Attaque(s) institutionnalisée(s) contre les noms de domaine et la liberté d'auto-hébergement?

English version here.


Problème

Yahoo rejette les mails issus de domaines *.nohost.me (je suppose que ce sera pareil pour les noho.st et ynh.fr) parce que ces « sous » domaines n’ont pas d’enregistrement SOA.

Il y a bien celui du domaine « parent »

dig soa nohost.me +short         
ns0.yunohost.org. hostmaster.yunohost.org. 1045098 10800 3600 604800 10

Mais pas celui des sous-domaines (exemple avec le mien, mais j’ai vérifié sur d’autres).

dig soa tierce.nohost.me +short
NADA

Le message d’erreur de Yahoo®

host mta6.am0.yahoodns.net[98.136.96.75] said:
    554 Message permanently deferred due to unresolvable RFC.5321 from domain;
    see https://postmaster.yahooinc.com/error-codes (in reply to end of DATA
    command)

Et l’extrait de leur documentation.

Unresolvable RFC.5321 from domain
These errors indicate that the domain used to the right of the @ in the MAIL FROM does not appear to be a real domain.
We determine if the domain name exists by using an SOA query; therefore, if multiple subdomains are used in MAIL FROM commands, then besides setting up a DNS A or MX record (perhaps using a wildcard), then SOA records must be set up as well.
This error can be returned as either a timeout/servfail (451) or a permfail (554)

https://senders.yahooinc.com/smtp-error-codes/

Proposition

  • Mettre en place un record SOA pour les domaines dynamiques (si c’est possible?)
  • Si non, dire dans la doc et lors du choix de ces domaines « gratuits » que l’envoi de mail ne fonctionnera pas (en tout cas pas vers Yahoo®).

Plus de discussions ?

Dans un laps de temps proche, il y a d’autres choses qui se produisent pour " rendre plus difficile " l’auto-hébergement de vos courriels.

Parlons en…

Effectivement, c’est relativement récent, je n’avais pas de problèmes avec une adresse en .ynh.fr vers yahoo, et là je teste , même erreur.

De quelles choses veux-tu parler? Autant le savoir dès maintenant et anticiper les problèmes à venir.

Ce n’est pas la seule attaque contre les noms de domaine.

En plus du " problème " de livraison de courrier rencontré avec Yahoo® et ses demandes de SOA, il y a cette vilaine proposition de l’ICANN et de Verisign concernant la saisie des noms de domaine (en anglais).

Le contrôle des populations et la censure généralisée se mettent en place, partout dans le monde. Avec la nouvelle taxe sur le CO2 (45€/t/an/personne), je m’attends à ce qu’ils interdisent également, très rapidement, le chauffage au bois. Et ne parlons pas de l’euro numérique qui arrive, la moindre de vos dépenses sera analysée, et si vous n’avez pas fait preuve de votre soumission, couic, ça va couper… Comme l’accès aux FAI d’ailleurs: vous n’êtes pas certifié compatible avec la parole de votre gouvenement ? Plus d’Internet.
(PS: fier d’être complotiste, au cas où vous auriez l’envie de me désigner sous ce terme…)

1 Like

Oui. Peut-être. Merci.

Mais en restant concentré sur le mail qui est est un des plus vieux service web décentralisé, je me demande vraiment comment encore encourager l’auto-hébergement (j’en dépend moi-même) comme je le fais depuis des années.

Parce que c’était merveilleux de pouvoir mettre en place sa brique dans le service postal digital, être joignable et pouvoir joindre les autres de par le monde.

Mais j’aimerais faire la part des choses entre;

les contraintes techniques qui s’imposent déjà peut-être même à tort à nous comme;

  • avoir des ipv4 et v6 à la réputation moyenne (pas inconnue des services GAFAM&co ni connue pour une mauvaise réputation)
  • un SPF correcte
  • un PTR,
  • un DKIM,
  • des règles DMARC (ou aucune), etc, etc.

et les contraintes administratives / légales / économiques qui nuisent à la solidarité comme;

  • Yahoo® le fait avec le SOA qui empêche le partage de nom de (sous)domaine.
  • l’ICANN (si ça passe) qui contraint à devoir acheter, disposer d’un moyen de paiement, d’être identifiable pour devenir propriétaire de son nom de domaine.
1 Like

Un autre genre de désagrément:

Oui mais bon…pour l’instant le chauffage au bois est toujours autorisé mais ça ne résout pas le souci d’envoi de mails vers yahoo… Le sens de ma question était plutôt de l’ordre du factuel comme la réponse de @tierce et de ce qu’il faut faire pour continuer à s’auto-héberger ou si c’est un vœu pieux et illusoire de croire que nous pourrons continuer à le faire.

Je comprends cependant le message que tu souhaites passer, comprendre au sens comprendre le sens de ta réponse, ce qui ne dit pas si je suis d’accord ou non, le suspens reste entier :stuck_out_tongue:

Je ne connaissais pas le soa, d’ailleurs c’est bien l’une des raisons pour laquelle je suis sur yunohost, avoir un système qui fonctionne sans se prendre la tête.

Pour le côté technique, est-ce quelque chose qui pourrait être mis en place avec les (sous-)domaines offerts par yunohost ou est-ce techniquement impossible?

Je sais pas si c’est possible.

J’ai essayé chez Gandi sur un (sous)domaine mais sans succès, mais aucun message d’erreur à l’importation de la zone DNS en mode text … donc non.

J’ai essayé chez OVH et le message d’erreur me semble claire : SOA record not at top of zone (test.computhings.be) computhings.be: … c’est non.

J’ai posé la question à Bortzmeyer via Mastodon et on verra la réponse, mais je crains que ce soit aussi … non.

1 Like

En fait ça semblerait techniquement faisable, mais j’ai pas tout compris au fil de discussion sur Mastodon mais je ne sais pas quoi répondre à ce message de Stéphane, parce que moi aussi j’ignore comment fonctionne le serveur DNS de Yunohost.

J’ignore comment le système des sous-domaines de Yunohost fonctionne (délégation ou pas ?) Si on m’en indique un, je peux regarder. (source)

Ping @Infra

Je rajoute SpamHaus … E-mail blacklisté .… parce que j’étais entrain de sortir ma brique et celle de ma compagne de leur liste noire … et dans les deux briques, je n’ai rien trouvé de suspect comme ils le suggèrent.

La seule chose suspecte étant que nous sommes minuscules, qu’on s’auto-héberge avec Yunohost et des IPv4 et v6 de Neutrinet asbl (FAI associatif belge qui propose du VPN avec IP fixes).

En fait ça semblerait techniquement faisable, mais j’ai pas tout compris au fil de discussion sur Mastodon

Je vais essayer d’expliquer ce que j’en ai compris.

Dans le DNS, les zones et les sous-domaines ne coincident pas forcément : un fichier de zone couvre un arbre, par exemple a.example.org, mais un sous-domaine, par exemple b.a.example.org, peut soit constituer sa propre zone, soit faire partie de la zone du sur-domaine a.example.org.

Yahoo recquiert un enregistrement SOA dans chaque domaine : pour envoyer des mails depuis b.a.example.org, il faut forcément qu’il y ait un SOA dans b.a.example.org, il ne sufit pas qu’il y ait un SOA dans a.example.com. Stéphane dit que c’est « débile et n’a pu être conçu que par des abrutis ».

Bind ne supporte qu’un SOA par fichier de zone : si b.a.example.org est stocké dans le fichier de zone du sur-domaine a.example.org, il n’est pas possible d’y mettre un SOA. Pour pouvoir y mettre un SOA, il faut scinder le domaine et mettre b.a.example.org dans sa propre zone.

Yunohost utilise une seule zone pour tous les domaines gérés, ce qui est parfaitement raisonnable.

Pour résoudre le problème, il faut donc que :

  1. Yahoo enlève le test « débile et [qui] n’a pu être conçu que par des abrutis » ; ou alors que
  2. Bind permette de mettre un SOA n’importe où, et pas seulement au sommet d’une zone ; ou alors que
  3. Yunohost scinde sa configuration DNS en plusieurs zones, une par domaine; ou alors que
  4. les gens arrêtent d’utiliser Yahoo.
4 Likes

Un autre témoignage… Unable to receive emails/Impossible de recevoir des emails à propos de Spamhaus.

2 Likes

Le problème n’est plus d’actualité, les mails sont désormais bien reçus par Yahoo.
j’ai maintenant un retour à la commande dig soa mon_sous_domaine.ynh.fr. Il semble donc qu’il y ait eu des modifications côté yunohost.

Je ne trouve pas d’infos à ce sujet, est-ce documenté quelque part?