Vous avez une question ?
Interrogez la communauté
internet & fixe
Bonjour @Peter_Pan_7
Ta machine pourrait bien être sous Linux. Tu ne le dis pas, mais tout porte à le croire.
Je suis étonné que ce soit ton antispam qui relève ton courrier, pourquoi pas ?
Que tu sois sous Linux ou sous Windows, tu devrais utiliser les outils standard comme Thunderbird.
Il a suivi les évolutions de TLS et il intègre des fonctions anti spam intéressantes.
Perso, j'utilise Thunderbird avec mes boites mail Orange.
J'utilise des accès POP sur le port 995 avec SSL et je n'ai strictement jamais ces problèmes de "ERR SSL Handshake".
Je n'ai même depuis plus de 10 ans aucun problème de SSL ou d'accès à mes boites mail.
Il y a bien eu , il y a 2 ou 3 ans , un problème avec free qui a nécessité de baisser le niveau de version TLS uniquement pour les serveurs SMTP de Free. Je pense qu'aujourd'hui ils ont des serveurs SMTP qui utilisent TLS "à jour".
Mes réponses à tes deux questions : NON et OUI.
NON
Orange a adapté ses serveurs et Mozilla a aussi fait al même démarche sur Thunderbird, donc pas de problème et donc non je ne sais pas.
L'éditeur de configuration de Thunderbird affiche ces données :
Et, avec ces valeurs, ça fonctionne pilpoil pour les boites mail Orange
OUI
Tu peux toujours poser la question à la cellule abuse d'Orange
Adresse :
abuse@orange.fr
Contraintes :
pas de pièces jointes ni captures d'écran
donner ses identifiants tels que trouvés sur une facture
Réponse :
Réponse automatique, si le mail a passé le controle automatique
Rarement d'autre réponse, dans ton cas : peut-être
Cordialement
PhilDur
@PhilDur a écrit :Bonjour @Peter_Pan_7
Ta machine pourrait bien être sous Linux. Tu ne le dis pas, mais tout porte à le croire.
Dans le cas présent, non, j'utilisais un PC Windows avec un portage des bibliothèques OpenSSL et du proxy TLS stunnel.
Je suis étonné que ce soit ton antispam qui relève ton courrier, pourquoi pas ?
Effectivement, abus de langage de ma part : je ne relève que l'enveloppe des messages avec mon antispam de manière à analyser les différents champs tels que Return-Path, Reply-To, Originating IP Address, SCL, etc.
Que tu sois sous Linux ou sous Windows, tu devrais utiliser les outils standard comme Thunderbird.
Il a suivi les évolutions de TLS et il intègre des fonctions anti spam intéressantes.
Pour des raisons autres, je relève mon courrier avec Microsoft Outlook, tout à fait à jour et pleinement opérationnel en POP3S avec le support de TLS v1.3 et des modes TLS ou STARTTLS au choix
Perso, j'utilise Thunderbird avec mes boites mail Orange.
J'utilise des accès POP sur le port 995 avec SSL et je n'ai strictement jamais ces problèmes de "ERR SSL Handshake".
Je n'ai même depuis plus de 10 ans aucun problème de SSL ou d'accès à mes boites mail.
Oui, c'est "normal" à partir du moment où ton client supporte un niveau de version TLS non déprécié et qu'il est configuré pour renégocier un niveau inférieur si le serveur le demande de manière conforme. Ce qui est le cas de Thunderbird dont je pense le plus grand bien :-) Comme l'ensemble des produits de la fondation Mozilla
Ce qui n'était plus le cas de mon logiciel antispam que j'avais la flemme de mettre à jour, le risque de cybersécurité correspondant me paraissant très faible.
Il y a bien eu , il y a 2 ou 3 ans , un problème avec free qui a nécessité de baisser le niveau de version TLS uniquement pour les serveurs SMTP de Free. Je pense qu'aujourd'hui ils ont des serveurs SMTP qui utilisent TLS "à jour".
Indépendamment du fait que les fournisseurs de mél aient implémenté une version de protocole TLS non vulnérable, ma question est de savoir dans quelle mesure ils acceptent encore aujourd'hui une négociation pour utiliser une version vulnérable et donc dépréciée comme c'est le cas de mon antispam actuellement configuré pour ne supporter que TLS v1.0. Enfin, c'était le cas jusqu'à ce matin : j'ai fait l'effort de le reconfigurer pour utiliser un service de proxy TLS fourni par stunnel qui supporte pleinement TLS v1.3 avec les dernières bibliothèques OpenSSL qu'il utilise pour le chiffrement proprement dit.
Mes réponses à tes deux questions : NON et OUI.
NON
Orange a adapté ses serveurs et Mozilla a aussi fait al même démarche sur Thunderbird, donc pas de problème et donc non je ne sais pas.
L'éditeur de configuration de Thunderbird affiche ces données :
Et, avec ces valeurs, ça fonctionne pilpoil pour les boites mail Orange
OUI
Tu peux toujours poser la question à la cellule abuse d'Orange
Adresse :
abuse@orange.fr
Contraintes :
pas de pièces jointes ni captures d'écran
donner ses identifiants tels que trouvés sur une facture
Réponse :
Réponse automatique, si le mail a passé le controle automatique
Rarement d'autre réponse, dans ton cas : peut-être
Cordialement
PhilDur
Bonjour @PhilDur, merci pour ta réponse.
Je réponds à tes différents commentaires dans leur contexte rapporté ci-dessus en citation.
Concernant tes réponses proprement dites à mes questions :
- contacter la cellule abuse@orange.fr : les cellules abuse sont dédiées à prévenir le spam en émission depuis leurs serveurs, les usurpations d'identité avec l'usage frauduleux de leurs adresses mél et les risques de sécurité présumés ou pressentis tels qu'un DDoS contre leur infrastructure de service mél. Je contacterai néanmoins cette cellule par curiosité, ayant depuis trouvé la réponse à ma question principale concernant une migration partielle de l'infrastructure des serveurs POP/IMAP d'Orange et que je rapporte ci-dessous
- non migration partielle de l'infrastructure Orange : je partage ton avis MAIS... une mise à jour de la configuration des serveurs POP/IMAP a bien lieu en ce moment pour être à jour comme tu l'évoques ou du moins pour ne plus du tout supporter les versions 1.0 et 1.1 dépréciées du protocole TLS. Car certains serveurs supportent encore ces versions du protocole. Je viens de le vérifier ce matin avec OpenSSL en essayant de forcer l'usage des versions 1.0 ou 1.1 du protocole sur l'ensemble des serveurs POP d'Orange : certains serveurs acceptent encore ces ceux versions ! Ceci explique le caractère "aléatoire" des échecs de relève des enveloppes par mon logiciel antispam, selon qu'il se connectait à un serveur POP particulier plutôt qu'un autre, ce denier acceptant ou non le chiffrement de la connexion selon les capacités cryptographiques de la version TLS 1.0, seule supportée par mon logiciel antispam jusqu'à hier. Donc depuis début février, date de début de mon constat de cette "anomalie", Orange a reconfiguré une partie de ses serveurs POP/IMAP pour ne plus accepter des connexions en version TLS 1.0 mais aussi TLS 1.1 comme je l'ai vérifié avec OpenSSL.
Dernier point pour faire un lien avec une anomalie récurrente que l'on voit apparaître dans la communauté : les problèmes de remise des messages d'expéditeurs Gmail. Orange met "constamment" à jour son infrastructure POP/IMAP pour d'autres raisons que celle évoquée ici, telles que le renouvellement périodiques des certificats cryptographiques arrivant à échéance, la mise à jour des composants logiciels comme les bibliothèques SSL au fur et à mesure de leur patching pour corriger les vulnérabilités CVE publiées. Et il y en a beaucoup... Ce point est important car selon la rapidité de ces mises à jour, les serveurs POP/IMAP peuvent se situer alors en deçà des exigences de sécurité des serveurs Gmail, Google étant très proactive dans le domaine de la cybersécurité, pour le meilleur et le pire concernant le respect de notre vie privée.
C'est finalement ce post qui m'a convaincu qu'il fallait chercher la root cause dans l'infrastructure Orange : Sending server negotiated an old and insecure TLS version. Il apparaît clairement ici que les serveurs d'Orange n'étaient pas à jour concernant le niveau requis par la cyber-communauté pour le chiffrement des communications par le protocole TLS, la version v1.1 étant déjà dépréciée en septembre 2021, date du post. Et c'est ce même type de retard qui fait apparaître régulièrement des échecs de remise de messages provenant d'expéditeurs Gmail à destinations de nos BAL Orange. Ces échecs disparaissant au bout de quelques jours ou semaines, une fois qu'Orange a mis ses serveurs à niveau.
Volà, encore merci pour ta contribution, le partage de ta configuration détaillée Thunderbird et la suggestion de contacter la cellule abuse@orange.fr. Je reviendrai ici rapporter leur réponse ou leur silence.
Bien à toi.