Exim: Mailauslieferung nur über IPv4, bspw. an Google

nospam@example.com (Thomas Hochstein) — Sat, 10 Nov 2018 08:30:00 +0000

Vor einem Jahr hatte ich darüber berichtet, dass sich viele Probleme bei der Mailauslieferung an Google schlicht durch den Verzicht auf IPv6 für den Mailversand beheben lassen, und dafür auch eine Lösung vorgestellt. Diesen Weg würde ich aber nicht mehr empfehlen.

Die Verwendung eines eigenen Routers wird in vielen Fällen ein gangbarer Weg sein; er ist aber unnötig komplex und kann Schwierigkeiten aufwerfen, wenn es weitere Router für Spezialfälle gibt - denn dann wird ggf. nur der andere Router durchlaufen (oder der Router für “Mailauslieferung an Google über IPv4”, aber nicht der Router für den anderen Spezialfall).

Sehr viel einfacher und, so weit ich sehe, ohne Nebeneffekte ist die Vorgehensweise, die ich bereits in meinem damaligen Blogeintrag angesprochen habe (der heute auch entsprechend aktualisiert wurde): man beschränkt den DNS-Lookup für *.google.com auf IPv4. Dazu genügt eine einzelne Zeile im Hauptteil der Konfigurationsdatei, also vor ACLs, Routern und Co:

dns_ipv4_lookup = *.google.com

Man kann das ebenso leicht auch generischer lösen:

dns_ipv4_lookup = /etc/exim4/domains-force-ipv4-lookup

In /etc/exim4/domains-force-ipv4-lookup genügt dann ein Eintrag wie

*.google.com

Fertig. Tut. Ist viel simpler und weniger fehleranfällig.

Exim: Mailauslieferung über IPv4 erzwingen

nospam@example.com (Thomas Hochstein) — Mon, 18 Sep 2017 06:35:00 +0000

Man munkelt, dass insbesondere Google eingehende E-Mails unterschiedlich streng filtert, je nachdem, ob sie per IPv6 oder per IPv4 eingeliefert werden.

Google selbst deutet das in seinen Bulk Senders Guidelines durch den Abschnitt Additional guidelines for IPv6 an, und ich hatte verschiedentlich den Eindruck, dass E-Mail, die ich an Adressaten bei Google (GMail, Hosting, …) versende, dort jedenfalls nicht in der Inbox landet. Für Mails an GoogleGroups - die u.a. Mailinglisten mit einem Webinterface und Webarchiv darstellen - kann ich das sogar positiv belegen: versende ich E-Mails über IPv6 nach dort, werden sie zwar lt. Logfile angenommen, dann aber offensichtlich ausgefiltert. Jedenfalls erscheinen sie nie in der GoogleGroup, auch nach mehreren Versuchen und mehreren Tagen nicht. Versende ich dieselbe Mail aber über IPv4, trifft sie binnen Sekunden ein.

Ein solches Vorgehen mag sinnvoll erscheinen (immerhin kann ein Spammer IPv6-Adressen - im Gegensatz zum knappen IPv4-Adressarum - vermutlich wochenlang wechseln wie andere Leute ihre Unterhosen, so dass RBLs da wenig helfen), aber es macht die Sache für denjenigen, der Mail an Google loswerden will, nicht einfacher.

Die Lösung mag in einer Änderung der Konfiguration liegen; so soll es helfen, passende SPF-Einträge hinzuzufügen und die Mails mit DKIM zu signieren, aber damit muss ich mich zunächst näher beschäftigen, und ob das dann auch wirklich hilft, weiß ich dann noch immer nicht. Was das Problem aber definitiv - jedenfalls derzeit - löst, ist die Mailauslieferung über IPv4.

Exim bietet dafür verschiedene Lösungsmöglichkeiten:

Man kann IPv6 komplett abdrehen, indem man im Hauptteil der Konfiguration ein beherztes disable_ipv6 = true einfügt. Das will man aber vermutlich nicht.
Man kann Exim vorgeben, dass er für bestimmte Domains nur A-Records, also IPv4-DNS-Einträge, berücksichtigen soll, indem man im Hauptteil der Konfiguration die Option dns_ipv4_lookup mit einer entsprechenden Domainliste versogt, bspw. dns_ipv4_lookup = *.google.com. (Andere Domains wie gmail.com, googlemail.com oder googlegroups.com müssen nicht berücksichtigt werden, weil alle MXe auch dieser Domains auf google.com enden.) Das wäre eine Möglichkeit; ich bin mir aber nicht sicher, ob sich dabei nicht Seiteneffekte ergeben, d.h. die Folgen nicht nur auf die Mailauslieferung beschränkt sind.

Update vom 11.10.2018: Seiteneffekte sind nicht erkennbar, und ich würde genau diesen Weg empfehlen. Der nachfolgend vorgestellte Weg funktioniert nur dann, wenn es keine anderen Router für “Spezialfälle” gibt, die vorher greifen, und macht die Lösung unnötig kompliziert.

Eigentlich will ich ja nur, dass MX-Einträge ignoriert werden, die auf einen Host zeigen, der eine IPv6-Adresse hat, bzw. bei Hosts mit mehreren A- und AAAA-Records die letzteren ignoriert werden. Und glücklicherweise geht auch das.

Es genügt, einen neuen Router zu erstellen (und zwar vor dem Router, der normalerweise für die Auslieferung externer Mail zuständig ist, defaultmäßig dnslookup):

# This router routes remote addresses using ipv4 hosts only

ipv4_only:
  driver = dnslookup
  domains = +ipv4_forced_domains
  transport = remote_smtp
  ignore_target_hosts = <; 0::0/0

Dort kann man entweder die betreffenden Domains fest verdrahten, oder man löst es (wie hier) über eine Domainliste namens ipv4_forced_domains, die dann im Hauptteil der Konfiguration noch entsprechend definiert werden muss:

domainlist ipv4_forced_domains = /etc/exim4/domains-send-ipv4

In der Datei /etc/exim4/domains-send-ipv4 finden sich dann alle Domains, an deren MXe nur per IPv4 ausgeliefert werden soll, jeweils eine pro Zeile.

Ein Test bestätigt den Erfolg. Vorher:

# exim -bt postmaster@google.com
postmaster@google.com
  router = dnslookup, transport = remote_smtp
  host aspmx.l.google.com      [2a00:1450:400c:c06::1b] MX=10
  host aspmx.l.google.com      [64.233.184.26]          MX=10
  host alt1.aspmx.l.google.com [2a00:1450:4010:c07::1a] MX=20
  host alt1.aspmx.l.google.com [64.233.164.26]          MX=20
  host alt2.aspmx.l.google.com [2404:6800:4003:c02::1b] MX=30
  host alt2.aspmx.l.google.com [74.125.68.26]           MX=30
  host alt3.aspmx.l.google.com [2404:6800:4008:c02::1a] MX=40
  host alt3.aspmx.l.google.com [74.125.23.26]           MX=40
  host alt4.aspmx.l.google.com [2607:f8b0:400e:c00::1b] MX=50
  host alt4.aspmx.l.google.com [173.194.202.26]         MX=50

Nachher:

# exim -bt postmaster@google.com
postmaster@google.com
  router = ipv4_only, transport = remote_smtp
  host aspmx.l.google.com      [64.233.184.26]  MX=10
  host alt1.aspmx.l.google.com [64.233.164.26]  MX=20
  host alt2.aspmx.l.google.com [74.125.68.26]   MX=30
  host alt3.aspmx.l.google.com [74.125.23.26]   MX=40
  host alt4.aspmx.l.google.com [173.194.202.26] MX=50

Voilà.

Die Idee ist natürlich nicht von mir, sondern aus dem Exim-Wiki: How to force IPv4 connections for specific domains if IPv6 is enabled Ich habe sie allerdings etwas angepasst und vereinfacht.

Abschließend die Frage: Hat schon jemand Erfahrungen damit gemacht, SPF-Einträge und vor allem DKIM-Signaturen für eine Vielzahl potentieller Absenderdomains zu pflegen (und - bzgl. DKIM - mit Exim zu konfigurieren)? Ich stelle mir das nicht so ganz einfach vor.

Update (2018-06-03): Auch für den Mailserve Postfix gibt es eine vergleichbare Lösung - Prevent Postfix SMTP from contacting Google Mail using IPv6

Update (2018-11-10): Ich empfehle diesen Weg nicht mehr, sondern stattdessen diesen.

Netz - Rettung - Recht (Artikel mit Tag ipv6)

Exim: Mailauslieferung nur über IPv4, bspw. an Google

Exim: Mailauslieferung über IPv4 erzwingen