Le contrôle d’émission des courriels selon Orange

Le contrôle d’émission des courriels selon Orange

Oser dire qu’on se trompe, c’est selon moi un véritable gage de progrès. Il faut apprendre de ses erreurs et pour cela les reconnaitre. Je passe tellement de temps à essayer de comprendre les petites erreurs du quotidien que mes utilisateurs n’osent pas m’avouer… S’ils savaient que le temps pour corriger leur erreur est tellement plus cours que celui de les identifier ! Psychanalyste : voilà surement une sortie honorable pour un informaticien en réorientation…

Tout ça pour dire que dans le message qui suit, publié initialement le 21/11/2012, il y a des choses vraies mais surtout une grosse erreur d’analyse qu’il m’aura fallu bien du temps à mettre en évidence.


Le SPAM est une plaie. Les solutions techniques se suivent plus ou moins complexes et plus moins contournables. Concernant la limitation de l’usage du protocole SMTP, il y a semble-t-il plusieurs approchent : ceux qui documentent les règles (OVH, Free) et ceux qui en appliquent sans prévenir (Orange). Voici un retour d’expérience avec le FAI Orange, ni pire ni meilleur que d’autres. Depuis qu’on vit dans un monde soi-disant compétitif, la qualité de service n’a plus vraiment de sens : à bien y réfléchir, seul le prix compte ! L’opérateur unique d’État ça pouvait avoir aussi du bon… Il n’y a pas de solution idéale.

Donc, ce jour-là, on commence à me dire que j’ai dû trituré des trucs sur le serveur de courrier parce qu’on commence à recevoir des messages de retour (Authentication required) dès qu’on veut envoyer des messages ou du moins, trop souvent. Généralement, dans ces moments-là, on commence toujours à se tromper de piste, peut-être par manque de confiance en soi : Mais qu’est-ce que j’avais bien pu toucher qui aurait eu comme effet de bord d’empêcher l’envoi de message par un de nos FAI ?

Le premier appel de la hotline Orange

Une force de notre installation et un défaut aussi (les pannes sont moins franches), c’est d’être en Dual WAN. Comme on n’observait rien de suspect chez notre 2ème FAI, on décide de faire transiter tout le flux courrier par ce biais ce qui permettait de se concentrer sur le problème. On revérifie tout. Ça prend le temps que ça prend. Et puis, au bout d’un moment, à court d’idées, on retourne sur le message initial : le premier rejet. À bien le lire, c’est le serveur de courrier d’Orange qui me dit : Authentication required. Allons voir ce qui se passe en Telnet. C’est bien ça. Il me rejette et demande une authentification. Il manquait plus que ça, je prends mon téléphone et j’appelle Orange.

« – Bonjour, […] donc y a-t-il un changement dans votre politique d’émission SMTP ?
– Non. Désolé Monsieur, mais ce doit être un problème de paramétrage sur votre serveur vous avez dû changer quelque chose
– Heu, comment vous dire ? J’attaque votre serveur directement en Telnet et je n’ai pas changé de configuration réseau depuis plus d’un mois et là subitement depuis aujourd’hui nos messages sont rejetés avec un ‘Authentication required’
– Attendez, je vais quand même regarder s’il n’y a pas eu un incident répertorié… Non. Je suis désolé, je ne peux rien faire pour vous. Je peux juste vous proposer l’intervention d’un expert qui vous aidera à bien paramétrer votre serveur, ça coûte quelques dizaines d’euros.
– Mais je ne n’utilise pas de serveur… »

La discussion a assez vite tourné court et au miracle le lendemain, ça fonctionnait à nouveau… Donc hypothèse 1 : l’appel d’Orange peut vous permettre de débloquer cette situation.

Ou alors vous avez tellement changer de paramètres à droite à gauche et vous avez tellement envie que ça marche que votre esprit se plait à croire qu’il à trouver la solution. Dans les faits, rien n’avait changé !

Le deuxième appel de la hotline Orange

Malheureusement, assez vite le problème est revenu. Or, comme c’était le rush sur un autre sujet et que les mails partaient bien via notre 2ème opérateur, il est un peu tombé aux oubliettes pour un bon mois. Jusqu’au jour où l’on reçoit un message de notre 2ème opérateur qui laisse penser qu’un de ses serveurs de courrier s’est fait black listé par hotmail.com. Certes tous nos clients ne sont pas chez hotmail (alias live) mais bon… ce n’est pas un bon signal. Et si ça dégénérait ? Je décide donc de rappeler Orange et là, je tombe sur quelqu’un ayant beaucoup d’empathie.

« – Bonjour, […] donc y a-t-il un changement dans votre politique d’émission SMTP ?
– Non mais vous avez essayé d’envoyé un courriel depuis notre plate-forme web
– Heu, comment vous dire ? J’attaque votre serveur directement en Telnet et j’ai aussi le problème. Qui plus est, je ne vois pas le lien avec votre serveur de courriel web.
– Allez faites le, ça ne vous coûte rien… »

J’avais déjà vu des systèmes comme ça où l’opérateur aime bien avoir des nouvelles de son client afin de savoir s’il est toujours en vie. Après tout, comme le gars avait vraiment l’air d’avoir envie de m’aider, je le fais mais n’observe aucun changement.

« – bon bien, ça ne marche pas
– Ha ? Je vais me renseigner alors… Bon, on m’a dit que c’était sûr, que c’était à cause de votre serveur.
– Ça recommence ! JE N’UTILISE PAS DE SERVEUR, je suis en connexion directe sur votre port 25 via Telnet. Pouvez-vous me confirmer qu’il n’y a pas de changement dans votre politique d’émission de courrier quand on est client ADSL chez vous ? Que l’utilisation de smtp.orange.fr sur le port 25 peut toujours se faire sans authentification ?
– Oui, en théorie… »

La discussion a duré assez longuement et elle s’est conclue comme la précédente, sans résultat, mais le type savait semble-t-il quelque chose qu’il ne pouvait pas me dire. Il n’arrêtait pas de me dire regarder ma configuration, de faire des tests et au passage le ménage dans la boîte (39 000 messages)… Des fois, je me demandais s’il ne jouait tout simplement pas la montre dans l’attente du déblocage du problème par ma simple connexion à leur plate-forme web faite au début.

Hypothèse 2 : La connexion sur la plate-forme web permet peut-être le déblocage du problème.

Ma femme dirait que ça : c’est de l’entêtement dans l’erreur ou de l’excès de confiance en soi ! Ce type ne voulait que m’aider, j’avais bel et bien un problème de configuration mais qui m’était encore invisible.

Là, je suis parti déjeuner assez désespéré. Je n’avais rien fait de ce que j’avais prévu de faire le matin et je prenais conscience du risque de ne dépendre plus du serveur de courrier que d’un opérateur puisque côté Orange ça ne semblait pas parti pour se débloquer. Au retour, je ne refais pas de test mais je me dis que cela ne peut pas faire de mal de nettoyer un peu cette boîte aux lettres. Je configure un compte sous Thunderbird et là alors que les messages descendent dans ma messagerie, je me dis : ça me rappelle un truc de chez OVH, pour envoyer un courrier en SMTP, il te demande d’ouvrir le passage par une authentification POP. Et si ce n’était tout simplement pas ça ? Je refais un test et au miracle, ça marche mais sans savoir si c’est à cause de mon hypothèse 1 ou 2 ou bien encore de cette nouvelle hypothèse 3 : un authentification préalable en POP permet d’ouvrir la porte SMTP.

Conclusions

Dans tous les cas, ce que je peux affirmer c’est qu’il existe bien un système de limitation de l’envoi des messages quand on passe par le serveur SMTP d’Orange indiqué dans la configuration de votre connexion ADSL.
Mais ce n’est pas officiel… Officiellement, c’est un problème de configuration de votre messagerie.

En tout cas, si subitement vous recevez des messages « Authentication Required » de la part de votre serveur de courrier Orange, vous pouvez :

  • les appeler
  • vous connecter à leur plate-forme web et pourquoi pas, en profiter pour faire un peu de ménage
  • vous connecter en POP sur votre compte de messagerie

M’ait avis qu’une partie de la solution au problème est là…

Non, non et non. Il n’y a rien d’officieux dans les systèmes de protection contre les SPAM mis en oeuvre par Orange. Les règles sont les suivantes :

  • Obtenir les adresses IP du serveur SMTP d’Orange (smtp.orange.fr) en utilisant les DNS fournis par votre lien ADSL et en passant par ce lien. De mémoire, mais je me trompe peut-être encore, je crois que cette pratique n’est pas recommandée…
  • Attaquer le serveur SMTP grâce à l’IP obtenue toujours en passant bien par votre lien ADSL

Dans notre cas nous utilisons un routeur Peplink Balance 20 pour faire de la balance de charge entre 2 modems ADSL. Cet outil dispose d’une fonctionnalité démoniaque répondant au doux nom de « SMTP Forwarding ». En gros, le routeur intercepte vos demandes de connexion sur le port 25, choisi le liens que vous aller exploiter et en fonction vous met en relation avec le serveur SMTP hadoc. Ainsi, alors que votre configuration indique smtp.fai1.fr, vos logiciels peuvent tout à fait se retrouver connectés à smtp.fai2.fr sans le savoir. Ce mécanisme présente toutefois une faille car la résolution de l’adresse du serveur SMTP que vous indiquez pour votre FAI dans l’interface de gestion du routeur, n’est pas résolue en respectant les règles plus hauts. Dommage !

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *