IPv6 Smarthost/MX über Tunnelbroker oder Native IPv6
IPv6 für einen Smarthost/SMTP-Relay benötigt auch einen
RDNS/PTR, sonst - wird wie auch bei IPv4 -
der Smarthost als Spammer eingeordnet und kann an viele Mailprovider nicht versenden. Im Prinzip kann man alle IPv4 Adressen aus
Eigener MX (Mailexchange) & Smarthost mit fester IP
gegen IPv6 Adressen tauschen, der Aufbau sollte im Prinzip immer gleich bleiben.
Bisher habe ich alle IPv6 Implementierungen über SixXS realisiert, aber nur einem! Supportfall kann ich nur sagen: Finger weg!
Habe alle Installationen auf Hurricane Electric geswitch. Die Anleitung sollte aber auch genau so für Hurricane Electric funktionieren.
Bei HE muss die Freischaltung von Port 25 per Mail an ipv6@he.net beantragt werden. Natives IPv6 durch den Internetprovider ist auf jeden Fall zu bevorzugen.
Zu der Subdomain, die im MX Record eingetragen ist, wird zu dem DNS A (IPv4) ein DNS AAAA (IPv6) Record angelegt. Diese Einstellung kann man in der Regel im Frondend des Domainproviders vornehmen.
MX = utm.neise.de = IPv4 92.50.88.102 = RDNS IP = utm.neise.de = Smarthost SMTP Banner
MX = utm.neise.de = IPv6 2001:4dd0:fbd5:3999::1 = RDNS IP = utm.neise.de = Smarthost SMTP Banner
Bei IPv4 wird die erste öffentliche IP Adresse genommen, bei native IPv6 wird die Adresse des Interfaces genutzt, die auch das IPv6 Standard Gateway konfiguriert hat.
Die Subdomain/MX hat damit eine öffentliche IPv4 und eine "öffentliche" IPv6 Adresse.
Bei nativem IPv6:
Kontaktieren Sie Ihren Internetprovider und fragen die Einrichtung des RDNS/PTR für die IPv6 des Interfaces an. Die Einrichtung damit abgeschlossen.
IPv6 Smarthost & MX mit RDNS bei IPv6 über Tunnelbroker
Da jede IPv6 Adresse global unicast ist, können prinzipiell alle Interface IPv6 Adressen der Sophos UTM für den Smarthost und auch als MX genutzt werden. Eine schon vorhandene IPv6 Interfaceadresse zu benutzen ist möglich, aus verschiedenen Gründen aber nicht ratsam.
Wenn kein natives IPv6 vorhanden vorher
IPv6 Tunnelbroker
einrichten
Wenn Ihre Sophos UTM ein /48 Netz bekommen hat können 65.536 /64 vergeben werden, davon sollte man eines für dem MX/Smarthost übrig haben. Ihr Domainprovider muss IPv6-DNS und IPv6 Reverse Delegations /IPv6 Reverse-Zonen unterstützen, sonst ist die Einrichtung nicht möglich. Persönlich halte ich Alfahosting für einen der besten (DNS-)Provider, dort habe ich einen reinen DNS Domaintarif gebucht.
Einrichtung IPv6 Smarthosts zusätzlich zu dem IPv4 Smarthost mit RDNS
Als erstes ein neues Interface mit fester IPv6 Adresse anlegen:
Unter
Interfaces & Routing -> Interfaces |Interfaces| "new Interface"
Man trägt nur die IPv6 Adresse ein, als /64 Subnet nehme ich das 3.999 (frei wählbar). Da auf dem Interface in meiner UTM noch andere Netze mit VLAN sind, muss auch ein VLAN TAG gesetzt werden.
IPv6 <-> VLAN Tag setzte ich immer gleich:
um welches IPv4/IPv6 Subnet bzw VLAN es sich handelt |
||||||
---|---|---|---|---|---|---|
Beispiel | VLAN | Beispiel IPv6 /64 Subnet | - | |||
x | 10.10.x.XXX | XXXX | 10.0.125.0/24 | 0125 | 2001:4hh0:fbd5:0125: :/64 | es geht nur 0 und 4 (bis 4095) |
1 | 172.016.XXX | 1XXX | 172.16.040.0/24 | 1040 | 2001:4hh0:fbd5:1040:: /64 | eigentlich Class B, hier immer Class C |
2 | 192.168.XXX | 2XXX | 192.168.140.0/24 | 2140 | 2001:4hh0:fbd5:2140:: /64 |
Danach das Interface aktivieren und die Erreichbarkeit per Ping testen -> IPv6 Pingtest
Zu der Subdomain, die im MX Record eingetragen ist, wird zu dem DNS A (IPv4) ein DNS AAAA (IPv6) Record angelegt. Die Subdomain/MX hat damit eine IPv4 und eine IPv6 Adresse. Diese Einstellung kann man in der Regel im Frondend des Domainproviders vornehmen.
Die UTM versendet aber immer über die IP des Tunnelbrokers und für diese kann man bei Tunnelbrokern kein RDNS eintragen. Um das Versenden von Mails mit IPv6 über das neue Interface zu steuern muss eine Policy Route anlegen werden. Die ursprüngliche Absendeadresse (Interface Tunnelbroker) muss bei SMTP gegen das neue SMTP-IPv6 Interface ausgetauscht werden:
Interfaces & Routing -> Static Routing |Policy Routes| "News policy route"
Dazu eine Service-Gruppe "SMTP" anlegen, in der alle SMTP Protokolle zusammen gefasst sind.
Nach dem Aktivieren der Regel erfolgt der Versand aller Mails mit IPv6 über das neue Interface 'SMTP-IPv6'.
Um den IPv6 PTR für die IPv6 Adresse anzulegen, bei Hurricane/Sixxs einloggen und dann unter
Sixxs: User Home -> Tunnels Details -> Subnets den Tunnel der UTM wählen
Dann für das IPv6 Subnet eine Reverse Delegation anlegen, d.h. Namesserver für die Zone ip6.arpa meines /48 Netzes hinterlegen. In diesem Fall sind das die DNS Server meines Domainproviders, es kann auch ein eigener public DNS Server sein.
Hurricane: Tunnel anwählen -> Tunnel Details "rDNS Delegations" dann unter
rDNS Delegated NS1:
Die Nameserver eintragen.
Danach wird bei dem Domänenprovider/DNSprovider oder im eigenen public DNS Server der IPv6 Reverse-Zonenname anlegt und ein dazugehöriger PTR für die IP der Subdomin des Smarthostes/MX. Der Zonenname steht hinter "The Reverse Zone for this prefix is:" und endet mit ip6.arpa.
Bis der DNS Record zu allen Root-Servern repliziert ist, kann es durchaus 48h oder länger dauern.
Bei Alfahosting ist das in 2 Minuten erledigt -> IPv6 Reverse-Zonen "+Neu" /48 eintragen, DNS Server angeben. Dann die angelegte Zone bearbeiten und einen neuen Eintrags als PTR (nicht NS) anlegen für die Subdomain des Smarthostes (und MX anlegen). die PTR-Syntax sieht so aus:
1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.9.X.X.3, als Angabe der Subnet ID + Host Identifier, das /48 Netz ist ja schon durch die Zone definiert. Wenn die interne gleich der externen Domaine ist, muss der Eintrag auch in dem internen DNS anlegt werden, wenn PTR für das /48 Netz in der UTM auf den internen DNS zeigt -> UTM DNS
Auf der Seite MXToolBox.com können Sie den MX abfragen und dann den PTR der IPv6 Adresse der Subdomain.
Als Beispiel habe ich bei Neise.de MX mit IPv6 und RDNS angelegt.
Im SMTP Log sieht der Versand über IPv6 dann so aus:
Einen IPv6 SMTP Mail Online Test habe ich noch nicht gefunden, gerne melden, falls jemand so was kennt.
Münster, AD 2014