Fin de l'acces Gmail aux application non sécurisées

Posez ici vos questions d'utilisation, de configuration de DomoticZ, de bugs, de conseils sur le logiciel lui même dans son utilisation et son paramétrage.
Des forums spécifiques sont ouverts ci-dessous pour regrouper les différents sujets.
hestia
Messages : 397
Inscription : 12 sept. 2018, 22:36

Re: Fin de l'acces Gmail aux application non sécurisées

Message par hestia »

lost a écrit : 30 avr. 2022, 14:55 Qu'Orange ne fasse pas le job avec ses serveurs configurés avec les pieds, cela fait quand même pitié pour un FAI de cette taille...
je ne comprends pas quel est le problème exact avec le smtp d'Orange
Je ne l'utilisais pas car j'avais une autre solution, mais j'ai fait un test pour voir
Voici la config
Screenshot 2022-05-01 183115.png
Screenshot 2022-05-01 183115.png (60.29 Kio) Consulté 2794 fois
J'ai créé une boite mail spécifique MyDz@orange.fr et dans le Username/Password j'ai mis mes identifiants de compte Orange
Pour tester j'ai coché les erreurs et j'ai mis une notification sur un détecteur de mouvement
Depuis hier j'ai reçu 286 mails
Screenshot 2022-05-01 183453.png
Screenshot 2022-05-01 183453.png (59.04 Kio) Consulté 2794 fois
Je n'ai pas de caméra dans dz pour tester les snapshots
Donc pour moi, d'après mes tests, c'est une alternative à gmail
Une autre alternative c'est Telegram que j'utilise plutôt pour mes notifications
lost
Messages : 1511
Inscription : 12 nov. 2016, 11:01

Re: Fin de l'acces Gmail aux application non sécurisées

Message par lost »

hestia a écrit : 01 mai 2022, 18:38 je ne comprends pas quel est le problème exact avec le smtp d'Orange
Je ne l'utilisais pas car j'avais une autre solution, mais j'ai fait un test pour voir
Hello,

En fait le problème ne se pose peut-être pas avec Domoticz selon la librairie smtp qu'il utilise, tout comme des pythons et libs associés plus récents que le 2.7 utlisé par mes services externes (mais interfacés) à Domoticz.

Côté python/smtplib, par contre, on ne pouvait dans les anciennes versions de Python agir sur le choix des "cypher options" pour une connection donnée.

Problème, certains serveurs Orange sur lesquels on tombe (selon le moment de connexion et au hasard des load-balancing) utilisent des tailles de clef Diffie-Hellman trop courtes pour les standards actuels de la lib openssl. Et la connexion est refusée côté PI/client.

Certes, il serait possible de configurer openssl pour les accepter quand même, mais faute de pouvoir régler cela juste pour une connexion, cela affecterait alors la sécurité de la lib openssl pour tout le système...

Des pythons plus récents permettent de régler cela par connexion et peut-être que le wrapper C++ openssl de Domoticz le permet aussi, ce qui fait qu'on ne voit pas le problème des serveurs smtp moisis d'Orange.
hestia
Messages : 397
Inscription : 12 sept. 2018, 22:36

Re: Fin de l'acces Gmail aux application non sécurisées

Message par hestia »

Merci pour l'info
Si je comprends bien pour un notification de Domoticz seulement cela pourrait fonctionner.
Pour d'autres usages via python/smtplib cela pourrait poser des problèmes.
De mon côté, je limite les sources d'envoi de mail, en pratique de mon NAS seulement (éventuellement à partir des logs de dz remontées sur le NAS)
Pour les notifications dz j'utilise Telegram
lost
Messages : 1511
Inscription : 12 nov. 2016, 11:01

Re: Fin de l'acces Gmail aux application non sécurisées

Message par lost »

hestia a écrit : 02 mai 2022, 10:04 Si je comprends bien pour un notification de Domoticz seulement cela pourrait fonctionner.
Pour d'autres usages via python/smtplib cela pourrait poser des problèmes.
Oui, tout comme cela ne pose pas de pb non plus à un client lourd comme Thunderbird: Je pense qu'ils s'adaptent à la volée sur l'erreur SSL reçue à la connexion sans devoir impacter la configuration globale du système (à éviter).

Pareil pour une version de python 3.7 essayée avec la gestion du paramètre "context" évoquée ici et que j'avais testé sommairement:
https://easydomoticz.com/forum/viewtopi ... 35#p104635

Là, on peut bloquer l'utilisation de DH (Diffie-Helman) juste pour la connexion a un smtp posant pb.

Code : Tout sélectionner

context.set_ciphers('DEFAULT:!DH')
Pour le moment, mailo fait le job. En plus du champ 'Date' à ajouter au message dont l'absence s'est vue, j'utilisais la commande NOOP (no operation) pour tester toutes les minutes si la connexion restait active: En effet, l'envoi des messages avec potentiellement une ou deux dizaines de captures en PJ peut prendre un peu de temps. J'avais donc dû gérer l'envoi en tâche de fond via un thread séparé... ce qui permettait aussi de maintenir la connexion et d'économiser les temps de reconnexion sur lots de captures successives!

Et NOOP permet de tester régulièrement (toutes les minutes par exemple) que la connexion reste active, c'est un des usages fréquents de cette commande.

Mais mailo déconnecte sur le NOOP... J'ai donc dû rendre cela paramétrable afin de pouvoir continuer à faire ce test en utilisant de manière détournée la commande HELP, même si la réponse est un peu plus longue.

A ce sujet, pour tester rapidement les commandes supportées par un serveur SMTP en ssl sous Linux (sans ssl, ça se fait directement via "telnet SMTP_ADR SMTP_PORT"), cette petite astuce via la commande "openssl", par exemple pour tester mailo (serveur smtp : mail.mailo.com):

Code : Tout sélectionner

~$ openssl s_client -connect mail.mailo.com:465         <=== COMMANDE CONNECTION
CONNECTED(00000003)
depth=2 C = US, O = Internet Security Research Group, CN = ISRG Root X1
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = R3
verify return:1
depth=0 CN = *.mailo.com
verify return:1
---
Certificate chain

(... BAZAR CERTIF SSL ...)

---
read R BLOCK
220 b-1.in.mailobj.net ESMTP Server ready
HELP                                                               <=== TEST COMMANDE HELP
214- HELO EHLO AUTH MAIL RCPT DATA
214- RSET NOOP QUIT VRFY HELP
214 End of HELP infos
NOOP                                                              <=== TEST COMMANDE NOOP
250 Ok
closed
Sur le NOOP, on voit que la connexion est fermée juste après la réponse, ce qui est inhabituel (smtp.gmail.com ne le fait pas par exemple).

Avantage vs gmail, par contre, c'est que mailo ne semble pas me déconnecter après qq minutes:

Code : Tout sélectionner

lsof | grep -i establ
motionCam 18674                            XXXX    3u     IPv4    5285735      0t0        TCP rasdomo.home:48318->ip-206.mailobj.net:submissions (ESTABLISHED)
motionCam 18674 20794 motionCam            XXXX    3u     IPv4    5285735      0t0        TCP rasdomo.home:48318->ip-206.mailobj.net:submissions (ESTABLISHED)
Cette connexion suite au denier envoi de captures est ici active depuis 40mn! C'est plutôt un bon point. A suivre...
lost
Messages : 1511
Inscription : 12 nov. 2016, 11:01

Re: Fin de l'acces Gmail aux application non sécurisées

Message par lost »

lost a écrit : 02 mai 2022, 10:38 Sur le NOOP, on voit que la connexion est fermée juste après la réponse, ce qui est inhabituel...
Alors là, on oublie déjà ce petit "problème" et le contournement:

Ce midi, je prends le temps d"écrire à mailo (ils fournissent un service gratuit, autant renvoyer l’ascenseur sur les soucis constatés) via leur formulaire de contact sur le site pour les informer de ce qui me parait être un problème... et moins de 2h plus tard, j'avais une réponse me remerciant pour le signalement et que ce "bug" était corrigé. De fait, un court test confirme.

Belle réactivité de leur part: Une réponse si rapide, c'était déjà quasi inespéré dans mon expérience (y compris parfois pour des problèmes graves) mais avec en prime la correction si rapide sur un système en production, je leur tire mon chapeau!!!
Keros
Messages : 6638
Inscription : 23 juil. 2019, 20:57

Re: Fin de l'acces Gmail aux application non sécurisées

Message par Keros »

C'est vrai que cette réactivité est bluffante et c'était à souligner. Tu l'as très bien fait, merci ;)

Même si j'utilise mon propre domaine de mail, je vais regarder leur service.

Edit du 03/05/2022 :

Une info concernant la fermeture de l'accès POP et IMAP de Laposte.net.
Comment bien utiliser le forum : Poser une question, Mettre un script, un fichier, une image ou des logs
Mes petits guides : Débuter en programmation, Le débogage, Le choix de matériel, Les sauvegardes
Ma présentation - Mes Tutos
lost
Messages : 1511
Inscription : 12 nov. 2016, 11:01

Re: Fin de l'acces Gmail aux application non sécurisées

Message par lost »

Keros a écrit : 02 mai 2022, 18:37 C'est vrai que cette réactivité est bluffante et c'était à souligner. Tu l'as très bien fait, merci ;)
Bon, bin au final mailo je pense (en attente de réponse de leur part) qu'on va oublier: Compte bloqué hier soir soit disant pour non respect des conditions d'utilisation. A les (re-)lire, le seul élément qui pourrait s'appliquer est celui-ci, car ni les quotas d'envoi ni de taille/type de PJ n'ont été enfreints: "utiliser le service comme un relay pour envoyer des e-mails automatiques".

Sauf que l'utilisation n'est pas en relai, dans mon cas, mais essentiellement en direct sur l'adresse mailo spécifique créée avec éventuellement copie de certains messages sur mon adresse principale (ce qui est lié à l’alarme en absence+redémarrage éventuel de qq services clefs).

Et si c'est bien la clause ci-dessus qu'ils ont appliqués, aucune différence entre compte gratuit ou payant... donc inutile de payer pour être certainement banni quand même!

Ca va finir avec un retour chez gmail et l'activation des mdp d'application. A ce sujet, comme cela impose la double authentification, j'ai un peu de mal à comprendre le lien: A chaque fois que Domoticz ou mes services perso en python vont envoyer un message ou que je vais vouloir le consulter (avec thunderbird déjà configuré en oauth sur ce compte), je vais devoir confirmer avec un code sms ou autre? Je ne pense pas, car sinon ce serait inutilisable??? Quid de ce qui est déjà configuré en Oauth2 sur le même compte (Thunderbird...), cela reste inchangé ou on se retrouve avec double authentification avec SMS ou autre également? Infos de ceux qui ont fait ainsi bienvenues...

EDIT: Confirmation du support (réactivité confirmée, au moins), mailo ne veut en fait aucun envoi automatique. Mon système a donc fait tilter leur outil de monitoring (en un peu plus d'une semaine tout de même, d’où l'importance de ne pas tester avant de partir en vacances) alors que depuis 6 ans gogole ne mouftait pas.
lost
Messages : 1511
Inscription : 12 nov. 2016, 11:01

Re: Fin de l'acces Gmail aux application non sécurisées

Message par lost »

lost a écrit : 10 mai 2022, 08:08 Ca va finir avec un retour chez gmail et l'activation des mdp d'application...
Et c'est ainsi que cela finit, car au final c'est quand même gmail qui fonctionne le mieux il faut hélas le dire niveau gratuits (et même certains payants, cf mailo chez qui payer n'aurait rien changé).

L'activation de la double authentification (= donner son téléphone, grrr... bon, quand on a un mobile Androïd ceci dit je doute que gogole l'ignore) sur le compte réservé domotique n'a par ailleurs pas eu d'impact sur Thunderbird déjà passé en Oauth2 et créer un mot de passe application, si cela invalide de ce côté immédiatement la connexion avec l'ancien mdp, semble transparent: Changé côté Domoticz et mes services python liés et tout fonctionne, sans besoin de double authentification. Le SMS n'est indispensable dans mon cas que si connexion via le webmail avec le mdp classique, ce que je ne fais que très rarement. Impact proche de zéro, donc, encore faut-il le savoir car c'est pas trop l'option mise en avant dans le mail de google. Merci à celui qui a fait la suggestion plus haut.

Niveau bénéf, ces 2 mois 1/2 à tester d'autres fournisseurs (et donc des serveurs SMTP qui se comportent un peu différemment) m'auront au moins permis de rendre plus générique ma gestion du mail via mes services perso et à peaufiner quelques menus détails niveau maintient de la connexion: Cette nuit, pas mal d'orages avec des éclairs = bcp de captures des 2 cams extérieures ce matin. Franchement, même avec une utilisation soutenue, google encaisse des rafales de 85 mails avec archives photos jointes sur des durées dépassant l'heure avant de me déconnecter. Et il reprends dans la foulée sans broncher... Ça fait de la peine à dire, mais allez demander cela aux autres, pour rire?
higgins91
Messages : 668
Inscription : 17 nov. 2016, 11:06

Re: Fin de l'acces Gmail aux application non sécurisées

Message par higgins91 »

j'ai donc activé la validation en 2 étapes puis créé les MdP pour chaque périphériques (Domoticz, caméras...) et cela fonctionne nickel !
Dz version : 2023.2
Rpi 4 avec dongle téléinfo, RFXCom, sondes 1-wire et GPIO
lost
Messages : 1511
Inscription : 12 nov. 2016, 11:01

Re: Fin de l'acces Gmail aux application non sécurisées

Message par lost »

Hello,

Pour ma part, j'ai crée un mdp unique pour Domoticz mes services perso en python (dont captures caméras, vu qu'elles n'ont pas directement accès a internet). Je pense que tant que cela reste la même machine/lieu de connexion, il n'est pas forcément utile de les multiplier!
Dernière modification par Keros le 17 mai 2022, 12:27, modifié 1 fois.
Raison : Citation supprimée. Merci de ne pas citer le message précédent lors d'une réponse directe.
Répondre