Mes Liens en Vrac
1297 shaares
31 résultats
taggé
mail
Email is unsafe and cannot be made safe. The tools we have today to encrypt email are badly flawed. Even if those flaws were fixed, email would remain unsafe. Its problems cannot plausibly be mitigated. Avoid encrypted email.
Dans un précédent article, nous décrivions comment router ses emails en fonction de la source avec Postfix. Cette technique a cependant une limitation. En effet, Postfix ne permet pas de cumuler des règles sur la source et sur la destination.
J’héberge mon propre courrier électronique. Le faire correctement n’est pas une chose triviale à faire et on est amené à apprendre l’existence de plusieurs mécanismes. Ce matin, j’ai reçu un courriel de non-livraison étrange de la part de Gmail et c’est l’occasion de parler de ces mécanismes, puis on décortiquera ce courriel étrange.
In this talk, I’ll present several attacks that leak the plaintext of OpenPGP or S/MIME encrypted emails to an attacker. Some of the attacks are technically interesting, i.e. the two different efail attacks, some are somewhat silly, yet effective. Some abuse HTML emails, some also work with plain ASCII emails. Furthermore, I’ll discuss our lessons learned and describe the efail-related changes to mail clients and the OpenPGP and S/MIME standards.
OpenSMTPD proc filters & fc-rDNS
ProtonMail is an online email service that claims to offer end-to-end encryption such that "even [ProtonMail] cannot read and decrypt [user] emails." The service, based in Switzerland, offers email access via webmail and smartphone applications to over five million users as of November 2018. In this work, we provide the first independent analysis of ProtonMail's cryptographic architecture. We find that for the majority of ProtonMail users, no end-to-end encryption guarantees have ever been provided by the ProtonMail service and that the "Zero-Knowledge Password Proofs" are negated by the service itself. We also find and document weaknesses in ProtonMail's "Encrypt-to-Outside" feature. We justify our findings against well-defined security goals and conclude with recommendations.
It’s no secret that configuration for OpenSMTPD changed a lot with version 6.4.0. Despite the fact that changes were announced long time ago and that many configuration examples have popped-up, my particular usage wasn’t covered(1). Namely: using OpenSMTPD with Dovecot and Rspamd as chained MTA.
Cet article expose comment gérer une newsletter et l’étude de son traitement par Gmail m’a permis de constater une insidieuse censure effectuée par ce service en ligne.
See here for how to create a mail which looks like it comes from DHL, passes DKIM and DMARC validation, but shows a content which is fully controlled by the attacker. Or see here how DKIM gets broken accidentely in practice, making an innocent message look spoofed.
In the world of mail servers, there are many software and technologies. Here is a list of 3 of them that you must know.
Fast, free and open-source spam filtering system
Logcheck est un logiciel qui analyse les logs du serveur et renvoi par mail des infos sur les problèmes rencontrés.
Malgré le paramétrage qui semble être correct, les règles d'évitement (ignorance) des log de sSMTP n'étaient pas appliquées et je recevais toutes les heures un message du type :
Malgré le paramétrage qui semble être correct, les règles d'évitement (ignorance) des log de sSMTP n'étaient pas appliquées et je recevais toutes les heures un message du type :
Vous cherchez un service mail français, performant et sans pub ?
Vous voulez une solution alternative, libre et respectueuse de votre vie privée, mais vous n'avez pas envie de louer votre propre serveur et d'installer tout ça vous même ?
Vous voulez une solution alternative, libre et respectueuse de votre vie privée, mais vous n'avez pas envie de louer votre propre serveur et d'installer tout ça vous même ?
Ces derniers temps, on voit passer des nouvelles pour des services de mail qui soignent la vie privée des utilisateurs. Je pense notamment à protonmail ou encore au retour de lavabit. Malgré le bien fondé et les excellentes intentions de ces services, je reste dubitatif (non, ce n'est pas un gros mot).
ProtonMail, le plus large fournisseur de service d’email chiffré a annoncé hier une nouvelle adresse Onion que les utilisateurs pourront désormais utiliser.
Nous allons voir dans cet article qu’il est intéressant d’utiliser SPF pour permettre à vos correspondants de valider que vous êtes « légitimement » l’expéditeur d’un email.
This session is aimed at administrators who can't or won't use 3rd-party mail hosting (and who would?) but still need a reliable, spam- and virus-resistant mail server. A basic knowledge of BSD, smtp and dns is expected and required.
Domain Keys Identified Mail, or DKIM, is another security mechanism available to us that allows us to prevent spoofing or forging of emails from our domain. Using public key cryptography to assure the integrity and authenticity of emails, properly configured DKIM is an excellent protection.
Je me suis récemment lancé dans l’aventure de l’auto-hébergement de ma messagerie électronique, et j’ai mis en place un certain nombre de mécanismes afin de lutter contre le spam et l’usurpation d’identité. Parmi ces mécanismes il y en a un qui s’appelle DMARC.
La messagerie web est un outil basique, utilisé par tous pour échanger ou communiquer. On peut constater que ce service a peu évolué depuis sa démocratisation ces 20 dernières années : il s’agit toujours d’envoyer des messages d’un point A à un point B via un serveur. Ce serveur étant mis à disposition par un tiers (une entreprise, une association…) ou mis en place par vous même.
Quand on pense aux GAFAM, on pense surtout à leur vilaine habitude d’aspirer les données de leurs utilisateurs (et des autres aussi d’ailleurs) mais on ne pense pas souvent à leur poids démesuré dans le domaine du mail.
I hate spam email. My inbox is a sacred place, and spammers shit all over it. I get in the zone when responding to emails, and it’s tough to jump from an email about our businesses pricing strategy, to reviewing the latest bug reports.
Dans cet article, les mentions « pirate », « spammeur » ou « attaquant » sont relatifs à la personne opérant l’attaque de phishing. Ce mail cible visiblement les utilisateurs de la banque « LCL » (dont je ne suis pas client), j’ignore par quel moyen son créateur s’est procuré mon mail, mail qu’il n’est sûrement pas le seul à le détenir, passons.
SMTP STS is a mechanism enabling mail service providers to declare their ability to receive TLS-secured connections, to declare particular methods for certificate validation, and to request sending SMTP servers to report upon and/or refuse to deliver messages that cannot be delivered securely.
I have read a shitload of overcomplicated setups to bring up a postfix / dspam SMTP + antispam server, and finally came to a much lighter and simpler configuration by basically reading documentation and real life examples.
Note this is suitable for a personnal and basic environment, no database, no virtual setup. Basic stuff.
Note this is suitable for a personnal and basic environment, no database, no virtual setup. Basic stuff.
Building an smtpd Mail Server using OpenBSD/OpenSMTPD
Emails chiffrés : ProtonMail sortira de bêta en janvier et proposera une offre payante - Next INpact
Après avoir revu son infrastructure, ProtonMail se prépare à lancer la version 3.0 de son service d'emails chiffrés, la première version qui ne sera pas en bêta. Pour l'occasion l'interface sera revue et corrigée, tandis que les applications mobiles et la liste d'attente devraient disparaitre. Il est également question d'une formule payante.
Mozilla dit adieu à Thunderbird. Le client mail de la fondation fermera bientôt ses portes pour recentrer ses forces vives autour de Firefox, projet bien plus populaire.
Le service de Webmail sécurisé a révélé avoir été victime d’une attaque DDos d’ampleur au cours de la semaine. Pour faire cesser l’attaque, la société a accepté de payer la rançon exigée par les attaquants, mais l’attaque a continué malgré le versement de l’argent.
Neither Snow Nor Rain Nor MITM ... An Empirical Analysis of Email Delivery Security
Email perfectly embodies the spirit of the internet: independent mail hosts exchanging messages, no host more or less important than any other. Joining the network is as easy as installing Sendmail and slapping on an MX record.