ubuntuusers.de

Hallo zusammen,

Kurzform: Ist es mittlerweile eigentlich möglich bzw. sinnvoll, einen Mailserver nur mit IPv6 zu betreiben?

Langform: Ich bin Hobby-Administrator, verfüge über mehrere Domains und habe bei einem Provider zwei virtuelle Root-Server gemietet. Auf jedem der Server läuft ein Mailserver, der für genau eine Domain zuständig ist. Der Server 1 mit Domain A ist sozusagen mein Produktivsystem, während der Server 2 mit Domain B meine Spielwiese ist, wo ich von Zeit zu Zeit diverse Konfigurationsänderungen ausprobiere. Jeder Server verfügt neben seiner Haupt-IPv4-Adresse über zwei zusätzliche IPv4-Adressen, die ich für den Mailserver nutze. Bei Server 1 also mx1.domain-a.tld und mx2.domain-a.tld, bei Server 2 mx1.domain-b.tld und mx2.domain-b.tld.

Nun zu meinem eigentlichen Anliegen: Angenommen, auf dem Server 1 ("Produktivsystem") ist als Betriebssystem eine Ubuntu-LTS-Version installiert. Irgendwann wird diese LTS-Version nicht mehr mit Sicherheitsupdates unterstützt, und eine Aktualisierung auf eine neue (LTS-)Version ist erforderlich. Bis jetzt habe ich das immer so gelöst, dass ich mir einen komplett neuen virtuellen Root-Server gemietet habe, dort die aktuelle Ubuntu LTS-Version installiert habe, die Mailserver-Konfiguration vom alten Server übernommen habe (inkl. der Maildir-Dateien). Grund: Ich habe mehrfach gehört, dass im Vergleich zu einem Upgrade eine Neuinstallation der bessere Weg ist. Das war zwar immer etwas zeitaufwändig, hat aber stets wunderbar funktioniert - aber es gibt ein Problem: Die zusätzlichen IPv4-Adressen von dem alten Server kann ich nur gegen eine relativ hohe Gebühr auf den neuen Server mitnehmen (knapp 50 Euro pro IPv4-Adresse). Alternativ hätte ich mir auch neue zusätzliche IPv4-Adressen bestellen können - das hat in der Vergangenheit jedoch zu Problemen beim Mailversand geführt, weil die neuen IPv4-Adresse von anderen Mailservern nicht akzeptiert wurde (wahrscheinlich wurde in der Vergangenheit viel SPAM über diesen IPv4-Adressbereich versendet). Hier musste ich mühsam die einzelnen Postmaster anschreiben und darum bitten, dass ich in eine Whitelist eingetragen werde - und das war sehr zeitaufwändig.

Meiner Kenntnis nach gibt es zwei Möglichkeiten:

a) Anstatt einer "normalen" IPv4-Adresse, die fest an einen virtuellen Root-Server gebunden wird, miete ich mir Failover-IPv4-Adressen. Das würde natürlich funktionieren, leider sind diese deutlich teurer (pro IPv4-Adresse 5 Euro/Monat). Wenn ich meine jetzige Konfiguration beibehalten möchte, wären das alleine 20 Euro/Monat...

b) Mein Provider bietet u.a. auch ein Failover-IPv6-Subnet an. Für wenige Euro/Monat erhalte ich ein /64 IPv6-Subnet, was ich dann auf mehreren Root-Servern nutzen kann. Das bedingt jedoch, dass mein Mailserver ausschließlich mit IPv6 läuft...

Deshalb meine Frage: Ist es mittlerweile möglich bzw. sinnvoll, einen Mailserver nur mit IPv6 zu betreiben?

Danke und Gruß,

frechdachs

Kommt drauf, an, wer den aus welchen Netzwerken erreichen will. Wenn dort überall IPv6 geht kein Problem. Es gibt aber sicherlich haufenweise Mail-Server anderer Leute/Firmen, die kein IPv6 haben. Die können dann dort keine Mails hinschicken. Nicht jeder Internetanschluss hat heute IPv6. Vor allem Firmennetzwerke noch nicht. Im Mobilfunk oft auch nicht.

frechdachs schrieb:

Kurzform: Ist es mittlerweile eigentlich möglich bzw. sinnvoll, einen Mailserver nur mit IPv6 zu betreiben?

Möglich ja. Obs sinnvoll ist hängt vom Anwendungsfall ab. Produktiv ist das normalerweise nicht sinnvoll.

Bis jetzt habe ich das immer so gelöst, dass ich mir einen komplett neuen virtuellen Root-Server gemietet habe, dort die aktuelle Ubuntu LTS-Version installiert habe, die Mailserver-Konfiguration vom alten Server übernommen habe (inkl. der Maildir-Dateien) Grund: Ich habe mehrfach gehört, dass im Vergleich zu einem Upgrade eine Neuinstallation der bessere Weg ist.

Das kann man so pauschal nicht sagen. Richtig ist, dass du bei einer Neuinstallation potentiell weniger "Altlasten" hast. Wenn du die "Altlasten" aber 1:1 mit übernimmst, oder es gar keine gibt, ist das natürlich ein schwaches Argument.

Ich würde an deiner Stelle deinen Upgrade-Pfad ändern. Du könntest das Upgrade des Systems beispielsweise mit einem Klon testen, den du entweder bei dir zu Hause oder in einem Container auf dem Server laufen lässt. Da kannst du rumprobieren, im Fehlerfall zurückrollen und neu starten, und eine Roadmap für den eigentlichen Livegang erstellen. Dann vergisst du nichts, und bist sicher, dass es funktioniert.

Einen produktiven Mail-Server IPv6-Only zu betreiben ist auf jeden Fall nicht sinnvoll.

Edit: Ich habe grade mal auf meinem privaten Mailserver geschaut: Von knapp 3000 Verbindungen sind nur knapp 200 per IPv6 erfolgt. Wenn man davon ausgeht, dass Mailserver im Internet, die IPv6 können, auch IPv6 nutzen, ist das keine mutmachende Ausbeute^^

misterunknown schrieb:

frechdachs schrieb:

Kurzform: Ist es mittlerweile eigentlich möglich bzw. sinnvoll, einen Mailserver nur mit IPv6 zu betreiben?

Möglich ja. Obs sinnvoll ist hängt vom Anwendungsfall ab. Produktiv ist das normalerweise nicht sinnvoll.

Bis jetzt habe ich das immer so gelöst, dass ich mir einen komplett neuen virtuellen Root-Server gemietet habe, dort die aktuelle Ubuntu LTS-Version installiert habe, die Mailserver-Konfiguration vom alten Server übernommen habe (inkl. der Maildir-Dateien) Grund: Ich habe mehrfach gehört, dass im Vergleich zu einem Upgrade eine Neuinstallation der bessere Weg ist.

Das kann man so pauschal nicht sagen. Richtig ist, dass du bei einer Neuinstallation potentiell weniger "Altlasten" hast. Wenn du die "Altlasten" aber 1:1 mit übernimmst, oder es gar keine gibt, ist das natürlich ein schwaches Argument.

Ich würde an deiner Stelle deinen Upgrade-Pfad ändern. Du könntest das Upgrade des Systems beispielsweise mit einem Klon testen, den du entweder bei dir zu Hause oder in einem Container auf dem Server laufen lässt. Da kannst du rumprobieren, im Fehlerfall zurückrollen und neu starten, und eine Roadmap für den eigentlichen Livegang erstellen. Dann vergisst du nichts, und bist sicher, dass es funktioniert.

Ja, daran habe ich auch schon gedacht. Dann habe ich auch endlich einen Grund, dass ich mich mit LXC/LXD o.ä. beschäftigen muss. 😉

Einen produktiven Mail-Server IPv6-Only zu betreiben ist auf jeden Fall nicht sinnvoll.

OK - dann weiß ich Bescheid.

Edit: Ich habe grade mal auf meinem privaten Mailserver geschaut: Von knapp 3000 Verbindungen sind nur knapp 200 per IPv6 erfolgt. Wenn man davon ausgeht, dass Mailserver im Internet, die IPv6 können, auch IPv6 nutzen, ist das keine mutmachende Ausbeute^^

Das sind ja weniger als 7%. Wahnsinn... Vielen Dank für die Recherche!

Herzlichen Dank auch an DJKUhpisse!

Liebe Grüße,

Frechdachs

frechdachs schrieb:

Ja, daran habe ich auch schon gedacht. Dann habe ich auch endlich einen Grund, dass ich mich mit LXC/LXD o.ä. beschäftigen muss. 😉

Das ist in der Tat sinnvoll.

Ich persönlich bilde mittlerweile alles über Container ab. Das Hostsystem stellt nur noch die LXC-Container bereit, alle anderen Dienste werden über Container abgebildet. Da die Container auf LVM-Volumes liegen, kann ich dort auch beispielsweise mit Snapshots arbeiten. Wenn ich einen "unwichtigen" Container hab, kann ich einfach einen Snapshot machen, das Upgrade ausführen, und wenn es nicht funktioniert, rolle ich den Snapshot zurück. Bei "wichtigen" Containern (wie dem Mailserver) mache ich vorher meist eine Kopie des Containers, teste dann das Upgrade dort, erkenne ggf. irgendwelche Probleme, und dann führe ich das Upgrade im eigentlichen Container durch. Die Kopie schmeiß ich einfach weg.

Im Hostsystem liegt dann die öffentliche IP an, und die Ports werden entsprechend zu den Containern geforwarded. Damit könntest du sogar deine bisherige Upgrade-Praxis beibehalten: Wenn ein neues System kommt, legst du einen neuen Container an, konfigurierst den entsprechend, und wenn du fertig bist, änderst du einfach das Mapping der Ports im Hostsystem. Die Flexibilität ist wirklich geil, schlussendlich ist das eine Art "Infrastructure-on-a-Server".

frechdachs schrieb:

Die zusätzlichen IPv4-Adressen von dem alten Server kann ich nur gegen eine relativ hohe Gebühr auf den neuen Server mitnehmen (knapp 50 Euro pro IPv4-Adresse).

Was ich nicht ganz verstehe: *Warum* willst du genau *deine* IPv4-Adressen mitnehmen? Du könntest doch einfach eine neue IPv4-Adresse für den neuen Server beantragen?! Um den Rest kümmert sich das DNS, dafür ist es ja da. Oder übersehe ich hier gerade etwas?

b) Mein Provider bietet u.a. auch ein Failover-IPv6-Subnet an. Für wenige Euro/Monat erhalte ich ein /64 IPv6-Subnet, was ich dann auf mehreren Root-Servern nutzen kann. Das bedingt jedoch, dass mein Mailserver ausschließlich mit IPv6 läuft...

Andere Idee: Du mietest dir den günstigsten Server, den du finden kannst, welcher dann alle IPv4-Adressen zugewiesen bekommt. Und der übernimmt dann das Routing zu deinen eigentlichen Servern via IPv6 😉

Developer92 schrieb:

frechdachs schrieb:

Die zusätzlichen IPv4-Adressen von dem alten Server kann ich nur gegen eine relativ hohe Gebühr auf den neuen Server mitnehmen (knapp 50 Euro pro IPv4-Adresse).

Was ich nicht ganz verstehe: *Warum* willst du genau *deine* IPv4-Adressen mitnehmen? Du könntest doch einfach eine neue IPv4-Adresse für den neuen Server beantragen?! Um den Rest kümmert sich das DNS, dafür ist es ja da. Oder übersehe ich hier gerade etwas?

Es geht hier nicht um die DNS-Einstellungen. Das wäre ja simpel: Einfach die entsprechenden MX-Einträge ändern und die A-Records anpassen - fertig. Nein, es geht hier um ein anderes Problem: Wenn Du eine neue IPv4-Adresse beantragst und diese einbindest, dann kann es zu Problemen beim Mailversand kommen. Einige Mailserver nehmen keine E-Mails von Dir an, weil ggf. aus diesem IP-Adressbereich in der Vergangenheit SPAM versendet wurde. Das hat dazu geführt, dass ich diverse Postmaster kontaktiert habe und bitten musste, dass die beiden neuen IPv4-Adressen zu whitelisten. Leider waren das nicht nur einige wenige, sondern viele. Spontan fallen mir diverse Firmen/Institutionen ein (T-Online, die Deutsche Sporthochschule Köln, etc.) ein, die keine E-Mails von meinem Mailserver angenommen haben, obwohl mein Server nicht auf einer DNSBL (zen.spamhaus.org, ix.dnsbl.manitu.net, etc.) gelistet ist.

Beim ersten Mal habe ich gedacht, dass das Zufall ist und ich einfach nur Pech hatte. Aber dann ist es mir einige Jahre später nochmal passiert! Und aus diesem Grund möchte ich die zusätzlichen IPv4-Adressen nicht mehr ändern. Glaube mir: Das war echt zeitaufwändig...

b) Mein Provider bietet u.a. auch ein Failover-IPv6-Subnet an. Für wenige Euro/Monat erhalte ich ein /64 IPv6-Subnet, was ich dann auf mehreren Root-Servern nutzen kann. Das bedingt jedoch, dass mein Mailserver ausschließlich mit IPv6 läuft...

Andere Idee: Du mietest dir den günstigsten Server, den du finden kannst, welcher dann alle IPv4-Adressen zugewiesen bekommt. Und der übernimmt dann das Routing zu deinen eigentlichen Servern via IPv6 😉

😉

Liebe Grüße,

frechdachs

frechdachs schrieb:

Einige Mailserver nehmen keine E-Mails von Dir an, weil ggf. aus diesem IP-Adressbereich in der Vergangenheit SPAM versendet wurde.

Oooh. Jetzt wo du's sagst, klar, logisch. Ich meine, ich finde das (im ersten Moment, evtl. hat's ja 'nen sinnvollen Hintergrund) dämlich was die anderen Betreiber hier machen, gerade weil man ja IP-Adressen mittels DNS wegabstrahiert und dann Filter verdammt nochmal nicht genau darauf anwenden sollte, aber wenn deren Filter das so machen ist das halt so. Erklärt auch warum Mailserver hinter ständig wechselnden IP-Adresse eine eher schlechte Idee sind. Jetzt weiß ich wieder warum ich keine Mailserver betreibe 😀

Developer92 schrieb:

Ich meine, ich finde das (im ersten Moment, evtl. hat's ja 'nen sinnvollen Hintergrund) dämlich was die anderen Betreiber hier machen,

Es gibt ziemlich viele unsicher konfigurierte Hosts im Internet, deren einzige aktive Pflege höchstens vom Botnet der Woche ausgeht - und das über Jahre hinweg. Wenn wir jetzt daran denken, dass man mehr als einen DNS-Namen pro IP-Adresse nutzen kann, ist das Blockieren einzelner IP-Adressen der wesentlich effektivere Ansatz, eine Spamquelle auszuschalten.

Das ist übrigens auch einer der Gründe, warum ein Provider oder eine Blacklist die IP-Adresse erst wieder freigeben (wenn überhaupt), sobald sich jemand rührt und im Optimalfall noch weitere Kriterien erfüllt, damit die IP-Adresse nicht direkt wieder gesperrt wird.

Eine weitere interessante Sache habe ich bei meinem letzten Ausflug in die Welt der Email-Serverbetreiber noch gelernt. Die Mailhoster verwenden bestimmte Adresslisten, in denen Internetprovider ihre Adressblöcke kategorisieren. So kann der Mailhoster dann feststellen, ob der einreichende SMTP-Host aus einem Privatkundenblock anruft und entsprechend blockieren.

Effektiv kann man in jedem Fall zwei Gründe festhalten:

• Spamabwehr

• Stärkung der eigenen Marktposition durch Ausschluss kleiner Anbieter

Mindestens einer davon sollte die Sache für dich weniger dämlich machen. 😉