Blog de Stéphane Berthelot

Fan d’opensource, de technologies et d’autres choses palpitantes…
Icône RSS Icône Accueil
  • Trend Micro pense qu’il n’y a que des spammeurs sur Internet…

    Posté le 9th juillet 2010 sberthelot Pas de commentaires

    Depuis quelque temps, nous devons faire face à de plus en plus de problèmes pour envoyer des messages vers des serveurs équipés de produits Trend Micro, en particulier ceux qui utilisent leur service RBL.

    L’erreur que vous pouvez avoir ressemble à celle-ci :

    <recipient@domain.com>: host mail.domain.com[xx.xx.xx.xx] refused to talk to me: 550 Service unavailable; Client host [your.ip] blocked using Trend
    Micro RBL+.Please see http://www.mail-abuse.com/cgi-bin/lookup?ip_address=your.ip

    Ce message en soi n’a rien de particulier, nous l’utilisons également habituellement pour nos listes RBL, mais avec une différence majeure : nous choisissons méticuleusement les listes en fonction de leur équilibre faux-positifs / spams !

    Bien entendu nous avons contacté Trend Micro pour les avertir du problème et leur indiquer qu’ils devraient améliorer leur liste. Nous avons soumis de nombreuses adresses qui en plus étaient listées dans la liste « DUL » qui n’est censée contenir que des adresses dynamiques alors que nous avons soumis des adresses de serveurs en datacenters quand même… En fait ils n’ont pas réfléchi longtemps : ils listent la grande majorité de l’Internet en entamant un bras de fer ensuite pour que les FAI prennent le temps eux-mêmes de retirer chaque plage une par une … on croit rêver !

    Évidemment cela me fait beaucoup rire, en particulier car la grande majorité des FAIs ont bien d’autres choses à faire que de traiter le boulot des autres ; il ont largement suffisamment à faire à gérer leurs propres réseaux et incidents…

    En plus les administrateurs de Trend Micro ne savent même pas lire un enregistrement WHOIS, nous leur avons montré plusieurs assignations qui avaient les descriptions anglaises avec « static » ou « statically assigned » mais il semble qu’il ne savent pas lire et qu’un enfant de 4 ans à peine, maitrisant l’anglais aurait fait mieux qu’eux …

    Ma conclusion est assez radicale mais simple : n’utilisez plus les produits Trend Micro du tout ! Si leur liste RBL est complètement fausse, et que leur équipe technique n’est même pas capable de la maintenir il faut fuir. Il ne sont pas capables d’honorer une simple demande de retrait des listes et donc conservent volontairement des informations erronées. Cela montre par ailleurs leur capacité technique et l’attention qu’ils apportent à la qualité des produits qu’ils vendent à leurs clients …

    Il reste encore quelques grandes sociétés qui semblent toujours utiliser leurs produits (certainement par complexité de migration) mais vous verrez que bientôt, soit Trend Micro traitera les demandes correctement et poliment, soit ils ne vendront plus rien du tout. Avec une telle mentalité et politique, ce n’est pas difficile à prévoir… Si vous êtes client chez eux, contactez-les pour savoir ce qu’ils veulent faire par la suite si vous espérez encore recevoir des e-mails de vos partenaires (clients, fournisseurs, …)

    Enfin, un petit mot pour vous dire que j’ai été particulièrement choqué de voir que cette liste est en fait la plupart du temps payante ! (non maintenue et payante c’est fort ca !). Si vous payez pour le service RBL/RBL+, vous devriez arrêter tout de suite et simplement remplacer votre serveur par zen.spamhaus.org par exemple. Celui-ci est correctement maintenu (quasiment aucun faux positif) et il est même gratuit !

  • For Trend Micro the Internet is full of spammers …

    Posté le 9th juillet 2010 sberthelot 2 commentaires

    We are having since recently more and more problems when sending e-mail to users having a Trend Micro product installed, especially one with a RBL service.

    The error you can see is more or less this one :

    <recipient@domain.com>: host mail.domain.com[xx.xx.xx.xx] refused to talk to me: 550 Service unavailable; Client host [your.ip] blocked using Trend
    Micro RBL+.Please see http://www.mail-abuse.com/cgi-bin/lookup?ip_address=your.ip

    This is a rather « usual » RBL reject message and we are using similar techniques but with a major difference : we carefully choose the lists according to the weighted false positive/spam ratio !

    We asked Trend Micro to remove many many addresses that were listed in fact all on their DUL list (that should by its name only list Dynamic IP addresses). They simply listed a major part of the Internet in this list waiting for ISP to themselves take time to ask Trend Micro to remove the IP ranges.

    It makes me laugh a lot since ISP have no care at all of one severely flawed service provider and it’s not their business to spend time doing this ; they have much more important things to do on the networks…

    Trend Micro administrators seem to not be able to simply read a WHOIS record, we showed them many that clearly stated « static pool » or « statically allocated PA » but they were not able to understand (a 4 year-old English reading kid would do better …)

    My conclusion is very simple : do not use Trend Micro products at all ! Their RBL are completely flawed with false positives (so they remain useless) and since their technical team doesn’t want to check « manually » when we gently ask for removal, you should avoid anything they do ! (Actually, to me, this kind of refusal to do something that is their business shows clearly how they respect their customers and manage their services …)

    And even if some major companies seem to still use their products, you’ll see very soon that either Trend Micro will handle requests correctly and politely or otherwise they will not sell any of their RBL/DUL/RBL+ embedded product anymore. If you are one of their customer, you should contact them about this problem to show your interest of being able to receive legitimate e-mails …
    By the way, for administrators paying only for access to their RBL+ service you really should try other free and more efficient RBLs, like zen.spamhaus.org. This one is much much better !

  • To virtualize or not to virtualize …

    Posté le 2nd juin 2010 sberthelot Pas de commentaires

    Seeing everyone becoming crazy about virtualization latest years, especially for some months, my « technician » point of view is completely amazed by the fundamental nonsense everyone puts in this.

    Major companies are virtualizing almost all their servers and even smaller companies ask us now to help them virtualize their IT infrastructure.

    I must admit, even if I use virtualized machines everyday and have been quite informed in this matter for some years that I still cannot understand the actual buzz about it.

    Hey guys, it’s a technology, nothing more, nothing less !

    As with any technology, especially a new one, we must provide use cases, pros and cons, and balance the usage we make out of it.

    In magazines and some self-called « specialized » IT shows or blogs, everyone seems crazy with virtualization, being the remedy of all IT problems. Remember the green powder from IBM ? It seems to have come true !

    More seriously, what virtualization really is ? Only a mean to abstract the hardware part of a computer (especially a server) and run a complete OS on top of it (or many OSes nowadays). It involves very complex and yet insecure mechanisms to achieve this goal and consumes a lot of computing power, even when hardware accelerated, to get everything running « almost fine ».

    But, the main reasons I decided to write this article where :

    • a so-called « IT Magazine » (in France we have many that spit completely useless assumptions about what an IT infrastructure should be and deserves us rather that anything else) that was pretending the new trend to be « desktop virtualization », what a nonsense ! (I will explain later) Everything « virtualized » seem to make them sell better, what a mess …
    • seing many companies, even customers, trying to virtualize services on many instances of the same OS (in this case Linux !) on underpowered machines and getting catastrophic results, so low that they had to go back completely on « traditional » hardware powered single OS per machine.

    People should think before they do, we always say that, but in this case it does apply very well.

    Of course, you get less power by virtualizing many instances of a same OS rather than executing this OS only once ! Usually the performance loss is not negligible even if acceptable. Virtualizing many Linux instances on a Linux host is a complete mess for me. This particular OS has great abilities to isolate (chroot) environments, make safe protections and even live audit the running kernel to enforce policies on processes and filesystems. It’s technically completely useless to run many Linux instances on a Linux host !

    But when thinking about it, the main problem with this approach is that we are transferring the complexities of managing correctly, with care, good knowledge and intelligent conception and communication between the developing team and the production team, to products that are much more complex but promise to be really easy to manage…

    It appears as if most IT teams have much lowered their expectations for the team members and are trying to compensate with technologies to try hiding the fact that they member don’t exactly understand well what happens for example on a Linux kernel…

    Don’t misunderstand me, I am a great fan of virtualization, we use it, on purpose, for tasks or applications that really need it. In fact it’s proven to be very useful to test OS configurations, start and stop (and restart) machines for OS or network tests very quickly, host a different OS for specific purposes, or even virtualize customers’ parts of infrastructure to make a test environment in almost the same conditions.

    Hardware has never been cheaper and powerful, 8 to 12 cores processors are emerging at affordable prices on the market now, why not simply buy a computer (server) each time you need a different OS instance ? Even data-centers use now very small servers to be space efficient, but still use a full computer to host OS and services. If you saw news about the « SheevaPlug », you have seen an impressive computer with an exceptional size/power/consumption ratio. Having less hardware won’t even cost you less licenses ! (for those who still use inferior OSes with expensive license fees, even when not needed…)

    Virtualizing the desktop part of an IT infrastructure is even funnier. I first thought it was a joke ! In fact it seems we’re coming back to the terminal paradigm. IT managers don’t want to spend time on making useful, adapted and efficient configurations and manage hardware differences, they want everything to be uniform, uniformly accessible … Why don’t you even ask people to be all the same : same sex, same color, and so on ? Terminals have always used the least efficient denominator of network and servers capabilities, because as always, if you still have low end old machines, everyone else should be compatible with them (complete waste of resources…)

    Anyway, I know you readers are not going to stop virtualizing everything (why not virtualize the OS on your Phone then ?) but please, please, pay more attention to what really needs virtualization (and brings real and important benefits) and what should continue to work on always cheaper, smaller, and power-efficient hardware.

    I didn’t write about the risks, that are obviously much more important with less servers doing more « work » since I didn’t want this article to be even longer, you can easily conclude about what I think of this, especially when a strong demand goes now about being more redundant, more secure, and more fail-safe…  « Don’t put all your eggs in the same basket » says the idiom, even in French !

  • Layer break for DVD+R DL with growisofs / dvd+rw-tools

    Posté le 11th septembre 2009 sberthelot 2 commentaires

    I’ve started recently to play around with DVD+R DL because they start becoming cheaper and some applications really need them :)

    I was very surprised that the current version of growisofs / dvd+rw-tools (7.1) advertises layer break position setting support but in reality I couldn’t get it to break where I want.

    Looking at the code (especially from growisofs_mmc.cpp) I found very strange that the « -use-the-force-luke=break:NNNN » option wasn’t really used either in calculations or cuesheet sending.

    Investigating a little bit more in the code I produced the following patch that I have sent upstream to get it included somehow in the next version.

    It allows a user (who should be careful of what it does :) ) to manually force a layer break position for DVD+R DL burning. (For those of you who haven’t had this problem yet please notice that : DVD-R DL (minus) DO NOT allow layer position to be changed, that said you should know what to do … only DVD+R DL (plus) allow that)

    For this patch to work you have to specify « -dvd-compat » on the command line, otherwise the cuesheet sending code is not called (I didn’t understand exactly why…) and the layer break wouldn’t be set …

    In any case the output of growisofs command should tell you where the layer break is going to be set.

    I’ve tested it succesfully for a dozen of DL burns with or without layer break so it should be safe enough (the patch is not very intrusive anyways ; I also tested without the option to see if the normal behavior was preserved…)

    Use it this way :

    growisofs -dvd-compat [your other options here] -use-the-force-luke=break:XXXX [where XXXX is the layer break in sectors] -Z /dev/[your device]=[image.iso]

    for example :) :

    growisofs -dvd-compat -use-the-force-luke=break:2084960 -use-the-force-luke=dao -Z /dev/sr0=/home/johndoe/m.iso

    note the dao option usage that will close the session, otherwise the disc would remain « open » if it’s not full and depending on what you burn you’d really want to close the session trust me :)

    Have an happy dual layer with positionned break burning !

    Attachment : dvd+rw-tools-7.1-layerbreaksetup.patch

    Note: use a command similar to apply (change to -p 1 depending on where you are) :

    patch -p 0 < dvdrw-tools-7.1-layerbreaksetup.patch

  • Getting rid of Computrace on Dell Inspiron mini 10v (Inspiron 1011)

    Posté le 8th septembre 2009 sberthelot 10 commentaires

    Today I just received my very small and not so shiny Dell Inspiron mini 10v (1011 model). I will possibly make a review later if there is enough popular demand :)

    Playing with the BIOS I activated « Computrace » to see what it means, thinking that it was some sort of TPM module. What a mess !! I didn’t pay attention at all that this setting could not be changed later… or could it ? :)

    Do the following at your own risk of course …

    I grabbed a bootdisk (floppy image) with Dell utilities on it (especially ASSET.COM and EE-VALUE.EXE)

    (Google is your friend, don’t even try to ask about any non-opensource download here…)

    After some fight with those utilities I finally found how to change Service Tag and Asset Tag from my small laptop. I read posts on different forums that it should be enough to reset Computrace but it wasn’t …

    So to change Service Tag use

    ASSET /S /D (to delete and set it up again in the BIOS menu) or

    ASSET /S NEWTAG

    Depending on asset version it should work flawlessly, I tried ASSET_A209.EXE and it didn’t work for me (an old version did)

    Use similar commands without /S to change Asset Tag.

    But the trickiest part was to deactivate the damn Computrace module in BIOS.

    This time we would use EE-VALUE that allows to set a value directly on the BIOS NVRAM (not sure about CMOS of NVRAM but anyways…) and looking at different values I finally found (using EE-VALUE /D to display contents) that there was a strange value at offset 0×50.

    Using

    EE-VALUE /W=50,FF

    will reset it to default and then you will be able to select or disable it again.

    If you have any doubt or if you have a different laptop check first with

    EE-VALUE /D

    and try to find any « 03″ (activated) or strange value around 0×50.

    Very strong protection from Absolute Software guys ! It takes seconds to remove once your laptop has been stolen, very efficient …

    I had this error for a long time before discovering I could do it directly with EE-VALUE so I put it here for indexing purposes :

    SVCTAG.EXE version 3.3

    I told you what I am. But what are you?

    EE-CPB.exe: Error 0

    Now, then I’m going back to my fresh Slackware 13.0 install again. Thanks for reading and I hope this will help people with Dell laptop to manage their « Computrace » settings like they want.

  • Dolby Digital ou DTS en HDMI ? Non répondent Sharp et Samsung !

    Posté le 28th juillet 2009 sberthelot 1 commentaire

    Un petit coup de gueule une fois n’est pas coutume contre les fabricants de téléviseurs LCD, en particulier de TV HD avec entrées HDMI.

    Après plusieurs échanges ressemblant à un dialogue de sourd et quelques tests chez des amis (merci Jérôme !) je viens de m’apercevoir que la plupart des téléviseurs du marché ne supportent pas de faire transiter le son HDMI vers la sortie optique numérique, un comble !!

    Alors, me direz-vous quel intérêt de mettre tout en numérique, en particulier via le sacro-saint câble HDMI qui est censé remplacer tous nos anciens câbles et passer tout en numérique multi-canaux y compris le son ? Et bien Sharp et a priori Samsung répondent : aucun ! Je sens que je me suis bien fait entuber sur ce coup-là pour rester poli …

    Petit résumé : j’achète un Acer Revo, un peu galère sous Linux mais le bestiau s’en sort bien surtout grâce à son NVIDIA Ion et le VDPAU, l’Atom lui est franchement à la ramasse, la compil du kernel m’a laissé le temps de boire une boisson, manger une pizza, regarder Nolife et revenir pour constater qu’il avait fait 50%du boulot à peine … Malgré tout cela, content de ce matériel qui ne contient qu’une sortie HDMI en guise de sortie numérique, le son passant dedans en numérique, je le relie à ma TV Sharp LCD 52X20E en pensant naturellement faire sortir le son par la sortie optique de là-dite télévision vers mon vieillissant ampli 5.1 (qui fait tout de même DD et DTS, c’est déjà bien). Mais oh! surprise! le son ne sort qu’en PCM stéréo…

    Après quelques débats sur les mailings-lists côté ALSA (où il traine des gens très sympathiques !) on me file un coup de main pour au final constater que tout se passe bien côté ALSA et côté Revo mais c’est la TV qui boude et ne transmet pas le magique flux DD (ou DTS) vers mon ampli ; encore pire elle décode le flux et l’envoie en PCM stéréo comme si de rien n’était !!

    J’ai donc acheté un boitier externe pour récupérer mon flux audio du HDMI et le sortir sur un optique (ou coaxial au choix) et tout cela parce que Monsieur Acer a un tout petit peu oublié de faire une sortie numérique audio séparée (mais comme le HDMI promet monts et merveilles on ne lui en veut pas trop) mais surtout que Sharp NE FAIT PAS SON BOULOT, car après avoir jetté quelques coups d’oeil dans le code GPL fourni sur leur site, il semble y avoir des bribes de code pour le faire ! (eh oui Monsieur Sharp utilise Linux dans ses télés mais ne sait apparemment pas bien le faire fonctionner ; j’ai plus que quelques notions côté Linux donc note pour M. Sharp : ne pas prendre tous ses consommateurs pour des blaireaux …)

    Et la cerise sur le gâteau, ce pour quoi je m’épanche via ce post : un mail reçu ce jour du service technique (qui doit en avoir marre qu’on lui demande de faire marcher correctement ses produits achetés relativement cher, quelle demande inconvenante! …) me remballe directement avec un « Il n’est pas prévu de mise à jour pour un tel fonctionnement, ce n’est pas un souci de compatibilité [...] Le rôle du téléviseur est surtout d’afficher une image, la sortie optique est dédiée pour le son de la TNT » ; comprenez, on a affiché des tas de logos Dolby Digital machin ++ etc. etc. partout et on est même pas foutus de faire sortir autre chose que du PCM stéréo sauf pour le DVB-T par la sortie optique… Car oui le DVB-T (appelé TNT chez nous) marche bien en DD ou DTS sur la sortie optique … un comble !

    Enfin voilà, à quoi j’en suis réduit, si toi lecteur, tu souhaites acheter une TV LCD Sharp ou Samsung, pense déjà à rajouter à ton budget l’achat d’un nouvel ampli HDMI, ce qui gonfle assez largement le budget à l’heure actuelle ou à peut-être envisager une « vraie » marque avec une électronique bien programmée qui elle, renvoie le son numérique multicanaux via ses sorties numériques audio …

    Je ne suis pas prêt de racheter du matériel Sharp !!! A bon entendeur …

  • SIP Fax detection with Asterisk 1.6.2.0

    Posté le 15th mai 2009 sberthelot 9 commentaires

    Here it goes again, still the same problems for detecting voice based fax calls on Asterisk 1.6.

    I know that « we should use T38″ or « get a decent SIP provider » are all along the way but hey! I’m using Free with it’s freephonie service in France and we’re even getting multiple ADSL connections (from different companies that are in the same building) and bridged them together to an Asterisk server.

    It’s very handy, we get SIP trunking for a very small fee : free :) but in fact it’s in a whole package for 30€ per month : ADSL2+, Free telephony, HD TV (tax included)

    So, I wanted to post about the recent « patch » I prepared after upgrading to Asterisk 1.6.2.0-beta2.

    Why upgrade to a beta version ? Simple, since there was advertised Fax detection support for T38 (which should work, I didn’t test since I don’t have a decent provider with T38 support ;) ).

    Looking at the chan_sip.c code I figured out it was very easy to tweak the fax detection code to also do detection on SIP audio channels,but … I was plain wrong ! In fact it could have worked but it’s much more difficult than it seems. To make a long story short, I looked more deeply at the NV Faxdetect applications (from Justin Newman) and in fact they use a similar approach that the one I finally got through : use Asterisk DSP to actually do the detection and then branch on the dialplan to « fax » extension (code already done in 1.6.2 for T38 only).

    Removing specific T38 tests I almost got through after spending 3 hours to finally get to a point that was very near NV Faxdetect : I first had to switch to slinear before using DSP (or it wouldn’t detect faxes at all, if someone knows why please tell me :) ) and then switch back to alaw or ulaw (what came first) to get the call through.

    Seing that I needed to patch chan_sip.c alot with very dirty hacks I finally decided to go back on app_nv_faxdetect.c and app_nv_backgrounddetect.c and simply patch them (with very little effort surprisingly) and got them to work perfectly with Asterisk 1.6.2.0-beta2 (the patch should certainly apply to later 1.6.2.x version relatively cleanly, just make sure to apply it on vanilla sources *before* ./configure and make menuselect ; issue a make distclean if you didn’t)

    I remembered I used to leave some mails to Justin, asking me to wait for a new version to come out and many people on http://www.voip-info.org seemed to have tried to patch it (or at least asked to) and noone managed to get a working version for 1.6.x.

    Here it goes, but I’m very surprised I had to change very little portions of code (nothing really important, only definition and variable name changes) and everything has been working very well here for more than 2 weeks, with more than a dozen faxes correctly detected.

    If you need to, leave me a comment since I started to test at home (yes I also have an Asterisk box at home ;) ) and I patched a version for Asterisk 1.6.1.0 that compiled and worked flawlessly.

    Be sure to grab the patch attached here and enjoy your fax detection on voice part of SIP channels :)

    asterisk-1620-beta2-faxdetect.diff

    See you for other Asterisk weirdnesses, I have some more to post !!

  • Bonjour à tous et bienvenue sur mon blog !

    Posté le 15th mai 2009 sberthelot Pas de commentaires

    Je n’ai pas encore trop l’habitude de cet exercice même si certains m’ont déjà vu bloguer dans d’autres univers :)

    Je compte sur vous pour m’aider en laissant des commentaires et j’espère que ce contenu sera aussi amusant qu’instructif.

    Vous y trouverez certainement des billets légers et courts sur des coups de gueule, sur l’actualité par exemple aussi bien de que des billets certainement plus longs sur des explications techniques, détails (voire même patchs) de logiciels en particulier Open Source qui parfois ont besoin d’un petit coup de pouce pour faire ce qu’on attend d’eux.

    Bien entendu certains billets seront dans la langue de Molière et d’autres dans celle de Shakespeare, afin de toucher le plus grand nombre, si certains articles sont très populaire je pourrai même peut-être les proposer dans les 2 langues…

    Allez je ne vais pas m’éterniser déjà, j’aurai le temps de le faire dans d’autres billets, bonne lecture !