<div dir="ltr"><div class="gmail_attr">En essayant de rassembler tout ce qui a été échangé.</div><div class="gmail_attr"><br></div><div dir="ltr" class="gmail_attr">Le ven. 3 avr. 2020 à 14:54, Vincent Tondellier via FRsAG <<a href="mailto:frsag@frsag.org" target="_blank">frsag@frsag.org</a>> a écrit :<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Le Friday 03 April 2020 13:46:00 Wallace a écrit :<br>
> C'est comme le RGPD qui a été renforcé dans certains états EU, les<br>
> danois ont ainsi l'obligation d'utiliser TLS 1.2 minimum, dans les<br>
> premiers mois du RGPD<br>
<br>
Moui, il a bon dos le RGPD ...<br>
Impressionnant la quantité de choses décidées unilatéralement sans aucune <br>
obligation légale que certains essayent de faire passer au nom du RGPD ...<br></blockquote><div><br></div><div>Ce
 point est intéressant, car la RGPD est une reglementation Européenne 
qui s'applique sur un espace sans limites de "frontières". Avec un peu 
de recul cela semble abérrant. Je comprends le besoin législatif à 
outrance, mais cela ne sert à personnes, et semble plutôt consituer une 
décharge de nombreuses responsabilité vers des acteurs hégémonique...<br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
> tous les domaines d'Orange ne pouvait recevoir de<br>
> mails venant de danois car leurs serveurs n'étaient pas compatible TLS<br>
> 1.2. Je n'ai pas eu la fin de l'histoire, j'ose espérer que Orange a évolué.<br>
<br>
Nope. Rien de changé.<br>
<br>
in :<br>
<br>
$ grep 'TLSv1 ' /var/log/mail.log | grep orange | tail -n1<br>
Mar 29 19:12:56 gaia postfix/smtpd[708438]: Anonymous TLS connection <br>
established from <a href="http://smtp08.smtpout.orange.fr" rel="noreferrer" target="_blank">smtp08.smtpout.orange.fr</a>[80.12.242.130]: TLSv1 with cipher <br>
DHE-RSA-AES256-SHA (256/256 bits)<br>
<br>
out :<br>
<br>
$ zgrep 'TLSv1 ' /var/log/mail.log.2.gz | grep orange | tail -n1<br>
Mar 18 18:37:13 alpheratz postfix/smtp[535068]: Trusted TLS connection <br>
established to <a href="http://smtp-in.orange.fr" rel="noreferrer" target="_blank">smtp-in.orange.fr</a>[80.12.242.9]:25: TLSv1 with cipher DHE-RSA-<br>
AES256-SHA (256/256 bits)<br>
<br>
C'est orange hein, faut pas en demander trop ...<br></blockquote><div><br></div><div>Ne pourrait-on pas les tacler législativement ?</div><div>En soit ne mettent-il pas en risque leurs usagers ?<br></div><div>............Allô la Quadra ?</div><div><br></div><div>De : <span><span><a href="mailto:jonathan@inikup.com" target="_blank">jonathan@inikup.com</a></span></span></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div><span><span>
C'est triste à dire, mais ça va sûrement se terminer comme pour HTTPS<br>
: un beau jour Google, Yahoo! et Microsoft vont décréter que leurs<br>
serveurs ne parleront plus avec ceux n'ayant pas une configuration TLS<br>
valide et moderne. Et alors en 6 mois 90 % des serveurs SMTP de la<br>
planète seront mis à jour.</span></span></div></blockquote><div><br></div><div>Ces acteurs font la loi ? Ca me dégoute.<br></div><div><br></div><div>De : <span><span><span><span></span><a href="mailto:maxime@mouet-mouet.net" target="_blank">maxime@mouet-mouet.net</a><span></span></span></span></span></div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div>
C'est tout le problème d'Internet : des réseaux indépendants à 
gouvernance variable qui font au mieux pour discuter à peu près 
correctement avec à peu près tout le monde.</div></blockquote><div><br></div><div> Au
 départ, nous étions d'accord sur le TCP/IP, maintenant chacun fait en 
fait qu'a sa tête (Il ya 13 standards, attend j'ai une idée => Il y a
 14 standards)</div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div>
Le protocole SSLv3 est officiellement déprécié, il est en principe interdit de<br>
l'utiliser. Tu es en droit de le virer de ton côté.</div></blockquote><div><br></div><div>Etrangement
 sur ce point, tout le monde semble avoir honnis le SSLv3, ce qui montre
 qu'il y a bien un consensus à minima pour s'accorder sur des standards.</div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div>
Et ce n'est pas Wanadoo qui essaie de te contacter, mais une adresse 
assignée à un abonnement Wanadoo. Peut-être quelqu'un qui s'auto-héberge
 (particulier ou entreprise), peut-être quelqu'un qui scanne, peut-être 
un robot malveillant</div></blockquote><div><br></div><div>Oui, c'était bien un scan; fausse alerte. <br></div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div>
Oui il y a des algo obsolètes et vulnérables, et des tests en ligne (comme <br>
<a href="http://internet.nl" rel="noreferrer" target="_blank">internet.nl</a>) vont râler, mais c'est toujours mieux (IMHO et celle d'autres <br>
personnes comme les dévs de postfix) que le repli vers le texte clair ...</div></blockquote><div><br></div><div>Je veux bien la source de tes propos sur les devs de Postfix pour enrichir mes connaissances. <br></div><div><br></div><div>De : <a href="mailto:tonton%2Bfrsag@team1664.org" target="_blank">tonton+frsag@team1664.org</a></div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div>
> l'option afférente étant : smtpd_tls_auth_only = yes<br><br>
Ca c'est pas du tout pour forcer le tls. C'est pour forcer que <br>
l'authentification soit annoncée et se fasse uniquement si tls est présent. Il <br>
ne faut activer ca que pour le msa sur le port submission/587 ou 465.<br>
Voir <br><a href="http://www.postfix.org/TLS_README.html" rel="noreferrer" target="_blank">http://www.postfix.org/TLS_README.html</a><br>
et<br><a href="http://www.postfix.org/SASL_README.html" rel="noreferrer" target="_blank">http://www.postfix.org/SASL_README.html</a><br>


</div></blockquote><div>Pardon pour la mauvaise info, merci pour l'enrichissement ;)</div><div>je croyais que coupler au chiffrement opportuniste (starttls) cela permettait d'éviter le transfert non chiffré.<br></div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div>
Ces recommandations sont faites pour le web ou les clients tls (les <br>
navigateurs) sont mis a jour régulièrement.<br>
Pour le mail, c'est beaucoup plus lent, voir même fossilisé. Dans certains <br>
cas, il faut même attendre que le boitier utm/sécurité/antivirus/antispam <br>
jamais mis a jour (et pas forcément a cause de l'utilisateur) tombe en panne <br>
pour qu'il soit remplacé<font color="#888888"><br></font></div></blockquote><div><br></div><div> C'est
 vrai, je n'y avais pas pensé à ce décalage entre le "oueb" et le mail, 
par contre en jetant un oeil à la RFC du TLS 1.1 (pour l'exemple)</div><div><pre>   This document specifies Version 1.1 of the Transport Layer Security
   (TLS) protocol.  The TLS protocol provides communications security
   over the Internet.  The protocol allows client/server applications to
   communicate in a way that is designed to prevent eavesdropping,
   tampering, or message forgery.
</pre></div><div>Il est nullement question d'une segmentation Web/Mail...</div><div><br></div><div>Bref, merci à tous pour vos retour.</div><div>Ce que je conclus c'est :</div><div>  - disposez de sa boîte mail comme de sa boîte aux lettre semble compliqué.</div><div>  - Il est difficile de s'acorder ensemble sur les protocoles à tenir pour dialoguer</div><div> 
 - Il semble qu'il y ait une dichotomie entre les reglementations et les
 RFC. Là où les premiers sont limité géographiquement, le second est 
global (sans frontières)</div><div>  - Les versions du TLS sont mises à 
dispositions et sont retiré par chacun au fur et à mesure (exemple pour 
le retrait du TLS 1.1 de firefox : <a href="https://blog.mozilla.org/security/2018/10/15/removing-old-versions-of-tls/" target="_blank">https://blog.mozilla.org/security/2018/10/15/removing-old-versions-of-tls/</a>) à coup de décisions unilatéral sans consortium (je veux bien une confirmation)</div><div><br></div><div>Bonne journée, bon hardening, bons updates (oui, Haproxy et sa CVE cette nuit),</div><div><br></div><div>exit 0</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Le ven. 3 avr. 2020 à 14:54, Vincent Tondellier via FRsAG <<a href="mailto:frsag@frsag.org">frsag@frsag.org</a>> a écrit :<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Le Friday 03 April 2020 13:46:00 Wallace a écrit :<br>
> C'est comme le RGPD qui a été renforcé dans certains états EU, les<br>
> danois ont ainsi l'obligation d'utiliser TLS 1.2 minimum, dans les<br>
> premiers mois du RGPD<br>
<br>
Moui, il a bon dos le RGPD ...<br>
Impressionnant la quantité de choses décidées unilatéralement sans aucune <br>
obligation légale que certains essayent de faire passer au nom du RGPD ...<br>
<br>
> tous les domaines d'Orange ne pouvait recevoir de<br>
> mails venant de danois car leurs serveurs n'étaient pas compatible TLS<br>
> 1.2. Je n'ai pas eu la fin de l'histoire, j'ose espérer que Orange a évolué.<br>
<br>
Nope. Rien de changé.<br>
<br>
in :<br>
<br>
$ grep 'TLSv1 ' /var/log/mail.log | grep orange | tail -n1<br>
Mar 29 19:12:56 gaia postfix/smtpd[708438]: Anonymous TLS connection <br>
established from <a href="http://smtp08.smtpout.orange.fr" rel="noreferrer" target="_blank">smtp08.smtpout.orange.fr</a>[80.12.242.130]: TLSv1 with cipher <br>
DHE-RSA-AES256-SHA (256/256 bits)<br>
<br>
out :<br>
<br>
$ zgrep 'TLSv1 ' /var/log/mail.log.2.gz | grep orange | tail -n1<br>
Mar 18 18:37:13 alpheratz postfix/smtp[535068]: Trusted TLS connection <br>
established to <a href="http://smtp-in.orange.fr" rel="noreferrer" target="_blank">smtp-in.orange.fr</a>[80.12.242.9]:25: TLSv1 with cipher DHE-RSA-<br>
AES256-SHA (256/256 bits)<br>
<br>
C'est orange hein, faut pas en demander trop ...<br>
_______________________________________________<br>
Liste de diffusion du FRsAG<br>
<a href="http://www.frsag.org/" rel="noreferrer" target="_blank">http://www.frsag.org/</a><br>
</blockquote></div>