Unde este IPv6 în e-mail?

Apocalipsa Cândva

Spațiul de adrese IPv4 se epuizează. În doar câțiva ani va fi complet epuizat. Singura speranță ca internetul să supraviețuiască este migrarea la IPv6.

Acesta a fost începutul porțiunii IPv6 a clasei mele de rețele din facultate. Acum aproape 20 de ani. În timp ce tehnologii precum NAT au ajutat la încetinirea ritmului de consum al adreselor IP, suntem în sfârșit în acele zile întunecate în care adresele de distribuit se epuizează.

Recent, în sesiunea mea Întrebați-mă orice , am avut o mulțime de întrebări despre reputație și IP-uri dedicate. Întrebarea firească a oamenilor care se îngrijorează de deficitul de adrese IPv4 este ce se întâmplă cu IPv6. Acesta a fost un mare subiect de discuție și pe plan intern, așa că m-am gândit că voi împărtăși experiența și părerile mele despre această problemă.

De ce contează IP-urile

Primul lucru de acoperit este motivul pentru care adresele IP pentru trimiterea de e-mailuri sunt importante. Cu mult timp în urmă, când furnizorii de căsuțe de e-mail încercau să-și dea seama ce e-mail era dorit și ce era spam, a fost luată decizia de a folosi acel spațiu limitat de adrese IPv4 în avantajul lor. Spațiul de adrese era relativ mic, destul de static și, prin urmare, a fost o măsură bună de utilizat pentru a determina cu cine vorbiți cu adevărat.

Adresa IP a expeditorului a devenit de facto locul de ancorare a reputației unui furnizor, de stabilire a limitelor de rată și, mai târziu, pentru a refuza companiile din listă pe care să le folosească pentru a partaja informații despre abuzatori la mai mulți furnizori de mesaje primite. O adresă IP este ceva extrem de greu de falsificat și, mai ales în mediul actual, acestea sunt greu de achiziționat sau schimbat.

De ce nu folosiți pur și simplu IPv6?

Cea mai mare problemă cu care se confruntă IPv6 în ceea ce privește e-mailul este că toate tehnicile anti-abuz descrise mai sus care funcționează pe baza unei adrese IPv4 pur și simplu nu funcționează în IPv6. Spațiul de adrese este atât de mare încât le este imposibil să efectueze acțiuni de urmărire/granulație fină asupra acestuia. De exemplu, SendGrid are o alocare de aproximativ 1×10^24 adrese IPv6. Dacă ar încerca măcar unele dintre aceleași tehnici, ar ajunge să grupeze game gigantice, ca întreaga noastră gamă, într-o singură categorie. Acesta este echivalentul practicii actuale de a bloca o întreagă gamă de 255 de adrese IPv4, dar și mai puțin granulație fină (2^8 vs 2^80).

Din acest motiv, foarte puțini furnizori de căsuțe de intrare vorbesc IPv6. Am făcut o verificare rapidă a primelor 10 domenii către care trimitem și dintre acestea, doar 2 publică o înregistrare DNS IPv6 pentru e-mail. Mă îndoiesc sincer că există vreun furnizor care să vorbească doar IPv6. Pentru a înrăutăți lucrurile, calea obișnuită de migrare pentru IPv4 la IPv6 este să utilizați gateway-uri pentru a vă trimite traficul IPv6 către cineva care vorbește doar IPv4, dar acele adrese, dacă ar permite chiar traficul SMTP, ar fi aproape garantat că vor avea o reputație slabă. . E o problemă a găinii și a oului, cu un câine uriaș căruia nu-i pasă pe care îl mănâncă primul pândind în apropiere.

Sună foarte rău, ce urmează?

Următorul pas important pentru ca e-mailul să treacă la IPv6 este ca reputația să se îndepărteze de adresa IP. Locul logic pentru acest lucru este domeniul, având în vedere că semnăturile digitale au început în sfârșit să capete o oarecare acțiune. Gmail s-a îndreptat mai mult către acest model (și către un accent pe configurația expeditorului) și va oferi un anumit stimulent pentru toți expeditorii să folosească semnături digitale, cum ar fi modul în care au „încurajat” restul comunității ESP să înceapă să folosească TLS pentru a trimite toate e-mailurile.

Următorul ar fi ca toți ceilalți furnizori importanți de inbox să își modifice și sistemele de reputație pentru a ține cont de reputația domeniului. Cu peste 1 milion de furnizori de inbox, acest lucru nu este un lucru atât de mic, dar cel puțin dacă furnizorii majori o fac, ar trebui să existe suficient impuls pentru a-i atrage și pe alții. Nu numai că sistemele lor de reputație au nevoie de acest tip de schimbare, dar toate buclele de feedback pentru reclamații trebuie, de asemenea, convertite în domeniu. În prezent, doar Yahoo și Gmail fac acest lucru.

Cealaltă parte care este necesară este ca companiile de refuzare a listei pe care se bazează mulți furnizori de inbox pentru reputație să înceapă să publice listarea în funcție de domeniul expeditorului. Acest lucru este puțin mai greu de integrat pentru oameni, deoarece trebuie să așteptați întregul mesaj înainte de a ști dacă îl veți respinge față de blocurile bazate pe IP care se pot întâmpla de îndată ce cineva încearcă să se conecteze, dar mai puțin de adăugarea unei comenzi de validare a domeniului în protocolul SMTP, munca sa care va trebui doar făcută.

Odată ce un număr suficient de furnizori de căsuțe de intrare folosesc validarea domeniului, următorul pas ar fi ca toți cei care publică orice tip de listă de refuz bazată pe adrese IP să stabilească o dată pentru a nu mai face acest lucru. Dacă nimeni nu are o modalitate de a discrimina pe baza adresei IP, atunci cel puțin gateway-uri IPv6 la IPv4 pot fi utilizate în timpul tranziției. Întotdeauna vor exista acei oameni care nu cred că merită efortul lor să treacă la următorul lucru și, în cele din urmă, singura modalitate de a-i determina pe acești oameni să accepte programul este să nu le dai de ales.

Nu poate fi atât de ușor, care este problema?

Există cu siguranță provocări doar cu autentificarea bazată pe domeniu. Un expeditor prost poate înregistra mii de domenii false mult mai ușor decât poate obține atât de multe adrese IP. Din experiența noastră, acești oameni folosesc carduri de credit furate din campaniile lor anterioare de e-mail rău intenționate, astfel încât să nu le coste nimic să facă acest lucru. Am văzut personal e-mailuri de phishing trimise de la conturi care au rămas inactiv timp de câteva luni, așa că nici măcar vârsta domeniului nu este o măsură suficient de bună.

S-ar putea ajunge acolo unde reputația unui anume registrator începe să conteze, dar nu știu cât de practic este. Trebuie să jucăm după orice reguli pe care comunitatea le folosește pentru a ne judeca clienții și aceleași lucruri s-ar putea întâmpla la nivelul registratorului.

Furnizorii de mesaje primite pot, de asemenea, să ia în considerare orice semnătură de la un ESP și să cântărească și aceasta. SendGrid trebuie să adauge deja propria noastră semnătură la toate e-mailurile Gmail și Yahoo pentru ca reclamațiile să ne fie trimise, așa că nu ar fi nevoie de atât de mult în plus pentru ca un furnizor să ia în considerare reputația noastră generală. Oricât de mult ne bazăm pe reputația IP individuală pentru a ne ajuta să ne protejăm clienții, există un anumit nivel de responsabilitate la care ne țin și furnizorii de căsuțe de e-mail. Un ESP cu reputație scăzută va avea multe dificultăți în mediul actual și, ca ESP cu reputație înaltă, sper să rămână același și pe viitor.

De asemenea, așa cum am menționat anterior, utilizarea reputației de domeniu ar necesita ca un receptor să proceseze întregul mesaj înainte de a emite un verdict. Aceasta nu este o cantitate nesemnificativă de încărcare a sistemelor lor. Având în vedere o cale ușoară, calea corectă și o cale grea, oamenii tind să aleagă calea ușoară. A face ca 1 milion de entități diferite să cadă de acord asupra drumului corect nu este deloc ușor.

Ce înseamnă asta pentru moment?

Deocamdată, tot ce putem face este să respectăm regulile actuale în timp ce încurajăm schimbarea. Pe măsură ce spațiul IPv4 devine cu adevărat epuizat, oamenii vor începe să decidă că aceste lucruri contează.

Un efect secundar interesant al acestui lucru este cât de mult va conta cât de mare este un ESP. Chiar dacă există o piață pentru achiziționarea de adrese IPv4, regulile de la ARIN, organizația care controlează atribuirea IP, fac ca o companie să arate încă utilizarea în proporție de 80% a spațiului IP existent și să poată folosi acele noi IP-uri în un interval de timp rezonabil, înainte de a putea obține mai mult, indiferent dacă sunt alocați direct de la ARIN sau achiziționați.

Companiile nu pot stoca doar adrese IPv4 sperând să le folosească într-o zi. SendGrid a distribuit adrese IP dedicate din 2009 și, cu aproximativ 40.000 din cele 50.000 de adrese IPv4 disponibile, avem acces la utilizarea, îndeplinim aceste criterii și suntem în proces de a obține un alt bloc mare pentru a ne susține creșterea. Pentru cineva care tocmai intră pe această piață, acesta este un bar destul de ridicat și poate obține mai mult doar dacă numărul de creștere justifică acest lucru.

Știu ce vei spune și tu, că nici SendGrid nu acceptă e-mailuri prin IPv6. Deși personal aș fi un fan ca noi să facem acest lucru, există riscuri, cum ar fi modul în care un furnizor de inbox din aval va trata un antet IPv6 primit, care fac ca acest lucru să funcționeze mai mult decât doar publicarea unei înregistrări DNS. În cele din urmă, SendGrid va face tot ce este mai bine pentru clienții noștri și, când ajungem la punctul în care IPv6 este ceva de care clienții noștri au nevoie, să știți că vom realiza acest lucru.

Aveți idee când IPv6 și e-mail-ul ar putea fi un lucru?

Gluma mea internă este că probabil că voi muri înainte de IPv4. Deși este puțin probabil să fie adevărat pentru aproape orice altceva, s-ar putea să nu fiu atât de departe când vine vorba de e-mail. Au durat aproape 20 de ani de când a fost creată specificația IPv6 pentru a ajunge acolo unde suntem acum, iar în cazul e-mailului, practic, este chiar mai departe decât am fost noi.