CULTe : Home | Association | Reunions | Projets | Listes de diffusion | Recherche | Best of Linux-31 | Trombinoscope

(Courriels de diversion: <deferlons@vieillissiez-haïront.com> <ligotes@libertines-emetteurs.com> <batteurs@faufilerons-theoriserais.com> <arriere-grand-pere@foirer-recrire.com> <regonfla@abjurer-moussaillons.com> <regretteront@berca-stresse.com> <eloignant@bâclons-tissiez.com> <favoriserais@viserions-raclerons.com> <comparaîtrais@pietinerez-agregerions.com> <charcutiez@gouttes-errante.com> ) 

>>>>> "rb" == Raphael Bouaziz <bouaziz@nerim.net> writes:
  rb> D'une manière générale, nous autorisons le client à utiliser sa
  rb> ligne ADSL comme il l'entend.
  
  rb> Tous les fournisseurs d'accès n'appliquent pas de filtrage sur le
  rb> trafic de leurs abonnés, et par conséquent aucun ne doit le
  rb> faire.

pourtant, le RFC3013 «Recommended Internet Service Provider Security
Services and Procedures» précise que les FAI devraient prendre des
mesures pour bloquer les relais SMTP ouverts:
  
,---- <URL:ftp://ftp.isi.edu/in-notes/rfc3013.txt> --
| 5.3 Open Mail Relay
| 
|    ISPs should take active steps to prevent their mail infrastructure
|    from being used by 'spammers' to inject Unsolicited Bulk E-mail (UBE)
|    while hiding the sender's identity [RFC2505].  While not all
|    preventive steps are appropriate for every site, the most effective
|    site-appropriate methods should be used.
| 
|    ISPs should also strongly encourage their customers to take the
|    necessary steps to prevent this activity on their own systems.
`----

Traduire «the most effective site-appropriate methods» par «fermer
complètement les yeux» me paraît un peu léger.
  
  rb> Aujourd'hui le client d'un FAI *ne veux absolument pas de filtrage*.
  rb> Nous avons eu des problèmes avec certains clients car un ex-fournisseur
  rb> (Isdnet) filtrait le spoof sur son réseau backbone, empêchant les
  rb> clients d'expédier des paquets avec une autre adresse IP qu'une
  rb> adresse Nerim. Aujourd'hui, nous n'avons plus qu'un peering avec
  rb> Isdnet, et nous choisissions des fournisseurs "coeur de réseau"
  rb> (tier 1) afin d'éviter tout filtrage sur le parcours vers le
  rb> site auquel veut accéder notre client.

donc vous ne respectez pas non plus la section du RFC3013 qui
demande aux ISP d'utiliser ce type de filtrage, pour limiter les
attaques («ingress and egress filtering on source address»). C'est
l'Exception Française appliquée aux paquets IP?

  rb> Concernant les listes noires, il est évidemment hors de question
  rb> d'en mettre en place sur les SMTP de Nerim.

si vous n'êtes pas prêts à prendre les mesures nécessaires pour
limiter l'utilisation abusive de votre réseau, ne soyez pas surpris
que d'autres sites les prennent à votre place, en boycottant le trafic
provenant de vos clients. 
  
-- 
Eric Marsden                          <URL:http://www.laas.fr/~emarsden/>

---------------------------------------------------------------------
Aide sur la liste: <URL:mailto:linux-31-help@CULTe.org>Le CULTe sur le web: <URL:http://www.CULTe.org/>

Cette page fait partie des archives des listes de diffusion de l'association CULTe.

A l'intention des mechants robots qui parcourent notre site a la recherche d'adresses electroniques a cibler avec des pourriels, voici une liste d'adresses pourries.