Afgelopen woensdag was het World IPv6 Day en in navolging daarvan werden een aantal maildomeinen voorzien een AAAA-record in DNS naast het gebruikelijke A-records. Hiermee wordt zowel een IPv6 als IPv4 adres geadverteerd om mail op af te leveren. Als eerste zijn de spamtrap-domeinen om gegaan afgelopen woensdag en afgelopen zaterdag zijn enkele andere kleine domeinen omgezet. Nu de time-to-live op de oude records is verlopen komt vandaag langzaam de e-mailstroom over IPv6 op gang.
Voorlopig lijken spammers IPv6 links te laten liggen, maar hoe lang dat zo zal blijven is de vraag. Hiermee komt ook gelijk de vraag of een DNSBL voor mail over IPv6 opzetten nog wel zinvol is. Een computer met IPv6 Privacy Extensions enabled wisselt om de zoveel uur van IPv6-adres en zou dus eigenlijk eigenlijk afdwingen om op network-niveau te gaan blacklisten en misschien ook wel om te gaan whitelisten en greylisten. Hiermee komt eigenlijk ook de vraag hoe valide Spamhaus nog is en wat voor impact dit gaat hebben op de Bayesian filtering opstelling die nu zijn werk doet.
Hoewel de weg al in 1998 was ingezet met RFC2476 om mail te kunnen injecteren via een aparte poort, maar helaas kwam in 1999 ook RFC2487. Deze laatste RFC ging over SMTP over SSL, maar heeft nooit echt een vlucht genomen gelukkig. Sommige mensen zien het wel als een alternatief voor de mail submission oplossing en andere zien het als oplossing om SMTP over SSL te versturen.
Gelukkig heeft TLS sindsdien een vlucht genomen en kan tegenwoordig TLS worden gebruikt voor zowel SMTP-verbindingen als voor Submission-verbindingen. Door de splitsing van server-to-server verkeer over poort 25 en client-to-server verkeer over poort 587 is er een verduidelijking gekomen in de soorten verkeer. TLS afdwingen op client-to-server verkeer is een mogelijkheid geworden en worden username/password combinaties afgeschermd. Het nut van SMTP over SSL is dus verdwenen, maar hoe faseer je het uit?
Je kan gewoon uitzetten in Postfix door het bestand master.cf aan te passen, zodat de regels voor smtps niet meer actief zijn. Simpeler is het gelukkig niet, maar de kans bestaat dat sommige verbindingen ineens stoppen met werken. Helaas is het in logfiles niet te herleiden of er verbindingen over poort 465 lopen ipv poort 25 of 587.
Op platformen zoals Linux, BSD en Solaris zijn packetfilters beschikbaar en kan met behulp van een paar simpele regels toch informatie worden verkregen. Zoals de onderstaande regel voor Netfilter.
iptables -A INPUT_ETH0 -d 192.0.2.1 -p tcp \
--sport 1024:65535 --dport 465 \
-j LOG --log-level DEBUG --log-prefix "SERVICE MONITORING: "
Voor elke verbinding naar de server zal melding worden gemaakt door de kernel naar syslog en deze zijn hierna terug te lezen in bv /var/log/syslog. Door deze opstelling een paar maanden te volgen kan je bepalen of er echt geen verbindingen meer zijn.
Tags: 1998, 1999, 25, 465, 587, Netfilter, Postfix, RFC2476, RFC2487, SMTP, SSL, TLS
Recent Comments