Wo ist IPv6 in E-Mail?

Apokalypse irgendwann

Der IPv4-Adressraum geht zur Neige. In wenigen Jahren wird es vollständig erschöpft sein. Die einzige Hoffnung für das Überleben des Internets ist die Migration zu IPv6.

Dies war der Beginn des IPv6-Teils meiner Netzwerkklasse am College. Vor fast 20 Jahren. Während Technologien wie NAT dazu beigetragen haben, die Geschwindigkeit, mit der IP-Adressen verbraucht wurden, stark zu verlangsamen, befinden wir uns endlich in diesen dunklen Tagen, in denen die zu verteilenden Adressen zur Neige gehen.

Kürzlich hatten wir in meiner Ask Me Anything- Sitzung viele Fragen zu Reputationen und dedizierten IPs. Die natürliche Frage von Leuten, die sich Sorgen um die Knappheit von IPv4-Adressen machen, ist, was ist mit IPv6. Dies war auch intern ein großes Diskussionsthema, also dachte ich, ich würde meine Erfahrungen und Gedanken zu diesem Thema teilen.

Warum IPs wichtig sind

Das erste, was behandelt werden sollte, ist, warum IP-Adressen für das Versenden von E-Mails wichtig sind. Als Posteingangsanbieter vor langer Zeit versuchten herauszufinden, welche E-Mails erwünscht und welche Spam waren, wurde die Entscheidung getroffen, diesen begrenzten IPv4-Adressraum zu ihrem Vorteil zu nutzen. Der Adressraum war relativ klein, ziemlich statisch und daher ein gutes Maß, um festzustellen, mit wem Sie wirklich sprachen.

Die IP-Adresse des Absenders wurde de facto zum Ort, an dem der Ruf eines Anbieters verankert, Ratenbegrenzungen festgelegt und später von Unternehmen auf Sperrlisten verwendet wurden, um Informationen über Missbraucher über mehrere Posteingangsanbieter hinweg auszutauschen. Eine IP-Adresse ist extrem schwer zu fälschen, und besonders in der heutigen Umgebung sind sie schwer zu erwerben oder zu ändern.

Warum verwenden Sie nicht einfach IPv6?

Das größte Problem, mit dem IPv6 in Bezug auf E-Mail konfrontiert ist, besteht darin, dass alle oben beschriebenen Anti-Missbrauchstechniken, die von einer IPv4-Adresse aus funktionieren, in IPv6 einfach nicht funktionieren. Der Adressraum ist so groß, dass es ihnen unmöglich ist, irgendwelche Nachverfolgungs-/feinkörnigen Aktionen darauf durchzuführen. Beispielsweise hat SendGrid eine Zuordnung von etwa 1 × 10 ^ 24 IPv6-Adressen. Wenn sie einige dieser Techniken auch nur ausprobieren würden, würden sie am Ende riesige Sortimente, wie unser gesamtes Sortiment, in eine Kategorie einteilen. Dies entspricht der aktuellen Praxis, einen ganzen Bereich von 255 IPv4-Adressen zu blockieren, aber noch weniger feinkörnig (2^8 vs. 2^80).

Aus diesem Grund sprechen nur sehr wenige Posteingangsanbieter IPv6. Ich habe die 10 wichtigsten Domains, an die wir senden, schnell überprüft, und von diesen veröffentlichen nur 2 einen IPv6-DNS-Eintrag für E-Mail. Ich bezweifle ernsthaft, dass es einen Anbieter gibt, der nur IPv6 spricht. Um die Sache noch schlimmer zu machen, besteht der typische Migrationspfad für IPv4 zu IPv6 darin, Gateways zu verwenden, um Ihren IPv6-Verkehr an jemanden weiterzuleiten, der nur IPv4 spricht, aber diese Adressen, wenn sie überhaupt SMTP-Verkehr zulassen, würden ziemlich sicher einen schlechten Ruf haben . Es ist ein Henne-Ei-Problem, bei dem ein riesiger Hund, dem es egal ist, welches er zuerst frisst, in der Nähe lauert.

Das klingt wirklich schlecht, was kommt als nächstes?

Der wichtige nächste Schritt für die Umstellung von E-Mails auf IPv6 besteht darin, dass sich die Reputation von der IP-Adresse wegbewegt. Der logische Ort dafür ist die Domäne, da digitale Signaturen endlich begonnen haben, an Zugkraft zu gewinnen. Google Mail hat sich mehr in Richtung dieses Modells bewegt (und sich auf die Konfiguration eines Absenders konzentriert) und wird allen Absendern einen gewissen Anreiz bieten, digitale Signaturen zu verwenden, so wie sie den Rest der ESP-Community „ermutigt“ haben, mit der Verwendung von TLS zum Senden zu beginnen alle E-Mail.

Als nächstes sollten alle anderen großen Posteingangsanbieter ihre Reputationssysteme ebenfalls ändern, um die Domain-Reputation zu berücksichtigen. Mit über 1 Million Posteingangsanbietern da draußen ist das keine Kleinigkeit, aber zumindest wenn die großen Anbieter es tun, sollte es genügend Schwung geben, um andere dazu zu bringen. Nicht nur ihre Reputationssysteme brauchen diese Art von Änderung, sondern alle Beschwerde-Feedback-Schleifen müssen auch auf Domains umgestellt werden. Derzeit tun dies nur Yahoo und Gmail.

Der andere Teil, der benötigt wird, ist für die Verweigerungslistenunternehmen, auf die sich viele Posteingangsanbieter verlassen, um mit der Veröffentlichung von Listen basierend auf der Absenderdomäne zu beginnen. Dies ist für die Leute etwas schwieriger zu integrieren, da Sie auf die gesamte Nachricht warten müssen, bevor Sie wissen, ob Sie sie ablehnen werden, im Vergleich zu IP-basierten Blöcken, die passieren können, sobald jemand versucht, eine Verbindung herzustellen, aber kurz davor Hinzufügen eines Domänenvalidierungsbefehls in das SMTP-Protokoll, dessen Arbeit einfach erledigt werden muss.

Sobald genügend Posteingangsanbieter die Domänenvalidierung verwenden, wäre der nächste Schritt, dass jeder, der irgendeine Art von IP-Adressen-basierter Ablehnungsliste veröffentlicht, ein Datum festlegt, an dem er damit aufhört. Wenn niemand anhand der IP-Adresse unterscheiden kann, können während des Übergangs zumindest Gateways von IPv6 zu IPv4 verwendet werden. Es wird immer Leute geben, die der Meinung sind, dass es ihre Mühe nicht wert ist, zur nächsten Sache überzugehen, und am Ende besteht der einzige Weg, diese Leute dazu zu bringen, mit dem Programm zu kommen, darin, ihnen keine Wahl zu lassen.

Es kann nicht so einfach sein, wo ist der Haken?

Es gibt sicherlich Herausforderungen mit nur domänenbasierter Authentifizierung. Ein schlechter Absender kann viel einfacher Tausende von gefälschten Domains registrieren, als so viele IP-Adressen zu erlangen. Unserer Erfahrung nach verwenden diese Leute gestohlene Kreditkarten aus ihren früheren böswilligen E-Mail-Kampagnen, sodass es sie nichts kostet. Ich habe persönlich Phishing-E-Mails gesehen, die von Konten gesendet wurden, die mehrere Monate inaktiv waren, sodass selbst das Alter der Domain kein ausreichender Maßstab ist.

Es könnte dazu führen, dass der Ruf eines bestimmten Registrars wichtig wird, aber ich weiß nicht, wie praktisch das ist. Wir müssen uns an die Regeln halten, die die Community verwendet, um unsere Kunden zu beurteilen, und die gleichen Dinge könnten auf Registrarebene passieren.

Posteingangsanbieter können auch jede Signatur von einem ESP berücksichtigen und dies ebenfalls abwägen. SendGrid muss bereits unsere eigene Signatur zu allen Gmail- und Yahoo-E-Mails hinzufügen, damit Beschwerden an uns gesendet werden können, sodass es für einen Anbieter nicht so viel mehr kosten würde, unseren Ruf insgesamt zu berücksichtigen. So sehr wir uns zum Schutz unserer Kunden auf die individuelle IP-Reputation verlassen, gibt es auch eine gewisse Verantwortung, die uns die Posteingangsanbieter auferlegen. Ein ESP mit geringer Reputation wird im aktuellen Umfeld große Schwierigkeiten haben, und als ESP mit hoher Reputation hoffe ich, dass dies auch in Zukunft so bleibt.

Wie ich bereits erwähnt habe, würde die Verwendung der Domain-Reputation außerdem erfordern, dass ein Empfänger die gesamte Nachricht verarbeitet, bevor er ein Urteil fällt. Dies ist eine nicht unerhebliche Belastung ihrer Systeme. Wenn es einen einfachen Weg, den richtigen Weg und einen schwierigen Weg gibt, neigen die Menschen dazu, den einfachen Weg zu wählen. Es ist bei weitem nicht einfach, 1 Million verschiedene Entitäten dazu zu bringen, sich auf den richtigen Weg zu einigen.

Was bedeutet das jetzt?

Im Moment ist das Beste, was wir tun können, uns an die aktuellen Regeln zu halten und gleichzeitig Veränderungen zu fördern. Wenn der IPv4-Raum wirklich erschöpft ist, werden die Menschen entscheiden, dass diese Dinge wichtig sind.

Ein interessanter Nebeneffekt davon ist, wie wichtig es ist, wie groß ein ESP ist. Obwohl es einen Marktplatz für den Kauf von IPv4-Adressen gibt, sehen die Regeln von ARIN, der Organisation, die die IP-Zuweisung kontrolliert, vor, dass ein Unternehmen immer noch eine 80-prozentige Auslastung seines vorhandenen IP-Bereichs nachweisen muss und dass es diese neuen IPs verwenden kann einen angemessenen Zeitrahmen, bevor sie mehr erhalten können, unabhängig davon, ob sie direkt von ARIN zugewiesen oder gekauft wurden.

Unternehmen können nicht einfach IPv4-Adressen horten, in der Hoffnung, sie eines Tages nutzen zu können. SendGrid vergibt seit 2009 dedizierte IP-Adressen, und mit etwa 40.000 der 50.000 verfügbaren IPv4-Adressen haben wir Zugang zu gebrauchten, wir erfüllen diese Kriterien und sind dabei, einen weiteren großen Block zu erhalten, um unser Wachstum zu unterstützen. Für jemanden, der gerade erst in diesen Markt einsteigt, ist das eine ziemlich hohe Messlatte, und er kann nur mehr erreichen, wenn seine Wachstumszahlen dies rechtfertigen.

Ich weiß, was Sie auch sagen werden, dass SendGrid auch keine E-Mails über IPv6 akzeptiert. Obwohl ich persönlich ein Fan davon wäre, dass wir dies tun würden, gibt es Risiken, wie z. B. die Behandlung eines von IPv6 empfangenen Headers durch einen nachgeschalteten Posteingangsanbieter, die dies zu mehr Arbeit machen, als nur einen DNS-Eintrag zu veröffentlichen. Letztendlich wird SendGrid das Beste für unsere Kunden tun, und wenn wir den Punkt erreichen, an dem IPv6 etwas ist, was unsere Kunden brauchen, können Sie sicher sein, dass wir es verwirklichen werden.

Irgendeine Idee, wann IPv6 und E-Mail eine Sache sein könnten?

Mein interner Witz ist, dass ich wahrscheinlich sterben werde, bevor IPv4 es tut. Während das für die meisten anderen wahrscheinlich nicht zutrifft, bin ich vielleicht nicht so weit weg, wenn es um E-Mail geht. Es hat fast 20 Jahre gedauert, seit die IPv6-Spezifikation geschaffen wurde, um dahin zu gelangen, wo wir jetzt sind, und im Fall von E-Mail ist das im Grunde noch weiter entfernt als wir.