Um servidor de correio em um endereço IPv4 precisa de registros AAAA?

1

Fiquei muito surpreso ao receber um retorno inesperado do Gmail para um e-mail enviado pelo servidor SMTP / IMAP do meu próprio domínio via Outlook (detalhes anônimos):

A message that you sent could not be delivered to one or more of its recipients. This is a permanent error. The following address(es) failed:

  [email protected]
    SMTP error from remote mail server after end of data:
    host gmail-smtp-in.l.google.com [1234:a1b2:4321:a12::1a]:
    550-5.7.1 [1234:1234:1234:a12::12a1] Our system has detected that this message
    550-5.7.1 does not meet IPv6 sending guidelines regarding PTR records and
    550-5.7.1 authentication. Please review
    550-5.7.1  https://support.google.com/mail/?p=IPv6AuthError for more information
    550 5.7.1 . 123ab123456abc.123 - gsmtp

Eu não entendi porque era um IPv6AuthError , mas depois de verificar que as pesquisas inversas de IP trabalhar usando meu PTR e que meus registros DKIM e SPF estavam bem, eu fiz um teste de pesquisa de DNS IPV6 que gerou um simples "não encontrado "erro:

aaaa:my-domain.com

Find Problems aaaa

Test: DNS Record Published Result: DNS Record not found

O que não é surpreendente: meu domínio está em um endereço IP IPV4, então nunca defini nenhum registro aaaa, pensando (talvez niavely?) que eu não precisei deles a menos que eu estivesse usando um endereço IP somente IPV6 .

Mais e-mails do mesmo endereço de my-domain.com para o mesmo endereço do GMail não apresentam o mesmo erro, por isso é um problema intermitente. Eu adicionei AAAA @ , mail e www registros apontando para a versão IPV6 auto-convertida do meu endereço IP IPV4, e parece bem até agora, mas é difícil dizer se foi corrigido um problema intermitente.

Meus e-mails são enviados usando o Exim com alguma configuração dinâmica que atribui um endereço IPv4 a cada domínio no servidor de correio . Não há nada na minha configuração do Exim que eu saiba que atribuiria um endereço IPv6, mas netstat -tulpn | grep :25 mostra que o Exim escuta endereços IPv6:

netstat -tulpn | grep :25
tcp        0      0 0.0.0.0:2525           0.0.0.0:*             LISTEN      2788/exim   
tcp        0      0 0.0.0.0:25             0.0.0.0:*             LISTEN      2788/exim   
tcp        0      0 :::2525                :::*                  LISTEN      2788/exim   
tcp        0      0 :::25                  :::*                  LISTEN      2788/exim 

Então, minha pergunta é: em que circunstâncias um servidor de email configurado para usar um endereço IP IPV4 precisa de registros AAAA para enviar e receber emails?

    
por user568458 18.07.2017 / 13:59

1 resposta

3

Aparentemente, seu servidor de e-mail está conectado ao Google por meio do IPv6. O que é ótimo porque essa internet precisa de mais pessoas para suportar o IPv6!

O que você estava vendo (registros A, AAAA, etc.) é para conexões de entrada para você. O que o Google vê são suas conexões de saída. Mesmo se você não tiver registros AAAA no DNS, seu servidor ainda poderá se comunicar através do IPv6 e aparentemente o fez.

Primeiro: não coloque endereços IPv4 em registros AAAA usando algum truque de conversão! Isso prejudicará gravemente sua acessibilidade. Dê uma olhada em nossa apresentação no RIPE 74 para histórias de terror. O IPv4 e o IPv6 são protocolos diferentes e você não pode simplesmente converter endereços. Use seus endereços IPv6 reais. Seu servidor aparentemente os possui, caso contrário, não poderia ter se conectado ao Google por meio do IPv6.

Quando o Google recebe uma conexão de entrada pelo IPv6, faz uma pesquisa inversa (registros PTR) nesse endereço para ver qual é o nome de host canônico desse endereço. Em seguida, ele fará uma pesquisa nesse nome para ver se esse nome realmente tem esse endereço (registros AAAA) para verificar se o registro reverso não estava mentindo. Em seguida, ele verificará o endereço IPv6 de origem no registro SPF para verificar se esse endereço deve enviar mensagens desse domínio.

Basicamente, essas são as mesmas verificações que o Google (e muitos outros) fazem para o IPv4. Como o IPv6 é um protocolo mais recente, o Google decidiu ser mais rigoroso com as verificações. Eles querem que as pessoas acertem desde o início, então não temos uma bagunça legada semelhante à que temos no IPv4. Talvez seja por isso que você percebe isso antes de se comunicar com o IPv6.

Espero que isso ajude você. A primeira coisa a fazer é descobrir o endereço IPv6 do seu servidor de e-mail. E se você não os configurou conscientemente, talvez também queira verificar as configurações do firewall IPv6 e alinhá-las às configurações do IPv4. O suporte ao IPv6 é ótimo, mas certifique-se de fazer isso com segurança:)

    
por 18.07.2017 / 14:29