Mijn software verstuurt email via de SMTP relay service van Google. Hiervoor is TLS noodzakelijk, en ik gebruik de instelling dat de relay alleen connecties accepteerd vanaf bepaalde IP adressen/ranges.
Op kantoor gaat dit goed, maar thuis gebruik ik IPv6. Ik kom erachter dat m’n IP adres dat door m’n programma gebruikt wordt vaak anders is. Nu heb ik begrepen dat ik niet een IP adres heb, maar een hele range. Via de Reverse DNS portal zie ik dat ik een X:Y:Z::/48 range tot m’n beschikking heb. Dit formaat wordt Classless Inter-Domain Routing (CIDR) genoemd, en dat is precies wat Google wil dat ik invul.
Echter, als ik dit invul zegt Google dat ik alleen ranges mag gebruiken van maximaal 65535 adressen.
Hoe kom ik achter de gebruikte range?
Ik heb een Fritzbox 7590 van Freedom, met standaard instellingen. Ik ontwikkel op Mac OS met Flask. En ik heb nergens een instelling gezien welk client ip-adres er gebruikt wordt…
Wisselende IPv6 adressen zijn een goed iets (de privacy options).
Maar een SMTP client kan ook aan een IP-adres “verbonden” ( bind() ) worden (als het een goed pakket is… )
Ik gebruik ook Exim, en heb specifieke adressen (inclusief ipv6) aan afzenders verbonden (inclusief DKIM settings trouwens).
Richting een bepaalde server kun je net zo goed een bepaald adres gebruiken (zeker als je ook iet met username/ww achterlaat).
“Wisselende IPv6 adressen zijn een goed iets (de privacy options).”
Dat wordt op een gegeven moment zo’n verhaal wat iedereen van elkaar over schrijft en waarvan veel mensen gaan aanmemen dat het dan wel waar zal zijn.
Zoals zovaak is dit systeem van wisselende adressen bedacht om EEN specifiek probleem op te lossen, en als je niet met dat probleem te maken hebt dan heeft het ook geen zin.
Als je (zoals hier wellicht) thuis een server hebt staan die altijd op je Freedom aansluiting zit dan hebben die wisselende adressen geen zin. Je kunt dat dan net zo goed uitzetten. En de problemen van dit topic daarmee vermijden.
Deze feature is alleen bedoeld voor situaties waarin je bijvoorbeeld een laptop met je mee neemt en op allerlei plekken verbindt met andere netwerken (Wifi, mobiel internet). Als je dan niet die privacy extensions hebt dan kan een site die je bezoekt zien dat het hetzelfde apparaat is wat verbinding maakt maar nu vanaf een ander netwerk.
Dan nog moet je je afvragen wat daarvan het probleem is. Denk niet “als ik dit aanzet dan kan ik niet gevolgd worden” want dat kan behalve via je adres nog op tig andere manieren.
Ik zou een extra statisch IPv6 adres aan m’n interface kunnen toevoegen. smtplib.create_connection van Python ondersteund source_address, maar helaas geeft Flask-Mail (het laagje bovenop smtplib die ik gebruik) dat niet door. Ik zou hiervoor een issue (en fix) voor kunnen aanmaken bij Flask-Mail, maar op korte termijn is dit geen oplossing.
Ik zal dus voor m’n computer één statisch IPv6 adres moeten configureren. M’n vraag is: hoe bepaal/krijg ik een IPv6 adres.
Kan ik op basis van m’n X:Y:Z::/48 prefix zelf iets willekeurig kiezen? Of kun je dit in de Fritzbox kiezen? Of kan ik een IPv6 adres aan een MAC adres “pinnen”. Afijn, ik ga kijken op m’n Fritzbox als ik thuis ben.
Ja je kan binnen je prefix elk willekeurig adres gebruiken… (maar je hebt mogelijk te maken met een LAN met een sub-prefix dan moet dat binnen die prefix blijven),
Bij IPv6 kan je net zoveel adressen op een interface zetten als je wil. Theoretisch bij Freedom: 2^80 ( = 2^(128-48) )
Het is dus geen probleem om privacy mode aan te zetten EN vaste adressen voor services… (best of BOTH ) op een interface te zetten…
Waarom je je beperken tot een (1) adres…, dat is zo IPv4.
En waarom zou de mailserver (SMTP) hetzelfde adres moeten hebben als de Mail store (IMAP) zelfs als beide diensten op een machine draaien kun je er toch verschillende adressen aan geven…, “als het later groot wordt” kun je de diensten op een eigen server (of zelfs farm) zetten zonder adres aan te passen.
Al mijn server systemen/containers hebben 1 vast adres + een tijdelijk adres. En indien nodig een paar extra.
De uitgaande verbindingen zijn niet naar de server (systeem/container) herleidbaar, terwijl de server wel bereikbaar is, en oh, de mailserver doet een bind aan een vast adres omdat E-Mail dan beter bezorgd wordt. Alleen niemand kan van buitenaf zeggen wel systeem z’n updates aan het downloaden is…
“Ik zal dus voor m’n computer één statisch IPv6 adres moeten configureren. M’n vraag is: hoe bepaal/krijg ik een IPv6 adres.”
Je krijgt van Freedom een X:Y:Z::/48 prefix. Daarvan wordt 1 netwerk adres aan je netwerk toegekend. Vaak zal dat X:Y:Z:1::/64 zijn. Die 1 moet je even checken in je huidige adres, kan ook een ander cijfer zijn. Als het een 0 is zal het er niet staan en zie je daar :: staan.
Nu weet je je netwerk adres. Daarbinnen mag je de onderste 64 bits zelf kiezen.
Je ziet daar vaak van die woordjes die uit hex zijn opgebouwd, dus iets van:
X:Y:Z:1:DEAD:BEEF:CAFE:0001 ofzo. Maar dat hoeft niet, je kunt ieder willekeurig random getal pakken. De kans dat je een dubbele maakt is astronomisch klein…
Ik ga voor één statisch adres. Wisselend heeft voordelen, maar in op dit moment te veel nadelen. Om dit te gebruiken, zal ik dus een wisselende en een statisch IPv6 adres aan m’n interface moeten koppelen.
M’n mail-library ondersteund dit nog niet.
Daarnaast is dit een per-machine instelling. Ik heb op dit moment alleen instellingen voor gedefinieerde omgevingen: ontwikkeling, test en productie.
Daarnaast is de per-machine instelling nog iets ingewikkelder, omdat ik m’n laptop op meerdere netwerken kan gebruiken (thuis & werk).
Een alternatieve oplossing zou de SMTP-server zelf als machine instelling doen. Dan kan ik thuis de freedom-SMTP server gebruiken, en op het werk die van Google. Maar dat is ook per-machine, en voor ik dit ga doen wil ik hier eerst wat beter over nadenken.
Dank voor de de antwoorden, inzichten en overwegingen.