IPv6 Smarthost & MX mit RDNS / PTR

Share

IPv6 Smarthost/MX  über Tunnelbroker oder Native IPv6

IPv6  für einen Smarthost/SMTP-Relay benötigt auch einen
RDNS/PTR, sonst - wird wie auch bei IPv4 - 25 Minuten

der Smarthost als Spammer eingeordnet und kann an viele Mailprovider nicht versenden. Im Prinzip kann man alle IPv4 Adressen aus
Eigener MX (Mailexchange) & Smarthost mit fester IP
gegen IPv6 Adressen tauschen, der Aufbau sollte im Prinzip immer gleich bleiben. 

 

Bisher habe ich alle IPv6 Implementierungen über SixXS realisiert, aber  nur einem! Supportfall kann ich nur sagen: Finger weg!
Habe alle  Installationen auf  Hurricane Electric geswitch. Die Anleitung sollte aber auch genau so für Hurricane Electric funktionieren.
Bei HE muss die Freischaltung von Port 25 per Mail an ipv6@he.net beantragt werden. Natives IPv6 durch den Internetprovider ist auf jeden Fall zu bevorzugen.

 

Zu der Subdomain, die im MX Record eingetragen ist, wird zu dem DNS A (IPv4) ein DNS AAAA (IPv6) Record angelegt. Diese Einstellung kann man in der Regel im Frondend des Domainproviders vornehmen.

MX = utm.neise.de = IPv4  92.50.88.102 = RDNS IP = utm.neise.de = Smarthost SMTP Banner

MX = utm.neise.de = IPv6  2001:4dd0:fbd5:3999::1 = RDNS IP = utm.neise.de = Smarthost SMTP Banner

Sophops UTM MX Smarthost IPv6 MXTOOLBOX

ptr ipv6 mxtoolbox

Bei IPv4 wird die erste öffentliche IP Adresse genommen, bei native IPv6 wird die Adresse des Interfaces genutzt, die auch das IPv6 Standard Gateway konfiguriert hat.

Die Subdomain/MX hat damit eine öffentliche IPv4 und eine "öffentliche" IPv6 Adresse.

Bei nativem IPv6:
Kontaktieren Sie Ihren Internetprovider und fragen die Einrichtung des RDNS/PTR für die IPv6 des Interfaces an. Die Einrichtung damit abgeschlossen.

 

 IPv6 Smarthost & MX mit RDNS bei IPv6 über Tunnelbroker

Da jede IPv6 Adresse global unicast ist, können prinzipiell alle Interface IPv6 Adressen der Sophos UTM für den Smarthost und auch als MX genutzt werden. Eine schon vorhandene IPv6 Interfaceadresse zu benutzen ist möglich, aus verschiedenen Gründen aber nicht ratsam.

balken-obenWenn kein natives IPv6 vorhanden vorher
IPv6 Tunnelbroker
einrichten
balken-unten

Wenn Ihre Sophos UTM  ein /48 Netz bekommen hat können 65.536 /64 vergeben werden, davon sollte man eines für dem MX/Smarthost übrig haben. Ihr Domainprovider muss  IPv6-DNS und IPv6 Reverse Delegations /IPv6 Reverse-Zonen unterstützen, sonst ist die Einrichtung nicht möglich. Persönlich halte ich Alfahosting für einen der besten (DNS-)Provider, dort habe ich einen reinen DNS Domaintarif gebucht.

 

Einrichtung IPv6 Smarthosts zusätzlich zu dem IPv4 Smarthost mit RDNS

Als erstes ein neues Interface mit fester IPv6 Adresse anlegen:

Unter
Interfaces & Routing -> Interfaces |Interfaces| "new Interface"

Sophos UTM IPv6 SMTP

Man trägt nur die IPv6 Adresse ein, als /64 Subnet nehme ich das 3.999 (frei wählbar). Da auf dem Interface in meiner UTM noch andere Netze mit VLAN sind, muss auch ein VLAN TAG gesetzt werden.

 

IPv6 <-> VLAN Tag setzte ich immer gleich:

 

Das VLAN Tag und das IPv6 Netzwerk kann “analog” dem IPv4 Netzwerk vergeben werden, um auf einen Blick erkennen zu können,
um welches IPv4/IPv6 Subnet bzw VLAN es sich handelt
Beispiel
IP Netz
VLANBeispiel IPv6 /64 Subnet-
x10.10.x.XXXXXXX10.0.125.0/2401252001:4hh0:fbd5:0125: :/64es geht nur 0 und 4 (bis 4095)
1172.016.XXX1XXX172.16.040.0/2410402001:4hh0:fbd5:1040:: /64eigentlich Class B, hier immer Class C
2192.168.XXX2XXX192.168.140.0/2421402001:4hh0:fbd5:2140:: /64

 

Danach das Interface aktivieren und die Erreichbarkeit per Ping testen -> IPv6 Pingtest

Zu der Subdomain, die im MX Record eingetragen ist, wird zu dem DNS A (IPv4) ein DNS AAAA (IPv6) Record angelegt. Die Subdomain/MX hat damit eine IPv4 und eine IPv6 Adresse. Diese Einstellung kann man in der Regel im Frondend des Domainproviders vornehmen.

Die UTM versendet aber immer über die IP des Tunnelbrokers und für diese kann man bei Tunnelbrokern kein RDNS eintragen. Um das Versenden von Mails mit IPv6 über das neue Interface zu steuern muss eine Policy Route anlegen werden. Die ursprüngliche Absendeadresse (Interface Tunnelbroker) muss bei SMTP gegen das neue SMTP-IPv6 Interface ausgetauscht werden:
Interfaces & Routing -> Static Routing |Policy Routes| "News policy route"

Sophos-UTM-SMTP-IPV6-Policy-Routing

Dazu eine Service-Gruppe "SMTP" anlegen, in der alle SMTP Protokolle zusammen gefasst sind.

Nach dem Aktivieren der Regel erfolgt der Versand aller Mails mit IPv6 über das neue Interface 'SMTP-IPv6'.
Um den  IPv6 PTR für die IPv6 Adresse anzulegen, bei Hurricane/Sixxs einloggen und dann unter
Sixxs: User Home -> Tunnels Details -> Subnets den Tunnel der UTM wählen

Dann für das IPv6 Subnet eine Reverse Delegation anlegen, d.h. Namesserver für die Zone ip6.arpa meines /48 Netzes hinterlegen. In diesem Fall sind das die DNS Server meines Domainproviders, es kann auch ein eigener public DNS Server sein.

Sixxs-Tunnelbroker-Reverse-DNS-IPv6-SMTP

 

Hurricane: Tunnel anwählen -> Tunnel Details "rDNS Delegations" dann unter
rDNS Delegated NS1:
Die Nameserver eintragen.

 

Danach wird bei dem Domänenprovider/DNSprovider oder im eigenen public DNS Server der IPv6 Reverse-Zonenname anlegt und ein dazugehöriger PTR für die IP der Subdomin des Smarthostes/MX. Der Zonenname steht hinter "The Reverse Zone for this prefix is:" und endet mit ip6.arpa.
Bis der DNS Record zu allen Root-Servern repliziert ist, kann es durchaus 48h oder länger dauern.

Bei Alfahosting ist das in 2 Minuten erledigt -> IPv6 Reverse-Zonen "+Neu" /48 eintragen, DNS Server angeben. Dann die angelegte Zone bearbeiten und einen neuen Eintrags als PTR (nicht NS) anlegen für die Subdomain des Smarthostes (und MX anlegen). die PTR-Syntax sieht so aus:
1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.9.X.X.3, als Angabe der Subnet ID + Host Identifier, das /48 Netz ist ja schon durch die Zone definiert. Wenn die interne gleich der externen Domaine ist, muss  der Eintrag auch in dem internen DNS anlegt werden, wenn PTR für das /48 Netz in der UTM auf den internen DNS zeigt -> UTM DNS

Auf der Seite MXToolBox.com können Sie den MX abfragen und dann den PTR der IPv6 Adresse der Subdomain.
Als Beispiel habe ich bei  Neise.de MX mit IPv6 und RDNS angelegt.

Im SMTP Log sieht der Versand über IPv6 dann so aus:

Sophos UTM SMTP Log IPv6

 

Einen IPv6 SMTP Mail Online Test habe ich noch nicht gefunden, gerne melden, falls jemand so was kennt.

 Münster, AD 2014

Share