нужен ли ip6 для сайтов веб сервера или почты?

Apple топит. А так - сам смотри.

В firefox например резольвинг в ipv6 по умолчанию отключен, так как далеко (очень далеко) не все серверы отвечают по этому протоколу и требуется повторный резольвинг ip4 адреса. В результате практически постоянного двойного резольвинга скорость открытия страниц снижается и юзеры жалуются на тормоза.

А вообще почему нет. Заодно и научишься. Хотя вряд ли по ipv6 будет много заходов.

Для почты работает, но с такими оговорками, что иногда не остается никакого выхода, кроме как запретить IPv6 вообще, или сделать исключение, чтобы с Google по IPv6 не общаться.

Почтовые сервера Google применяют гораздо более строгие правила антиспама, которым твой сервер должен удовлетворять. Одним из дополнительных необходимых условий является то, что у IPv6-адреса твоего почтового сервера есть обратная DNS-запись, которая в него же разрешается в прямой зоне. Аналогичное правило для IPv4 является не жестким требованием, а всего лишь рекомендацией.

Нужен. И почему ip6tables в тегах? Переходи на nftables, там сразу ipv4 и ipv6 настраивается.

Что за резольвинг у тебя отключён? Firefox сразу запрашивает оба адреса в DNS. Если ipv6 нет, то сразу по ipv4 обращается к сайту, если ipv6 есть то к нему. Если этот ipv6 не работает по какой-либо причине (админ обезьяна не настроил, а днс прописал), то через секунду браузер обращается по ipv4. Firefox у меня всегда предпочитает ipv6 и нормально всё открывает.

да у меня в настройках провайдера rDNS только ip4
и статический ип6 еще надо получить как я понял?
я думал ип6 только для сайтов сделать но так походу нельзя

В смысле для ipv4 обратка - рекомендация? Всегда обязательной была.

Статический IPv6 скорее всего у тебя есть. По поводу rDNS для IPv6 - обратись в поддержку, обычно делают вручную, даже если в панели это не предусмотрено.

IPv6 только для сайтов, а не для почты - в Postfix делается в main.cf строчкой inet_protocols = ipv4. Или если нужно решение только для гугла, то см. https://blog.hqcodeshop.fi/archives/122-Fixing-Googles-new-IPv6-mail-policy-with-Postfix.html (с поправкой на имевшую место переформулировку ошибки).

В смысле для ipv4 обратка - рекомендация? Всегда обязательной была.

Я отвечал с точки зрения гугла. Если SPF и DKIM правильные, то по IPv4 неправильную или отсутствующую запись в обратной зоне они прощают. А по IPv6 - нет. Сразу ошибка 550-5.7.1.

Нет там никаких дополнительных уязвимостей. Дополнительные настройки (не безопасности а вообще) - скорее всего да. Пользы мало, у всех нормальных ipv4 имеется и не ломается, а если падает то целиком всё подключение.

Ну и ещё такой момент: включая ipv6, ты двигаешь в его пользу статистику его использования, которую потом используют как аргумент ipv6-агитаторы. Лично я предпочту им не помогать, потому что они себя ведут как сектанты (хотя последнее время их активность заметно снизилась).

У меня network.dns.disableIPv6 в false. Признаюсь, был не прав, по умолчанию он включён, просто у меня отключен. Видимо я сам его когда то зачем то отключал.

Странный у них подход. Я на своём сервере сначала проверяю обратку и отшиваю, а потом уже spf и dkim.

В firefox например резольвинг в ipv6 по умолчанию отключен

вот этот?

network.dns.disableIPv6=false

я ничего не делал, но у меня ipv6 в ФФ работает

ФФ вроде как и большинство приложений ориентируется на /etc/gai.conf

посмотрел на своем роутере статистику

IP6
        RX packets 17499444  bytes 21458443474 (19.9 GiB)
        TX packets 8389890  bytes 1022273689 (974.9 MiB)
IP4
        RX packets 6097875  bytes 7710814436 (7.1 GiB)
        TX packets 2277561  bytes 202518620 (193.1 MiB)

разные схемы маршрутизации, мои vds/ds более отзывчивы по ipv6, что было неожиданным открытием

да у меня в настройках провайдера rDNS только ip4

DNS сервер, работающий по IPv4 спокойно может отдавать AAAA записи.

DNS сервер, работающий по IPv4 спокойно может отдавать AAAA записи.

Речь про обратную зону и, соответственно, про PTR-записи. И да, DNS-у для этого IPv6 не нужен, но нужно, чтобы он держал зону вроде этой: 5.1.8.0.5.0.0.4.0.0.8.6.4.0.4.2.ip6.arpa.

ipv6 безопаснее по простой причине

Есть поисковик sodam и владельца ipv4 через 5минут nmap или его аналогом снимут отпечаток: что стоит, какие порты открыты, китайцы на fail2ban на не стандартном порту ssh, тут же светится начинают (информация 6 месячной давности но не думаю, что что-то изменилось). Владелец ipv6 от это напасти избавлен.

Плюс очень незначительный на IOS ipv6 быстрее dns записи AAAA вперед А запрашиваются, но это же и минус в других os все наоборот.

Для почты - вреден.

Для остального - не нужен и не вреден.

Я думаю, BIND умеет так лет 20 уже.

Плюс очень незначительный на IOS ipv6 быстрее dns записи AAAA вперед А запрашиваются, но это же и минус в других os все наоборот.

Практически во всех современных операционных системах по умолчанию работает happy eyeballs, дающий приоритет IPv6.

Нужен. Работать будет быстрее к тех, кто имеет IPv6 связанность.

Никаких особых сложностей с почтой нет. Некоторые жалуются на проблемы доставки почты в gmail, но, насколько я знаю, они решаются после прочтения и применим рекомендаций Google.

не знал спс