E-post (e-mail) og risikoen med overgang til IPv6

[G]

Jeg har lenge gått og undret meg på om IPv6 vil tvinge seg over oss på e-post -trafikken også.

 

Det ville vært en generaltabbe, tror jeg. Å gi spammere et slikt handlingsrom ville jo vært en kjempesynd. I dag kan man sortere på firkantklammene i e-post -meldingshode. Eksempel:

 

[nnn.nnn.nnn.nnn]

 

Erstatt n med de nødvendige tall og du har din eller avsenders aktuelle IP-adresse.

 

Firkantbrakkettene er vesentlig i et meldingshode, da den ikke kan spoof'es, uten å få til det kunststykke å spoof'e TCP/IP i seg selv. Dette kan jeg selvsagt for lite om.

 

Det ville vært bedre å legge ned e-post, eller kanskje mye bedre, å la de som er avhengig av IPv4 basert e-post -forsendelser å la dem fortsette på IPv4, FRAMFOR å tvinge dem over på IPv6.

 

Det ville altså vært bedre å lage en ny type fri e-post -løsning som er mer framtidsrettet, hvor man må avvikle det gamle eller kjøre parallellt, til det gamle er modent for avvikling, framfor å gå for IPv6 på de gamle e-post -protokollene.

 

Også et annet spørsmål:

Er jeg død lenge før e-post blir vurdert overført over på IPv6? Jeg håper inderlig det, altså det siste. Ikke at jeg lengter etter å dø altså. For er det noe jeg misliker så er det spam i e-posten, som har vekstpotensiale med IPv6 slik jeg ser det.

 

Les spesiellt denne:

https://sendgrid.com/blog/where-is-ipv6-in-email/

 

 

Kanskje også denne:

https://wordtothewise.com/2015/07/ipv6-email-is-a-little-different/

 

 

Hva tenker dere?

Endret 5. desember 2016 av G

[Sokkalf™]

Jeg vet ikke med alle andre, men min mailserver har benyttet seg av IPv6 i to-tre år allerede. Google (gmail) både sender og leverer mottar på IPv6, samme med de fleste andre større tjenester.

 

Edit: mottar skulle det selvsagt være

Endret 5. desember 2016 av Sokkalf™

[process]

Jeg har kjørt epost på IPV6 i mange år selv. 

Det er ikke noe forskjell, men du kan fritt sortere/filtrere på subnet. Å blokkere et /64 nett er jo uproblematisk.

 

Forøvrig vil nok DMARC, SPF og DKIM i økende grad bli påkrevet. 

At epost som system er arkaisk og utdatert er en relatert diskusjon.

Endret 5. desember 2016 av process

[G]

Det står jo at det er problematisk å blokkere et /64 nett i en eller begge artiklene jo. Dersom forskjellige kunder havner på samme /64 segment.

 

Unnskyld, men jeg selv kan svært lite om disse tingene selv egentlig.

[kpolberg]

At forskjellige kunder skal havne på samme /64 høres ut som fryktelig dårlig planlegging. Det er _ingen_ grunn til å ha flere kunder på samme /64.

[Civilix]

Epost på ipv6 er relativt problemfritt, noe av det siste du trenger å tenke på.

[G]

Men til slutt så havner vel disse "kolon-adressene" inn i e-post meldingshode da vel? Det er jo ikke noen fordel mhp. filtrering hos brukers ende. Artiklene i lenkene belyser jo også disse problemstillingene.

 

Har dere skumlest artiklene, eller bare antar dere at det er problemfritt? Er dere uenige i hva som sies i vedlagte lenker (førstepost) ?

Endret 5. desember 2016 av G

[kpolberg]

For min del er det jo ikke bare en antakelse. Da jeg faktisk kjører dualstack.

 

Jeg ser ikke dette som ett stort problem, og mest sannsynligvis ettersom IPv6 blir mer brukt. Så vil verktøyene for spam behandling bli forbedret.

 

EDIT: Forøvrig baserer jeg meg ikke på blacklists, men heller en kobinasjon av amavis + spamassassin.

Endret 5. desember 2016 av kpolberg

[Sokkalf™]

Men hvor mange er det som filtrerer på IP i en mailheader?

 

Mekanismer som er tilstede på IPv4 er fortsatt på plass for IPv6, som krav om gyldig revers DNS (hvis ikke blir mailen flagga som spam umiddelbart), hensyn til SPF og DKIM, etc.

[G]

Fordelene med å filtrere på ip på mail headers for meg helt åpenbare. Man kan samle opp et lands forskjellige segmentering, og sånn sett greie å filtrere bort hele Afrika om man vil. Nå er jo ikke nigeria mail i fra Nigeria da. Det er i fra hele verden.

 

Men, dersom jeg ønsker å filtrere bort brorparten av Asia og brorparten av Sør-Amerika fordi jeg simpelthen ikke har personlige relasjoner eller handelspartnere der, så kan jeg med litt kartlegging i IPv4 fint greie dette kunststykke.

 

Blir jo på samme måte omtrent som at man blokkerer sitt Visa-kort for forskjellige verdensdeler i praksis.

Endret 5. desember 2016 av G

[Sokkalf™]

Kan da vel gjøre lookup på hvilket land en IPv6-adresse kommer fra også? Er jo ikke som om de tildeles helt tilfeldig.

[G]

Jo det er faktisk et til dels tilfeldig puslespill. For noen år tilbake så gadd jeg å gjøre lookup på noe av spam som jeg mottok. Og noen ganger så overlapper lands IP-segmentering litt. Samt at større nasjoner med større IP-trafikkvolum, naturlig nok ikke klarer seg med et segment, men kanskje behøver et 30-talls av segmentene. Nå spesifiserer jeg jo ikke på hvor høyt i IP-adressen segmentene sorterer under. Men det vet dere nok alt om i fra før uansett.

[G]

Her er et lite utsnitt av de IP-adresser jeg orket å gjøre lookup på:

 

 

Columbia

from [200.89.

from [200.118.

from [186.80.

from [186.81.

from [186.83.

from [190.24.

from [190.26.

from [190.27.

from [190.67.

from [190.69.

from [190.71.

from [190.84.

from [190.90.

from [190.97.

from [190.102

from [190.156.

from [190.157.

from [190.159.

from [190.165.

from [190.252.

from [190.253.

from [200.58.

from [200.116.

from [201.221.

from [201.233.

from [190.13.

from [186.82.

from [186.28.

from [186.82.

from [186.97.

from [190.60.

from [190.68.

 

 

Poland

from [89.229.

from [195.205.

from [83.28.

from [83.24.

 

 

Romania

from [78.97.

from [94.52.

 

 

Russia

from [91.78.

from [94.180.

from [93.81.

from [194.220.

from [95.37.

from [95.37.

from [95.78.

from [92.100.

 

 

Sudan

from [41.209.

 

 

Morocco

from [41.249.

from [41.250.

 

 

Slovenia

from [84.41.

 

 

Czech-Republic

from [62.77.

from [77.104.

from [85.70.

from [85.207.

 

 

Turkey

from [88.251.

from [85.108.

from [85.99.

from [88.232.

from [94.122.

from [78.162.

from [78.167.

from [78.171.

from [78.172.

from [78.180.

from [78.185.

from [188.3.

from [85.107.

from [78.161.

from [78.160.

from [78.164.

 

 

Greece

from [79.107.

 

 

Italy

from [89.97.

from [151.21.

from [151.57.

from [94.37.

from [89.97.

 

 

Oman

from [82.178.

 

 

Kazakhstan

from [89.218.

 

 

Algeria

from [41.201.

from [41.200.

 

 

Portugal

from [89.214.

from [93.108.

 

Som jeg igjen orket å legge inn i et filter. Selvsagt er det ikke 100 % sikkert at det landet alene hører inn under de to tallene foran i IP-adressene. Men, sannsynligheten er relativt stor for de fleste. Finnes kanskje et og annet unntak hvor man må ned på det tredje segmentet (nnn.nnn.123..)

 

Men, når jeg begynte å føle at det kanskje var IPv6 sin tid, så orket jeg ikke å fortsette noe som ellers kunne vært en grei tidtrøyte. Er jo ikke hyggelig å gjøre noe forgjeves.

 

Det er også mulig at disse segmentene er konfidensiellt, at det ikke finnes et åpent register for hvilke land som er hva. Slik at ingen skal på en enkel måte kunne blokke hele land, uten først å gjøre en formidabel kartleggingsjobb først.

Endret 5. desember 2016 av G

[G]

En annen ting, er at når en etterhvert hadde fått det større bilde av verden via IP-adresser, så kunne man ha tatt å filtrert på:

 

from [84.

 

Og sånn sett tatt ned kanskje 2 eller 3 land, eller et halvt kontinent om man er heldig med matchingen. Så kunne man fått vekk nasjon "jalla-balla-dulla, jalla-balla-dilla og jalla-balla-krulla" i en og samme vending. Kanskje man ville ha vært uheldig og tatt ned 3 % av USA sitt segment i samme vending, siden de er griske og har sørget for å være tilstedeværende på svært mange segmenter samtidig.

 

Dere forstår at dette er en eksemplifisering vel? Tallene i spoiler i forrige innlegg er høyst reelle likevel. Har bare ikke fullverifisert noen av tallene. Men har noen bøtter og noen spann med spam basert på de filtrene nå. Så kunne vært relativt lett for meg å ta fatt på en av folderne mine med spam med det som er antatt f.eks. i fra Columbia og sannsynligvis rendyrket et slikt segment om gangen (to delers segment som dere ser i spoiler).

 

Men, jeg har hyggeligere ting å bedrive tiden min med, og hva er vitsen dersom gamle e-post protokoller infiseres med IPV6 i firkantbrakettene etterhvert? Det er det store spørsmålet, om hvor lenge ting blir værende i IPv4-drakt for e-post meldingshoder.

 

Nå skjer det vel mer som en slags NAT-ing eller noe liknende vel (inntil videre), slik at IPv6 ikke er synlig i noen meldingshoder? Jeg har tilgode å se et IPv6 formatert meldingshode, har dere eksempler på det?

Endret 5. desember 2016 av G

[Sokkalf™]

Du kan ikke filtrere IPv4-adresser slik på noen pålitelig måte. Mulig klasse-B-nettene hang sammen med land på noe vis før, men pga. mangel på IPv4-adresser har slike nettblokker blitt kjøpt og solgt over alle landegrenser i flere år nå. Det finnes flere tjenester for geolokasjon av IP-adresser som er forholdsvis pålitelige. Disse tjenestene eksisterer også i noen grad for IPv6.

 

Eksempel på IPv6 i header:

Received: from mailb-be.linkedin.com (mailb-be.linkedin.com [IPv6:2620:109:c006:104::157]) 

[G]

Hadde jeg orket så skulle jeg ha satt opp et eget system i fra bunnen av, og gjort nøyaktig det motsatte av hvordan ordinær e-post fungerer. Altså gjennom blokkere alt, men åpne for en og en avsender gjennom hvitelisting.

 

Da hadde man hatt delvis full kontroll. Det vil si at man kanskje hadde gått glipp av noe, men ikke av noe man på forhånd aldri hadde godkjent først å skulle motta.

[kpolberg]

Høres helt forferdelig fra ett management ståsted. I så tilfelle ville jeg brukt regelsett av typen pfblockerng bruker. Altså at du laster ned ferdige lister som er til en viss grad verifisert, og deretter velger hvilke land du ikke ønsker trafikk fra.

[G]

Jeg kan være enig i at min foreslåtte hvitelisteoppsett ikke egner seg til alt ja. Kanskje kun for det viktigste av det viktigste. Man behøver nok både en ordinær epost-tilnærming parallellt. Slik at man differensierer mellom viktig og ikke så viktig å lese e-post innbokser.   Altså minst 2 e-postkasser, evt. flere. I dag kan man sjonglere mye med videresending også, slik at alt kan leses fra en folder f.eks. i en av e-post -kontoene.

 

Den viktige av e-poster kan selvsagt være satt opp og "managed by" alltid blokkert sammen med hvitelister.

Endret 5. desember 2016 av G

[Jokkmokk med sokk]

Er ikke dette lettere å blokkere regioner eller land med IPv6 enn IPv4?

 

Om du ønsker å blokkere for IPadresser i Sør-Amerika og Afrika, så er det jo bare å blokkere disse 4:

2001:4200::/23 (AFRINIC)

2c00:0000::/12 (AFRINIC)

2001:1200::/23 (LACNIC)

2800:0000::/12 (LACNIC)

 

Om du ønsker å blokkere fra enkeltland, så blir det omtrent likt som for IPv4, at man trenger en liste over hvilke internettleverandører som holder til i hvilket land med hvilke IPblokker. Eneste forskjellen blir vel at lista med IPv6adresser blir kortere enn lista med IPv4 adresser. F.eks. for å blokkere alle norske IPadresser må man blokkere 1048 blokker med IPv4 adresser, men kun 355 blokker med IPv6 adresser(tatt utgangspunkt  ipdeny.com sine data).

 

 

http://www.ipdeny.com/ipv6/ipaddresses/blocks/

http://www.ipdeny.com/ipblocks/

http://www.iana.org/assignments/ipv6-unicast-address-assignments/ipv6-unicast-address-assignments.xhtml

[Jokkmokk med sokk]

Ang. artiklene du ville at vi skulle lese i første innlegget:

Eneste argumentet jeg fant i de for at spam er et større problem ved overgang til IPv6 var hos artikkelen på sendgrid.com:

 

The biggest issue that IPv6 faces in regards to email is that all of the anti-abuse techniques described above that work off of an IPv4 address simply do not work in IPv6. The address space is so large that it is impossible for them to do any tracking/fine grained actions on it.

 

Dette svarer jo den andre artikkelen du viser til hos wordofthewise.com på. Det stemmer ikke at anti-abuse teknikker ikke funker på IPv6. De funker på omtrent samme måten som med IPv4. Det er bare å sette "reputation" på /64 prefiks, som er det minste prefikset en kunde skal bli tildelt. 

 

Nå kan det selfølgelig være at en ISPs kunde har fått tildelt et /48 prefiks, og dermed selv kan bytte på å avsenderadresser innenfor dette, men om det dukker opp mange avsenderadresser med dårlig "reptutation" innenfor samme /48, så er det jo bare å sette "reputation" for hele /48 prefikset som en helhet.

 

Og som det ble sagt tidligere, man skal under ingen omstendigheter få tildelt et mindre prefiks enn /64. Wordofthewise.com viste til en tilbyder som hadde gjort akkurat det, og som det står oppdaget de raskt at det var en svært dårlig ide. 

 

For å ta et eksempel:

• Sett at jeg fikk masse spam fra 2001:aaaa:bbbb:1:2:3:4:5
• Da kunne jeg startet med å blokkere 2001:aaaa:bbbb:1 /64
• Så like etterpå begynner jeg å motta masse spam fra:
  • 2001:aaaa:bbbb:2:3:4:5:6
  • 2001:aaaa:bbbb:3:4:5:6:7
  • 2001:aaaa:bbbb:4​:5:6:7:8
• Så er det jo bare å blokkere hele 2001:aaaa:bbbb /48