ぷらら Transix DS-Lite経由のメールアクセス IP blocking解消

2019年6月5日頃より続いていた「ぷらら Transix DS-Lite経由のIP blocking」が6月25日20時から21時の間に解消された。

---- 経緯 --------------------------
ぷらら Transix DS-Lite経由のメールアクセス エラー
ぷらら Transix DS-Lite経由のメールアクセス エラー#2
　　--- ぷらら以外のメールサーバ（office365.com）（iCloud.com）に関して
ぷらら Transix DS-Lite経由のメールアクセス エラー#3
　　--- Transix DS-Lite以外の経路でメールサーバにアクセス
ぷらら Transix DS-Lite経由のメールアクセス エラーは、「スパムメール対策のブロック！」？？？

------------------------------
Synology DS-216Jで「ぷららTransix DS-Lite経由のメールアクセス エラー」を定期チェック
------------------------------
定期チェック結果


ぷららサポートセンターからも「解消」した旨の通知が来ていた。

一件落着

ぷらら Transix DS-Lite経由のメールアクセス エラーは、「スパムメール対策のブロック！」？？？

--- 2019/06/25 20:00-21:00の間にIP port blockingが解除されたようです ---
6月5日頃から「ぷらら」のメールが受信できなくなっていた。
調べてみるとIPv6メールサーバからは送受信できていたが、IPv4メールサーバからだけ送受信できていなかった。
ネットワーク環境は、「ぷららのV6エクスプレス」を利用し、IPv6「Transix」、IPv4「Transix DS-Lite（IPv4 over IPv6）」で構成されている。
詳細は、「ぷらら Transix DS-Lite経由のメールアクセス エラー」
「ぷらら Transix DS-Lite経由のメールアクセス エラー#2」でぷらら以外のメールサーバー（office365.com）（iCloud.com）で確認
「ぷらら Transix DS-Lite経由のメールアクセス エラー#3」でTransix DS-Lite以外の回線経由で確認

Transix DS-Lite経由のメールアクセスは、「ぷらら以外のプロバイダーに接続して、ぷららのメールを送受信したい」に該当するため、サブミッションポート587とsmtp authでOutbound port 25 blockingに対応設定している。「海外の一部地域」を除けば利用出来るはずである。




「ぷらら」のメールサーバー仕様は、下記の通りで


IMAP4利用時の設定情報


POP3使用時の設定情報


が公開されている。これらを纏めると

IMAP4利用時（事前にWebメールサーバで設定が必要）
送信サーバ： secure.plala.or.jp:465(SSL)/587(TLS) w/ smtp auth
受信サーバ： imap.plala.or.jp:993

POP3利用時
送信サーバ： secure.plala.or.jp:25（ぷらら網内）
　　　　　　 secure.plala.or.jp:465(SSL)/587(TLS) w/ smtp auth
受信サーバ： secure.plala.or.jp:995(SSL)

となる。ぷらら網内からpop3(110)及びimap4(143)が使えるかは、最近確認していないので不明。
また、メール標準スペックから「secure.plala.or.jp」「imap.plala.or.jp」は、IPv4及びIPv6に対応している事になっている。
しかし、DNSからIPv6アドレスを検索する事が出来ないので、未対応扱いである。
2018年3月時点のIPv6関連ページでは、IPv6メールサーバは、「v6mail.plala.or.jp」となっていた。「v6mail.plala.or.jp」メールサーバは、IPv4/IPv6 dual stackである。


2週間以上経過しても回復しないので「ぷらら」サポートセンターに問い合わせを行った。

ぷららサポートセンタから「回答」を得たが理解し難い

接続機器と無関係な状況なのだが。。。
「セキュリティ保全」を持ち出すとは。。。
別メールでは「解除申請方法も無い！」。。。
との事でした

６月５日以前には、利用出来ていたので、ユーザサイドで確認できる範囲で調べてみた。

-- ぷらら V6エクスプレス Transix DS-Lite（IPv4 over IPv6）
ぷららサポートセンターの言う「スパムメール対策」状態
⭕️ secure.plala.or.jp:465（SMTP over SSL）
⭕️ secure.plala.or.jp:995（POP3 over SSL）
❌ secure.plala.or.jp:587（SMTP TLS[startTLS]）
❌ imap.plala.or.jp:993（IMAP4 over SSL）

-- ぷらら IPv4 PPPoE接続（ぷらら網内接続）
⭕️ secure.plala.or.jp:465（SMTP over SSL）
⭕️ secure.plala.or.jp:995（POP3 over SSL）
⭕️ secure.plala.or.jp:587（SMTP TLS[startTLS]）
⭕️ imap.plala.or.jp:993（IMAP4 over SSL）

-- iPhone6S テザリング（Aeon mobile/DoCoMo/IIJ) ぷらら以外のプロバイダーから接続
⭕️ secure.plala.or.jp:465（SMTP over SSL）
⭕️ secure.plala.or.jp:995（POP3 over SSL）
⭕️ secure.plala.or.jp:587（SMTP TLS[startTLS]）
⭕️ imap.plala.or.jp:993（IMAP4 over SSL）

WZR-HP-G300NHのOpenWrtのDS-Lite接続から確認すると
-- OpenWrt DS-Lite(IPv4 over IPv6)
⭕️ secure.plala.or.jp:465（SMTP over SSL）
⭕️ secure.plala.or.jp:995（POP3 over SSL）
⭕️ secure.plala.or.jp:587（SMTP TLS[startTLS]）
⭕️ imap.plala.or.jp:993（IMAP4 over SSL）

接続できる。何が違うのか？？？
Transix DS-Lite接続でアサインされるインターネット側IPv4アドレスを確認してみた
（切断と接続を短時間で繰り返してもなかなか変化しない）

❌ 217.178.17.39
❌ 217.178.26.76

⭕️ 103.2.250.76
⭕️ 103.2.251.155
⭕️ 103.2.248.250

「103.2.248.0/22」-2014/10/1 Internet Multifeed
「217.178.26.0/23」 -2019/2/4 登録（「217.178.0.0/16」Internet Multifeed管理）
「ぷらら Transix DS-Lite経由のメールアクセス エラー」で2019年6月4日にTransix DS-Liteの工事情報についてメモした。恐らくDS-Lite AFTRの増設工事あるいは、アウターIPv4アドレスの増設が行われたのであろう。
増設されたIPv4アドレスで「secure.plala.or.jp:587」と「imap.plala.or.jp:993」をブロックしているのだとすると不思議な「スパムメール対策」と言える。IMAP4接続を整理したい？しかし、「Outbound port 25 blocking」でサブミッションポート587を準備しているのにこれを「スパムメール対策」と称してブロックするのも考えにくい（サポートセンターの苦しまぎれの言い訳か？）。。。
「ぷらら V6エクスプレス」で接続保証しているルータ機器でも同じ現象が発生すると思うが。。。
「接続保証機器」からの接続は、「特別なAFTRアドレス」を使い「スパムメール対策」されないIPv4アドレスがアサインされるとか。。。
あまり生産的でない。。。
そのうち「サポートセンターの言う「スパムメール対策」を解除せざるを得なくなるのか、強引に「secure.plala.or.jp:465」と「secure.plala.or.jp:995」を使わせるのか。。。

--- 2019年6月22日現在のぷららサポートセンターの言う「スパムメール対策」への対策 ---
「secure.plala.or.jp:587」 ➡️ 「v6mail.plala.or.jp:587」
「imap.plala.or.jp:993」 ➡️ 「v6mail.plala.or.jp:993」
を使うのが良い（IPv4/IPv6両用）。

ぷらら IPv6 IPoE（Transix）速度テスト

フレッツ 光ネクスト ハイスピード（D:200Mbps / U:100Mbps）
ぷらら光 光セット（+ V6エクスプレス）
ホームゲートウェイ PR-S300SE（バージョン 22.01）[ひかり電話/フレッツ・テレビ]
インターネットルータ YAMAHA NVR-500（バージョン 11.00.38）

[Wire] Macbook pro（macOS Mojave 10.14.5）

IPv4は、見ごとに「フレッツ光ネクスト　ハイスピード」の契約最大速度に張り付いている。
IPv6は、2012年6月6日のIPv6 Launchから少し落ちてきているようだ。

[WiFi] iPhone6S (iOS 12.3.1)

WiFiは、それなりの速度。
全く不満はない。

DS-Lite（IPv4 over IPv6）では、フレッツ光 ハイスピード（下り200Mbps/上り100Mbps）でも「下り1Gbps/上り1Gbps」で利用出来るような「都合の良い」事を読んだ記憶があったので「IIJmio」を調べてみた。

---
IIJmioサービスライン
「NTTのフレッツ 光ネクスト回線を利用したサービス」

ここでは、ハイスピードは、IPv4下り200Mbpsとなっている。

---
FiberAccess/NF概要
通信速度
インターネット（IPv6 IPoE）接続の場合

ハイスピードのIPv6下り1Gbps

DS-LiteによるIPv4接続の場合

ハイスピードのIPv4下り1Gbps

---
DS-Liteについて
通信速度

ハイスピードのIPv4下り1Gbps

これらの事から疑問が、
Transix DS-Liteは、契約毎に「トラフィック制限」を設定しているのだろうか？
ぷららのV6エクスプレスで「ギガファミリー」のIPv4通信速度はどうなるのか？？
ハイスピードからギガラインに変更するとどうなるのか（IPv6 Prefixが変わるのか）？？？
--- 2019/6/16 追記：NGNファミリー・ハイスピード仕様でIPv4（D:200Mbps/U:100Mbps)/IPv6（D:1Gbps/U:100Mbps）速度が制限される。IPv4は、PPPoE接続仕様なのでNTT端末設備で制御が可能。IPv4overIPv6は、VNE側端末（BR）で制御出来る（IPv4下り速度を最大1Gbpsまで）。V6エクスプレスは、VNEとの契約でIPv4の速度を制限している事が推察される。

IIJmio FiberAccess/NF（IPv6: Internet Multifeed/IPv4: IIJ） ¥2,160円/月（税込）
ぷらら V6エクスプレス（IPv6: Internet Multifeed/IPv4: Plala） ¥1,296円/月（税込）
なので、メールアカウントやプライベートホームページサービスも付いているので不満は無い。

ヤマハのRTX-830/1210でOCNバーチャルコネクトに対応する予定が発表された。NVR500やNVR510に対応されるか不明だ。
「NVR500でV6プラスに接続してみた」や「v6プラス導入（NVR510）」、「NVR510もV6プラスに対応」、「MAP-Eの接続先情報」など、VNE毎の設定情報も入手しやすくなってきている。V6エクスプレスのVNEがOCNに変更されても対応出来そうである。

このままVNEが「Internet Multifeed」のままであると良いのだが、経営主体が変わるとどうなるのか。。。

--- 2019/07/15 追記：「ぷらら V6エクスプレス（ Transix DS-Lite ）速度確認」

ぷらら IPv4 over IPv6 IPoE利用条件の表現が変化した#2

「ぷらら IPv4 over IPv6 IPoE利用条件の表現が変化した-告知無しで・・・」確認後「ぷららのマイページ」を観ていなかった。「ぷららV6エクスプレス」の「IPoE対象接続先」も変更になっていた。

2019年6月15日確認（利用条件の変化後）

「ぷらら IPv4 over IPv6 IPoE利用条件の表現が変化した-告知無しで・・・」メモ9日後

2018年10月25日確認

「ヤマハ NVR500で「ぷらら」のIPv6 IPoE接続を行う」のコメント応答時に確認

2018年6月11日確認（開通直後）

「ヤマハ NVR500で「ぷらら」のIPv6 IPoE接続を行う」メモ時に確認

ぷらら Transix DS-Lite経由のメールアクセス エラー#3

「ぷらら Transix DS-Lite経由のメールアクセス エラー」「ぷらら Transix DS-Lite経由のメールアクセス エラー#2」で記載したMacbook pro端末（mac OS Mojave 10.14.5）をAeon mobile（IIJ/Docomo） SIMのiPhone6SにWiFiテザリングして確認。
WiFiテザリング接続


指定されたIPv4/IPv6


IPv4はプライベートアドレスだがNAT外側IPv4およびIPv6は、「IIJ」


ブラウザ情報


シェルスクリプトで一気に確認

-------- chkplala-all.sh
#!/bin/sh
#-- plala mail IPv4 only
rst1=`echo quit | openssl s_client -quiet -connect secure.plala.or.jp:465 2>/dev/null | grep "ESMTP server ready"`
rst2=`echo -e "ehlo\nquit" | openssl s_client -quiet -connect secure.plala.or.jp:587 -starttls smtp 2>/dev/null | grep "ESMTP server closing"`
rst3=`echo "? logout" | openssl s_client -quiet -connect imap.plala.or.jp:993 2>/dev/null | grep "OK ready"`

if ! [ "$rst1" = "" ]; then echo "Plala(IPv4)smtp:465SSL=>$rst1"; fi
if ! [ "$rst2" = "" ]; then echo "Plala(IPv4)smtp:587TLS=>$rst2"; fi
if ! [ "$rst3" = "" ]; then echo "Plala(IPv4)imap:993SSL=>$rst3"; fi

#-- plala IPv6 mail server IPv6/IPv4 dual stack
rst4=`echo -e "ehlo\nquit" | openssl s_client -4 -quiet -connect v6mail.plala.or.jp:587 -starttls smtp 2>/dev/null | grep "ESMTP server closing"`
rst5=`echo "? capability\n? logout" | openssl s_client -4 -quiet -connect v6mail.plala.or.jp:993 2>/dev/null | grep "CAPABILITY I"`
rst6=`echo -e "quit\nquit" | openssl s_client -6 -quiet -connect v6mail.plala.or.jp:587 -starttls smtp 2>/dev/null | grep "ESMTP server closing"`
rst7=`echo "? capability\n? logout" | openssl s_client -6 -quiet -connect v6mail.plala.or.jp:993 2>/dev/null | grep "CAPABILITY I"`

if ! [ "$rst4" = "" ]; then echo "V6mail.plala(IPv4)smtp:587TLS=>$rst4"; fi
if ! [ "$rst5" = "" ]; then echo "V6mail.plala(IPv4)imap:993SSL=>$rst5"; fi
if ! [ "$rst6" = "" ]; then echo "V6mail.plala(IPv6)smtp:587TLS=>$rst6"; fi
if ! [ "$rst7" = "" ]; then echo "V6mail.plala(IPv6)imap:993SSL=>$rst7"; fi

#-- exchange server alumni.tus.ac.jp IPv6/IPv4 dual stack
rst8=`echo "ehlo office365\nquit" | openssl s_client -4 -quiet -crlf -connect smtp.office365.com:587 -starttls smtp 2>/dev/null | grep "\.com"`
rst9=`echo "* logout" | openssl s_client -4 -quiet -crlf -connect outlook.office365.com:993 2>/dev/null | grep "BYE Microsoft"`
rst10=`echo "ehlo office365\nquit" | openssl s_client -6 -quiet -crlf -connect smtp.office365.com:587 -starttls smtp 2>/dev/null | grep "\.com"`
rst11=`echo "* logout" | openssl s_client -6 -quiet -crlf -connect outlook.office365.com:993 2>/dev/null | grep "BYE Microsoft"`

if ! [ "$rst8" = "" ]; then echo "office365(IPv4) smtp:587TLS=>$rst8"; fi
if ! [ "$rst9" = "" ]; then echo "office365(IPv4) imap:993SSL=>$rst9"; fi
if ! [ "$rst10" = "" ]; then echo "office365(IPv6) smtp:587TLS=>$rst10"; fi
if ! [ "$rst11" = "" ]; then echo "office365(IPv6) imap:993SSL=>$rst11"; fi
 
#-- iCloud server
rst12=`echo "ehlo icloud.com\nquit" | openssl s_client -4 -quiet -connect smtp.mail.iCloud.com:587 -starttls smtp 2>/dev/null | grep "\.com"`
rst13=`echo "* logout" | openssl s_client -4 -quiet -connect imap.mail.iCloud.com:993 2>/dev/null | grep "* OK \["`
rst16=`echo "ehlo Me.com\nquit" | openssl s_client -4 -quiet -connect smtp.mail.Me.com:587 -starttls smtp 2>/dev/null | grep "\.com"`
rst17=`echo "* logout" | openssl s_client -4 -quiet -connect imap.mail.Me.com:993 2>/dev/null | grep "* OK \["`

if ! [ "$rst12" = "" ]; then echo "iCloud(IPv4) smtp:587TLS=>$rst12"; fi
if ! [ "$rst13" = "" ]; then echo "iCloud(IPv4) imap:993SSL=>$rst13"; fi
if ! [ "$rst16" = "" ]; then echo "Me(IPv4) smtp:587TLS=>$rst16"; fi
if ! [ "$rst17" = "" ]; then echo "Me(IPv4) imap:993SSL=>$rst17"; fi
----

実行結果は、全てIPv4で応答あり


Transix DS-Lite経由だけでぷららメールサーバ「secure.plala.or.jp:587（startTLS）」と「imap.plala.or.jp:993（SSL）」にアクセス出来ないと言う事になる。


--- 2019/06/25追記
ぷらら Transix DS-Lite経由のメールアクセス エラー

ぷらら Transix DS-Lite経由のメールアクセス エラー#2
--- ぷらら以外のメールサーバ（office365.com）（iCloud.com）に関して

ぷらら Transix DS-Lite経由のメールアクセス エラー#3
--- Transix DS-Lite以外の経路でメールサーバにアクセス

ぷらら Transix DS-Lite経由のメールアクセス エラーは、「スパムメール対策のブロック！」？？？

------------------------------
Synology DS-216Jで「ぷららTransix DS-Lite経由のメールアクセス エラー」を定期チェック
------------------------------
ぷらら IPv4 over IPv6 IPoE利用条件の表現が変化した-告知無しで・・・
ぷらら IPv4 over IPv6 IPoE利用条件の表現が変化した#2