¿Dónde está IPv6 en el correo electrónico?

Apocalipsis en algún momento

El espacio de direcciones IPv4 se está agotando. En unos pocos años estará completamente agotado. La única esperanza de que Internet sobreviva es migrar a IPv6.

Este fue el comienzo de la parte de IPv6 de mi clase de redes en la universidad. Hace casi 20 años. Si bien las tecnologías como NAT ayudaron a reducir en gran medida la velocidad a la que se consumían las direcciones IP, finalmente estamos en esos días oscuros en los que las direcciones para repartir se están agotando.

Recientemente, en mi sesión Ask Me Anything , tuvimos muchas preguntas sobre reputaciones e IP dedicadas. La pregunta natural de las personas que se preocupan por la escasez de direcciones IPv4 es qué pasa con IPv6. Este también ha sido un gran tema de discusión internamente, así que pensé en compartir mi experiencia y pensamientos sobre este tema.

Por qué importan las IP

Lo primero que hay que cubrir es por qué las direcciones IP para enviar correos electrónicos son importantes. Hace mucho tiempo, cuando los proveedores de la bandeja de entrada estaban tratando de averiguar qué correo electrónico se buscaba y qué era spam, se tomó la decisión de utilizar ese espacio limitado de direcciones IPv4 para su beneficio. El espacio de direcciones era relativamente pequeño, bastante estático, por lo que era una buena medida para determinar con quién estaba hablando realmente.

La dirección IP del remitente se convirtió en el lugar de facto para anclar la reputación de un proveedor, establecer límites de velocidad y luego para que las empresas de listas de denegación la usaran para compartir información sobre abusadores entre múltiples proveedores de bandeja de entrada. Una dirección IP es algo que es extremadamente difícil de suplantar y, especialmente en el entorno actual, son difíciles de adquirir o cambiar.

¿Por qué no usa simplemente IPv6?

El mayor problema que enfrenta IPv6 con respecto al correo electrónico es que todas las técnicas contra el abuso descritas anteriormente que funcionan con una dirección IPv4 simplemente no funcionan en IPv6. El espacio de direcciones es tan grande que les resulta imposible realizar acciones de seguimiento o de granularidad fina en él. Por ejemplo, SendGrid tiene una asignación de alrededor de 1 × 10 ^ 24 direcciones IPv6. Si intentaran siquiera algunas de esas mismas técnicas, terminarían agrupando rangos gigantes, como toda nuestra gama, en una categoría. Esto es el equivalente a la práctica actual de bloquear un rango completo de 255 direcciones IPv4, pero aún menos detallado (2^8 frente a 2^80).

Debido a esto, muy pocos proveedores de bandeja de entrada incluso hablan IPv6. Hice una revisión rápida de los 10 principales dominios a los que enviamos y de ellos, solo 2 publican un registro DNS IPv6 para correo electrónico. Dudo sinceramente que exista algún proveedor que hable solo IPv6. Para empeorar las cosas, la ruta típica de migración de IPv4 a IPv6 es usar puertas de enlace para transmitir su tráfico IPv6 a alguien que solo habla IPv4, pero esas direcciones, si permitieran el tráfico SMTP, tendrían una mala reputación. . Es un problema del huevo y la gallina, con un perro gigante al que no le importa cuál come primero acechando cerca.

Eso suena muy mal, ¿qué sigue?

El próximo paso importante para que el correo electrónico pase a IPv6 es que la reputación se aleje de la dirección IP. El lugar lógico para que esto vaya es el dominio, dado que las firmas digitales finalmente han comenzado a ganar algo de tracción. Gmail se ha movido más hacia este modelo (y hacia un enfoque en la configuración del remitente), y proporcionará algún incentivo para que todos los remitentes usen firmas digitales, como "animaron" al resto de la comunidad ESP a comenzar a usar TLS para enviar todo el correo electrónico.

Lo siguiente sería que todos los demás proveedores principales de bandejas de entrada también modificaran sus sistemas de reputación para tener en cuenta la reputación del dominio. Con más de 1 millón de proveedores de bandeja de entrada, esto no es algo tan pequeño, pero al menos si los principales proveedores lo hacen, debería haber suficiente impulso para que otros también lo hagan. No solo sus sistemas de reputación necesitan este tipo de cambio, sino que todos los bucles de retroalimentación de quejas también deben convertirse en dominio. Actualmente, solo Yahoo y Gmail hacen esto.

La otra parte que se necesita es que las empresas de negación de listas en las que confían muchos proveedores de bandeja de entrada para la reputación comiencen a publicar listas basadas en el dominio del remitente. Esto es un poco más difícil de integrar para las personas, ya que tiene que esperar el mensaje completo antes de saber si lo va a rechazar frente a los bloqueos basados ​​en IP que pueden ocurrir tan pronto como alguien intenta conectarse, pero antes de agregar un comando de validación de dominio en el protocolo SMTP, su trabajo solo tendrá que hacerse.

Una vez que suficientes proveedores de bandeja de entrada estén utilizando la validación de dominio, el siguiente paso sería que todos los que publiquen cualquier tipo de lista de denegación basada en direcciones IP establezcan una fecha para dejar de hacerlo. Si nadie tiene una forma de discriminar según la dirección IP, al menos se pueden usar puertas de enlace de IPv6 a IPv4 durante la transición. Siempre habrá aquellas personas que no sientan que vale la pena su esfuerzo para pasar a lo siguiente y, al final, la única forma de lograr que estas personas acepten el programa es no darles otra opción.

No puede ser tan fácil, ¿cuál es el truco?

Sin duda, existen desafíos con solo la autenticación basada en dominio. Un mal remitente puede registrar miles de dominios falsos mucho más fácilmente de lo que puede obtener tantas direcciones IP. Según nuestra experiencia, estas personas usan tarjetas de crédito robadas de sus campañas de correo electrónico maliciosas anteriores, por lo que no les cuesta nada hacerlo. Personalmente, he visto correos electrónicos de phishing enviados desde cuentas que permanecieron inactivas durante varios meses, por lo que incluso la edad del dominio no es una medida suficiente.

Podría llegar a donde la reputación de un registrador en particular comience a importar, pero no sé qué tan práctico es eso. Tenemos que jugar con las reglas que usa la comunidad para juzgar a nuestros clientes, y estas mismas cosas podrían suceder a nivel de registrador.

Los proveedores de bandeja de entrada también pueden tener en cuenta cualquier firma de un ESP y evaluarla también. SendGrid ya tiene que agregar nuestra propia firma a todos los correos electrónicos de Gmail y Yahoo para que se nos envíen las quejas, por lo que no le tomaría mucho más a un proveedor tener en cuenta nuestra reputación general. Por mucho que confiemos en la reputación de IP individual para ayudar a proteger a nuestros clientes, existe un cierto nivel de responsabilidad que los proveedores de la bandeja de entrada también nos exigen. Un ESP de baja reputación tendrá muchas dificultades en el entorno actual, y como un ESP de alta reputación, espero que siga siendo el mismo en el futuro.

Además, como mencioné anteriormente, el uso de la reputación del dominio requeriría que un receptor procese todo el mensaje antes de emitir un veredicto. Esta no es una cantidad insignificante de carga en sus sistemas. Dado un camino fácil, el camino correcto y un camino difícil, la gente tiende a elegir el camino fácil. Conseguir que 1 millón de entidades diferentes se pongan de acuerdo sobre el camino correcto no es nada fácil.

¿Qué significa eso por ahora?

Por ahora, lo mejor que podemos hacer es seguir las reglas actuales mientras fomentamos el cambio. A medida que el espacio de IPv4 realmente se agote, la gente comenzará a decidir que estas cosas importan.

Un efecto secundario interesante de esto es cuánto importará el tamaño de un ESP. A pesar de que existe un mercado para comprar direcciones IPv4, las reglas de ARIN, la organización que controla la asignación de IP, hacen que una empresa aún tenga que mostrar una utilización del 80 % de su espacio de IP existente y que pueda usar esas nuevas IP en un plazo razonable, antes de que puedan obtener más, ya sea que se asignen directamente de ARIN o se compren.

Las empresas no pueden simplemente acumular direcciones IPv4 con la esperanza de usarlas algún día. SendGrid ha estado entregando direcciones IP dedicadas desde 2009, y con alrededor de 40 000 de las 50 000 direcciones IPv4 disponibles, tenemos acceso a las usadas, cumplimos con ese criterio y estamos en proceso de obtener otro bloque grande para respaldar nuestro crecimiento. Para alguien que acaba de entrar en este mercado, ese es un listón bastante alto, y solo puede obtener más si sus números de crecimiento lo justifican.

Sé lo que también vas a decir, que SendGrid tampoco acepta correo electrónico a través de IPv6. Si bien personalmente sería un fanático de que lo hiciéramos, existen riesgos, como la forma en que un proveedor de bandeja de entrada descendente tratará un encabezado recibido de IPv6, que hacen que esto funcione más que simplemente publicar un registro DNS. Al final, SendGrid hará lo que sea mejor para nuestros clientes, y cuando lleguemos al punto en que IPv6 sea algo que nuestros clientes necesiten, sepa que lo haremos posible.

¿Alguna idea de cuándo IPv6 y el correo electrónico podrían ser una cosa?

Mi broma interna es que es probable que muera antes que IPv4. Si bien es poco probable que eso sea cierto para casi todo lo demás, es posible que no esté tan lejos cuando se trata de correo electrónico. Han pasado casi 20 años desde que se creó la especificación IPv6 para llegar a donde estamos ahora y, en el caso del correo electrónico, eso está básicamente incluso más lejos de lo que estábamos.