Onde está o IPv6 no e-mail?

Apocalipse em algum momento

O espaço de endereço IPv4 está acabando. Em poucos anos estará completamente esgotado. A única esperança de sobrevivência da Internet é migrar para o IPv6.

Este foi o início da parte IPv6 da minha aula de rede na faculdade. Quase 20 anos atrás. Embora tecnologias como o NAT tenham ajudado a diminuir bastante a taxa de consumo de endereços IP, estamos finalmente naqueles dias sombrios em que os endereços a serem distribuídos estão acabando.

Recentemente, na minha sessão Ask Me Anything , tivemos muitas perguntas sobre reputações e IPs dedicados. A pergunta natural das pessoas que se preocupam com a escassez de endereços IPv4 é o que dizer do IPv6. Este também tem sido um grande tópico de discussão internamente, então pensei em compartilhar minha experiência e pensamentos sobre esse assunto.

Por que os IPs são importantes

A primeira coisa a abordar é por que os endereços IP para enviar e-mails são importantes. Há muito tempo, quando os provedores de caixa de entrada tentavam descobrir qual e-mail era desejado e o que era spam, foi tomada a decisão de usar esse espaço limitado de endereço IPv4 a seu favor. O espaço de endereçamento era relativamente pequeno, bastante estático e, portanto, era uma boa medida para determinar com quem você realmente estava falando.

O endereço IP do remetente tornou-se o local de fato para ancorar a reputação de um provedor, definir limites de taxa e, posteriormente, para empresas de listas de negação usarem para compartilhar informações sobre abusadores em vários provedores de caixa de entrada. Um endereço IP é algo extremamente difícil de falsificar e, especialmente no ambiente atual, é difícil adquirir ou alterar.

Por que você não usa apenas o IPv6?

O maior problema que o IPv6 enfrenta em relação ao e-mail é que todas as técnicas anti-abuso descritas acima que funcionam com um endereço IPv4 simplesmente não funcionam no IPv6. O espaço de endereço é tão grande que é impossível fazer qualquer rastreamento/ações de granulação fina nele. Por exemplo, SendGrid tem uma alocação de cerca de 1×10^24 endereços IPv6. Se eles tentassem algumas dessas mesmas técnicas, acabariam agrupando ranges gigantes, como todo o nosso range, em uma categoria. Isso é o equivalente à prática atual de bloquear um intervalo inteiro de 255 endereços IPv4, mas ainda menos granular (2^8 vs 2^80).

Por causa disso, muito poucos provedores de caixa de entrada falam IPv6. Fiz uma verificação rápida dos 10 principais domínios para os quais enviamos e desses, apenas 2 publicam um registro DNS IPv6 para e-mail. Eu sinceramente duvido que exista algum provedor por aí que fale apenas IPv6. Para piorar a situação, o caminho de migração típico de IPv4 para IPv6 é usar gateways para fazer proxy de seu tráfego IPv6 para alguém que fale apenas IPv4, mas esses endereços, se eles permitissem tráfego SMTP, teriam uma reputação ruim. . É um problema da galinha e do ovo, com um cachorro gigante que não se importa com qual ele come primeiro espreitando por perto.

Isso soa muito ruim, o que vem a seguir?

O próximo passo importante para o e-mail migrar para o IPv6 é que a reputação se afaste do endereço IP. O lugar lógico para isso é o domínio, já que as assinaturas digitais finalmente começaram a ganhar força. O Gmail mudou mais para esse modelo (e para um foco na configuração de um remetente) e fornecerá algum incentivo para todos os remetentes usarem assinaturas digitais, como eles “encorajaram” o resto da comunidade ESP a começar a usar TLS para enviar todos os e-mails.

Em seguida, todos os outros principais provedores de caixa de entrada também modificariam seus sistemas de reputação para levar em consideração a reputação do domínio. Com mais de 1 milhão de provedores de caixa de entrada por aí, isso não é uma coisa tão pequena, mas pelo menos se os principais provedores fizerem isso, deve haver impulso suficiente para atrair outros também. Não apenas seus sistemas de reputação precisam desse tipo de mudança, mas todos os ciclos de feedback de reclamações também precisam ser convertidos em domínio. Atualmente, apenas o Yahoo e o Gmail fazem isso.

A outra parte que é necessária é que as empresas de listagem de negação nas quais muitos provedores de caixa de entrada confiam para a reputação começarem a publicar listas com base no domínio do remetente. Isso é um pouco mais difícil para as pessoas integrarem, já que você precisa esperar pela mensagem inteira antes de saber se vai rejeitá-la versus blocos baseados em IP que podem acontecer assim que alguém tentar se conectar, mas adicionando um comando de validação de domínio no protocolo SMTP, seu trabalho terá que ser feito.

Quando um número suficiente de provedores de caixa de entrada estiver usando a validação de domínio, o próximo passo seria para todos que publicam qualquer tipo de lista de negação baseada em endereço IP definir uma data para parar de fazê-lo. Se ninguém tiver uma maneira de discriminar com base no endereço IP, pelo menos os gateways IPv6 para IPv4 poderão ser usados ​​durante a transição. Sempre haverá aquelas pessoas que acham que não vale a pena o esforço de passar para a próxima coisa, e no final a única maneira de fazer com que essas pessoas aceitem o programa é não lhes dar escolha.

Não pode ser tão fácil, qual é a pegadinha?

Certamente existem desafios apenas com a autenticação baseada em domínio. Um remetente ruim pode registrar milhares de domínios falsos com muito mais facilidade do que ganhar tantos endereços IP. Em nossa experiência, essas pessoas usam cartões de crédito roubados de suas campanhas de e-mail maliciosas anteriores, portanto, não custa nada fazer isso. Eu pessoalmente vi e-mails de phishing enviados de contas inativas por vários meses, portanto, mesmo a idade do domínio não é uma medida boa o suficiente.

Pode chegar onde a reputação de um registrador específico começa a importar, mas não sei até que ponto isso é prático. Temos que seguir as regras que a comunidade usa para julgar nossos clientes, e essas mesmas coisas podem acontecer no nível do registrador.

Os provedores de caixa de entrada também podem levar em consideração qualquer assinatura de um ESP e pesar isso também. O SendGrid já tem que adicionar nossa própria assinatura a todos os e-mails do Gmail e Yahoo para que as reclamações sejam enviadas para nós, então não seria necessário muito mais para um provedor levar em conta nossa reputação geral. Por mais que confiemos na reputação de IP individual para ajudar a proteger nossos clientes, há um certo nível de responsabilidade que os provedores de caixa de entrada também nos mantêm. Um ESP de baixa reputação terá muita dificuldade no ambiente atual e, como um ESP de alta reputação, espero que continue o mesmo daqui para frente.

Além disso, como mencionei anteriormente, usar a reputação de domínio exigiria que um destinatário processasse toda a mensagem antes de emitir um veredicto. Esta não é uma quantidade insignificante de carga em seus sistemas. Dado um caminho fácil, o caminho certo e um caminho difícil, as pessoas tendem a escolher o caminho mais fácil. Conseguir que 1 milhão de entidades diferentes concordem com o caminho certo não é nem de longe fácil.

O que isso significa para agora?

Por enquanto, o melhor que podemos fazer é seguir as regras atuais enquanto encorajamos mudanças. À medida que o espaço IPv4 se esgotar, as pessoas começarão a decidir que essas coisas são importantes.

Um efeito colateral interessante disso é o quanto importará o tamanho de um ESP. Embora exista um mercado para a compra de endereços IPv4, as regras da ARIN, a organização que controla a atribuição de IP, fazem com que uma empresa ainda tenha que mostrar 80% de utilização de seu espaço IP existente e que possa usar esses novos IPs em um prazo razoável, antes que eles possam obter mais, sejam eles atribuídos diretamente do ARIN ou comprados.

As empresas não podem simplesmente armazenar endereços IPv4 esperando usá-los algum dia. O SendGrid vem distribuindo endereços IP dedicados desde 2009, e com cerca de 40k dos 50k endereços IPv4 disponíveis, temos acesso a que atendemos a esse critério e estamos em processo de obter outro grande bloco para suportar nosso crescimento. Para alguém que está apenas entrando neste mercado, essa é uma barra bastante alta, e eles só podem obter mais se seus números de crescimento justificarem.

Eu sei o que você também vai dizer, que o SendGrid também não aceita e-mail sobre IPv6. Embora eu pessoalmente seja um fã de nós fazendo isso, existem riscos, como como um provedor de caixa de entrada downstream tratará um cabeçalho IPv6 recebido, que torna isso mais trabalhoso do que apenas publicar um registro DNS. No final, o SendGrid fará o que for melhor para nossos clientes e, quando chegarmos ao ponto em que o IPv6 é algo que nossos clientes precisam, saiba que faremos isso acontecer.

Alguma ideia de quando IPv6 e e-mail podem ser uma coisa?

Minha piada interna é que provavelmente morrerei antes do IPv4. Embora seja improvável que isso seja verdade para quase todo o resto, posso não estar tão longe quando se trata de e-mail. Demorou quase 20 anos desde que a especificação IPv6 foi criada para chegar onde estamos agora, e no caso de e-mail que está basicamente ainda mais longe do que estávamos.