Dov'è IPv6 nell'e-mail?

Apocalisse qualche volta

Lo spazio degli indirizzi IPv4 si sta esaurendo. In pochi anni sarà completamente esaurito. L'unica speranza per la sopravvivenza di Internet è la migrazione a IPv6.

Questo è stato l'inizio della parte IPv6 della mia lezione di networking al college. Quasi 20 anni fa. Mentre tecnologie come NAT hanno contribuito a rallentare notevolmente la velocità di consumo degli indirizzi IP, siamo finalmente a quei giorni bui in cui gli indirizzi da distribuire stanno finendo.

Di recente nella mia sessione Ask Me Anything , abbiamo avuto molte domande sulla reputazione e sugli IP dedicati. La domanda naturale delle persone che si preoccupano della scarsità di indirizzi IPv4 riguarda IPv6. Questo è stato un grande argomento di discussione anche internamente, quindi ho pensato di condividere la mia esperienza e i miei pensieri su questo problema.

Perché gli IP sono importanti

La prima cosa da coprire è il motivo per cui gli indirizzi IP per l'invio di e-mail sono importanti. Molto tempo fa, quando i provider di posta in arrivo stavano cercando di capire quale e-mail fosse richiesta e cosa fosse spam, fu presa la decisione di utilizzare quello spazio di indirizzi IPv4 limitato a proprio vantaggio. Lo spazio degli indirizzi era relativamente piccolo, abbastanza statico, quindi era una buona misura da usare per determinare con chi stavi veramente parlando.

L'indirizzo IP del mittente è diventato de facto il luogo in cui ancorare la reputazione di un provider, impostare limiti di velocità e, successivamente, per le società di elenchi di rifiuto da utilizzare per condividere informazioni sui maltrattanti tra più provider di posta in arrivo. Un indirizzo IP è qualcosa di estremamente difficile da falsificare e, soprattutto nell'ambiente odierno, è difficile acquisirlo o modificarlo.

Perché non usi semplicemente IPv6?

Il problema più grande che IPv6 deve affrontare per quanto riguarda l'e-mail è che tutte le tecniche anti-abuso sopra descritte che funzionano con un indirizzo IPv4 semplicemente non funzionano in IPv6. Lo spazio degli indirizzi è così grande che è impossibile per loro eseguire qualsiasi tracciamento/azione a grana fine su di esso. Ad esempio, SendGrid ha un'allocazione di circa 1×10^24 indirizzi IPv6. Se dovessero provare anche solo alcune di quelle stesse tecniche, finirebbero per raggruppare gamme giganti, come l'intera nostra gamma, in un'unica categoria. Questo è l'equivalente della pratica corrente di bloccare un intero intervallo di 255 indirizzi IPv4, ma anche a grana meno fine (2^8 vs 2^80).

Per questo motivo, pochissimi provider di posta in arrivo parlano IPv6. Ho fatto un rapido controllo dei primi 10 domini a cui inviamo e di quelli, solo 2 pubblicano un record DNS IPv6 per la posta elettronica. Dubito sinceramente che esista un provider che parli solo IPv6. A peggiorare le cose, il tipico percorso di migrazione da IPv4 a IPv6 consiste nell'utilizzare i gateway per inviare tramite proxy il tuo traffico IPv6 a qualcuno che parla solo IPv4, ma quegli indirizzi, se consentissero anche il traffico SMTP, sarebbero praticamente garantiti per avere una scarsa reputazione . È un problema della gallina e dell'uovo, con un cane gigante a cui non importa quale mangia per primo in agguato nelle vicinanze.

Sembra davvero brutto, cosa c'è dopo?

Il passaggio successivo importante per il passaggio dell'e-mail a IPv6 è che la reputazione si allontani dall'indirizzo IP. Il posto logico per questo è il dominio, dato che le firme digitali hanno finalmente iniziato a guadagnare terreno. Gmail si è spostato maggiormente verso questo modello (e verso un focus sulla configurazione di un mittente) e fornirà alcuni incentivi a tutti i mittenti per utilizzare le firme digitali, come il modo in cui hanno "incoraggiato" il resto della comunità ESP a iniziare a utilizzare TLS per inviare tutta la posta elettronica.

Il prossimo passo sarebbe che tutti gli altri principali provider di posta in arrivo modifichino anche i loro sistemi di reputazione per tenere conto della reputazione del dominio. Con oltre 1 milione di provider di posta in arrivo, questa non è una cosa da poco, ma almeno se lo fanno i principali provider, dovrebbe esserci uno slancio sufficiente per convincere anche gli altri. Non solo i loro sistemi di reputazione hanno bisogno di questo tipo di cambiamento, ma anche tutti i cicli di feedback sui reclami devono essere convertiti in dominio. Attualmente solo Yahoo e Gmail lo fanno.

L'altra parte necessaria è che le società di negazione dell'elenco su cui molti provider di posta in arrivo fanno affidamento per la reputazione inizino a pubblicare l'elenco in base al dominio del mittente. Questo è un po' più difficile da integrare per le persone, dal momento che devi aspettare l'intero messaggio prima di sapere se lo rifiuterai rispetto ai blocchi basati su IP che possono verificarsi non appena qualcuno tenta di connettersi, ma a corto di aggiungendo un comando di convalida del dominio nel protocollo SMTP, il suo lavoro dovrà solo essere fatto.

Una volta che un numero sufficiente di provider di posta in arrivo sta utilizzando la convalida del dominio, il passaggio successivo sarebbe che tutti coloro che pubblicano qualsiasi tipo di elenco di indirizzi IP negati basati su indirizzi IP stabiliscano una data per smettere di farlo. Se nessuno ha un modo per discriminare in base all'indirizzo IP, è possibile utilizzare almeno i gateway da IPv6 a IPv4 durante la transizione. Ci saranno sempre quelle persone che non riterranno che valga la pena di passare alla cosa successiva, e alla fine l'unico modo per convincere queste persone a partecipare al programma è non dar loro scelta.

Non può essere così facile, qual è il trucco?

Ci sono certamente sfide con la sola autenticazione basata sul dominio. Un cattivo mittente può registrare migliaia di domini falsi molto più facilmente di quanto possa ottenere così tanti indirizzi IP. Nella nostra esperienza, queste persone utilizzano carte di credito rubate dalle loro precedenti campagne di posta elettronica dannose, quindi non costa loro nulla farlo. Ho visto personalmente e-mail di phishing inviate da account che erano rimasti inattivi per diversi mesi, quindi anche l'età del dominio non è una misura sufficientemente buona.

Potrebbe arrivare dove la reputazione di un particolare registrar inizia a importare, ma non so quanto sia pratico. Dobbiamo rispettare le regole che la community usa per giudicare i nostri clienti e queste stesse cose potrebbero accadere a livello di registrar.

I fornitori di Posta in arrivo possono anche prendere in considerazione qualsiasi firma di un ESP e valutare anche quella. SendGrid deve già aggiungere la nostra firma a tutte le e-mail di Gmail e Yahoo affinché i reclami ci vengano inviati, quindi non ci vorrebbe molto di più per un provider per tenere conto della nostra reputazione generale. Per quanto ci affidiamo alla reputazione IP individuale per proteggere i nostri clienti, esiste un certo livello di responsabilità a cui i fornitori di posta in arrivo ci attribuiscono. Un ESP di bassa reputazione avrà molte difficoltà nell'ambiente attuale e, poiché un ESP di alta reputazione, spero che rimanga lo stesso in futuro.

Inoltre, come accennato in precedenza, l'utilizzo della reputazione del dominio richiederebbe che un destinatario elabori l'intero messaggio prima di emettere un verdetto. Questa non è una quantità insignificante di carico sui loro sistemi. Dato un percorso facile, il percorso giusto e un percorso difficile, le persone tendono a scegliere la via facile. Ottenere 1 milione di entità diverse per concordare sulla strada giusta non è affatto facile.

Cosa significa per ora?

Per ora, il meglio che possiamo fare è rispettare le regole attuali incoraggiando il cambiamento. Quando lo spazio IPv4 si esaurisce davvero, le persone inizieranno a decidere che queste cose contano.

Un interessante effetto collaterale di questo è quanto importerà quanto grande sia un ESP. Anche se esiste un mercato per l'acquisto di indirizzi IPv4, le regole di ARIN, l'organizzazione che controlla l'assegnazione degli IP, fanno sì che un'azienda debba ancora mostrare l'utilizzo dell'80% del proprio spazio IP esistente e che possa utilizzare quei nuovi IP in un ragionevole lasso di tempo, prima che possano ottenere di più, siano essi assegnati direttamente da ARIN o acquistati.

Le aziende non possono semplicemente accumulare indirizzi IPv4 sperando di usarli un giorno. SendGrid distribuisce indirizzi IP dedicati dal 2009 e, con circa 40.000 dei 50.000 indirizzi IPv4 disponibili, abbiamo accesso a quelli utilizzati, soddisfiamo tali criteri e stiamo ottenendo un altro grande blocco per supportare la nostra crescita. Per qualcuno che sta appena entrando in questo mercato, questo è un livello piuttosto alto e possono ottenere di più solo se i loro numeri di crescita lo giustificano.

So cosa dirai anche tu, che SendGrid non accetta nemmeno e-mail su IPv6. Anche se personalmente sarei un fan di noi, ci sono dei rischi, come il modo in cui un provider di posta in arrivo a valle tratterà un'intestazione ricevuta IPv6, che lo rendono più funzionale della semplice pubblicazione di un record DNS. Alla fine, SendGrid farà tutto ciò che è meglio per i nostri clienti e, quando raggiungeremo il punto in cui IPv6 è qualcosa di cui i nostri clienti hanno bisogno, sappi che lo realizzeremo.

Qualche idea quando IPv6 ed e-mail potrebbero essere una cosa?

La mia battuta interna è che è probabile che muoia prima che lo faccia IPv4. Anche se è improbabile che ciò sia vero per la maggior parte del resto, potrei non essere così lontano quando si tratta di e-mail. Ci sono voluti quasi 20 anni da quando le specifiche IPv6 sono state create per arrivare dove siamo ora e, nel caso dell'e-mail, è praticamente ancora più lontano di quanto non fossimo noi.