mailman et DMARC

Hop, petit pense-bête. Je viens récemment de prendre des retours de mails envoyé depuis un compte @yahoo vers une mailing-list sur l’outil mailman (appelons-la liste@autre_domaine.fr) qui contenait des adresses notamment chez gmail.
Bilan, gmail les rejette au motif de :

Sep 11 05:45:32 mon_host postfix/smtp[8866]: 04746A1558: to=, relay=gmail-smtp-in.l.google.com[64.233.184.27]:25, delay=31, delays=0.01/0/30/0.71, dsn=5.7.1, status=bounced (host gmail-smtp-in.l.google.com[64.233.184.27] said: 550-5.7.1 Unauthenticated email from yahoo.fr is not accepted due to domain's 550-5.7.1 DMARC policy. Please contact the administrator of yahoo.fr domain if 550-5.7.1 this was a legitimate mail. Please visit 550-5.7.1  https://support.google.com/mail/answer/2451690 to learn about the 550 5.7.1 DMARC initiative. o16-v6si1277580wmh.19 - gsmtp (in reply to end of DATA command))

Continuer la lecture

letsencrypt & wildcard : « dehydrated » et challenge DNS

Bon, je devais m’y mettre pour un site web pour lequel j’avais besoin d’un certificat wildcard. Jusqu’à présent, j’en prenais chez un acteur connu du marché, pour environ 100 € / an.
Pour les autres domaines que je gère, j’utilisais déjà letsencrypt avec le client dehydrated qui fait le boulot simplement.

Depuis que letsencrypt sait gérer les certificatfs wildcard (*.domaine.tld), je ne vois plus bien de raison de continuer à payer ce certificat. C’est pas comme si letsencrypt était une boîte vouée à la fermeture. Quand on voit qui la soutient, c’est bon.

En gros, la gestion des certifs « wildcard » ne change pas grand chose au bazar, c’est juste l’outillage qui est sensiblement différent. En effet souvent lorsqu’on met en place dehydrated (ou un autre), on répond aux « challenges » (procédé pour vérifier que vous êtes bien le propriétaires annoncé d’un site) en faisant placer un fichier par le client dehydrated dans un sous-répertoire style « acme-challenge » sur le serveur web. letsencrypt vérifie alors que ce fichier est récupérable, ça prouve que vous avez la main sur le site (selon où il est censé être vu la conf DNS), ça génère les certificats et zou.

Pour les wildcards, le challenge par http n’est pas possible Continuer la lecture

opendmarc, opendkim

Tiens, un article. Ca faisait longtemps.

Bon, depuis plusieurs mois, à chaque fois qu’un détail change à propos de postfix/opendkim/opendmarc/systemd, j’ai un mal de chien à relancer opendkim et opendmarc.
Dans le meilleur des cas, c’est juste une histoire du style :

warning: connect to Milter service unix:/var/run/opendmarc/opendmarc.sock: Too many levels of symbolic links
ou
warning: connect to Milter service unix:/var/run/opendmarc/opendmarc.sock: No such file or directory

Dernièrement j’ai eu ce « too many levels » qui semblait indiquer qu’il ne voulait plus de ma bidouille de liens symboliques de /var/run/opendmarc => /var/spool/postfix/var/run/opendmarc (postfix est « chrooté »). Bon, soit.

Dans le pire des cas, tout semble bon et tu te heurtes à systemd qui veut pas que tu relances ton service : Continuer la lecture

Windows : nettoyage de drivers NVidia

Sur 2 machines à moi équipées de cartes nvidia, je constate que, parmi d’autres gouffres à espace disque, les 10000 copies des drivers, répliquées à plusieurs endroits par NVidia, jamais nettoyées, à 400 Mo pièce, ça finit par vous blinder un SSD totalement inutilement.
Le nettoyage est simple et vaut le coup, d’autant que si vous faites une erreur dans le nettoyage de ces drivers, au pire vous virez toute la partie NVidia et vous réinstallez à partir de Geforce Experience. Continuer la lecture

postgrey et des délais infernaux avec outlook et gmail – parfois

Il se passe parfois un truc pénible avec les serveurs d’envoi de Google et Microsoft, lorsque vous avez mis en place du greylisting, c’est que lorsque l’expéditeur renvoie, il renvoie depuis un autre serveur. Donc ça déclenche une nouvelle temporisation de greylisting car c’est un nouveau triplet expéditeur/destinataire/ip(? pour le 3è param ? je sais plus). Bref, le mail entrant peut être refoulé un paquet de fois avant d’arriver pour de bon, tant leurs serveurs d’envois sont nombreux.

Pour éviter ça, un whitelist au niveau greylisting uniquement s’avère indispensable. Même si le mail envoyé est du spam, de toute manière il arrive avec la bénédiction d’un serveur gmail/microsoft, donc il *finira* par rentrer et c’est l’analyse de contenu éventuellement qui dira si c’est du spam.

Pour ceci, on crée un fichier /etc/postgrey/whitelist_clients.local (.local car il perdura avec les upgrades de paquets) et contenant :

/^mail-.*\.outbound\.protection\.outlook\.com$/
/^mail-.*\.google\.com$/
/^.*\.amazonses\.com$/

Pour la 3è ligne, c’est vous qui voyez, mais j’ai eu le souci avec Amazon, quoique les nuages Amazon soient aussi plus souvent utilisés pour du spam.
La liste de base de /etc/postgrey/whitelist_clients ne me plait pas trop. Sinon on pourrait la compléter et attention aux upgrades.

Ensuite, on indique à postgrey d’en tenir compte (je crois qu’on précise un fichier uniquement, ça ne vient pas en plus du whitelist_clients de base – à confirmer), en modifiant /etc/default/postgrey

POSTGREY_OPTS="--inet=10023 --whitelist-clients=/etc/postgrey/whitelist_clients.local --auto-whitelist-clients=2"

Le paramètre AWL égal à 2 vaut normalement 5 et indique au bout de combien de mails acceptés on auto-whitelist cet expéditeur+serveur.

Migration MySQL vers MariaDB

Pourquoi ?

logo-MariaDB Pourquoi migrer sur MariaDB ?

Parce-que.

Evacuez les quelques craintes

Voilà, maintenant que les raisons sont données, je tenais juste à rassurer ceux qui hésiteraient à migrer de peur qu’un truc se passe mal et que le retour arrière soit compliqué. Que nenni.

Ca prend en gros 2 minutes et le service MySQL MariaDB est de retour, vos sites web fonctionnent (wordpress, n’importe quoi qui tourne avec PHP/MySQLi etc). Pour info, les commandes s’appellent encore mysql, donc mêmes vos scripts sont OK, /var/lib/mysql/ demeure ainsi etc. Je m’attendais à trouver des « alternatives » type « mysql » qui pointe vers « maria », mais même pas. Peut-etre plus tard ?
Je pense par contre que c’est le moment de migrer sans effort vers MariaDB (en l’occurrence sur Debian/Jessie en version MariaDB 10.0.x) Continuer la lecture

« daisy-chaining » d’écrans en DisplayPort, DELL U2414H

lg-mur-ecran-live-01-photo-journal-du-geekJuste quelques notes de paramétrage qui seront un gain de temps pour ceux qui voudraient se lancer.
J’ai un ordi portable assez haut de gamme, avec une bonne NVidia dedans (880M), sortie HDMI, Mini-DisplayPort et j’en passe.
Je voulais 3 écrans (le portable + 2 autres), car avec 2 écrans, je me sens à l’étroit depuis des années.

Le DisplayPort, dans sa norme 1.2 permet le chaînage d’écrans. Continuer la lecture

Extension de VMDK sous linux, déport d’affichage, XMing

xming_logoRécemment je devais agrandir un disque virtuel (VMDK) d’une machine Debian virtuelle tournant sous VMWARE ESXi.
Le cas de figure facile : un disque de données que je peux démonter en live, trifouiller, agrandir et remonter sur le système. Par opposition au cas où c’est un disque/partition utilisé par le système : /, /var etc.

Sauf que d’habitude, arrivé à l’étape avec l’outil parted, ça se passe bien, je peux agrandir. Ben pas là. J’en suis venu à gparted car lui fait ce qu’il faut pour contourner le problème. Ca m’a évité des lignes de commandes tordues (certainement avec tune2fs ou debug2fs) et un risque certain de foirer mon disque, aussi virtuel soit-il… Continuer la lecture

Mots de passe, Chrome, Firefox, Keepass : ne faire confiance qu’à soi ?

cadenas

Le constat peu reluisant

Google Chrome stocke les mots de passe de manière lamentable (c’est un fait, pas une question) et la protection contre l’affichage est un leurre (base SQLLite décryptable assez facilement). De plus, pour des raisons de commodités (synchro entre PC et tablettes/téléphones, très pratique il faut l’avouer), la base est stockée chez l’ami Google… en clair.
Bon c’est pratique pour nous, certes, mais aussi pour eux si des fois « quelqu’un » leur demandait un mot de passe… bon, c’est certainement pas le genre de Big Google hein. Continuer la lecture

Deux gros cons !

DeuxCons_05122006Non non non, pas un hommage à Mr Tronchet pour sa bonne BD dont je reprends la couverture ici, mais juste un court article dans la catégorie « aucun rapport », pour marquer un coup : la fin de plus de 6 ans de procédure judiciaire me concernant (moi et ma femme).
Procédure inutile, perte de temps qui m’aura fait découvrir de beaux métiers comme avocat (600 € pour dire bonjour), huissier (= facteur de luxe qui distribue en main propre le courrier très tôt le matin), expert judiciaire (glandu qui encaisse mais ne bosse pas sans 3 recommandés de relance et avant d’avoir revu sa comm’ à la hausse avant même de bosser) etc etc..
Tout ça pour rien.
Un procès moisi dès le départ qui me suivait depuis 6 ans, engagé par deux personnes totalement à la masse, qui se croyaient aux States et attaquaient pour un truc totalement hallucinogène. Mais bon, quand ils trouvent quelqu’un pour les défendre, tu finis par te demander.
Qu’ils aillent donc maintenant se faire foutre. Je ne les salue bien évidemment pas et leur souhaite du plaisir dans le paiement de la note qui en résulte.

Allez, on tourne la page.