SM2TP : Obligation de conservation des logs

Groupes de travail Mutualisation SMTP
1

Du coup on a la réponse à @kepon pour la conservation des logs : https://forum.chatons.org/t/obligations-legales-rgpd-et-conservasion-des-logs/4048/6

Pas besoin de conserver ces logs si on ne les collecte pas.

Donc la question à ajouter c’est est-ce qu’on veut collecter l’adresse IP de connexion quand on reçoit un mail sur un relais. Si on la collecte on devra la conserver selon la loi (1 an), si on ne la collecte pas on n’a rien à conserver.

Perso je vois pas trop l’intérêt de stocker, sauf pour faire du rate limiting aux tentatives de connexion (pour bloquer les tentatives de brute forcing), mais dans ce cas ça peut être stocké séparément aux envois de mail, car ça ne concerne que l’authentification, et du coup on n’a pas à stocker si une IP a réussi à se connecter, et donc on ne sait pas quelle IP utilise une personne pour se connecter avec succès, seulement s’il y a mauvais login / mot de passe.

1 « J'aime »
2

Merci pour le point légal.

J’ai pas d’avis sur la question. Dans le cas présent, selon moi l’IP de connexion pour sur relai mail sortant c’est pas une donnée à protéger à tout prix… Normalement c’est toujours les mêmes serveurs de confiances/connu qui se connecte (l’IP du CHATONS1, CHATONS2) en aucun cas une IP d’utilisateur…

Aussi, je ne suis pas sûr qu’on ne puisse 'pas la stocker" dans le cas d’un usage de serveur SMTP existant (Exim, Postfix et compagnie…) mais comme dit juste avant : pour moi tant pi.

3

Moi j’imagine que mes utilisateurs avec boîte mail pourront utiliser mon relais local directement, en leur donnant un login/password, donc ça fait sens de protéger l’IP.

Si c’est l’IP d’un autre relais effectivement on s’en fiche un peu.

Si tu utilise Exim/Postfix effectivement je pense que tu ne peux pas choisir ce qui est loggé :frowning: