Где IPv6 в электронной почте?

Апокалипсис когда-нибудь

Адресное пространство IPv4 заканчивается. Всего за несколько лет он будет полностью исчерпан. Единственная надежда на выживание Интернета — переход на IPv6.

Это было началом части IPv6 в моих сетевых классах в колледже. Почти 20 лет назад. Хотя такие технологии, как NAT, помогли значительно снизить скорость использования IP-адресов, мы, наконец, подошли к тем темным дням, когда адреса для раздачи заканчиваются.

Недавно на моем сеансе Ask Me Anything у нас было много вопросов о репутации и выделенных IP-адресах. Естественный вопрос от людей, которые беспокоятся о нехватке IPv4-адресов, заключается в том, что насчет IPv6. Это также была большая тема для внутреннего обсуждения, поэтому я решил поделиться своим опытом и мыслями по этому вопросу.

Почему IP-адреса важны

Первое, что нужно осветить, это то, почему IP-адреса для отправки электронной почты важны. Давным-давно, когда провайдеры почтовых ящиков пытались выяснить, какая электронная почта нужна, а какая является спамом, было принято решение использовать это ограниченное адресное пространство IPv4 в своих интересах. Адресное пространство было относительно небольшим, довольно статичным, поэтому его можно было использовать для определения того, с кем вы на самом деле разговариваете.

IP-адрес отправителя стал де-факто местом для закрепления репутации провайдера, установки лимитов скорости, а затем для использования компаниями списка запрещенных для обмена информацией о нарушителях между несколькими поставщиками почтовых ящиков. IP-адрес чрезвычайно трудно подделать, и особенно в современных условиях его трудно получить или изменить.

Почему бы вам просто не использовать IPv6?

Самая большая проблема, с которой сталкивается IPv6 в отношении электронной почты, заключается в том, что все описанные выше методы защиты от злоупотреблений, работающие с адресом IPv4, просто не работают в IPv6. Адресное пространство настолько велико, что они не могут выполнять с ним какие-либо действия по отслеживанию/детализации. Например, SendGrid выделяет около 1×10^24 IPv6-адресов. Если бы они даже попробовали некоторые из тех же самых методов, они бы закончили тем, что сгруппировали гигантские диапазоны, как и весь наш диапазон, в одну категорию. Это эквивалентно текущей практике блокировки всего диапазона из 255 IPv4-адресов, но еще менее мелкозернистой (2^8 против 2^80).

Из-за этого очень немногие провайдеры почтовых ящиков даже используют IPv6. Я быстро проверил 10 основных доменов, на которые мы отправляем сообщения, и только 2 из них публикуют DNS-запись IPv6 для электронной почты. Я искренне сомневаюсь, что есть какой-либо провайдер, который говорит только по IPv6. Что еще хуже, типичный путь перехода с IPv4 на IPv6 заключается в использовании шлюзов для передачи вашего IPv6-трафика кому-то, кто говорит только на IPv4, но эти адреса, даже если они разрешают SMTP-трафик, почти наверняка будут иметь плохую репутацию. . Это проблема курицы и яйца, а рядом прячется гигантский пес, которому все равно, какое из них он съест первым.

Звучит очень плохо, что дальше?

Следующим важным шагом для перехода электронной почты на IPv6 является отказ от IP-адреса для репутации. Логичным местом для этого является домен, учитывая, что цифровые подписи, наконец, начали набирать обороты. Gmail больше перешел к этой модели (и сосредоточился на конфигурации отправителя) и будет предоставлять всем отправителям некоторый стимул использовать цифровые подписи, например, как они «поощряли» остальную часть сообщества ESP начать использовать TLS для отправки. вся электронная почта.

Следующим шагом будет то, что все другие крупные поставщики почтовых ящиков также изменят свои системы репутации, чтобы учитывать репутацию домена. С более чем 1 миллионом поставщиков почтовых ящиков это не такая уж мелочь, но, по крайней мере, если крупные провайдеры сделают это, должен быть достаточный импульс, чтобы заставить других тоже. Не только их системы репутации нуждаются в такого рода изменениях, но и все циклы обратной связи с жалобами также должны быть преобразованы в домен. В настоящее время это делают только Yahoo и Gmail.

Другая часть, которая необходима, заключается в том, чтобы компании, размещающие запрещенные списки, на репутацию которых полагаются многие поставщики почтовых ящиков, начали публиковать списки на основе домена отправителя. Это немного сложнее для интеграции людей, так как вам нужно дождаться всего сообщения, прежде чем вы узнаете, собираетесь ли вы его отклонить, по сравнению с блокировками на основе IP, которые могут произойти, как только кто-то попытается подключиться, но за исключением добавление команды проверки домена в протокол SMTP, ее работа, которую нужно будет просто выполнить.

После того, как достаточное количество провайдеров входящих сообщений будет использовать проверку домена, следующим шагом будет для всех, кто публикует какие-либо запрещенные списки на основе IP-адресов, чтобы установить дату прекращения этого. Если ни у кого нет способа различать IP-адреса, то во время перехода можно использовать как минимум шлюзы с IPv6 на IPv4. Всегда найдутся люди, которые не считают, что переход к следующему этапу не стоит их усилий, и, в конце концов, единственный способ заставить этих людей присоединиться к программе — не давать им выбора.

Это не может быть так просто, в чем подвох?

Конечно, есть проблемы только с аутентификацией на основе домена. Плохой отправитель может зарегистрировать тысячи поддельных доменов намного проще, чем получить столько же IP-адресов. По нашему опыту, эти люди используют украденные кредитные карты из своих предыдущих вредоносных кампаний по электронной почте, поэтому им это ничего не стоит. Я лично видел фишинговые электронные письма, отправленные с учетных записей, которые бездействовали в течение нескольких месяцев, поэтому даже возраст домена не является достаточно хорошим показателем.

Это может привести к тому, что репутация конкретного регистратора начнет иметь значение, но я не знаю, насколько это практично. Мы должны играть по тем правилам, которые сообщество использует для оценки наших клиентов, и то же самое может произойти на уровне регистратора.

Поставщики почтовых ящиков также могут учитывать любую подпись от ESP и взвешивать ее. SendGrid уже должен добавлять нашу собственную подпись ко всем электронным письмам Gmail и Yahoo, чтобы нам могли отправлять жалобы, поэтому провайдеру не потребуется слишком много дополнительных усилий, чтобы принять во внимание нашу общую репутацию. Несмотря на то, что мы полагаемся на репутацию отдельных IP-адресов для защиты наших клиентов, существует определенный уровень ответственности, который возлагают на нас и поставщики входящих сообщений. ESP с низкой репутацией столкнется с большими трудностями в текущей среде, и я надеюсь, что ESP с высокой репутацией останется таким же и в будущем.

Кроме того, как я упоминал ранее, использование репутации домена потребует, чтобы получатель обработал все сообщение перед тем, как вынести вердикт. Это немалая нагрузка на их системы. Имея легкий путь, правильный путь и трудный путь, люди склонны выбирать легкий путь. Заставить 1 миллион различных организаций договориться о правильном пути совсем не просто.

Что это значит на данный момент?

На данный момент лучшее, что мы можем сделать, — это играть по текущим правилам, поощряя изменения. Когда пространство IPv4 действительно будет исчерпано, люди начнут решать, что эти вещи имеют значение.

Интересным побочным эффектом этого является то, насколько большое значение имеет ESP. Несмотря на то, что существует рынок для покупки IPv4-адресов, правила ARIN, организации, которая контролирует присвоение IP-адресов, делают так, что компания по-прежнему должна демонстрировать 80% использования своего существующего IP-пространства, и что они могут использовать эти новые IP-адреса в разумные сроки, прежде чем они смогут получить больше, независимо от того, были ли они назначены непосредственно от ARIN или куплены.

Компании не могут просто накапливать IPv4-адреса в надежде когда-нибудь их использовать. SendGrid раздает выделенные IP-адреса с 2009 года, и, имея около 40 000 из 50 000 доступных IPv4-адресов, у нас есть доступ к используемым, мы соответствуем этим критериям и находимся в процессе получения еще одного большого блока для поддержки нашего роста. Для тех, кто только выходит на этот рынок, это довольно высокая планка, и они могут получить больше, только если их показатели роста оправдывают это.

Я знаю, что вы также собираетесь сказать, что SendGrid также не принимает электронную почту по IPv6. Хотя я лично был бы поклонником того, что мы делаем это, существуют риски, такие как то, как нижестоящий провайдер входящих сообщений будет обрабатывать полученный заголовок IPv6, что делает это более трудоемким, чем просто публикация записи DNS. В конце концов, SendGrid сделает все, что лучше для наших клиентов, и когда мы дойдем до того, что IPv6 станет тем, что нужно нашим клиентам, знайте, что мы это сделаем.

Любая идея, когда IPv6 и электронная почта могут быть востребованы?

Моя внутренняя шутка заключается в том, что я, скорее всего, умру раньше, чем IPv4. Хотя это маловероятно для большей части всего остального, возможно, я не так далек, когда дело доходит до электронной почты. Потребовалось почти 20 лет с момента создания спецификации IPv6, чтобы достичь того, что мы имеем сейчас, а в случае с электронной почтой это практически еще больше, чем мы были.