[Postfixbuch-users] HELO Checks und IPv6

Christian Felsing pug+postfixbuch-users at felsing.net
Fr Dez 13 11:50:26 CET 2013


Hallo,

das ist ja eine sehr interessante Info!

Im meinem Fall ist das allerdings eher nicht die Ursache des Problems,
weil selbst Google kaum in der Lage sein dürfte, festzustellen, wer
meinen caching DNS abfragt. Dieser wird nämlich für alle Anwendungen
meines Mailservers genutzt und da kamen von Google auch IPv6 Antworten.
Das Problem tritt reproduzierbar auch nur mit dem cbpolicyd auf, der
IPv6 noch nicht wirklich perfekt beherrscht. Überlässt man die HELO
Checks dem Postfix, dann gibt es auch keine Probleme.

Auf einem Hetzner Server kann ich Dein Problem gerade nicht nachstellen:

$ dig aaaa mail-qc0-x23d.google.com

; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> aaaa mail-qc0-x23d.google.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 25796
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 4, ADDITIONAL: 4

;; QUESTION SECTION:
;mail-qc0-x23d.google.com.	IN	AAAA

;; ANSWER SECTION:
mail-qc0-x23d.google.com. 86400	IN	AAAA	2607:f8b0:400d:c01::23d

...

;; Query time: 19 msec
;; SERVER: ::1#53(::1)
;; WHEN: Fri Dec 13 10:35:43 2013
;; MSG SIZE  rcvd: 206

$ dig -x 2607:f8b0:400d:c01::23d

; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> -x 2607:f8b0:400d:c01::23d
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 31438
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 4, ADDITIONAL: 4

;; QUESTION SECTION:
;d.3.2.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.c.0.d.0.0.4.0.b.8.f.7.0.6.2.ip6.arpa.
IN PTR

;; ANSWER SECTION:
d.3.2.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.c.0.d.0.0.4.0.b.8.f.7.0.6.2.ip6.arpa. 86400
IN PTR mail-qc0-x23d.google.com.

...

;; Query time: 1256 msec
;; SERVER: ::1#53(::1)
;; WHEN: Fri Dec 13 10:35:59 2013
;; MSG SIZE  rcvd: 264

$

was daran liegen könnte, dass ich grundsätzlich immer meinen eigenen
Resolver verwende. Dieser fragt vorzugsweise über IPv6 ab, sofern für
die betreffende Domain ein IPv6 DNS verfügbar ist. In der Google Liste
stehen übrigens auch keine IPv6 Adressen außer dem rfc3849.txt Prefix.

Viele Grüße
Christian

Am 12.12.2013 20:47, schrieb Daniel Gompf:
> Hallo,
> 
> ich habe noch etwas was dazu passt und eventuell dem einem oder anderem
> das Suchen erspart.
> 
> Google gibt nicht jedem eine Antwort auf eine AAAA-Anfrage. Mir ist
> neulich so bei einem bei Hetzner gemieteten Servern so gegangen, für
> alles außer Google-Dienste werden die IPv6 Adressen geliefert.
> 
> Hier die Antwort auf meine Support-Anfrage bei Hetzner
> 
> "Sehr geehrter Herr Gompf,
> 
> das Problem ist bekannt und betrifft nur AAAA Records fuer google und
> dessen Services:
> 
> http://www.google.com/intl/en_ALL/ipv6/statistics/data/no_aaaa.txt
> 
> Google nimmt auf obenstehende Liste gelegentlich ein oder mehrere unserer
> rekursiven Resolver auf welche dann keinen AAAA Record fuer google
> Services mehr
> vorhalten.
> 
> Google tut dies auf Basis von automatisierten internen Checks welche
> laut Googles
> Aussage auf fehlkonfigurierte ipv6 Systeme hinter diesen Resolvern
> hinweisen. Um
> zu verhindern, dass moegliche Googlebesucher entsprechende Services nicht
> erreichen, sorgen Sie ueber die fehlenden AAAA Records dann fuer v4
> connections.
> 
> Sie koennen sich vorstellen, dass wir als Webhoster zu keinem Zeitpunkt
> sicher
> stellen koennen, dass jedes Kundensystem eine korrekte ipv6 Konfiguration
> vorweist, was bis auf weiteres Requirement bleibt um von dieser Liste
> dauerhaft
> entfernt zu werden."
> 
> Über den Sinn und Nutzen dieser Aktion lässt sich vortrefflich Diskutieren.
> 




Mehr Informationen über die Mailingliste Postfixbuch-users