Blacklists chancenlos

Geradezu dramatische Auswirkungen hat IPv6 jedoch auf die in den Postfix-Restrictions und auch indirekt in SpamAssassin gerne eingesetzten DNS-Blacklisten (RBLs), beispielsweise die beiden populären und sehr empfehlenswerten RBLs »dnsbl.ix.manitu.de« und »zen.spamhaus.org« . Denn: Die unvorstellbar große Menge an vorhandenen IPv6-Adressen lässt opulente Verschwendung in die heutige Serverlandschaft einziehen. So erhält jedes IPv6-System grundsätzlich gleich ein Subnetz mit unvorstellbar vielen IP-Adressen. Einzelne Adressen auf Blacklisten zu setzen, wird demnach sinnlos und könnte leicht umgangen werden – ein Spammer könnte jede E-Mail unter einer eigenen IP-Adresse versenden. Viele Provider oder Unternehmen spendieren jedem Servern einen /64er-Netzbereich. Das entspricht 264 IP-Adressen pro System, einer Zahl mit 19 Nullen. Einige Provider wie Strato verteilen jedoch gleich /56er-Netzbereiche, andere vergeben /48er-Netze.

Am Ende ist unklar, welche Adressbereiche bei einem Spam-Versand in die Blacklisten aufgenommen werden müssen. Sperrt man zu knapp, haben Spammer noch viele ungesperrte Netzbereiche für ihren Versand zur Verfügung. Sperrt man zu großzügig, blockt man auch unbeteiligte andere Kunden eines Provider. Egal wie man es macht – am Ende ist es falsch. Postfix und Spam-Assassin selbst sind technisch problemlos in der Lage, IPv6-Adressen gegen die bereits für IPv4 eingerichteten DNSBL zu prüfen. Hier ist gar keine Konfigurationsänderung notwendig. Das Problem liegt alleine in der praktischen Handhabung.

Greylisting funktioniert

Dieses Dilemma lässt (wieder einmal) die große Stunde des Greylisting schlagen: Da Greylisting (richtig eingesetzt) nur unbekannte IP-Adressen kurzfristig verzögert, hat diese Technik auf Mails zwischen erwünschten Mailservern kaum eine Auswirkung. Gleichzeitig verhindert sie jedoch, dass Spammer ungestraft mit beliebig wechselnden IP-Adressen der IPv6-Server arbeiten können – sie würden ständig im Greylisting anderer Server hängen bleiben und kaum noch in der Lage sein, Mails zu versenden. Die populäre Greylisting-Implementierung »postgrey« ist heute bereits vollständig IPv6-tauglich und kann auch im Dual Stack ohne Änderung ihre Aufgabe wahrnehmen.

Einziger Wermutstropfen im IPv6-Setup eines Mailservers ist der ebenfalls sehr wirkungsvolle Spamschutz »policyd-weight« : Er verkraftet problemlos Anfragen mit IPv6-Adressen und kann ohne Änderung eingesetzt werden. Bei IPv6-Adressen kann »policyd-weight« jedoch kein sinnvolles Ergebnis mehr berechnen und beendet seine Prüfung gegenüber Postfix darum in diesen Fällen stets mit einem »DUNNO« ("I don't know"). »policyd-weight« hält sich in diesen Fällen also absichtlich ganz aus dem Spam-Schutz heraus und trifft keine Entscheidung. Er kann bei IPv6-Verbindungen nichts mehr zum Spamschutz beitragen, stört aber das Setup allerdings auch nicht.

Aus alldem ergibt sich als Resultat: IPv6 auf Mailservern ist unproblematisch möglich, erfordert jedoch dennoch eine besondere Herangehensweise. Wer IPv6 ausprobieren möchte, kann dies leicht angehen: Die Vergabe einer IPv6-Adresse an das Linux-System und kleine Anpassungen in Postfix reichen aus. Allgemein wird bislang noch recht wenig Spam über IPv6 verschickt, was wohl vorrangig daran liegt, dass Privat-PCs als unfreiwillige Teilnehmer in Spam-Botnetzen noch sehr selten über IPv6-Uplinks verfügen. Das wird sich aber spätestens dann ändern, wenn mehr DSL-Anbieter ihren Kunden auch IPv6-Zugänge ermöglichen.