GMail rebondissant sur IPv6, IPv4 fonctionnant

11

J'ai du mal à envoyer des e-mails à des adresses GMail à l'aide d'IPv6 à partir de mon domaine camgirltools.net

Si IPv4 est utilisé, tout fonctionne comme prévu, le courrier est remis. Lorsque j'utilise IPv6 pour envoyer du courrier à GMail (les autres parties travaillent), je reçois un message de retour:

l'hôte ASPMX.L.GOOGLE.COM [2607: f8b0: 4003: c08 :: 1a] a déclaré:

550-5.7.1 [2a02: 748: a800: ca7: ea75: b12d: f: 20 12] Notre système a détecté que ce message est probablement du courrier non sollicité. Pour réduire la quantité de spam envoyée à Gmail, ce message a été bloqué. Veuillez visiter http://support.google.com/mail/bin/answer.py?hl=en&answer=188131 pour plus d'informations.

j124si9092437oia.0 - gsmtp (en réponse à la fin de la commande DATA)

(suppression des répétitions inutiles du milieu du message d'erreur pour une meilleure lisibilité)

Je n'envoie PAS de messages en masse, j'obtiens la même erreur pour chaque message individuel (et unique) que j'envoie. Le même message (en-têtes, données) fonctionne sur IPv4.


Google déclare dans les documents liés sur la page d'aide donnée dans le message d'erreur, que:

Pour vous assurer que Gmail peut vous identifier:

  • Utilisez une adresse IP cohérente pour envoyer du courrier en vrac.
  • Conservez des enregistrements DNS inverses valides pour la ou les adresses IP à partir desquelles vous envoyez du courrier, pointant vers votre domaine. Utilisez la même adresse dans l'en-tête "De:" sur chaque courrier en vrac que vous envoyez.

Nous recommandons également ce qui suit:

  • Signez des messages avec DKIM. Nous n'authentifions pas les messages signés avec des clés utilisant moins de 1024 bits.
  • Publiez un enregistrement SPF.
  • Publiez une politique DMARC.

Instructions supplémentaires pour IPv6

  • L'IP d'envoi doit avoir un enregistrement PTR (c'est-à-dire un DNS inverse de l'adresse IP d'envoi) et doit correspondre à l'IP obtenue via la résolution DNS directe du nom d'hôte spécifié dans l'enregistrement PTR. Sinon, le courrier sera marqué comme spam ou éventuellement rejeté.
  • Le domaine d'envoi doit réussir la vérification SPF ou la vérification DKIM. Sinon, le courrier pourrait être marqué comme spam.

D'après ce que je peux dire, ma configuration de serveur et DNS remplit toutes ces conditions:

  • Des adresses IP cohérentes sont utilisées (paramètres Postfix ci-dessous)
  • Le DNS inversé est là, également pour IPv4 et IPv6 (enregistrements DNS ci-dessous)
  • J'utilise DKIM et il est confirmé qu'il fonctionne pour IPv4, il ne devrait y avoir aucune différence avec IPv6. En outre, DMARC spécifie «aucun».
  • SPF est utilisé et valide, il est confirmé qu'il fonctionne pour IPv4, il ne devrait pas y avoir de différence avec IPv6 en plus de l'IP utilisé (et IPv6 est présent dans l'enregistrement SPF). En outre, DMARC spécifie «aucun».
  • DMARC est présent et a confirmé son fonctionnement

  • L'envoi d'IP a un PTR, correspond à l'IP obtenue via le DNS direct (entrées DNS voir ci-dessous, configuration Postfix pour IP utilisée voir ci-dessous, également le message de rebond indique clairement que l'IP correcte a été utilisée)

  • L'envoi de domaine passe SPF et DKIM, a confirmé le travail pour IPv4 et pour d'autres cibles mais GMail.

Ni mon domaine ni aucune de mes adresses IP ne peuvent être trouvés sur une liste noire (n'hésitez pas à vérifier: domaine , IPv4 , IPv6 ), et ils n'ont pas été mis sur liste noire par Google non plus (message d'erreur indiquant que "IP a été mise sur liste noire"). au lieu de "le message a été bloqué".


Mes enregistrements DNS ressemblent à ceci (grossièrement classés par pertinence pour cette question):

$ dig -tany camgirltools.net
camgirltools.net.                 3599 IN    A 162.252.175.125
camgirltools.net.                 3599 IN AAAA 2a02:748:a800:ca7:ea75:b12d:f:20
camgirltools.net.                 3599 IN   MX 0 camgirltools.net.
camgirltools.net.                 3599 IN  TXT "v=spf1 ip4:162.252.175.125 ip6:2a02:748:a800:ca7:ea75:b12d:f:20 mx include:_spf.google.com -all"
camgirltools.net.                21599 IN   NS ns1.camgirltools.net.
camgirltools.net.                21599 IN   NS ns2.camgirltools.net.
camgirltools.net.                21599 IN   NS ns3.camgirltools.net.
camgirltools.net.                21599 IN   NS ns4.camgirltools.net.
camgirltools.net.                21599 IN   NS ns5.camgirltools.net.
camgirltools.net.                21599 IN  SOA ns1.camgirltools.net. hostmaster.camgirltools.net. 2014121507 10800 3600 604800 3600

$ dig -tany mail._domainkey.camgirltools.net
mail._domainkey.camgirltools.net. 3599 IN  TXT "v=DKIM1\; k=rsa\; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCyohctAU5fDdWFEtbVNny85RCMVXZLto01bWc3adSQMVJ9w7HQXaTuq/j10Fip70VxqeyL2bXsz8yg9Xb3NQ6yGqPINBqSKG2pduDNahsjXj/y/nstXiXXkXMEH8JLlBEwNM//GWgjHkL/2B75hTx+7j5sh010qhv6vyHkTEFDgwIDAQAB"

$ dig -tany _dmarc.camgirltools.net
_dmarc.camgirltools.net.          3599 IN  TXT "v=DMARC1\; p=none\; sp=none\; aspf=r\; adkim=r\; rua=mailto:[email protected]\;"

$ dig -x 162.252.175.125
125.175.252.162.in-addr.arpa.    14399 IN  PTR camgirltools.net.

$ dig -x 2a02:748:a800:ca7:ea75:b12d:f:20
0.2.0.0.f.0.0.0.d.2.1.b.5.7.a.e.7.a.c.0.0.0.8.a.8.4.7.0.2.0.a.2.ip6.arpa.
                                 14399 IN  PTR camgirltools.net.

DKIM et SPF ont été testés et fonctionnent pour IPv4, les enregistrements de colle pour DNS sont tous très bien.

Parties pertinentes de la configuration de Postfix (n'hésitez pas à demander plus de paramètres si nécessaire):

mydomain           = camgirltools.net
myhostname         = $mydomain
inet_interfaces    = all
inet_protocols     = all
smtp_bind_address6 = 2a02:748:a800:ca7:ea75:b12d:f:20

Configuration DKIM ignorée car elle fonctionne pour IPv4, mais je peux la fournir si nécessaire.


Alors - qu'est-ce que je manque ici?

Johannes H.
la source
3
Tu n'as rien manqué. Gmail est défectueux.
Michael Hampton
Donc, @MichaelHampton, vous dites que la seule solution est de passer à la v4 uniquement, jusqu'à ce que GMail meure?
Johannes H.
2
J'ai arrêté d'utiliser Gmail pour protester. Non pas que je m'attende à ce qu'il fasse beaucoup de bien. Si vous avez de la chance de localiser la personne chez Google responsable de ce gros problème, veuillez nous le faire savoir.
Michael Hampton
1
Je n'ai même jamais commencé à utiliser Gmail. Malheureusement, les gens que mes clients pourraient vouloir atteindre le font.
Johannes H.
1
@Nicholas, c'est un sujet entièrement différent. J'essaie d'envoyer des courriels À Gmail À PARTIR DE MON serveur. Vous envoyez depuis Gmail.
Johannes H.

Réponses:

1

Je n'ai aucun problème à envoyer des e-mails à GMail via IPv6. Cependant, j'ai un sous-domaine dédié pour mon serveur de messagerie. (D'après mon expérience et mes recherches, j'ai découvert que les domaines de deuxième niveau sont très probablement des spammeurs.)

IPv6 a tendance à être beaucoup plus facile à configurer correctement pour les serveurs de messagerie (rDNS), etc. Vous pouvez être marqué car l'adresse que vous utilisez semble être basée sur l'adresse MAC. Essayez de configurer l'adresse pour pouvoir y utiliser "::".

Le MX de votre enregistrement SPF est redondant car la spécification IP spécifie déjà les adresses. En outre, inclure l'enregistrement SPF de Google si vous ne les utilisez pas en tant que MX peut être un indicateur. Je crois que leur ~allpolitique l'emportera sur votre -allpolitique.

Les priorités MX sont généralement non nulles, vous pouvez essayer 10 à la place.

BillThor
la source
L'inclusion de Google est délibérée, car je souhaite autoriser les clients à utiliser leur messagerie Web GMail pour envoyer des comptes à partir de ce domaine. Je suis pleinement conscient que mx ET nommer les IP manuellement est redondant, et je prévois de me débarrasser de la partie MX - mais j'étais en train d'utiliser des adresses IP différentes pour tester, et j'étais trop paresseux pour changer le SPF à chaque fois.
Johannes H.
Vous voulez élaborer la partie "on dirait qu'elle peut être supprimée sur l'adresse MAC"? Je n'ai pas tout à fait compris ce que vous essayez de dire.
Johannes H.
@JohannesH. IPv6 dispose d'un mécanisme pour générer les 64 derniers bits de l'adresse à l'aide de l'adresse MAC. Il en résulte des adresses avec beaucoup de bits définis. Lorsque les adresses sont attribuées manuellement, elles contiennent généralement deux ou trois sections d'adresses 0et peuvent être remplacées par ::. Vous pourriez utiliser quelque chose comme 2a02:748:a800:ca7::25. Les utilisateurs utilisant des extensions de confidentialité auraient également des sections d'adresse sans zéros, mais les adresses changent périodiquement.
BillThor
Je peux attribuer n'importe quelle adresse IP dans le sous-réseau 2a02: 748: a800: ca7: ea75: b12d: f: 0/112 - et c'est tout. Je dois travailler avec ça. Je crains donc de ne pas pouvoir faire grand-chose ici. Mais TBH, si c'est le problème que GMail refuse de livrer les e-mails envoyés depuis mon serveur, alors Google est définitivement devenu paranoïaque à ce sujet.
Johannes H.
1

J'ai eu un problème similaire (les e-mails ont été acceptés par Gmail s'ils étaient envoyés sur IPv4 mais ont rebondi lorsqu'ils ont été envoyés sur IPv6) et j'ai compris que le problème était que le nom d'hôte utilisé dans la commande SMTP HELO n'était pas le nom complet du serveur et n'avait aucun record AAAA (en fait, c'était un simple sans aucun tld). Donc, tout ce que j'ai fait a été de modifier le fichier / etc / hostname pour qu'il corresponde au nom de domaine du serveur et une fois que Google a commencé à accepter mes e-mails sur IPv6.

Je ne sais pas pourquoi il n'a pas le même comportement sur IPv4 ...

e-Jim
la source
1
Dans mon cas, ce n'est pas le problème, mon HELO utilise un fqdn et les enregistrements AAAA sont correctement configurés.
Johannes H.