Blackhold

Configurar resolución Inversa IPv6 con bind

Posted on octubre 24th, 2015 by admin

Algunos os habíais puesto en contacto a través del formulario de contacto de mi blog pero por algún motivo no recibía vuestros correos. Al mirar los logs me encontraba con esto:

2015-10-23 16:35:19 1ZpdR7-0002ax-Ar ** laralalalala@gmail.com R=dnslookup T=remote_smtp X=TLS1.2:ECDHE_RSA_AES_128_GCM_SHA256:128 DN="C=US,ST=California,L=Mountain 
View,O=Google Inc,CN=mx.google.com": SMTP error from remote mail server after end of data: host gmail-smtp-in.l.google.com [2a00:1450:400c:c05::1a]: 550-5.7.1 [2a00:150
8:6001::666] Our system has detected that this message does\n550-5.7.1 not meet IPv6 sending guidelines regarding PTR records and\n550-5.7.1 authentication. Please revi
ew\n550-5.7.1  https://support.google.com/mail/?p=ipv6_authentication_error for more\n550 5.7.1 information. f2si4186183wiy.75 - gsmtp
2015-10-23 16:35:19 1ZpdR9-0002b2-7I <= <> R=1ZpdR7-0002ax-Ar U=Debian-exim P=local S=2822
2015-10-23 16:35:19 1ZpdR7-0002ax-Ar Completed
2015-10-23 16:35:19 1ZpdR9-0002b2-7I => www-data  R=local_user T=maildir_home
2015-10-23 16:35:19 1ZpdR9-0002b2-7I Completed

Éste error aparece desde hace unos 15 días y es que google, donde se me mandan los correos, dice que no le gustaba la IPv6 de mi servidor de correo. La forma que acepta los correos google es mediante una dkim firmada o un PTR definido, así que lo que he ido a hacer ha sido definir el PTR para mi dirección IPv6.

Lo primero he tenido que pedir es que me delegaran mi rango 2a00:1508:6000::/40 a mi servidor de DNS, una vez hecho esto he modificado el fichero /etc/bind/named.conf.local y he añadido la nueva zona:

// RANG IPv6
zone "0.6.8.0.5.1.0.0.a.2.ip6.arpa." {
        type master;
        file "/var/lib/bind/2a00_1508_6000_40.rev";
        allow-query { any; };
        };

Al igual que en IPv4, la zona se escribe al revés y no indicamos en el primer parámetro el rango de la subred. Un ejemplo para IPv4 sería éste de un /26: 128/26.205.10.5.in-addr.arpa

A continuación crearemos el fichero de zona donde se lo hemos indicado y el formato será el siguiente:

$ORIGIN 0.6.8.0.5.1.0.0.a.2.ip6.arpa.
$TTL    28800
@       IN      SOA     ns1.capa8.net. hostmaster.capa8.net. (
                        2015102401 ;serial number
                        10800      ;refresh
                        3600       ;update retry
                        604800     ;expiry
                        38400      ;nx =nxdomain ttl
        )
        IN      NS      ns1.capa8.net.
        IN      NS      ns2.capa8.net.

6.6.6.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0     PTR     nusepas.com.

En $ORIGIN ponemos la delegación del /40, que vendría a ser “2a00:1508:60xx:xxxx:xxxx:xxxx:xxxx:xxxx”.

En el registro PTR tenemos que escribir el resto de la IP también al revés, en éste caso, la dirección completa del servidor es 2a00:1508:6001:0000:0000:0000:0000:0666, que resumida sería 2a00:1508:6001::666 y al final el dominio el cual tiene que resolver la inversa.

Para verificar que funciona usaremos host contra la IPv6

laura@carboni:~$ host 2a00:1508:6001::666
6.6.6.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.0.6.8.0.5.1.0.0.a.2.ip6.arpa domain name pointer nusepas.com.

Si la resolución no fuese correcta nos diría lo siguiente

laura@carboni:~$ host 2a00:1508:6001::666
Host 6.6.6.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.0.6.8.0.5.1.0.0.a.2.ip6.arpa not found: 3(NXDOMAIN)

Y el resultado del problema que tenía al principio es éste:

2015-10-23 21:43:11 1ZpiF3-0005k4-CG => laralalalala@gmail.com R=dnslookup T=remote_smtp H=gmail-smtp-in.l.google.com [2a00:1450:400c:c0b::1a] X=TLS1.2:ECDHE_RSA_AES_128_GCM_SHA256:128 DN="C=US,ST=California,L=Mountain View,O=Google Inc,CN=mx.google.com" C="250 2.0.0 OK 1445629391 a20si7056305wik.26 - gsmtp"
2015-10-23 21:43:11 1ZpiF3-0005k4-CG Completed

Ahora lo siguiente es encontrar la forma de generar automáticamente los PTR para IPv6 con $GENERATE que tiene un poco de guasa :(

This entry was posted on dissabte, octubre 24th, 2015 at 00:28 and is filed under dns-dhcp, IPv6. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

« »

guy fawkes