Hello,
Le 10 oct. 2013 à 09:42, Wallace wallace@morkitu.org a écrit :
Le 04/10/2013 14:05, Francois Petillon a écrit :
7- IPv6 c'est une idée, y a pas encore de spam (enfin pas beaucoup) qui y arrive, p'tet que finalement c'est la killer feature qui fera que l'IPv6 vas sortir du bois ?
Quand Comcast a ajouté le support d'IPv6 sur ses MXes, le premier mail reçu en IPv6 a été un spam...
IPv6 pose pas mal de question sur la gestion des RBLs du fait de l'espace d'adressage. La tendance actuelle est plutôt de laisser les MXes en IPv4 et d'attendre que la signature des mails par le domaine emeteur se généralise avant de migrer en IPv6 (la réputation se fera alors sur le domaine et non sur l'IP).
C'est effectivement un problème et surtout les RBL vont blacklisté quoi, une ip, le subnet du host, le subnet du prestataire car on connait pas l'étendu des subnets hosts (équivalent des PI/PA v4) attribués au client qui fait n'importe quoi?
C'est marrant, car en 2000 (oui vous avez bien lu en 2000) quand avec v0x on jouais avec le 6bone, on se posais les mêmes questions.
Certaines RBL (dont l'OBL) se sont pas compliqué : sachant que le subnet de base délégué est un /64 -> blacklist le /64.
Ceci dit, les RBL vident pas mal de merde, mais il y a beaucoup de dommages collatéraux. Donc "se protéger qu'avec les RBL" c'est potentiellement avoir des clients furieux.
On est full ipv6 depuis plus d'un an sur toute notre archi dont les mails, on a 25% de nos requêtes dns en v6 ce qui commence à faire du monde, pour les mails j'ai vu que ça causait v6 avec Gmail et quelques entreprises de taille petite et moyenne qui avancent sur le sujet. Je vais donc regarder ce que ça donne niveau spam mais soit les filtres derrière font bien leur boulot soit on est pas encore concerné.
Le DNS en IPv6 c'est facile et le protocole DNS est prévu dès le début pour être assez fiable en IPv6 ET en IPv4.
(Checkez le log d'un unbound ou bind9 avec un support ipv6 dans le code mais pas d'ipv6 sur la machine, vous verrez que ca marche quand même très bien !).
D'ailleurs les gars qui ont un site web accessible en IPv6 et pas un DNS... C'est un peu marcher sur la tête.
Par contre, les recommandations ipv4 (plusieurs DNS dans plusieurs réseaux) sont aussi valables sur IPv6 (typiquement 3 DNS, 3 en IPv4 et un seul en IPv6 = danger).
Pour revenir au spam en IPv6, j'ai plus de pseudo spam dûes aux ml en mousse de google ou, là clairement, les RBL = DTC. Et donc il n'y a que des check "élevés" qui peuvent être utilisés.
Donc le coup : je ne vais pas mettre d'IPv6 parce que je pers les RBL qui n'existent pas en IPv6 = bullshit.
A noter que FranceIX a foutus dehors Barracuda, et d'autres trucs antispam il y a 2 ans car ces rigolos ne sortais rien en IPv6. Un bon SA + avamvisd-new + clamav (et signatures tierces) font bien leur travail... D'ailleurs. Accepter en IPv6 et router en IPv4 en interne n'empêche pas les trucs legacy de fonctionner....
Xavier PS: qui a sont mail / web / dns en full ipv6 depuis plusieurs années.