PiwiLAbruti

@oracle7 Quelle plage d'adresses IP Orange as-tu renseignées dans ton SPF ?

Je n'avais même pas fait attention que MailPlus Server savait le faire. J'étais persuadé qu'il ne proposait pas de définir un SMTP en fonction des adresses/domaines utilisés. Merci pour la découverte ! Quelles adresses Free as-tu renseignées dans le SPF ? ---- J'ai paramétré une exception pour forcer les domaines Microsoft (outlook.com, hotmail.fr, hotmail.com, ...) à passer par le SMTP de Free (tout le reste étant envoyé directement depuis MailPlus Server), ça fonctionne parfaitement.

Est-ce important ? Oui pour le simple fait d'être autonome 🤓 Est-il malgré tout pertinent d'utiliser un intermédiaire pour éviter les désagréments ? Oui aussi 😅 Ça reste vraiment une question de choix personnel. Je suis également chez Free avec un reverse fonctionnel, mais ça va bientôt changer et je serai confronté à ce choix. Pour l'instant je pense passer chez MailJet car mes volumes d'envoi sont très faibles.

Pour moi non, mais je suis loin d'être une référence (même si le joyeux botnet qui grossit passivement actuellement en France mériterait un peu de considération). C'est suffisant pour le commun des mortels et surtout facile à mettre en place. Il faut regarder du côté des allocations des adresses IP au RIPE NCC (le seul RIR à diffuser des données détaillées en libre accès), mais ce n'est pas à la portée de tout le monde. Par exemple, on peut délimiter le réseau IPv4 de Free Mobile avec un simple 37.160/12, voir moins avec une liste exhaustive des adresses réellement attribuées aux abonnés. Je devrais ouvrir un blog pour regrouper toutes ces informations, mais je peur de rendre des personnes actuellement saines d'esprit encore plus paranoïaques que je ne le suis déjà 😅

Donc attention à ne pas confondre le blocage du port tcp/25 sortant avec les règles NAT/PAT. Ce sont deux choses distinctes qui ont rien à voir. Concernant la sécurité des ports 25, 465, 587, et 993 (tous en tcp uniquement), seul le port 25 nécessite d'être ouvert au monde entier pour recevoir les mails. Tous les autres ports peuvent être restreints à la sécurité appliquée aux clients de messagerie.

Bloqué, oui, mais que dans le sens sortant pour les raisons que j'ai déjà évoquées. Dans ce cas, je rejoins le questionnement de @.Shad.. Comment se passe la réception de mails sur MailServer Plus ? Si un serveur SMTP veut envoyer un mail à ton NAS, il interroge ton domaine pour connaître le serveur MX qu'il doit contacter. À partir de là, le serveur SMTP de l'expéditeur essaye de se connecter au port tcp/25 de l'adresse IP résolue par le nom d'hôte renseigné dans l'enregistrement MX. Donc il faut bien que le port tcp/25 soit redirigé vers ton NAS, sinon il n'y a aucune chance que tu puisses recevoir de messages sur les adresses mail appartenant à ton domaine. C'est d'ailleurs ce que dit PhilDur, en mélangeant l'explication avec le point de vue opérateur ce qui induit les utilisateurs en erreur (je peux détailler ce qu'il a dit si besoin).

Je pense que le §4 du tutoriel n'est pas assez clair, d'où la question pertinente de @.Shad. : Le port tcp/25 est bloqué dans le sens sortant, sauf pour les serveurs SMTP du FAI. Certains FAI proposent une option dans les paramètres de la box pour le débloquer, d'autres non. Ce bloquage a été mis en place par défaut chez la majorité des FAI pour lutter contre le spam. C'est pourquoi il est parfois nécessaire de passer par le serveur SMTP du FAI pour les mails sortants. Il est possible d'ouvrir le port tcp/25 entrant dans les options NAT/PAT des box, ce qui permet à un serveur SMTP du réseau local de recevoir des mails provenant d'internet.

Je ne comprends pas l'intérêt d'avoir une copie de la structure des dossiers en local. Ou alors j'ai mal lu. Est-ce qu'un logiciel de synchronisation sélective (comme Synology Drive) ne suffirait pas ?

Je ne vois pas où est la complication. Il y a pléthore d'outils pour synchroniser les données entre tous ces systèmes, même d'un Android vers iCloud (même si l'application n'est pas développée par Apple). J'utilise principalement un iPhone et un Mac et je n'utilise pas iCloud, je dois être le pire des pigeons qui existe 😅 L'écosystème d'Apple m'intéresse guère dans l'achat de leurs produits. C'est plutôt la durabilité et le support logiciel qui pèsent dans la balance (ce qui n'est malheureusement pas le cas d'un FairPhone, la société s'étant heurtée à la dure réalité de la disponibilité des pièces détachées, cf. FairPhone 1).

Tiens, voilà de quoi revoir tes pré-jugés : https://opensource.apple.com/ Et pour ne citer qu'un tout petit exemple, Apple supporte nativement des protocoles standards et ouverts comme CardDAV et CalDAV (iOS, iPadOS, macOS) là où ils ne sont même pas disponible nativement sur Android (et on t'explique qu'il faut installer une application à 5€ pour que ça fonctionne, une honte...). Pour en revenir au sujet, je vais suivre avec attention ta quête de déGAFAMisation car c'est un sujet sur lequel je m'étais déjà penché il y a quelques années et qui rencontre malheureusement vite des limites (support hasardeux, compatibilité hardware, ...).

Les serveurs SMTP (MTA) communiquent entre eux uniquement sur le port tcp/25. Les ports tcp/25, tcp/465, et tcp/587 sont utilisés par les clients pour communiquer avec leur serveur SMTP.

Tout est expliqué dans le tuto dédié à l'installation de MailPlus Server avec le FAI Orange :

Faut arrêter de raconter n'importe quoi. Heureusement que Microsoft utilise tous ces protocoles, sinon tous les messages envoyés depuis leurs serveurs seraient refusés par les serveurs des destinataires. Faites le test sur https://www.mail-tester.com/ si vous avez encore des doutes. Et le ridicule Microsoft bashing qui s'en suit, j'en parle même pas (et pourtant je ne suis pas pro-Microsoft, loin de là). MailPlus Server a quelques options supplémentaires dont un client web dédié (MailPlus) assez efficace, mais il est surtout limité à 5 comptes. Les comptes supplémentaires sont soumis à l'achat de licences. Mail Server n'a pas cette contrainte. J'utilisais Mail Server avant que MailPlus Server ne sorte, j'ai fait la migration, ça n'a pas révolutionné mon utilisation des mails.

Rien ne t'empêche d'ajuster les règles lorsque tu en as besoin (ajoute par exemple tous les pays où tu vas régulièrement). Ça permet de réduire drastiquement les tentatives de découverte de services (portscan) et toutes les attaques qui peuvent en découler. Les sites que tu citaient précédemment ne pourront même plus accéder à ton NAS et encore moins l'identifier. Pour en revenir à l'aspect sécurité, je ne sais pas s'il est pertinent de faire un test d'intrusion en ligne par un site Roumain (pentest-tools.com).

L'adresse que tu as saisie sur ces sites (pentest-tools.com et intruder.io) est celle permettant d'accéder à DSM. Le code source de la page contient tout ce qu'il faut pour identifier un NAS Synology. Tu ne pourras pas l'empêcher tant que ces sites pourront accéder aux services de ton NAS. Je ne parle pas de tout fermer mais de n'ouvrir que ce qui est nécessaire. Ça évite bien des problèmes comme l'identification du NAS sur des sites. Donc la question est simple : Est-ce que le fait de n'ouvrir le NAS qu'aux adresse IP Françaises (par exemple) restreint l'utilisation de ton cloud privé ?

@MilesTEG1 Le problème n'est pas l'ouverture du port en elle-même, mais son étendue d'exposition qui présente un réel risque de securité.

Pourquoi ouvrir les ports 80, 443, 5679, et 6690 au monde entier ? Ce n'est pas ce qui est recommandé dans le tutoriel.

C'est suffisant pour détecter ton NAS. As-tu limité les adresses IP source ? Car je ne pense pas que des sites comme pentest-tools.com (UK) ou intruder.io (US) sont hébergés derrière des adresses IP françaises.

Utilises-tu QuickConnect ? Ton NAS a visiblement des ports exposés à internet. As-tu appliqué les règles de pare-feu préconisées dans ce tutoriel ?

Quel test de sécurité en ligne ?

Il s'agit principalement de corrections de bugs et d'améliorations diverses. Les détails sont dans les notes de mise à jour de chaque paquet : https://www.synology.com/fr-fr/support/download/DS1621+#packages

Il faut que l'alimentation du NAS soit débranchée et éviter de poser ses doigts où ce n'est pas nécessaire, en particulier sur tout ce qui est électronique. Pour le reste il suffit de savoir se servir d'un tournevis, rien de bien compliqué.

Il n'y a qu'un seul et unique moyen de le savoir, c'est de changer la pile.

J'ai également un conseil : change la pile 😅 J'ai eu le cas sur un DS109 où la pile a fini par rendre l'âme au bout de presque 10 ans. Les symptômes étaient exactement les mêmes, et il y a encore les évènements système dans les logs : Système Niveau,Journal,Heure,Utilisateur,Evénement, Information,Système,2038/01/19 04:14:07,SYSTEM,System started to boot up. Information,Système,2037/09/22 23:29:02,SYSTEM,System started to boot up. Information,Système,2033/02/08 23:09:44,SYSTEM,System started to boot up. Information,Système,2024/01/01 23:09:43,SYSTEM,System started to boot up. Information,Système,2021/10/06 12:02:17,SYSTEM,System started to boot up. Même si au final la pile n'en serait pas la cause, il vaut mieux commencer par là.

Il faudrait connaître les adresses des serveurs Synology C2.