Gdzie jest IPv6 w e-mailu?

apokalipsa kiedyś

Przestrzeń adresowa IPv4 się kończy. Już za kilka lat całkowicie się wyczerpie. Jedyną nadzieją na przetrwanie Internetu jest migracja do IPv6.

To był początek części IPv6 na moich zajęciach z sieci na studiach. Prawie 20 lat temu. Chociaż technologie takie jak NAT pomogły znacznie spowolnić tempo zużywania adresów IP, w końcu doszliśmy do tych ciemnych dni, kiedy adresy do rozdawania są na wyczerpaniu.

Ostatnio podczas mojej sesji Ask Me Anything mieliśmy wiele pytań dotyczących reputacji i dedykowanych adresów IP. Naturalnym pytaniem osób, które martwią się niedoborem adresów IPv4, jest to, co z IPv6. Był to również duży temat dyskusji wewnętrznie, więc pomyślałem, że podzielę się moim doświadczeniem i przemyśleniami na ten temat.

Dlaczego adresy IP są ważne

Pierwszą rzeczą do omówienia jest to, dlaczego adresy IP do wysyłania wiadomości e-mail są ważne. Dawno temu, gdy dostawcy skrzynek odbiorczych próbowali dowiedzieć się, który e-mail jest poszukiwany, a co jest spamem, podjęto decyzję o wykorzystaniu tej ograniczonej przestrzeni adresowej IPv4 na swoją korzyść. Przestrzeń adresowa była stosunkowo mała, dość statyczna, więc była to dobra miara do określenia, z kim naprawdę rozmawiasz.

Adres IP nadawcy stał się de facto miejscem, w którym można zakotwiczyć reputację dostawcy, ustawić limity szybkości, a później firmy z listy odmów mogą używać ich do udostępniania informacji o nadużyciach wielu dostawcom skrzynek odbiorczych. Adres IP to coś, co niezwykle trudno sfałszować, a zwłaszcza w dzisiejszym środowisku trudno je zdobyć lub zmienić.

Dlaczego po prostu nie używasz protokołu IPv6?

Największym problemem, z jakim boryka się IPv6 w odniesieniu do poczty e-mail, jest to, że wszystkie opisane powyżej techniki przeciwdziałania nadużyciom, które działają na adresie IPv4, po prostu nie działają w IPv6. Przestrzeń adresowa jest tak duża, że ​​nie są w stanie wykonać na niej żadnych działań śledzenia/drobnoziarnistych. Na przykład SendGrid ma przydział około 1 × 10 ^ 24 adresów IPv6. Gdyby nawet spróbowali niektórych z tych samych technik, zgrupowaliby gigantyczne zakresy, takie jak cały nasz, w jednej kategorii. Jest to odpowiednik obecnej praktyki blokowania całego zakresu 255 adresów IPv4, ale jeszcze mniej szczegółowych (2^8 vs 2^80).

Z tego powodu bardzo niewielu dostawców skrzynek odbiorczych mówi nawet o IPv6. Zrobiłem szybkie sprawdzenie 10 najlepszych domen, do których wysyłamy, i spośród nich tylko 2 publikują rekord DNS IPv6 dla poczty e-mail. Szczerze wątpię, czy istnieje jakikolwiek dostawca, który mówi tylko o IPv6. Co gorsza, typową ścieżką migracji dla IPv4 do IPv6 jest użycie bram do proxy ruchu IPv6 komuś, kto mówi tylko IPv4, ale te adresy, jeśli nawet zezwalają na ruch SMTP, będą miały prawie słabą reputację . To problem kurczaka i jajka, w pobliżu czai się olbrzymi pies, którego nie obchodzi, którego zje jako pierwszy.

To brzmi naprawdę źle, co dalej?

Kolejnym ważnym krokiem do przejścia poczty e-mail na IPv6 jest odejście reputacji od adresu IP. Logicznym miejscem, w którym można to zrobić, jest domena, biorąc pod uwagę, że podpisy cyfrowe w końcu zaczęły zyskiwać na popularności. Gmail przesunął się bardziej w kierunku tego modelu (i skoncentrował się na konfiguracji nadawcy) i będzie stanowił zachętę dla wszystkich nadawców do korzystania z podpisów cyfrowych, na przykład w jaki sposób „zachęcali” resztę społeczności ESP do rozpoczęcia używania TLS do wysyłania wszystkie e-maile.

Następnie wszyscy inni główni dostawcy skrzynek odbiorczych również zmodyfikowaliby swoje systemy reputacji, aby uwzględnić reputację domeny. Przy ponad milionie dostawców skrzynek odbiorczych nie jest to taka mała rzecz, ale przynajmniej jeśli robią to główni dostawcy, powinno być wystarczająco dużo rozmachu, aby zachęcić do tego również innych. Tego rodzaju zmiany potrzebują nie tylko ich systemy reputacji, ale także wszystkie pętle zwrotne dotyczące skarg muszą zostać przekonwertowane na domenę. Obecnie robią to tylko Yahoo i Gmail.

Druga część, która jest potrzebna, to odmowa wystawiania ofert, z których korzysta wielu dostawców skrzynek odbiorczych w celu uzyskania reputacji, aby rozpocząć publikowanie aukcji w oparciu o domenę nadawcy. Jest to trochę trudniejsze dla ludzi do integracji, ponieważ musisz poczekać na całą wiadomość, zanim się zorientujesz, czy zamierzasz ją odrzucić w porównaniu z blokami opartymi na IP, które mogą się zdarzyć, gdy tylko ktoś spróbuje się połączyć, ale nie dodanie polecenia sprawdzania poprawności domeny do protokołu SMTP, jego praca, którą po prostu trzeba wykonać.

Gdy wystarczająca liczba dostawców skrzynek odbiorczych korzysta z walidacji domeny, następnym krokiem byłoby ustalenie przez każdego, kto publikuje listę odmów opartą na adresach IP, daty, w której przestanie to robić. Jeśli nikt nie ma sposobu na dyskryminację na podstawie adresu IP, podczas przejścia można użyć co najmniej bram IPv6 do IPv4. Zawsze znajdą się ludzie, którzy uznają, że nie warto podejmować wysiłku, aby przejść do następnej rzeczy, a jedynym sposobem na to, aby ci ludzie przyjęli program, jest pozostawienie im żadnego wyboru.

To nie może być takie proste, na czym polega haczyk?

Z pewnością istnieją wyzwania związane tylko z uwierzytelnianiem opartym na domenie. Zły nadawca może znacznie łatwiej zarejestrować tysiące fałszywych domen niż zdobyć tak wiele adresów IP. Z naszego doświadczenia wynika, że ​​osoby te używają skradzionych kart kredytowych z poprzednich złośliwych kampanii e-mailowych, więc nic ich to nie kosztuje. Osobiście widziałem wiadomości phishingowe wysyłane z kont, które były uśpione przez kilka miesięcy, więc nawet wiek domeny nie jest wystarczającym miernikiem.

Może dojść do sytuacji, w której reputacja konkretnego rejestratora zaczyna mieć znaczenie, ale nie wiem, na ile to jest praktyczne. Musimy przestrzegać zasad, których używa społeczność, aby oceniać naszych klientów, a to samo może się zdarzyć na poziomie rejestratora.

Dostawcy skrzynek odbiorczych mogą również brać pod uwagę dowolny podpis ESP i również go ważyć. SendGrid musi już dodać swój własny podpis do wszystkich wiadomości e-mail Gmail i Yahoo, aby skargi mogły być do nas wysyłane, więc dostawca nie musiałby brać zbyt wiele, aby wziąć pod uwagę naszą ogólną reputację. O ile polegamy na indywidualnej reputacji IP, aby chronić naszych klientów, istnieje pewien poziom odpowiedzialności, którą ponoszą również dostawcy skrzynek odbiorczych. ESP o niskiej reputacji będzie miał wiele trudności w obecnym środowisku, a jako ESP o wysokiej reputacji mam nadzieję, że pozostanie to takie samo w przyszłości.

Ponadto, jak wspomniałem wcześniej, korzystanie z reputacji domeny wymagałoby od odbiorcy przetworzenia całej wiadomości przed wydaniem werdyktu. Nie jest to nieznaczne obciążenie ich systemów. Mając łatwą, właściwą i trudną ścieżkę, ludzie wybierają łatwą drogę. Pozyskanie 1 miliona różnych podmiotów do uzgodnienia właściwej ścieżki nie jest wcale łatwe.

Co to na razie oznacza?

Na razie najlepsze, co możemy zrobić, to grać zgodnie z obecnymi zasadami, jednocześnie zachęcając do zmian. Gdy przestrzeń IPv4 naprawdę się wyczerpie, ludzie zaczną decydować, że te rzeczy mają znaczenie.

Ciekawym skutkiem ubocznym tego jest to, jak duże znaczenie ma wielkość ESP. Mimo że istnieje rynek do kupowania adresów IPv4, zasady ARIN, organizacji kontrolującej przydzielanie adresów IP, sprawiają, że firma nadal musi wykazać 80% wykorzystania swojej istniejącej przestrzeni IP i może korzystać z tych nowych adresów IP w w rozsądnych ramach czasowych, zanim będą mogli uzyskać więcej, niezależnie od tego, czy zostaną przydzieleni bezpośrednio z ARIN, czy kupieni.

Firmy nie mogą po prostu gromadzić adresów IPv4, mając nadzieję, że kiedyś ich użyją. SendGrid rozdaje dedykowane adresy IP od 2009 roku, a mając około 40 000 z 50 000 dostępnych adresów IPv4, mamy dostęp do używanych, spełniamy te kryteria i jesteśmy w trakcie uzyskiwania kolejnego dużego bloku, aby wesprzeć nasz rozwój. Dla kogoś, kto dopiero wchodzi na ten rynek, jest to dość wysoka poprzeczka i może uzyskać więcej tylko wtedy, gdy uzasadnia to ich liczba wzrostu.

Wiem, co zamierzasz powiedzieć, że SendGrid również nie akceptuje wiadomości e-mail przez IPv6. Chociaż osobiście byłbym fanem tego, jak to robimy, istnieje ryzyko, takie jak sposób, w jaki dostawca skrzynki odbiorczej będzie traktował odebrany nagłówek IPv6, co sprawia, że ​​działa to więcej niż tylko publikowanie rekordu DNS. W końcu SendGrid zrobi wszystko, co najlepsze dla naszych klientów, a kiedy dojdziemy do punktu, w którym IPv6 jest czymś, czego potrzebują nasi klienci, wiedz, że to zrobimy.

Jakiś pomysł, kiedy IPv6 i e-mail mogą być czymś?

Moim wewnętrznym żartem jest to, że prawdopodobnie umrę przed IPv4. Chociaż jest to mało prawdopodobne w przypadku większości innych rzeczy, mogę nie być tak daleko, jeśli chodzi o e-maile. Minęło prawie 20 lat, odkąd stworzono specyfikację IPv6, aby dotrzeć do miejsca, w którym jesteśmy teraz, a w przypadku poczty e-mail jest ona w zasadzie jeszcze dalej niż my.