PiwiLAbruti

Non. Historiquement, cet en-tête sert à indiquer le nom et la version du serveur HTTP. Cette valeur n'a rien de fonctionnel. Il s'avère que donner de telles informations permet à des vilains hackers de cibler directement les attaques possibles sur le serveur et de le compromettre en peu de temps. Donc n'importe quelle valeur farfelue est la bienvenue (ou aucune). Plus d'information : https://developer.mozilla.org/fr/docs/Web/HTTP/Headers/Server

Une broutille au §IV Hypothèses : Et une autre au §V Installation : Tel qu'on le lit, [Ctrl]+[O] servirait à fermer l'éditeur de texte. Ça risque de perturber les novices.

Mail-Tester donne uniquement l'adresse IP qu'il trouve dans l'en-tête Received du mail. Comme il existe un enregistrement SPF chez Free (contrairement à Orange), il suffit de l'ajouter à ton SPF : include:_spf.free.fr Pour trouver cet enregistrement, il suffit de résoudre les enregistrement TXT du domaine ciblé : > nslookup -type=TXT free.fr free.fr text = "v=spf1 include:_spf.free.fr ?all" Pour voir les adresse IP utilisées, il faut résoudre l'enregistrement inclus : > nslookup -type=TXT _spf.free.fr _spf.free.fr text = "v=spf1 ip4:212.27.42.1 ip6:2a01:e0c:1:1599::10 ip4:212.27.42.2 ip6:2a01:e0c:1:1599::11 ip4:212.27.42.3 ip6:2a01:e0c:1:1599::12 ip4:212.27.42.4 ip6:2a01:e0c:1:1599::13 ip4:212.27.42.5 ip6:2a01:e0c:1:1599::14 ip4:212.27.42.6 ip6:2a01:e0c:1:1599::15 ip4:212.27.42.9 ip6:2a01:e0c:1:1599::18 ip4:212.27.42.10 ip6:2a01:e0c:1:1599::19 -all" On y retrouve d'ailleurs les adresses indiquées par Mail-Tester.

C'est surprenant qu'ils conseillent d'entrer des adresses IP plutôt qu'un enregistrement A (ou AAAA) qui regroupe toutes ces adresses. D'un autre côté tu ne devrais avoir qu'à ajouter un include:_spf.orange.fr mais cet enregistrement n'existe pas. Donc le principal problème reste Orange. C'est simple, il n'y a pas de notation CIDR équivalente. Chaque adresse doit être définie individuellement. J'aurais tendance à créer un enregistrement dédié pour les adresses IP Oranges : spf-orange.domain.tld text="v=spf1 ip4:80.12.242.123 ip4:80.12.242.124 ... ip4:80.12.242.133 ip4:80.12.242.134" et à l'inclure au SPF existant : v=spf1 mx include:spf-orange.domain.tld include:mx.ovh.com -all

Il n'y a toujours pas de SPF sur le domaine orange.fr ?! (ni sur wanadoo.fr d'ailleurs) > nslookup -type=TXT orange.fr orange.fr text = "google-site-verification=wVfmItsRg98bVMcfUEzmeLzPIkoxoD2yHupbXNHa76M" orange.fr text = "facebook-domain-verification=z5whlxjhtfyfgqgchltv10zt2rebiz" orange.fr text = "google-site-verification=c4OfrczLMSJm4DyV_ROkN-H3IoVB-up0QI0FfErDj2Y" orange.fr text = "google-site-verification=9xjSUpzPfzPK-jOBA3a4tFB3I_yybuVsWQ4QjMRrKfk" L'enregistrement smtp.smtpout.orange.fr renvoie bien les adresses IP des serveurs sortants : > nslookup smtp.smtpout.orange.fr smtp.smtpout.orange.fr 80.12.242.126 80.12.242.125 80.12.242.124 80.12.242.123 80.12.242.134 80.12.242.133 80.12.242.132 80.12.242.130 80.12.242.129 80.12.242.128 80.12.242.127 Les parties ip4:80.12.242.123/29 et ip4:80.12.242.128/29 de ton SPF sont donc redondantes (en plus d'être trop permissives : [120-135] au lieu de [123-134]) avec a:smtp.smtpout.orange.fr qui contient déjà les adresses strictement nécessaires. Il vaudrait mieux les retirer. Si tu as terminé de configurer ton serveur mail, et que tout fonctionne correctement, il faut passer ~all à -all. -------- Mise à jour du 19/09/2022 : Orange a créé des enregistrements SPF pour ses domaines orange.fr et wanadoo.fr 🍾🥂🥳 > nslookup -type=TXT orange.fr orange.fr text = "v=spf1 include:_spf_gp.orange.fr include:spf.email-control.orange-business.com include:_spf_gpf.orange.fr include:_spf_other.orange.fr ?all" > nslookup -type=TXT wanadoo.fr wanadoo.fr text = "v=spf1 include:_spf_gp.wanadoo.fr include:spf.email-control.orange-business.com include:_spf_gpf.wanadoo.fr include:_spf_other.wanadoo.fr ?all" Par contre, les réseaux autorisés peuvent être (très) larges, et certaines parties de ces enregistrements ne sont pas pertinentes pour l'usage qu'on en a ici (Orange Business, ...). Si vous souhaitez ajouter le SPF Orange dans votre propre enregistrement, ajoutez simplement : include:_spf_gp.orange.fr _spf_gp.orange.fr et _spf_gp.wanadoo.fr sont identiques, donc utilisez celui que vous voulez mais pas les deux. Ces derniers pointent vers les réseaux suivants : 80.12.242.0/25 80.12.242.128/29 193.252.23.210/31 193.252.23.212/30 193.252.23.66 193.252.22.0/25 193.252.22.210/31 193.252.22.212/30 Au passage, l'enregistrement smtp.smtpout.orange.fr a également changé et contient plus d'adresses qu'auparavant ([11-30], [50-53], [123-135]) : > nslookup smtp.smtpout.orange.fr Addresses:80.12.242.11 80.12.242.12 80.12.242.13 80.12.242.14 80.12.242.15 80.12.242.16 80.12.242.17 80.12.242.18 80.12.242.19 80.12.242.20 80.12.242.21 80.12.242.22 80.12.242.23 80.12.242.24 80.12.242.25 80.12.242.26 80.12.242.27 80.12.242.28 80.12.242.29 80.12.242.30 80.12.242.50 80.12.242.51 80.12.242.52 80.12.242.53 80.12.242.123 80.12.242.124 80.12.242.125 80.12.242.126 80.12.242.127 80.12.242.128 80.12.242.129 80.12.242.130 80.12.242.131 80.12.242.132 80.12.242.133 80.12.242.134 80.12.242.135 Je n'utilise pas les serveurs SMTP d'Orange, mais cette solution est plus propre que celle donnée précédemment. Tu peux mettre à jour ton enregistrement SPF @oracle7 😉.

@oracle7 Quelle plage d'adresses IP Orange as-tu renseignées dans ton SPF ?

Je n'avais même pas fait attention que MailPlus Server savait le faire. J'étais persuadé qu'il ne proposait pas de définir un SMTP en fonction des adresses/domaines utilisés. Merci pour la découverte ! Quelles adresses Free as-tu renseignées dans le SPF ? ---- J'ai paramétré une exception pour forcer les domaines Microsoft (outlook.com, hotmail.fr, hotmail.com, ...) à passer par le SMTP de Free (tout le reste étant envoyé directement depuis MailPlus Server), ça fonctionne parfaitement.

Un moyen, oui (enfin je crois). Simple, ça dépend 😅 Il faut passer par SSH pour exécuter une requête SQL afin de remplacer le champ user de la table download_queue de la base de données download de la base de données interne de DSM (PostgreSQL). Pour voir toutes les tâches de téléchargement avec leurs propriétaires respectifs : user@diskstation:~$ sudo -u postgres psql -d download -c "SELECT username,filename FROM download_queue;" Pour changer le propriétaire des tâches dont l'utilisateur admin est propriétaire : 1. Arrêter le paquet Download Station dans le Centre de paquets. 2. Remplacer le propriétaire des tâches dont le propriétaire actuel est admin par user (remplacer user par votre utilisateur) : user@diskstation:~$ sudo -u postgres psql -d download -c "UPDATE download_queue SET username='user' WHERE username='admin';" 3. Démarrer le paquet Download Station dans le Centre de paquets.

Est-ce important ? Oui pour le simple fait d'être autonome 🤓 Est-il malgré tout pertinent d'utiliser un intermédiaire pour éviter les désagréments ? Oui aussi 😅 Ça reste vraiment une question de choix personnel. Je suis également chez Free avec un reverse fonctionnel, mais ça va bientôt changer et je serai confronté à ce choix. Pour l'instant je pense passer chez MailJet car mes volumes d'envoi sont très faibles.

Pour moi non, mais je suis loin d'être une référence (même si le joyeux botnet qui grossit passivement actuellement en France mériterait un peu de considération). C'est suffisant pour le commun des mortels et surtout facile à mettre en place. Il faut regarder du côté des allocations des adresses IP au RIPE NCC (le seul RIR à diffuser des données détaillées en libre accès), mais ce n'est pas à la portée de tout le monde. Par exemple, on peut délimiter le réseau IPv4 de Free Mobile avec un simple 37.160/12, voir moins avec une liste exhaustive des adresses réellement attribuées aux abonnés. Je devrais ouvrir un blog pour regrouper toutes ces informations, mais je peur de rendre des personnes actuellement saines d'esprit encore plus paranoïaques que je ne le suis déjà 😅

Donc attention à ne pas confondre le blocage du port tcp/25 sortant avec les règles NAT/PAT. Ce sont deux choses distinctes qui ont rien à voir. Concernant la sécurité des ports 25, 465, 587, et 993 (tous en tcp uniquement), seul le port 25 nécessite d'être ouvert au monde entier pour recevoir les mails. Tous les autres ports peuvent être restreints à la sécurité appliquée aux clients de messagerie.

Bloqué, oui, mais que dans le sens sortant pour les raisons que j'ai déjà évoquées. Dans ce cas, je rejoins le questionnement de @.Shad.. Comment se passe la réception de mails sur MailServer Plus ? Si un serveur SMTP veut envoyer un mail à ton NAS, il interroge ton domaine pour connaître le serveur MX qu'il doit contacter. À partir de là, le serveur SMTP de l'expéditeur essaye de se connecter au port tcp/25 de l'adresse IP résolue par le nom d'hôte renseigné dans l'enregistrement MX. Donc il faut bien que le port tcp/25 soit redirigé vers ton NAS, sinon il n'y a aucune chance que tu puisses recevoir de messages sur les adresses mail appartenant à ton domaine. C'est d'ailleurs ce que dit PhilDur, en mélangeant l'explication avec le point de vue opérateur ce qui induit les utilisateurs en erreur (je peux détailler ce qu'il a dit si besoin).

Je pense que le §4 du tutoriel n'est pas assez clair, d'où la question pertinente de @.Shad. : Le port tcp/25 est bloqué dans le sens sortant, sauf pour les serveurs SMTP du FAI. Certains FAI proposent une option dans les paramètres de la box pour le débloquer, d'autres non. Ce bloquage a été mis en place par défaut chez la majorité des FAI pour lutter contre le spam. C'est pourquoi il est parfois nécessaire de passer par le serveur SMTP du FAI pour les mails sortants. Il est possible d'ouvrir le port tcp/25 entrant dans les options NAT/PAT des box, ce qui permet à un serveur SMTP du réseau local de recevoir des mails provenant d'internet.

Je ne comprends pas l'intérêt d'avoir une copie de la structure des dossiers en local. Ou alors j'ai mal lu. Est-ce qu'un logiciel de synchronisation sélective (comme Synology Drive) ne suffirait pas ?

Je ne vois pas où est la complication. Il y a pléthore d'outils pour synchroniser les données entre tous ces systèmes, même d'un Android vers iCloud (même si l'application n'est pas développée par Apple). J'utilise principalement un iPhone et un Mac et je n'utilise pas iCloud, je dois être le pire des pigeons qui existe 😅 L'écosystème d'Apple m'intéresse guère dans l'achat de leurs produits. C'est plutôt la durabilité et le support logiciel qui pèsent dans la balance (ce qui n'est malheureusement pas le cas d'un FairPhone, la société s'étant heurtée à la dure réalité de la disponibilité des pièces détachées, cf. FairPhone 1).

Tiens, voilà de quoi revoir tes pré-jugés : https://opensource.apple.com/ Et pour ne citer qu'un tout petit exemple, Apple supporte nativement des protocoles standards et ouverts comme CardDAV et CalDAV (iOS, iPadOS, macOS) là où ils ne sont même pas disponible nativement sur Android (et on t'explique qu'il faut installer une application à 5€ pour que ça fonctionne, une honte...). Pour en revenir au sujet, je vais suivre avec attention ta quête de déGAFAMisation car c'est un sujet sur lequel je m'étais déjà penché il y a quelques années et qui rencontre malheureusement vite des limites (support hasardeux, compatibilité hardware, ...).

Les serveurs SMTP (MTA) communiquent entre eux uniquement sur le port tcp/25. Les ports tcp/25, tcp/465, et tcp/587 sont utilisés par les clients pour communiquer avec leur serveur SMTP.

Tout est expliqué dans le tuto dédié à l'installation de MailPlus Server avec le FAI Orange :

Faut arrêter de raconter n'importe quoi. Heureusement que Microsoft utilise tous ces protocoles, sinon tous les messages envoyés depuis leurs serveurs seraient refusés par les serveurs des destinataires. Faites le test sur https://www.mail-tester.com/ si vous avez encore des doutes. Et le ridicule Microsoft bashing qui s'en suit, j'en parle même pas (et pourtant je ne suis pas pro-Microsoft, loin de là). MailPlus Server a quelques options supplémentaires dont un client web dédié (MailPlus) assez efficace, mais il est surtout limité à 5 comptes. Les comptes supplémentaires sont soumis à l'achat de licences. Mail Server n'a pas cette contrainte. J'utilisais Mail Server avant que MailPlus Server ne sorte, j'ai fait la migration, ça n'a pas révolutionné mon utilisation des mails.

Attention, cette mise à n'est disponible que pour deux modèles :

Rien ne t'empêche d'ajuster les règles lorsque tu en as besoin (ajoute par exemple tous les pays où tu vas régulièrement). Ça permet de réduire drastiquement les tentatives de découverte de services (portscan) et toutes les attaques qui peuvent en découler. Les sites que tu citaient précédemment ne pourront même plus accéder à ton NAS et encore moins l'identifier. Pour en revenir à l'aspect sécurité, je ne sais pas s'il est pertinent de faire un test d'intrusion en ligne par un site Roumain (pentest-tools.com).

L'adresse que tu as saisie sur ces sites (pentest-tools.com et intruder.io) est celle permettant d'accéder à DSM. Le code source de la page contient tout ce qu'il faut pour identifier un NAS Synology. Tu ne pourras pas l'empêcher tant que ces sites pourront accéder aux services de ton NAS. Je ne parle pas de tout fermer mais de n'ouvrir que ce qui est nécessaire. Ça évite bien des problèmes comme l'identification du NAS sur des sites. Donc la question est simple : Est-ce que le fait de n'ouvrir le NAS qu'aux adresse IP Françaises (par exemple) restreint l'utilisation de ton cloud privé ?

@MilesTEG1 Le problème n'est pas l'ouverture du port en elle-même, mais son étendue d'exposition qui présente un réel risque de securité.

Pourquoi ouvrir les ports 80, 443, 5679, et 6690 au monde entier ? Ce n'est pas ce qui est recommandé dans le tutoriel.

C'est suffisant pour détecter ton NAS. As-tu limité les adresses IP source ? Car je ne pense pas que des sites comme pentest-tools.com (UK) ou intruder.io (US) sont hébergés derrière des adresses IP françaises.