Filtrage du port 25/TCP

21.07.10 | par Le Grincheux | Catégories: Mauvaise humeur, Je hais l'informatique, Vieux con, Haines ordinaires

Depuis que les fournisseurs d'accès internet dits grand public ou prétendus tels ont décidé de filtrer autoritairement et par défaut le port SMTP (25/TCP), le rapport signal sur bruit des boîtes aux lettres électroniques a considérablement chuté.

Il y a quelque temps, le spam provenait essentiellement de réseaux de machines dites zombies. C'était facile à faire, l'immense majorité des ordinateurs non ou mal administrés fonctionnait sous Windows, un système d'exploitation plus troué que la casserole à nouilles des shadoks. En prendre le contrôle à distance était relativement simple, le plus difficile étant de créer un logiciel d'envoi de ces messages qui soit à la fois compact, ne se fasse pas repérer et qui respecte à peu près les RFCs pour s'adresser directement aux vrais serveurs de réception des courriers des destinataires.

L'administrateur de serveurs de messagerie qui devait filtrer le bon grain de l'ivraie avait alors plusieurs cordes à son arc. La plus importante était de vérifier le respect des RFCs par le serveur d'envoi (greeting delay, gestion des erreurs temporaires…). Avec quelques lignes de configuration et un ou deux milters, on arrivait à limiter fortement le passage de ces messages non sollicités.

Or, administrateur de serveur de messagerie, c'est un vrai travail, généralement ingrat car on passe son temps à se faire engueuler par les utilisateurs parce que les courriers électroniques n'arrivent pas instantanément. L'utilisateur final n'arrive pas à comprendre que le protocole utilisé est asynchrone. Il faut une réelle compétence. Les anciens barbus, les dinosaures avec des écailles ont été remplacés par des petits jeunes moins chers mais aussi beaucoup moins compétents. Envoyer un message sur le serveur de certains fournisseurs sans le présenter plus d'une dizaine de fois est devenu une gageure. Comme le disait justement un ancien premier ministre à la tribune de l'assemblée, j'ai des noms, plus exactement, j'ai des logs. Chez d'autres, les services de messagerie électronique sont même devenus optionnels tant ils se sont dégradés.

Que ces domaines de messagerie soient gérés par des pieds ne me regarde pas tant que je ne suis pas contraint à utiliser leurs services. Ce qui me pose en revanche un gros problème, c'est que ces gens-là aient pu imaginer un seul instant dans leurs cerveaux défectueux qu'en fermant le port 25/TCP en sortie de leurs clients, ils résoudraient facilement et d'un seul coup le problème des réseaux zombies. Il n'y en a pas eu un seul pour se dire que si le port 25/TCP était fermé, les zombies passeraient directement par les serveurs officiels du fournisseur d'accès. Si encore ces serveurs étaient bien gérés et filtraient un peu les choses, ce serait un moindre mal.

Résultat des courses : toutes les méthodes antispam qui fonctionnaient à peu près sont devenues inefficaces parce qu'on ne peut plus faire autre chose que de filtrer les messages en fonction de leur contenu et non plus en fonction de la façon dont le serveur distant se comporte. Il s'ensuit des temps de traitement beaucoup plus longs, des charges système largement plus importantes et surtout des erreurs de décision beaucoup plus nombreuses.

Ce qu'on ne mesure jamais, c'est la conséquence de ce blocage idiot des ports 25/TCP sur la consommation électrique des serveurs SMTP. Je n'ai aucun moyen de mesurer cette consommation, mais je constate simplement qu'à nombre de messages traités par heure constant depuis quelques années, la charge moyenne — donc la consommation — de mes serveurs augmente.

Le verrouillage de ces ports est donc contre-productif tant pour la lutte antispam que pour la consommation électrique des serveurs. Pourquoi donc continuer dans la même voie ? Quand comprendra-t-on que la compétence se paie ?

 

Chats

20.07.10 | par Le Grincheux | Catégories: Mauvaise humeur, Je hais l'informatique, Haines ordinaires

J'ai adopté un chat. En fait, non, il serait plus exact de dire que j'habite chez un chat même si j'ai réussi à dresser un peu l'animal pour qu'il ne me fasse pas tourner chèvre. Ce modèle est un sacré de Birmanie cream tabby point inscrit au Livre Officiel des Origines Félines. J'ai l'impression qu'il le sait et qu'il en est fier.

De poils mi-longs, il apprécie beaucoup mes machines, certainement parce qu'elles sont vaguement chaudes et qu'elles ronronnent. Il doit penser que ce sont d'autres lui-même. L'ennui, c'est que le bipède en a marre d'enlever des poils de chat en pelote dans ses machines.

Mon poste de travail est une SparcStation 20 avec quatre processeurs HyperSparc RT626 et deux disques SCA de 300 Go. Autant dire qu'avec les températures actuelles, elle est ouverte et bénéficie d'un système de refroidissement idoine. Un coup d'aspirateur de temps en temps suffit à la laisser propre. En revanche, j'ai dans une autre pièce un serveur, une Sun Blade 2000 avec deux processeurs UltraSparc III+ Cu et une baie de sept disques U320 en Raid6. Aucun de ces deux appareils ne peut fonctionner ouvert : la Blade parce qu'un contacteur empêche son fonctionnement capot ouvert et la baie de disque parce que mon chat est curieux, qu'il y a un tas de loupiotes qui clignotent et plein de fils appétissants.

Il y a quelques jours, un disque du volume Raid6 est parti en vacances pour une durée illimitée. Les erreurs de phase sur le bus SCSI n'étant pas de bon augure, je décide de changer le disque en question et de faire une opération de maintenance complète sur la baie de disque et sur le serveur : vérification et changement le cas échéant des ventilateurs, nettoyage complet de la baie et des du serveur. En temps normal, l'opération doit durer une petite heure. Normalement…

Trois ventilateurs étaient à changer dans la baie. Les connecteurs de ces ventilateurs étant spécifiques, je joue donc du fer à souder. Un coup d'aspirateur dans la baie, changement d'un tiroir qui ne traitait plus correctement les alarmes des disques et je remonte le tout. Passons au serveur. Là, c'est une catastrophe. Je ne sais pas si sous avez déjà eu dans les mains un module processeur UltraSparc III. Ça ressemble à la photographie suivante, c'est assez grand et il faut particulièrement faire attention à son insertion sur la carte-mère car les picots des deux connecteurs sont très fragiles. Un seul de tordu et cela se traduit par un changement du module et de la carte-mère s'il casse dans le connecteur femelle.

Grâce à mon chat, j'ai pu démonter les deux processeurs de la carte-mère pour nettoyer les radiateurs encombrés par un très joli feutre couleur crème qui obstruait toutes les ailettes. Pourtant, j'avais protégé les entrées d'air de la machine par un voile pour éviter ce genre de déconvenue. Rien n'y fait. Le poil de chat s'infiltre partout.

Je hais mon chat. Et il me le rend bien, il vient de sauter sur mes genoux pour demander un câlin…

 

Anonymat

19.07.10 | par Le Grincheux | Catégories: Mauvaise humeur, Mauvais esprit, Haines ordinaires

Je ne sais pas si vous avez remarqué combien sont nombreux les courageux qui oublient de signer leurs lettres. Ils sont d'autant plus nombreux que leurs missives diarrhéiques sont insultantes et qu'ils n'arrivent pas à trouver le bouton pour laisser des commentaires à mes billets.

Le 18 juillet 2010 à 18h05, un anonyme a posté sous l'identité Cryptorium le message suivant dans le groupe fr.comp.os.linux.debats :

JKB et son complexe de supériorité permanent

L'individu utilisant le pseudonyme JKB se sent supérieur à tout et tout le monde.
« JKB » déteste toutes les religions ainsi que toutes les croyances.
Cette personne dédaigne et méprise systématiquement tout ce qui ne figure pas dans ses bouquins de formules.
Ce type a la haine pour tout ce qui diffère de ses dogmes étriqués et qu'il est d'ailleurs totalement incapable d'expliquer.
JKB EST BORNÉ, RÉAC ET INTOLÉRANT.

Cet individu courageux a effacé son message très rapidement à moins que, tout aussi courageusement, il ait indiqué X-No-Archive dans ses en-têtes. Dommage pour lui, google archive tout dont certains sites qui n'honorent heureusement pas la balise X-No-Archive et certains habitués de fcold dégaînent plus vite que leur ombre. La preuve en image :

Mon cher Cryptorium, je hais les individus de ton espèce, les personnes qui se cachent derrière toute forme d'anonymat. Tu as le droit d'apprécier ou de ne pas apprécier ce que j'écris ici. Tu as même parfaitement le droit de commenter mes billets. En revanche, je n'accepte des commentaires que de personnes parfaitement identifiées car j'ai une sainte horreur des anonymes qui n'ont même pas le courage de leurs commentaires. Je dois aussi te dire que contrairement à ton identité qui n'est, elle, qu'un pseudonyme, les trois lettres JKB sont mes initiales et me rendent tout à fait identifiable. Je ne me suis jamais caché.

Tu as aussi parfaitement le droit de me traiter de réactionnaire, mais je dois te répondre que nous n'avons certainement pas fréquenté les mêmes égoûts. Contrairement à toi, j'assume parfaitement mes positions qui ne sont en aucune manière, et ne t'en déplaise, réactionnaires. Contrairement à toi, je ne suis pas intolérant. J'ai juste quelques réactions épidermiques envers la bêtise, l'ignorance crasse et l'inculture généralisée de ce début de siècle. J'avoue ne pas me soigner.

Je n'ai aucune haine envers aucune religion et je te mets au défi de prouver le contraire. Je déteste simplement au plus au point les fanatismes de tout poil, qu'il s'agisse de fanatisme religieux ou non. J'éprouve une sensation désagréable à chaque fois que j'entends parler de révisionnisme. Je parle ici de révisionnisme en général, non du seul génocide des Juifs durant la seconde guerre mondiale, du révisionnisme de tous ceux qui essaient d'une manière ou d'une autre de refaire l'histoire pour aller dans leur sens. Ils sont malheureusement nombreux et, dès qu'on n'abonde pas dans leur sens, leur seule défense est de traiter leurs contradicteurs de réactionnaires. C'est un peu court.

Quant à mon complexe de supériorité, je te remercie de t'en soucier. Il se porte très bien.

Mon cher Cryptorium, je te prie de croire en mon indifférence la plus totale, non, en mon plus profond mépris.

 

Asus

19.07.10 | par Le Grincheux | Catégories: Mauvaise humeur, Je hais l'informatique, Haines ordinaires

Une épidémie frappe les machines qui se trouvent dans mon entourage. Tous les PC, de marque ou non, terminent invariablement par avoir des fonctionnements erratiques même sans l'aide de l'inénarrable Windows.

Le constat est toujours le même : les fabricants, même les meilleurs, font des économies de bouts de chandelles sur les composants. Il y a quelques années, les économies étaient faites sur les circuits intégrés, ce qui fait que les cartes réseau intégrées finissaient toujours par tomber en panne ou les contrôleurs E-IDE par ne plus vouloir fonctionner à pleine vitesse. Aujourd'hui, ces économies sont faites sur des composants passifs. Dire que mon antique PC-AT même pas X avec une ASUS TXP-4 et un bon vieux AMD K6-III/400 Mhz va sur ses treize ans de bons et loyaux services et fonctionne toujours…

Or, parmi ces composants figure ce qu'il est convenu d'appeller des condensateurs à électrolyte liquide. Avec des économies sur leur fabrication, des normes antipollution interdisant l'utilisation de certaines substances et des marges de clacage de plus en plus réduites, on ne doit pas s'étonner de leur manque de fiabilité. Invariablement, ceux-ci terminent gonflés s'ils n'ont pas libéré leur électrolyte sur la carte-mère au risque d'attaquer le support. Certains meurent même en explosant.

Récemment, j'ai dû changer tous les condensateurs électrochimiques sur une carte de marque Asus pourtant récente, consendateurs que j'ai remplacés par des polymères achetés par correspondance, les valeurs étant tellement spécifiques que Saint-Quentin Radio ne les avait pas en stock. Après avoir joué du fer à souder, j'obtiens une carte-mère fonctionnelle que je branche sur une alimentation de serveur munie non pas d'un fusible mais d'un limiteur de courant. C'est important pour la suite de l'expérience.

La carte-mère remontée dans son boîtier avec l'alimentation en question semblait fonctionner. Je cherche donc dans mon stock un disque dur. N'ayant pas de SATA, je trouve un disque dur fonctionnel en E-IDE que je branche avant de rallumer la machine et d'y installer un eComStation 2.0 tout frais. Au bout de quelques instants, je sens une odeur de brûlé. Juste après sort du boîtier une fumée qui ne laisse aucun doute sur l'origine de l'odeur. Je tire immédiatement le cordon d'alimentation, pensant avoir monté un composant à l'envers.

Raté, le disque dur pour une raison inconnue s'est mis en court-circuit au niveau de la ligne 1 du bus E-IDE. L'intensité du courant traversant ce fil était tellement importante que la nappe a fondu. Je ne vous fais pas le calcul, mais l'intensité nécessaire à la fonte du câble dans le temps imparti se mesure en ampères. Je ne sais pas comment Asus a conçu sa carte, mais après ce régime très assez hétérodoxe, prolongé par le fait que l'alimentation avait un limiteur de courant, l'unique port E-IDE fonctionne toujours parfaitement !

Je n'ai aucune action chez Asus et j'avoue avoir été déçu par un certain nombre de cartes-mères récentes, mais force est de constater qu'ils ont bien relevé le niveau. Protéger électriquement le port E-IDE est quelque chose d'assez rare pour ne pas le signaler.

 

L'envers des FSE

18.07.10 | par Le Grincheux | Catégories: Mauvaise humeur, Je hais l'informatique, Haines ordinaires

Je ne sais pas si vous connaissez les joies des FSE et ARL. Dans le jargon de la Sécurité Sociale, il s'agit des feuilles de soin électronique et des accusés de réception de lots.

Depuis son informatisation forcée, la Caisse Primaire d'Assurance Maladie utilise un protocole pour le moins bizarre pour transmettre ses feuilles de soin par voie électronique. Je dis bizarre parce qu'il a le goût du courrier électronique, il a l'odeur du courrier électronique, mais ce n'est pas une transaction de courrier électronique. La preuve en image, la faute d'orthographe étant du ressort du serveur de Wanadoo-Santé :

rayleigh:[~] > telnet smtp.sante.wanadoo.fr 25
Trying 193.252.18.66...
Connected to smtp.sante.wanadoo.fr.
Escape character is '^]'.
220 Simple Mail Transfer Service Ready
EHLO rayleigh
500 Command unrecognized or unexpected - ehlo -
HELP
500 Command unrecognized or unexpected - default -
QUIT
221 Closing transmission chanel
Connection closed by foreign host.
rayleigh:[~] >

Pour essayer de comprendre comment fonctionnait la chose, j'ai bien essayé d'utiliser ce serveur comme un SMTP traditionnel. C'est tout bonnement impossible. Il faut que le fichier ait un certain format pour qu'il soit accepté. Si ce format n'est pas correct, le serveur renvoit un message d'erreur. Ce qui est épatant, c'est l'absence de tout contrôle ou de tout message d'acquittement qui fait qu'on est incapable de savoir, lorsque le message est conforme, s'il a été envoyé vers le point d'entrée unique de la CPAM qui redirige les messages vers les serveurs des différentes caisses ou s'il s'est perdu quelque part en chemin.

J'appelle donc cette usine à gaz un protocole mal conçu et écrit avec un pied gauche puisque les praticiens envoient en aveugles des messages à un serveur distant en passant par au moins deux relais — dans mon cas Wanadoo-Santé et le point d'entrée unique — et que le serveur final n'accuse pas réception immédiatement.

Un autre point montre que ce protocole a été particulièrement bien pensé. Il utilise le port 25/TCP sur lequel tourne généralement un antivirus. Oui, j'oubliais, l'immense majorité des médecins utilise Windows, non qu'ils aiment ce système, mais parce que les lecteurs de carte Vitale et leurs progiciels (radiographie, gestion des patiens…) fonctionnent quasiment tous sous Windows. Donc, il se trouve un antivirus qui analyse ce qui passe sur le port 25/TCP comme si c'était un courrier électronique. L'ennui, c'est que le format des FSE fait tiquer tous les antivirus du marché qui marquent les fichiers transmis. La situation est alors la suivante :

  • le logiciel du praticien forme ses FSE et les envoie vers le serveurs relais ;
  • l'antivirus intercepte ce qui est envoyé sur le port 25 à destination du serveur relais et modifie subtilement ses en-têtes ;
  • le serveur relais analyse le contenu de la FSE. Le format est correct et il accepte de relayer vers la CPAM ;
  • le serveur de la CPAM reçoit la FSE, mais l'en-tête modifiée par l'antivirus provoque un rejet immédiat sans aucun message d'erreur.

Résultat des courses, les feuilles de soin électroniques se perdent dans le cyberespace. Pour le logiciel du praticien, elles ont pourtant été envoyées. Pour la CPAM et les patients qui attendent leurs remboursements, elles ne sont jamais arrivées.

Le protocole prévoit un accusé de réception des lots qui n'est envoyé que lorsqu'un groupe de feuilles de soin est acquitté par le serveur final, mais ces accusés de réception peuvent mettre quelques jours à revenir chez le praticien — la moyenne constatée est de quarante-huit heures. Dans les faits, aucun praticien ne s'étonne plus de ne pas avoir d'accusés de réception. Par ailleurs, il n'y a pas un ARL par FSE, ce serait trop simple. Il faut décortiquer les accusés de réception et les feuilles de soin pour pouvoir les associer.

En d'autres termes, le seul moyen fiable qu'a un professionnel de la santé pour savoir si les feuilles de soin qu'il a transmises à la CPAM sont bien arrivées est de demander à l'un de ses patients s'il a été remboursé.

Cette mésaventure est arrivée à l'un de mes clients. Tout fonctionnait parfaitement jusqu'au 14 juin, puis, à partir de cette date, plus aucune feuille de soin n'était reçu par la CPAM. Avant cette date, tout fonctionnait à merveille et rien, mais strictement rien, n'a changé dans sa configuration ce 14 juin. Deux jours de prestation n'ont pas suffi pour essayer de comprendre ce qui avait bien pu se passer.

Heureusement, ces machines sont derrière une passerelle tournant sous Unix. Un tcpdump m'a permis de constater sans ambiguïté que quelque chose passait sur le port 25/TCP à destination du serveur de relais et que celui-ci ne répondait rien, ce qui dans l'esprit des gens de la CPAM revient à un acquiescement. Ces feuilles de soin sont donc bien envoyées quelque part.

Après un coup de fil au service de la CPAM, débordé, qui s'occupe de tous ces problèmes, un spécialiste de la chose est diligenté et nous passons une journée à tester tous les points possibles et imaginables en arrivant à la conclusion que les FSE sont bien transmises au serveur de Wanadoo-Santé mais n'arrivent pas sur le serveur du point d'entrée unique. Du moins, c'est ce que prétend l'administrateur dudit point d'entrée unique que nous avons eu de nombreuses fois au téléphone et nous n'avons aucune raison de mettre sa parole en doute.

Le problème semblant se situer chez Wanadoo-Santé, j'appelle leur service technique et je tombe au bout de quelques heures sur une personne charmante qui me promet de m'envoyer les logs de leur serveur concernant mon client pour le lendemain matin. En rentrant chez moi, je me demandais si ce n'était pas une promesse de gascon, mais non, le soir même, j'avais dans ma boîte aux lettres quatre fichiers logs des transactions de mon client jusqu'à la date du jour. Non seulement les FSE étaient bien relayées par Wanadoo-Santé, mais les accusés de réception étaient retournés par la CPAM en direction du serveur de relais, accusés de réception que mon client était incapable de récupérer.

Là, je ne comprends plus. L'administrateur de la CPAM prétend n'avoir rien reçu. Wanadoo-Santé me donne en quelques minutes — donc a priori des fichiers non trafiqués — des logs indiquant le contraire puisque les ARL ne peuvent être envoyés par le serveur de la CPAM qu'à partir du moment où le lot est reçu correctement. Ça doit être l'un des grands mystères de l'informatique moderne…

Fait amusant, depuis que j'ai reçu ces fichiers de logs de la part de Wanadoo-Santé et que j'ai râlé copieusement avec les services de la CPAM, non seulement ces feuilles de soin arrivent à nouveau correctement, mais le nombre d'ARL a sensiblement augmenté.

J'ai juste l'impression que quelqu'un se moque de moi…

 

Pages: 1 ... 191 192 193 ...194 ... 196 ...198 ...199 200 201 ... 204

Février 2025
Lun Mar Mer Jeu Ven Sam Dim
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28    
 << <   > >>

Le carnet du grincheux

(Mauvaise) humeur du Grincheux

Outils utilisateur

    Rechercher

      Flux XML

    powered by b2evolution