Où est IPv6 dans les e-mails ?

Apocalypse parfois

L'espace d'adressage IPv4 s'épuise. Dans quelques années, il sera complètement épuisé. Le seul espoir de survie d'Internet est de migrer vers IPv6.

C'était le début de la partie IPv6 de mon cours de réseautage à l'université. Il y a près de 20 ans. Alors que des technologies telles que NAT ont contribué à ralentir considérablement le rythme de consommation des adresses IP, nous sommes enfin à ces jours sombres où les adresses à distribuer se font rares.

Récemment, lors de ma session Ask Me Anything , nous avons eu beaucoup de questions sur les réputations et les adresses IP dédiées. La question naturelle des personnes qui s'inquiètent de la rareté des adresses IPv4 est qu'en est-il de l'IPv6. Cela a également été un grand sujet de discussion en interne, alors j'ai pensé que je partagerais mon expérience et mes réflexions sur cette question.

Pourquoi les IP sont importantes

La première chose à couvrir est l'importance des adresses IP pour l'envoi d'e-mails. Il y a longtemps, lorsque les fournisseurs de boîtes de réception essayaient de déterminer quel e-mail était recherché et quel était le spam, la décision a été prise d'utiliser cet espace d'adressage IPv4 limité à leur avantage. L'espace d'adressage était relativement petit, assez statique, et c'était donc une bonne mesure à utiliser pour déterminer à qui vous parliez vraiment.

L'adresse IP de l'expéditeur est devenue le lieu de facto pour ancrer la réputation d'un fournisseur, définir des limites de débit, puis plus tard pour que les sociétés de listes de refus l'utilisent pour partager des informations sur les abuseurs entre plusieurs fournisseurs de boîtes de réception. Une adresse IP est quelque chose d'extrêmement difficile à usurper, et surtout dans l'environnement actuel, elle est difficile à acquérir ou à modifier.

Pourquoi n'utilisez-vous pas simplement IPv6 ?

Le plus gros problème auquel IPv6 est confronté en ce qui concerne le courrier électronique est que toutes les techniques anti-abus décrites ci-dessus qui fonctionnent à partir d'une adresse IPv4 ne fonctionnent tout simplement pas dans IPv6. L'espace d'adressage est si grand qu'il leur est impossible d'y effectuer des actions de suivi/de granularité fine. Par exemple, SendGrid a une allocation d'environ 1 × 10 ^ 24 adresses IPv6. S'ils devaient même essayer certaines de ces mêmes techniques, ils finiraient par regrouper des gammes géantes, comme toute notre gamme, dans une seule catégorie. C'est l'équivalent de la pratique actuelle consistant à bloquer une plage entière de 255 adresses IPv4, mais avec une granularité encore moins fine (2^8 contre 2^80).

Pour cette raison, très peu de fournisseurs de boîtes de réception parlent IPv6. J'ai fait une vérification rapide des 10 principaux domaines auxquels nous envoyons et parmi ceux-ci, seuls 2 publient un enregistrement DNS IPv6 pour le courrier électronique. Je doute sincèrement qu'il existe un fournisseur qui ne parle que IPv6. Pour aggraver les choses, le chemin de migration typique d'IPv4 vers IPv6 consiste à utiliser des passerelles pour proxy votre trafic IPv6 à quelqu'un qui ne parle qu'IPv4, mais ces adresses, si elles autorisaient même le trafic SMTP, auraient à peu près la garantie d'avoir une mauvaise réputation. . C'est un problème de poule et d'œuf, avec un chien géant qui ne se soucie pas de celui qu'il mange en premier qui se cache à proximité.

Cela semble vraiment mauvais, quelle est la prochaine étape ?

La prochaine étape importante pour que les e-mails passent à IPv6 est que la réputation s'éloigne de l'adresse IP. L'endroit logique pour cela est le domaine, étant donné que les signatures numériques ont enfin commencé à gagner du terrain. Gmail s'est davantage orienté vers ce modèle (et se concentre sur la configuration d'un expéditeur), et incitera tous les expéditeurs à utiliser des signatures numériques, comme la façon dont ils ont "encouragé" le reste de la communauté ESP à commencer à utiliser TLS pour envoyer tous les e-mails.

Ensuite, tous les autres principaux fournisseurs de boîtes de réception devraient également modifier leurs systèmes de réputation pour tenir compte de la réputation du domaine. Avec plus d'un million de fournisseurs de boîtes de réception, ce n'est pas une si petite chose, mais au moins si les principaux fournisseurs le font, il devrait y avoir suffisamment d'élan pour en amener d'autres également. Non seulement leurs systèmes de réputation ont besoin de ce type de changement, mais toutes les boucles de rétroaction des plaintes doivent également être converties en domaine. Actuellement, seuls Yahoo et Gmail le font.

L'autre partie qui est nécessaire est que les sociétés de listes de refus sur lesquelles de nombreux fournisseurs de boîtes de réception s'appuient pour leur réputation commencent à publier des listes basées sur le domaine de l'expéditeur. C'est un peu plus difficile à intégrer pour les gens, car vous devez attendre la totalité du message avant de savoir si vous allez le rejeter par rapport aux blocages basés sur IP qui peuvent se produire dès que quelqu'un essaie de se connecter, mais à court de ajouter une commande de validation de domaine dans le protocole SMTP, son travail qui n'aura plus qu'à être fait.

Une fois qu'un nombre suffisant de fournisseurs de boîtes de réception utilisent la validation de domaine, la prochaine étape consisterait pour tous ceux qui publient tout type de liste de refus basée sur l'adresse IP à fixer une date pour cesser de le faire. Si personne ne dispose d'un moyen de discriminer en fonction de l'adresse IP, alors au moins des passerelles IPv6 vers IPv4 peuvent être utilisées pendant la transition. Il y aura toujours des gens qui pensent que cela ne vaut pas la peine de passer à autre chose et, en fin de compte, la seule façon de les amener à suivre le programme est de ne pas leur donner le choix.

Ça ne peut pas être aussi simple, quel est le problème ?

Il y a certainement des défis avec une authentification basée uniquement sur le domaine. Un mauvais expéditeur peut enregistrer des milliers de faux domaines beaucoup plus facilement qu'il ne peut obtenir autant d'adresses IP. D'après notre expérience, ces personnes utilisent des cartes de crédit volées lors de leurs précédentes campagnes d'e-mails malveillants, cela ne leur coûte donc rien de le faire. J'ai personnellement vu des e-mails de phishing envoyés à partir de comptes restés inactifs pendant plusieurs mois, donc même l'âge du domaine n'est pas une mesure suffisante.

Cela pourrait arriver là où la réputation d'un bureau d'enregistrement particulier commence à avoir de l'importance, mais je ne sais pas si c'est pratique. Nous devons respecter les règles que la communauté utilise pour juger nos clients, et ces mêmes choses pourraient se produire au niveau du bureau d'enregistrement.

Les fournisseurs de boîte de réception peuvent également prendre en compte toute signature d'un ESP et la peser également. SendGrid doit déjà ajouter sa propre signature à tous les e-mails Gmail et Yahoo afin que les plaintes nous soient envoyées, il ne faudrait donc pas beaucoup plus pour qu'un fournisseur prenne en compte notre réputation globale. Même si nous comptons sur la réputation IP individuelle pour aider à protéger nos clients, il existe également un certain niveau de responsabilité que les fournisseurs de boîtes de réception nous tiennent également. Un ESP de faible réputation aura beaucoup de difficulté dans l'environnement actuel, et en tant qu'ESP de haute réputation, j'espère que cela restera le même à l'avenir.

De plus, comme je l'ai mentionné précédemment, l'utilisation de la réputation de domaine nécessiterait qu'un destinataire traite l'intégralité du message avant de rendre un verdict. Ce n'est pas une quantité insignifiante de charge sur leurs systèmes. Étant donné un chemin facile, le bon chemin et un chemin difficile, les gens ont tendance à choisir la voie facile. Amener 1 million d'entités différentes à s'entendre sur la bonne voie est loin d'être facile.

Qu'est-ce que cela signifie pour l'instant ?

Pour l'instant, le mieux que nous puissions faire est de respecter les règles actuelles tout en encourageant le changement. Au fur et à mesure que l'espace IPv4 s'épuisera, les gens commenceront à décider que ces choses sont importantes.

Un effet secondaire intéressant de cela est à quel point la taille d'un ESP sera importante. Même s'il existe un marché pour l'achat d'adresses IPv4, les règles d'ARIN, l'organisation qui contrôle l'attribution des adresses IP, font en sorte qu'une entreprise doit toujours montrer une utilisation de 80 % de son espace IP existant et qu'elle peut utiliser ces nouvelles adresses IP dans un délai raisonnable, avant qu'ils ne puissent en obtenir davantage, qu'ils soient attribués directement à ARIN ou achetés.

Les entreprises ne peuvent pas simplement stocker des adresses IPv4 dans l'espoir de les utiliser un jour. SendGrid distribue des adresses IP dédiées depuis 2009, et avec environ 40 000 des 50 000 adresses IPv4 disponibles, nous avons accès à des adresses utilisées, nous répondons à ces critères et sommes en train d'obtenir un autre gros bloc pour soutenir notre croissance. Pour quelqu'un qui vient d'entrer sur ce marché, c'est une barre assez haute, et il ne peut en obtenir plus que si ses chiffres de croissance le justifient.

Je sais ce que vous allez également dire, que SendGrid n'accepte pas non plus les e-mails sur IPv6. Bien que je sois personnellement un fan de nous, il existe des risques, tels que la façon dont un fournisseur de boîte de réception en aval traitera un en-tête IPv6 reçu, qui rendent cela plus efficace que la simple publication d'un enregistrement DNS. En fin de compte, SendGrid fera tout ce qui est le mieux pour nos clients, et lorsque nous atteindrons le point où IPv6 est quelque chose dont nos clients ont besoin, sachez que nous y arriverons.

Une idée quand IPv6 et le courrier électronique pourraient être une chose ?

Ma plaisanterie interne est que je vais probablement mourir avant IPv4. Bien que cela ne soit probablement pas vrai pour la plupart des autres choses, je ne suis peut-être pas si loin en ce qui concerne le courrier électronique. Il a fallu près de 20 ans depuis la création de la spécification IPv6 pour en arriver là où nous en sommes aujourd'hui, et dans le cas du courrier électronique, c'est encore plus loin que nous ne l'étions.