MX records
Als MX records (kurz für englisch Mail Exchange Resource Records) bezeichnet man grundsätzlich einen zu einer Domain gehörenden Eintrag im Domain Name System, der den Zweck hat, die Funktion von SMTP-Mailzustellung auch beim Ausfall einzelner Server zu gewährleisten. Es handelt sich konkret um eine Auflistung aller Fully Qualified Domain Names, unter denen die gegebenenfalls verschiedenen Mailserver einer Domain zu erreichen sind.
Bedeutung bekommt MX records im Vorgang des E-Mailversandes. Der Server, der zur Absenderadresse gehört, fragt zunächst den zur Zieldomain gehörenden MX records ab und versucht dann, zum ersten Eintrag eine Verbindung aufzubauen. Misslingt dies, fährt der Server mit einem Verbindungsversuch zum zweiten Eintrag fort etc. Scheitert ein Verbindungsaufbau zu allen Einträgen und ist es dem Server der Absenderadresse außerdem nicht möglich, eine Direktverbindung zu einer zur Zieldomain gehörenden Mailserver-IP-Adresse aufzubauen, wird der E-Mail-Versand mit einer Fehlermeldung abgebrochen. Durch die standardisierte Abarbeitung der Indexliste von MX records ist es verhältnismäßig unproblematisch, einzelne Mailserver vorübergehend aus dem System zu entfernen.
Zur Domain www.bundestag.de des Deutschen Bundestages gehören beispielsweise 4 Mailserver, die sich bei einer Abfrage von MX records wie folgt aufschlüsseln:
bundestag.de mail exchanger = 50 mail1.dbtg.de
bundestag.de mail exchanger = 50 mail2.dbtg.de
bundestag.de mail exchanger = 50 mail4.dbtg.de
bundestag.de mail exchanger = 500 mail3.dbtg.de
Je niedriger die zugeordnete Nummer ist, desto höher ist die Priorität, in der der Server angesteuert wird. Eine E-Mail an eine @bundestag.de-Adresse würde also an mail1.dbtg.de zugestellt werden, solange das zugehörige System funktioniert. Bei einem Ausfall würde entsprechend der MX records mail2.dbtg.de einspringen etc. Selbst ein Ausfall der 3 am höchsten eingestuften Server würde einen E-Mail-Empfang über mail3.dbtg.de als redundantem System weiterhin ermöglichen, eine @bundestag.de-Adresse wäre erst in dem unwahrscheinlichen Fall nicht mehr erreichbar, dass alle 4 Server ausfallen.
Problematisch ist dabei der offene Aufbau der MX records, dem erst in den letzten Jahren vielfach, allerdings noch nicht flächendeckend, durch eine zusätzliche SMTP-Authentifizierung beim Login entgegengewirkt wird. Handelsübliche Betriebssysteme können über den Unix-Befehl nslookup alle MX records abrufen und - sofern eine SMTP-Authentifizierung nicht gefordert ist - eine offene Telnet-Verbindung zu einem Mailserver aufbauen. Ohne weitere Sicherungsmaßnahmen ist es auf diese Weise relativ einfach möglich, zum Beispiel die Existenz bestimmter E-Mail-Adressen abzufragen. Da MX records außerdem die Priorität der redundanten Mailserver entnommen werden kann, ist es überdies problematisch, dass wichtige Sicherheitssoftware - wie zum Beispiel Spamschutzsysteme - häufig nur auf denjenigen Systemen läuft, die in der Priorität besonders hoch eingestuft sind.
Bedeutung bekommt MX records im Vorgang des E-Mailversandes. Der Server, der zur Absenderadresse gehört, fragt zunächst den zur Zieldomain gehörenden MX records ab und versucht dann, zum ersten Eintrag eine Verbindung aufzubauen. Misslingt dies, fährt der Server mit einem Verbindungsversuch zum zweiten Eintrag fort etc. Scheitert ein Verbindungsaufbau zu allen Einträgen und ist es dem Server der Absenderadresse außerdem nicht möglich, eine Direktverbindung zu einer zur Zieldomain gehörenden Mailserver-IP-Adresse aufzubauen, wird der E-Mail-Versand mit einer Fehlermeldung abgebrochen. Durch die standardisierte Abarbeitung der Indexliste von MX records ist es verhältnismäßig unproblematisch, einzelne Mailserver vorübergehend aus dem System zu entfernen.
Zur Domain www.bundestag.de des Deutschen Bundestages gehören beispielsweise 4 Mailserver, die sich bei einer Abfrage von MX records wie folgt aufschlüsseln:
bundestag.de mail exchanger = 50 mail1.dbtg.de
bundestag.de mail exchanger = 50 mail2.dbtg.de
bundestag.de mail exchanger = 50 mail4.dbtg.de
bundestag.de mail exchanger = 500 mail3.dbtg.de
Je niedriger die zugeordnete Nummer ist, desto höher ist die Priorität, in der der Server angesteuert wird. Eine E-Mail an eine @bundestag.de-Adresse würde also an mail1.dbtg.de zugestellt werden, solange das zugehörige System funktioniert. Bei einem Ausfall würde entsprechend der MX records mail2.dbtg.de einspringen etc. Selbst ein Ausfall der 3 am höchsten eingestuften Server würde einen E-Mail-Empfang über mail3.dbtg.de als redundantem System weiterhin ermöglichen, eine @bundestag.de-Adresse wäre erst in dem unwahrscheinlichen Fall nicht mehr erreichbar, dass alle 4 Server ausfallen.
Problematisch ist dabei der offene Aufbau der MX records, dem erst in den letzten Jahren vielfach, allerdings noch nicht flächendeckend, durch eine zusätzliche SMTP-Authentifizierung beim Login entgegengewirkt wird. Handelsübliche Betriebssysteme können über den Unix-Befehl nslookup alle MX records abrufen und - sofern eine SMTP-Authentifizierung nicht gefordert ist - eine offene Telnet-Verbindung zu einem Mailserver aufbauen. Ohne weitere Sicherungsmaßnahmen ist es auf diese Weise relativ einfach möglich, zum Beispiel die Existenz bestimmter E-Mail-Adressen abzufragen. Da MX records außerdem die Priorität der redundanten Mailserver entnommen werden kann, ist es überdies problematisch, dass wichtige Sicherheitssoftware - wie zum Beispiel Spamschutzsysteme - häufig nur auf denjenigen Systemen läuft, die in der Priorität besonders hoch eingestuft sind.
