour en tout cas.

[ Dernière édition du message le 12/10/2019 à 20:31:40 ]

5
Je suis :8O:

Beat Thang 4 Life

6
Citation de nero :
Hello,

Non, nous n'avons malheureusement pas la possibilité de changer les IPs d'Amazon.. Étant hébergés chez eux nous n'avons malheureusement pas d'autre solution dans notre budget pour le moment. On réfléchit à des solutions alternatives cependant car c'est effectivement problématique. Merci pour ton retour en tout cas.


Merci pour votre compréhension ET je tiens à m'excuser si mon langage ou ma façon de présenter les choses sont un peu trop directes, il est vrai que je n'ai pas pour habitude d'être un plaisantin et de dire les choses parfois un peu trop franchement.

Lorsque l'on se cogne la tête contre un pot et que cela sonne creux, ça n'est pas forcément le pot qui est vide.

7
Citation de Nightwolf38 :
Donc les admins d'AF ont le pouvoir de changer les IP d'Amazon?
Au moins on en apprend tous les jours.


Bah je suppose qu'il y a un possibilité de faire un plainte à amazon et leur demander un service qui fonctionne ? Ou alors ils ont des serveurs spéciaux pour les envois de mails...

DK.Prod - DK.Loc

8
https://docs.aws.amazon.com/fr_fr/ses/latest/DeveloperGuide/blacklists.html

Apparemment on peut louer des IP dédiées pour le SES. Je ne connais pas les prix.

DK.Prod - DK.Loc

9
@luciolis
Citation de Nightwolf38 :
l'intégralité des pools IP sont blacklistés


Donc toutes les adresses IP de ce provider sont à proscrire.
D’ailleurs, ce soir, en plus du firewall il y a l'IDS qui n'a pas aimé le premier mail de réactivation du compte, ce qui veut aussi dire que certaines adresses sont blacklistées chez SNORT, SURICATA et j'en passe.

Pratiquent n'importe quel fournisseur peut louer des adresses IP, mais en louer des biens "propres" je n'en connais pas beaucoup mis à part les IP fixes d'OBS (ex Oléane).
D'autres part, toutes les adresses dynamiques sont systématiquement bannies par les serveurs de messagerie (je ne vais pas rentrer plus dans les détails) les rendre clean prend tellement de temps qu'une fois réussi... Elle a changée...

@nero
Il n'est pas question de faire la révolution.
Par contre vous pouvez rendre le système un peu plus souple pour éviter de bloquer le compte au bout de seulement 1 mail coincé dans les tuyaux en retour 450 ou 451.
Il y a aussi la solution du relayage SMTP qui ne coute quasiment rien...

Lorsque l'on se cogne la tête contre un pot et que cela sonne creux, ça n'est pas forcément le pot qui est vide.

10
C'est quand même le plus grand datacenter du monde, je vois mal que toutes ses IPs soient blacklistées. Et si tu achètes une ip fixe, avec une attente de quelques jours jusqu'à quelques mois, les IPs se déblacklistent

DK.Prod - DK.Loc