GMail odbijająca poczta wysyłana przez IPv6, działa IPv4

11

Mam problem z wysłaniem wiadomości e-mail na adresy Gmail przy użyciu protokołu IPv6 z mojej domeny camgirltools.net

Jeśli używany jest protokół IPv4, wszystko działa zgodnie z przeznaczeniem, poczta jest dostarczana. Gdy używam IPv6 do wysyłania poczty do Gmaila (inne strony działają) otrzymuję odesłaną pocztę:

host ASPMX.L.GOOGLE.COM [2607: f8b0: 4003: c08 :: 1a] powiedział:

550-5.7.1 [2a02: 748: a800: ca7: ea75: b12d: f: 20 12] Nasz system wykrył, że ta wiadomość jest prawdopodobnie niechcianą pocztą. Aby zmniejszyć ilość spamu wysyłanego do Gmaila, ta wiadomość została zablokowana. Więcej informacji można znaleźć na stronie http://support.google.com/mail/bin/answer.py?hl=pl&answer=188131 .

j124si9092437oia.0 - gsmtp (w odpowiedzi na koniec polecenia DATA)

(usunięto niepotrzebne powtórzenia środkowego komunikatu kodu błędu dla lepszej czytelności)

NIE wysyłam masowych wiadomości, otrzymuję ten sam błąd dla każdej indywidualnej (i unikalnej) wiadomości, którą wysyłam. Ta sama wiadomość (nagłówki, dane) działa przez IPv4.


Google stwierdza w dokumentach połączonych na stronie pomocy podanych w komunikacie o błędzie, że:

Aby upewnić się, że Gmail może Cię zidentyfikować:

  • Użyj spójnego adresu IP, aby wysłać masową pocztę.
  • Zachowaj prawidłowe rekordy odwrotnego DNS dla adresów IP, z których wysyłasz pocztę, wskazując na swoją domenę. Użyj tego samego adresu w nagłówku „Od:” w każdej wysyłanej masowej wiadomości e-mail.

Zalecamy również:

  • Podpisuj wiadomości za pomocą DKIM. Nie uwierzytelniamy wiadomości podpisanych kluczami przy użyciu mniej niż 1024 bitów.
  • Opublikuj rekord SPF.
  • Opublikuj zasady DMARC.

Dodatkowe wytyczne dla IPv6

  • Wysyłający adres IP musi mieć rekord PTR (tj. Odwrotny DNS wysyłającego adresu IP) i powinien odpowiadać adresowi IP uzyskanemu w wyniku przesyłania dalej DNS w nazwie hosta określonej w rekordzie PTR. W przeciwnym razie poczta zostanie oznaczona jako spam lub prawdopodobnie odrzucona.
  • Domena wysyłająca powinna przejść kontrolę SPF lub DKIM. W przeciwnym razie poczta może zostać oznaczona jako spam.

Z tego, co mogę powiedzieć, moja konfiguracja serwera i DNS spełnia wszystkie te wymagania:

  • Używane są spójne adresy IP (ustawienia Postfix poniżej)
  • Odwrotny DNS jest dostępny, zarówno dla IPv4, jak i IPv6 (zapisy DNS poniżej)
  • Używam DKIM i jest to potwierdzone, że działa dla IPv4, nie powinno być różnic w stosunku do IPv6. Ponadto DMARC określa „brak”.
  • SPF jest używany i poprawny, potwierdzony, że działa dla IPv4, nie powinno być żadnej różnicy w stosunku do IPv6 poza użytym IP (a IPv6 jest obecny w rekordzie SPF). Ponadto DMARC określa „brak”.
  • DMARC jest obecny i działa poprawnie

  • Wysyłanie adresu IP ma PTR, odpowiada adresowi IP uzyskanemu przez przekazujący DNS (wpisy DNS patrz poniżej, użyta konfiguracja Postfix dla adresu IP patrz poniżej, również poczta odesłana wyraźnie stwierdza, że ​​użyto poprawnego adresu IP)

  • Wysłanie domeny przechodzi przez SPF i DKIM, potwierdzone działanie dla IPv4 i innych celów oprócz Gmaila.

Ani mojej domeny, ani żadnego z moich adresów IP nie można znaleźć na żadnej czarnej liście (zachęcamy do sprawdzenia: domena , IPv4 , IPv6 ) i nie zostały one również umieszczone na czarnej liście Google (komunikat o błędzie dla tego stanu „IP ​​został umieszczony na czarnej liście” zamiast „wiadomość została zablokowana”.


Moje rekordy DNS wyglądają tak (z grubsza posortowane według trafności dla tego pytania):

$ dig -tany camgirltools.net
camgirltools.net.                 3599 IN    A 162.252.175.125
camgirltools.net.                 3599 IN AAAA 2a02:748:a800:ca7:ea75:b12d:f:20
camgirltools.net.                 3599 IN   MX 0 camgirltools.net.
camgirltools.net.                 3599 IN  TXT "v=spf1 ip4:162.252.175.125 ip6:2a02:748:a800:ca7:ea75:b12d:f:20 mx include:_spf.google.com -all"
camgirltools.net.                21599 IN   NS ns1.camgirltools.net.
camgirltools.net.                21599 IN   NS ns2.camgirltools.net.
camgirltools.net.                21599 IN   NS ns3.camgirltools.net.
camgirltools.net.                21599 IN   NS ns4.camgirltools.net.
camgirltools.net.                21599 IN   NS ns5.camgirltools.net.
camgirltools.net.                21599 IN  SOA ns1.camgirltools.net. hostmaster.camgirltools.net. 2014121507 10800 3600 604800 3600

$ dig -tany mail._domainkey.camgirltools.net
mail._domainkey.camgirltools.net. 3599 IN  TXT "v=DKIM1\; k=rsa\; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCyohctAU5fDdWFEtbVNny85RCMVXZLto01bWc3adSQMVJ9w7HQXaTuq/j10Fip70VxqeyL2bXsz8yg9Xb3NQ6yGqPINBqSKG2pduDNahsjXj/y/nstXiXXkXMEH8JLlBEwNM//GWgjHkL/2B75hTx+7j5sh010qhv6vyHkTEFDgwIDAQAB"

$ dig -tany _dmarc.camgirltools.net
_dmarc.camgirltools.net.          3599 IN  TXT "v=DMARC1\; p=none\; sp=none\; aspf=r\; adkim=r\; rua=mailto:[email protected]\;"

$ dig -x 162.252.175.125
125.175.252.162.in-addr.arpa.    14399 IN  PTR camgirltools.net.

$ dig -x 2a02:748:a800:ca7:ea75:b12d:f:20
0.2.0.0.f.0.0.0.d.2.1.b.5.7.a.e.7.a.c.0.0.0.8.a.8.4.7.0.2.0.a.2.ip6.arpa.
                                 14399 IN  PTR camgirltools.net.

DKIM i SPF zostały przetestowane i działają dla IPv4, rekordy kleju dla DNS są w porządku.

Odpowiednie części z konfiguracji Postfix (w razie potrzeby możesz poprosić o więcej parametrów):

mydomain           = camgirltools.net
myhostname         = $mydomain
inet_interfaces    = all
inet_protocols     = all
smtp_bind_address6 = 2a02:748:a800:ca7:ea75:b12d:f:20

Pominięto konfigurację DKIM, ponieważ działa dla IPv4, ale mogę ją podać w razie potrzeby.


Więc - za czym tęsknię?

Johannes H.
źródło
3
Nic nie przeoczyłeś. Gmail jest zepsuty.
Michael Hampton
@MichaelHampton, mówisz, że jedynym rozwiązaniem jest przejście tylko na v4, dopóki GMail nie umrze?
Johannes H.
2
Przestałem używać Gmaila w proteście. Nie oczekuję, że przyniesie to wiele dobrego. Jeśli masz jakieś szczęście w znalezieniu osoby w Google odpowiedzialnej za ten ogromny błąd, daj nam znać.
Michael Hampton
1
Nigdy nie zacząłem używać Gmaila. Niestety robią to moi klienci.
Johannes H.
1
@Nicholas to zupełnie inny temat. Próbuję wysłać wiadomość e-mail do Gmaila z mojego serwera. Wysyłasz z Gmaila.
Johannes H.

Odpowiedzi:

1

Nie mam problemów z wysyłaniem wiadomości e-mail do Gmaila przez IPv6. Mam jednak dedykowaną subdomenę dla mojego serwera poczty. (Z mojego doświadczenia i badań wynika, że ​​domeny drugiego poziomu to najprawdopodobniej spamerzy).

Protokół IPv6 jest znacznie łatwiejszy do prawidłowego skonfigurowania do obsługi wiadomości e-mail (rDNS) itp. Możesz zostać oflagowany, ponieważ używany adres wygląda na oparty na adresie MAC. Spróbuj skonfigurować adres, aby można było w nim użyć znaku „::”.

MX w rekordzie SPF jest zbędny, ponieważ specyfikacja IP już określa adresy. Ponadto, w tym rekord SPF Google, jeśli nie używasz ich, ponieważ MX może być flagą. Wierzę, że ich ~allpolityka przebije twoją -allpolisę.

Priorytety MX są zwykle niezerowe, możesz zamiast tego spróbować 10.

BillThor
źródło
Uwzględnienie google jest celowe, ponieważ chcę pozwolić klientom na używanie poczty internetowej Gmail do wysyłania kont z tej domeny. W pełni zdaję sobie sprawę z tego, że mx AND ręczne nadawanie adresów IP jest zbędne i planuję pozbyć się części MX - ale postanowiłem przetestować różne adresy IP i byłem zbyt leniwy, aby zmieniać SPF za każdym razem.
Johannes H.
Czy chcesz opracować część „wygląda na to, że może być oparta na adresie MAC”? Nie do końca zrozumiałem, co próbujesz tam powiedzieć.
Johannes H.
@JohannesH. IPv6 ma mechanizm generowania ostatnich 64 bitów adresu przy użyciu adresu MAC. Daje to adresy z ustawioną dużą ilością bitów. Gdy adresy są przypisywane ręcznie, zwykle są to dwie lub trzy sekcje adresu 0i można je zastąpić ::. Możesz użyć czegoś takiego 2a02:748:a800:ca7::25. Użytkownicy korzystający z rozszerzeń prywatności mieliby również sekcje adresowe bez zer, ale adresy zmieniają się okresowo.
BillThor
Mogę przypisać dowolny adres IP w podsieci 2a02: 748: a800: ca7: ea75: b12d: f: 0/112 - i to wszystko. Muszę z tym pracować. Obawiam się, że niewiele mogę tutaj zrobić. Ale TBH, jeśli to jest problem, GMail odmawia dostarczenia wiadomości e-mail wysłanej z mojego serwera, to Google zdecydowanie popadł w paranoję.
Johannes H.
1

Miałem podobny problem (e-maile były akceptowane przez Gmaila, jeśli zostały wysłane przez IPv4, ale zostały odesłane, gdy zostały wysłane przez IPv6) i doszedłem do wniosku, że problem polegał na tym, że nazwa hosta używana w poleceniu SMTP HELO nie była w pełni kwalifikowaną nazwą serwera i nie miał rekordu AAAA (w rzeczywistości był prosty bez żadnego tld). Więc wszystko, co zrobiłem, to edytowanie pliku / etc / hostname tak, aby pasowało do fqdn serwera, i gdy Google zaczął akceptować moje e-maile przez IPv6.

Nie jestem jednak pewien, dlaczego nie zachowuje się tak samo na IPv4 ...

e-Jim
źródło
1
W moim przypadku nie o to chodzi, moja HELO używa pliku fqdn, a rekordy AAAA są dla niego poprawnie skonfigurowane.
Johannes H.