仅支持 IPv4 的 MTA 是否存在风险?

仅支持 IPv4 的 MTA 是否存在风险?

我想设置一个典型的 (Postfix 或 Exim)/Dovecot/etc 堆栈来处理来自自定义域名的电子邮件。我以前曾为朋友做过这件事。

但是由于各种原因,我目前无法为我的服务器获取 IPv6 地址,这很遗憾,因为我想减少对 IPv4 的依赖,但目前这不是一个选择。

尽管如此,我担心我可能无法向/从仅 IPv6 的 MTA

是否存在值得注意的仅支持 IPv6 的 MTA?我是否应该对此感到担忧?

答案1

据我所知,这在今天根本不算什么问题。如果有的话,你会有支持 IPv4 和 IPv6 的 MTA,但几乎没有(如果有的话)仅有的支持 IPv6。采用范围还不够广,因此人们无法完全依赖 IPv6 提供任何实际服务。

答案2

即使您的邮件系统仅支持 IPv4,您的邮件也大部分都会被送达。目前仍有许多仅支持 IPv4 的邮件服务器,而只有极少数支持 IPv6 的邮件服务器。不过,还是有一些注意事项需要注意。

仅在 IPv4 上运行邮件的一个风险是,您可能在不知情的情况下导致 SPF 记录无效。请查看此使用错误配置域上的地址进行 SPF 验证的实时示例(域取自我的邮件服务器上的拒绝日志):

>>> import spf
>>> spf.query('192.0.2.1', '[email protected]', 'bankdata.dk').check()
('fail', 550, 'SPF fail - not authorized')
>>> spf.query('2001:db8::1', '[email protected]', 'bankdata.dk').check()
('permerror', 550, 'SPF Permanent Error: Void lookup limit of 2 exceeded')
>>> 

如您所见,如果使用 IPv4 的垃圾邮件发送者试图伪造来自该域的电子邮件,SPF 验证将告诉接收者,源 IP 无权从该域发送邮件,因此该邮件可能会被拒绝或发送到垃圾邮件文件夹。

如果使用 IPv6 的垃圾邮件发送者试图伪造来自该域的电子邮件,则 SPF 验证将失败,并且接收服务器可能无法理解该失败的含义,并且可能会继续进行,就好像您的域根本没有 SPF 记录一样。

如果您使用 SPF 记录来防止垃圾邮件发送者伪造来自您域的邮件,则这是一个需要注意的错误配置。您仍然可以通过使用不使用任何依赖AAAAA查找的 SPF 功能来避免此问题。

答案3

截至 2023 年,您仍然可以将邮件服务器作为仅 IPv4 运行,并且不会受到任何影响。~ 50% 的邮件服务器仍在这样做。但是我不会这样做,在未来的某个时候,您肯定会遇到某种形式的压力或制裁,要求您推出 IPv6。作为一名 IPv6 爱好者,我绝对是一个糟糕的未来学家 - 但我认为这种情况可能会在 2028 年至 2033 年之间发生,我明确建议不要拖延。

相关内容