PiwiLAbruti

Je pense que le §4 du tutoriel n'est pas assez clair, d'où la question pertinente de @.Shad. : Le port tcp/25 est bloqué dans le sens sortant, sauf pour les serveurs SMTP du FAI. Certains FAI proposent une option dans les paramètres de la box pour le débloquer, d'autres non. Ce bloquage a été mis en place par défaut chez la majorité des FAI pour lutter contre le spam. C'est pourquoi il est parfois nécessaire de passer par le serveur SMTP du FAI pour les mails sortants. Il est possible d'ouvrir le port tcp/25 entrant dans les options NAT/PAT des box, ce qui permet à un serveur SMTP du réseau local de recevoir des mails provenant d'internet.

Je ne comprends pas l'intérêt d'avoir une copie de la structure des dossiers en local. Ou alors j'ai mal lu. Est-ce qu'un logiciel de synchronisation sélective (comme Synology Drive) ne suffirait pas ?

Je ne vois pas où est la complication. Il y a pléthore d'outils pour synchroniser les données entre tous ces systèmes, même d'un Android vers iCloud (même si l'application n'est pas développée par Apple). J'utilise principalement un iPhone et un Mac et je n'utilise pas iCloud, je dois être le pire des pigeons qui existe 😅 L'écosystème d'Apple m'intéresse guère dans l'achat de leurs produits. C'est plutôt la durabilité et le support logiciel qui pèsent dans la balance (ce qui n'est malheureusement pas le cas d'un FairPhone, la société s'étant heurtée à la dure réalité de la disponibilité des pièces détachées, cf. FairPhone 1).

Tiens, voilà de quoi revoir tes pré-jugés : https://opensource.apple.com/ Et pour ne citer qu'un tout petit exemple, Apple supporte nativement des protocoles standards et ouverts comme CardDAV et CalDAV (iOS, iPadOS, macOS) là où ils ne sont même pas disponible nativement sur Android (et on t'explique qu'il faut installer une application à 5€ pour que ça fonctionne, une honte...). Pour en revenir au sujet, je vais suivre avec attention ta quête de déGAFAMisation car c'est un sujet sur lequel je m'étais déjà penché il y a quelques années et qui rencontre malheureusement vite des limites (support hasardeux, compatibilité hardware, ...).

Les serveurs SMTP (MTA) communiquent entre eux uniquement sur le port tcp/25. Les ports tcp/25, tcp/465, et tcp/587 sont utilisés par les clients pour communiquer avec leur serveur SMTP.

Tout est expliqué dans le tuto dédié à l'installation de MailPlus Server avec le FAI Orange :

Faut arrêter de raconter n'importe quoi. Heureusement que Microsoft utilise tous ces protocoles, sinon tous les messages envoyés depuis leurs serveurs seraient refusés par les serveurs des destinataires. Faites le test sur https://www.mail-tester.com/ si vous avez encore des doutes. Et le ridicule Microsoft bashing qui s'en suit, j'en parle même pas (et pourtant je ne suis pas pro-Microsoft, loin de là). MailPlus Server a quelques options supplémentaires dont un client web dédié (MailPlus) assez efficace, mais il est surtout limité à 5 comptes. Les comptes supplémentaires sont soumis à l'achat de licences. Mail Server n'a pas cette contrainte. J'utilisais Mail Server avant que MailPlus Server ne sorte, j'ai fait la migration, ça n'a pas révolutionné mon utilisation des mails.

Attention, cette mise à n'est disponible que pour deux modèles :

Rien ne t'empêche d'ajuster les règles lorsque tu en as besoin (ajoute par exemple tous les pays où tu vas régulièrement). Ça permet de réduire drastiquement les tentatives de découverte de services (portscan) et toutes les attaques qui peuvent en découler. Les sites que tu citaient précédemment ne pourront même plus accéder à ton NAS et encore moins l'identifier. Pour en revenir à l'aspect sécurité, je ne sais pas s'il est pertinent de faire un test d'intrusion en ligne par un site Roumain (pentest-tools.com).

L'adresse que tu as saisie sur ces sites (pentest-tools.com et intruder.io) est celle permettant d'accéder à DSM. Le code source de la page contient tout ce qu'il faut pour identifier un NAS Synology. Tu ne pourras pas l'empêcher tant que ces sites pourront accéder aux services de ton NAS. Je ne parle pas de tout fermer mais de n'ouvrir que ce qui est nécessaire. Ça évite bien des problèmes comme l'identification du NAS sur des sites. Donc la question est simple : Est-ce que le fait de n'ouvrir le NAS qu'aux adresse IP Françaises (par exemple) restreint l'utilisation de ton cloud privé ?

@MilesTEG1 Le problème n'est pas l'ouverture du port en elle-même, mais son étendue d'exposition qui présente un réel risque de securité.

Pourquoi ouvrir les ports 80, 443, 5679, et 6690 au monde entier ? Ce n'est pas ce qui est recommandé dans le tutoriel.

C'est suffisant pour détecter ton NAS. As-tu limité les adresses IP source ? Car je ne pense pas que des sites comme pentest-tools.com (UK) ou intruder.io (US) sont hébergés derrière des adresses IP françaises.

Utilises-tu QuickConnect ? Ton NAS a visiblement des ports exposés à internet. As-tu appliqué les règles de pare-feu préconisées dans ce tutoriel ?

Quel test de sécurité en ligne ?

Et ça continue avec la 6.2.4-25556 update 1 : Cette mise à jour n'est disponible que pour les modèles ci-dessous : DS414j DS216play d'après les fichiers disponibles ici : https://archive.synology.com/download/Os/DSM/6.2.4-25556-1

Bien vu @maxou56, je n'avais même pas fait attention. J'étais persuadé que le DS218play était compatible mais même pas. Pour les autres modèles (ARM) c'était cohérent. Donc au final, pas de risques pour ceux qui n'ont pas bidouillé leur NAS.

D'après les retours, les modèles suivants montés avec un volume btrfs seraient concernés : DS118 DS218play DS220j DS418j DS420j Donc pour ceux qui utilisent btrfs, il vaut mieux passer votre chemin. Mon DS718+ va rester sagement en 6.2.3.

Voici un exemple du pourquoi il faut être très prudent avec les mises à jour de DSM : Synology arrive à faire pire à chaque nouvelle mise à jour.

@oracle7 Parce qu'aujourd'hui chez Synology, installer une mise à jour manuellement c'est aller au devant des emmerdes.

La mise à jour vient d'être détectée automatiquement sur tous mes NAS. pour ceux qui l'avaient installée manuellement, il y avait des bugs qui persistaient sur la version 5.2.4-25556 ?

@starIst Je pense que ça répond à ma question.

Il s'agit principalement de corrections de bugs et d'améliorations diverses. Les détails sont dans les notes de mise à jour de chaque paquet : https://www.synology.com/fr-fr/support/download/DS1621+#packages

Attention au support non-natif de CalDAV sur Android. J'utilise OneCalendar pour pallier à ce problème.

Ou sans logiciel spécifique car SSH est natif à Windows 10. Depuis une invite de commande ou PowerShell : > ssh utilisateur@adresseDuNAS ---- Quand Synology dit : Qu'est-ce qui est en fin de vie (End of Life) ? Logitech Media Server ou le paquet fourni par Synology ? (je pense qu'il s'agit de LMS, mais c'est juste pour confirmer)