Aujourd’hui, les grandes entreprises et administrations publiques hésitent entre continuer à utiliser des logiciels propriétaires ou basculer vers les Logiciels Libres. Pourtant, la plupart des logiciels libres sont capables de bien traiter les données issues des logiciels propriétaire, et parfois avec une meilleur compatibilité.
C’est alors la barrière de la prise en main qui fait peur, et pourtant...
Les logiciels libres
L’aspect « Logiciel Libre » permet une évolution rapide et une plus grande participation des utilisateurs. Les aides et tutoriels foisonnent sur Internet ou sont directement inclus dans le logiciel lui-même.
Enfin, les concepteurs sont plus proches des utilisateurs, ce qui rend les logiciels libres plus agréable à utiliser et conviviaux.
Grâce à la disponibilité des logiciels libres, vous trouverez facilement des services de support techniques et la licence n’est plus un frein à l’utilisation de ces logiciels par votre personnel.
Notre support technique concerne essentiellement les logiciels libres, que ce soit sous forme de services ponctuels ou de tutoriels.
- Février 2015 -
Contexte
Récemment j’ai configuré un serveur SMTP sous une machine Debian GNU/Linux pour pouvoir utiliser un client email avec un compte dont le fournisseur ne propose qu’un accès par webmail en envoi (pas de SMTP). Or mon but, c’est de pouvoir signer et de chiffrer mes emails avec ledit compte, donc de passer obligatoirement par un client email lourd (impossible d’utiliser GPG proprement avec un webmail, les plugins pour le faire posent plus trop de problèmes de sécurité)
A noter que je vous parle ici de SMTP, et non pas de Secure SMTP (SMTP over TLS) car mon serveur tourne sur l’interface localhost de ma machine client
Si vous avez un serveur accessible depuis l’extérieur, n’oubliez surtout pas TLS, avec un bon mot de passe pour l’authentification et ne le configurez surtout pas en relais ouvert si vous voulez éviter des emmerdes et devenir un relais à spams
L’idéal serai un serveur email auto-héberge complètement (Secure SMTP+IMAPS), mais pour ça, il me faut du matériel dédié et un nom de domaine, je dois attendre un peu avant de les avoir
Ceci dit, il faut quand même que je puisse utiliser mon compte le compte email concerné avec un client email et GPG, du coup il me faut mon serveur SMTP personnel… bref, je m’égare…
Pour monter mon serveur SMTP, j’ai utilisé le paquet exim4, et je me suis rendu compte que si le FQDN n’est pas configuré, deux problèmes se posent
– Impossible de minimiser les requêtes DNS (fonctionnalité d’exim4) afin de réduire l’usage de la vande passante, pratique sur des machines utilisant des accès Internet de façon ponctuelle (WiFi (semi-)public, téléphone/clé 3G… )
Si vous n’activez pas cette option, exim sera très lent à se lancer si vous n’êtes pas connecté à un réseau au moment de son lancement
– Impossible d’envoyer des emails sur certaines mailing lists, les emails sont filtrés et le Mail Delivery System m’envoie un email m’indiquant qu’il y a un problème avec la configuration de mon le nom d’hôte de mon serveur email
Helo command rejected: need fully-qualified hostname
Configuration du serveur Exim
La configuration d’exim4 en soit n’est pas du tout difficile dans la plupart des cas, il suffit d’utiliser dpkg-reconfigure
Pour des besoins spécifiques, on peut lire la doc pour écrire des fichiers de configuration mais, dans la plus part dès cas, les configurations standards suffisent
On lance l’interface de configuration d’exim4 avec la commande
sudo dpkg-reconfigure exim4-config
Une interface ncurses s’ouvre et il suffit choisir un des modes de fonctionnement les plus usités et de remplir ensuite les différents champs en fonction de son cas
Pour chaque champs, tout est clairement expliqué étape par étape directement sur l’interface de configuration d’exim, donc je ne vais pas revenir là dessus
ça prend 2 minutes à configurer mais dans la configuration par défaut du hostname, vous allez vous avoir un avertissement en cas d’activation de la fonctionnalité pour minimiser les requêtes DNS
Configuration du FQDN
Votre fichier /etc/hosts contient très probablement quelques chose comme
127.0.0.1
Avec à la place de le nom d’hôte que vous avez choisi au moment d’installer GNU/Linux (celui contenu dans /etc/hostname et dans /etc/hosts à la première ligne non-commentée)
Dans ce cas, que vous taper hostname ou hostname –fqdn dans le terminal, le résultat sera le même, vous obtiendrez en sortie standard car votre FQDN n’est pas configuré
Pour configurer le FQDN, ouvrez votre /etc/hosts dans un éditeur de texte (en tant que root) et remplacez la ligne suivante
127.0.0.1
Par la suivante, en remplaçant bien sur par le vrai hostname de votre machine
127.0.0.1 .
Une fois fait hostname retournera alors que hostname –fqdn retournera ., dans ce cas correspond à localhost, puisqu’il ne s’agit pas serveur accessible sur le Net, donc j’ai pas pris de nom de domaine
Il suffit de redémarrer le service exim4 avec la commande suivante, cette fois vous n’aurez pas de warnings concernant l’impossibilité de minimiser les requêtes DNS
service exim4 restart
Les problèmes potentiels
– Si vous envoyez vos emails vers des plate-formes centralisées tels que gmail et autres outlook.com, il y a de grandes chances que vos emails iront droit vers le dossier “spam” sous prétexte que votre email n’est pas envoyé depuis un serveur contrôlée par une multinationale du Minitel 2.0
Cette politique à la con risque de dissuader les gens de passer à des solutions auto-hébergée, mais en même temps, le problème n’existerai plus si tout le monde passait à des solutions auto-hébergement, puisque le problème ne vient que de la politique arbitraire imposée par les fournisseurs d’emails centralisés
Pour l’instant, la seule solution qui existe, et elle vaut ce qu’elle vaut
Si vous continuez de tolérer dans vos contacts les utilisateurs des NSA-mail et crap-mails, n’oubliez pas de prévenir de ce problème et de leurs demander, s’ils peuvent, de vous rajouter à leurs whitelist
– Le filtrage d’emails sortants
Votre FAI pourrai potentiellement filtrer les emails sortant, soit de façon imposée soit par défaut avec possibilité de désactiver le filtrage des emails dans le pare-feu de votre box
Si vous pouvez pas le désactiver, il vous reste plus qu’à essayer de convaincre votre FAI de désactiver le filtrage, et s’ils veulent pas changer de FAI
Dans mon cas, je n’ai pour l’instant pas de problème, je n’ai eu qu’à décocher une case dans l’interface d’administration de ma box
Mais je ne dirai pas de quel FAI il s’agit car je n’ai pas envie de leurs faire de la pub sachant qu’ils font pleins de trucs dégueulasses sur certains de leurs forfaits (tous?) et qu’ils ont une box sous un firmware proprio obscur et complètement buggé, qui me rend dingue…
De plus, la box en question à un comportement très bizarre…
Quand j’ai utilisé Wireshark pour un diagnostique, je me suis rendu compte que ladite box refuse de router mes paquets puis refuse de répondre aux requêtes ARP que machine commence à émettre jusqu’à ce que j’arrête de sniffer le réseau et que je (re-)spoof mon adresse MAC… vachement pratique quand je rencontre un problème de connexion à un service sur ma machine et que j’essaye de comprendre pourquoi (ou je veux vérifier ce qui se passe avec certains protocoles), sachant que j’ai qu’une seule machine…
Il ne s’agit pas de déconnexion du réseau, ce qui serai normal si ma carte réseau passait en monitor mode, le problème ici arrive en promiscuous mode et sans déconnexion du réseau, c’est juste la box qui refuse de répondre à ma machine
Vive les FAI associatifs, mais là il faut pouvoir payer… ils sont plus chers que les FAI commerciaux en comptant la ligne FT à payer séparément, parce que leurs nombre de clients et ce qu’ils payent eux même à leurs prestataires techniques ne leurs permet pas de proposer des abonnement Internet à 30€/mois
J’en profite pour faire un coup de pub au FAI associatif LDN dont je suis membre, et qui à trouvé une solution à ce problème, il s’agir un moyen de “nettoyer” un accès Internet d’un FAI commercial (et faciliter l’auto-hébergement pour les non-geeks) sans pour autant vendre un abonnement complet, donc pour un prix mensuel raisonnable (abonnement VPN + Internet “commercial” hors coup du matériel), il s’agit d’un boitier VPN + YunoHost
Je sais pas qui en a eu l’idée mais bien joué
Le boitier VPN est basé sur de l’open hardware, sauf pour le dongle WiFi actuel (celui visible sur la vidéo de démo) qui nécessite un driver privateur, mais on est à la recherche d’un autre dongle propre, puis votre box commerciale, c’est forcément pire :), vous pouvez soit le “monter” vous même soit l’acheter à LDN
Il peut-être utilisé avec n’importe quel VPN, mais la plupart des fouisseurs ont des pratiques douteuses, qu’ils soient chers ou non, alors attention ou vous mettez les pieds, lisez les CGU et regardez les caractéristiques techniques de l’offre, beaucoup sont font avoir par des CGU abusives qu’ils n’ont pas lu
Là encore je m’égare, mais ces détails sont importants à connaître pour savoir à quoi vous en tenir…
Bref, si vous n’avez pas/plus le problème de ports, vous pouvez enfin avoir votre propre serveur SMTP pas filtré par les mailing lists, et vous pouvez enfin utiliser GPG avec le compte de TuxFamily pour signer, et selon les besoins/votre interlocuteur chiffrer vos emails
« Computers are like ACs, they stop working properly when you open windows »
MITM as a Service 3G Edition by Bouygues, ou quand ton FAI bousille DNSSEC
- Février 2017 -
Mise à jour Mars 2020 :Plus de 3 ans après ma découverte de MITM sur DNS chez Bouygues Telecom, le topic que j’ai lancé sur lafibre.info – suite au (...)
Gestion de paquets avec APT : Récupérer une clé manquante sur un réseau filtré
- Septembre 2016 -
IntroductionPar défaut, APT (Advanced Packaging Tool) essaye de vérifier la signature des paquets en utilisant des clés GPG, la plupart du temps (...)
[Coup de gueule] Réponse au bullshit sur l’interdiction du chiffrement
- Août 2016 -
ContexteComme vous le savez sûrement, notre grand démocrate ministre de la police de la pensée, B. Cazeneuve, n’aime pas trop le chiffrement, il (...)
[Coup de gueule] De la connardise industrielle, ou l’art de vomir sur les bonnes pratiques
- Janvier 2016 -
IntroductionDepuis quelques années, on assiste massivement à des soit-disant innovations technologiques, présentées majoritairement à coup de (...)
[Test] Prototype du nouveau clavier français du Ministère de l’inculture
- Janvier 2016 -
Introduction***************************WARNING**************************** Too much sarcasm inside ****************************WARNING************