Backup-MX

Eine hohe Verfügbarkeit ist wichtig und da heute auch geschäftskritische Daten per SMTP übertragen werden, muss natürlich auch das Mailsystem "hoch" verfügbar sein. Eine Komponente ist hierbei der Weg aus dem Internet in das unternehmen. Die Entwickler des Protokolls SMTP haben hier schon früh dran gedacht und bei der Spezifikation des MX-Record auch gleich den Weg eines "Backups" eingeplant. Ein MX-Record verweist auf einen Namen eines Systems und enthält zusätzlich auch eine Priorität. Hier am Beispiel von MSXFAQ.

C:\>nslookup -querytype=MX msxfaq.de

Server: www-proxy.H1.srv.t-online.de
Address: 217.237.149.161

Nicht autorisierte Antwort:
msxfaq.de MX preference = 10, mail exchanger = mx01.kundenserver.de
msxfaq.de MX preference = 10, mail exchanger = mx00.kundenserver.de

mx01.kundenserver.de internet address = 212.227.15.150
mx01.kundenserver.de internet address = 212.227.15.169
mx01.kundenserver.de internet address = 212.227.15.186
mx01.kundenserver.de internet address = 212.227.15.134
mx00.kundenserver.de internet address = 212.227.15.150
mx00.kundenserver.de internet address = 212.227.15.169
mx00.kundenserver.de internet address = 212.227.15.186
mx00.kundenserver.de internet address = 212.227.15.134

Wann kommt der Backup-MX zum Einsatz ?

Ein Mailserver nutzt normalerweise den MX-Eintrag mit den günstigsten Kosten. Nur wenn der Server nicht erreichbar ist (Also keine TCP-Verbindung per SMTP aufgebaut werden kann,  dann sollte der Server den nächst teuren Server nutzen. Ist der Server aber erreichbar und meldet einen "Fehler", wie die z.B.: beim Ablehnen einer Nachricht aufgrund eines ungültigen Empfängers der Fall ist, dann sollte der entfernte Server einen NDR erstellen. In diesem Fall wird er nicht auf einen anderen Mailserver umschwenken.

Nun ist es aber so, dass Spammer sehr wohl wissen dass sich hinter dem günstigen MX-Eintrag der aktuelle und gepflegte Server befindet und der zweite teurere MX oft ein Backup beim Provider ist.

Es ist kein Geheimnis, dass Spammer absichtlich den ersten MX nicht verwenden sondern den zweiten Server nutzen, weil Sie davon ausgehen, dass der Weg zum Postfach über den zweiten MX "einfacher" ist. Steht der Backup-MX beim Provider, so hat dieser Server meist keinen Spamschutz und Virenschutz bzw. ist sehr viel offener und damit "spamfreundlicher" konfiguriert. Schließlich ist der Server oft auch Backup-MX für verschiedene Kunden. Wenn Sie nun bei ihrem Spamschutz den Server des Providers als "Vertrauenswürdig" einstufen, dann wird ihr eigener Spamschutz sogar die Mails über den Provider blocken. Hat der Spamschutz noch eine IP-Blackliste, dann kommen auch legitime Mails über den Backup-MX nicht mehr durch. Zudem erstellt der Backup-MX jede Menge NDR.Meldungen, was ihnen ihr Provider irgendwann vorhält. (Siehe NDR Spamming)  Daher sollten alle Mailserver, die Nachrichten für ihre Domäne annehmen, identisch konfiguriert sein.

Betrachtung der Verfügbarkeit und Sicherheit

Ein Backup-MX gibt ihnen aber nur eine trügerische Sicherheit einer hohen Erreichbarkeit. Wenn ihr Mailsystem "down" ist oder die Leitung zum Internet weg wäre (was man durch Redundanz sichern kann), dann senden alle Absender ihre Mails zum Backup-MX. Dies ist aber ein Server, der weder unter ihrer Hoheit steht, noch in ihren Räumlichkeiten, und auf dem die Mails bei den meisten Unix-Basierten Mailservern als Dateien in einem Verzeichnis in Klartext liegen. (wenn nicht per SMIME/PGP vom Absender verschlüsselt)

Auch dieser Server kann "ausfallen" und ist viel eher noch ein Ziel für Angriffe. Gerade wenn er bei einem Provider steht, ist er oft Backup-MX für viele Kunden und gerne Ziel für Angreifer. Aber auch für Spione und Geheimdienste ist es sehr viel einfacher die Mails einfach von einem Mailserver duplizieren zu lassen (Stichwort TKÜV) statt auf der Leitung "abzulauschen".

Selbst wen ihr Leitung wieder "Online" ist, versucht der Backup-MX die Zustellung nicht sofort, sondern eben auch erst nach einiger Zeit. Mails ihrer Kunden liegen quasi "dazwischen" und weder sie noch der Absender kann etwas forcieren.

Daher sollten Sie sich die Frage stellen, welchen "Nachteil" ein fehlender Backup-MX hat. Fällt ihr Server aus, dann kann ihnen keiner Mails Senden. Das ist aber auch mit einem Backup-MX so.

Ohne Backup-MX kann der Absender zumindest bei sich sehen, dass die Mails noch nicht rausgegangen sind. Insofern kann er vielleicht auf Problem bei ihnen Rückschüsse ziehen. Aber auf der anderen Seite kann er wichtige Nachrichten dann eben auf anderem Wege versenden, weil er um die Probleme weiß.

Oder um es mal am Beispiel eines Faxgeräts zu demonstrieren

  • Server/Leitung ausgefallen = Fax ist ausgeschaltet
    Ihnen kann niemand etwas senden. Schade aber der Absender bekommt einen Fehler und kann das Schreiben dann als Postbrief aufgeben oder sie anrufen. Keine Gefahr.
  • Mails landen beim Backup-MX = Fax ist eingeschaltet aber hat kein Papier, Tinte leer o.ä.
    Der Absender versendet sein Fax und bekommt eine OK-Quittung. Der Empfänger aber hat das Fax nicht da es im Speicher des Geräts ist. (Hoffentlich kommt es nu nicht zu einem Stromausfall oder eine Fehlbedienung). Wer hat nun den "Schwarzen Peter?"

Daher habe ich nicht nur ungern ein Speicherfax sondern auch ungern einen Backup-MX.

... Und Spamschutz ?

Wenn es einen Backup-MX gibt, dann rechnen viele Spammer damit, dass dieser beim Provider mit einem weniger starken Spamschutz steht. Niemand zwingt einen Mailserver immer den erreichbaren primären Server zu nehmen. Ich kann also den Backup-MX nehmen, selbst wenn der primäre Server da ist. für Spammer ist das lohnend.

Es geht noch weiter: Wenn Sie auf ihrem Server eine Empfängerfilterung aktiv haben, d.h. nur Mails für Empfänger annehmen, die es auch gibt (Siehe RCPTTO), dann ist das erst einmal gut. Aber die wenigsten Firmen liefern diese Adressen auch an den Backup-MX. Die Folge ist, dass Spammer ihre Mails den den Backup-MX senden, der diese dann aber zu ihnen nicht los wird, da sie die Mail ja ablehnen.

Der Backup-MX muss dann, wenn er RFC konform sein will, einen NDR erstellen. Und schon haben wir eine neue Art "Spam". Siehe NDR Spamming.

Backup-MX - Nein danke !
Aus diesem Gründen würde ich als Firma nie einen Backup-MX zum Provider einrichten. Nur wenn ich selbst zwei Mailserver habe oder zwei Standorte mit eigenen Internetzugängen, dann kann ich meine beiden Zugänge auch identisch absichern (Spamschutz) und veröffentlichen. Ansonsten gewinne ich in der heutigen Zeit mit schnellen verfügbaren Leitungen nichts durch einen Backup-MX. Ich verliere nur hinsichtlich Spamschutz, NDR-Handling, Datensicherheit und Erreichbarkeit.

Wie machen es andere Firmen ?

Sie merken schon, dass ich einen Backup-MX bei einem Provider als ungeeignet ansehe. Ist das nur meine Meinung?. Ein Blick mit NSLOOKUP erlaubt uns eine Stichprobe, was andere Firmen machen: (Datum der Stichprobe 18. Juli 2006)

Firmen mit EINEM MX

Folgende Firmen haben genau einen MX-Record und verzichten auf einen zweiten MX-Eintrag

  • heise.de, ix.de
  • ard.de, zdf.de
  • linux.de
  • ibm.de, dell.de, dell.com

Das bedeutet nicht, dass diese Firmen nur einen Mailserver haben. per IP-RoundRobin oder Network Load Balancing können sich durchaus mehrere Server dahinter verbergen.

Firmen mit mehreren eigenen MX

Teilweise befinden sich alle Server sogar im gleichen Subnetz !!, also nicht mall an zwei Standorten.

  • spiegel.de
  • checkpoint.com
  • nokia.com
  • dell.com
  • trendmicro.com
  • wikipedia.com
  • rtl.de, sat1.de, pro7.de
  • bild.de, axel-springer-verlag.de, asv.de
  • bertelsmann.de, arvatoi.de, sony.de

Sie sehen also, dass Sie in guter Gesellschaft sind, wenn Sie nur einen MX-Eintrag betreiben oder alle MX-Einträge auf ihre eigenen Server verweisen.

Weitere Links