MX-Record

Ihre Firma ist im Internet und nutzt dazu eine eigene Domäne in der Form "example.com". Da ist es natürlich selbstverständlich, dass ihre Webseite unter "www.example.com" erreichbar ist. Aber natürlich wollen Sie auch al "benutzername@example.com" erreichbar sein. Hierzu dient der MX-Eintrag. MX ist die Abkürzung für "MaileXchange"

Der MX Eintrag in ihrer DNS-Zone teilt allen anderen Mailservern der externen Welt mit, auf welche IP-Adresse diese ihre Post für ihre Domäne einwerfen können. Welche Benutzer bzw. Postfächer oder Verteiler dahinter dann erreichbar sind, müssen Sie im DNS nicht publizieren. Eine DNS-Zone kann daher z.B.: wie folgt aussehen. Dies ist ein Auszug der Zone "msxfaq.de", der zum einen die Webseite aber auch die MX-Einträge im Internet veröffentlicht.

msxfaq.de.   SOA    ns7.schlund.de hostmaster.schlund.de (2004091701 28800 7200 604800 86400)
msxfaq.de.    NS    ns7.schlund.de
msxfaq.de.    NS    ns8.schlund.de
www            A    212.227.144.210
msxfaq.de.    MX    10 mx00.kundenserver.de
msxfaq.de.    MX    10 mx01.kundenserver.de
msxfaq.de    SOA    ns7.schlund.de hostmaster.schlund.de (2004091701 28800 7200 604800 86400)

Eingerahmt durch die "SOA"-Records (State of Authority) werden die Nameserver (NS) und ein A-Record für den Namen "www" und zwei MX-Records angegeben. Dabei bedeutet die "10" die Priorität und "mx00.kundenserver.der" ist ein Server, der Mails für die Domäne annimmt.

Für die Erreichbarkeit aus dem Internet ist es daher erforderlich, dass in dieser externen DNS-Zone die Mailserver für ihre Domäne hinterlegt werden

Details, wie Sie in den verschiedenen Konfigurationen der MX-Eintrag zu setzen ist, finden Sie weiter unten.

Der Mailserver, welcher die Verbindung annimmt, muss natürlich auch entsprechend konfiguriert werden, dass er für die Domäne zuständig ist. Eine Firewall oder ein Router davor muss ebenfalls sicherstellen, dass der Mailserver auch für SMTP (25/TCP) erreichbar ist.

MX im Details

Fragen und Antworten rund um MX-Einträge:

  • Brauche ich überhaupt einen MX-Eintrag.
    Ein MX-Eintrag stellt sicher, dass Mails an ihre Domäne auch zugestellt werden. Ein fehlender MX-Eintrag bedeutet, dass keine Mails an die Domäne zugestellt werden. Sie können natürlich weiterhin Mails an den Server direkt zustellen, z.B.: wenn ihr Server "www.example.com" heißt, dann können Sie auch an an "username@www.example.com" senden, da auch ein A-Record zur Auflösung heran gezogen werden kann. Alerdings ist die Einrichtung eines MX-Eintrags dringend angeraten.
  • Fehlerredundanz durch mehrere Einträge ?
    Sie können sehr viele MX-Einträge mit individuellen Kosten erstellen. Dies ist ein häufig genutzter Weg, wie ein Provider die Mails für einen Kunden direkt zum Kunden sendet und beim Ausfall der Leitung als Ersatz einspringt und die Mail zwischenspeichert. Der Mailserver des Providers wird dabei im DNS als Mailserver mit höheren Kosten eingetragen (BackupMX)
    Auch Firmen mit mehreren Internetzugängen und eingehenden Mailservern können so die Nachrichten zwischen den Systemen verteilen.
    Gerade das Thema "BackupMX" hat aber auch Nachteile, da immer mehr Spammer gezielt ihre Nachrichten an diesen Server senden, weil Sie dort einen schlechteren oder veralteten Spam- und Virenschutz vermuten
    Siehe auch BackupMX
  • Prioritäten sind möglich. kleinere Nummer ist höhere Priorität.
    Als  Eselsbrücke nutze ich immer den Begriff "Kosten", wie diese auch beim IP-Routing und in Exchange genutzt werden. Höhere Kosten bedeutet "teurer".
  • Gültige Ziele eines MX-Eintrags sind A-Records oder IP-Adressen
    Ein MX-Record darf nur auf einen A-Record in der gleichen oder anderen Domäne verweisen. Selten genutzt aber möglich ist auch die direkte Angabe einer IP-Adressen. Es nicht lauf RFC nicht erlaubt, dass der MX-Eintrag seinerseits wieder auf einen Alias (CNAME) verweist. Die meisten Mailserver akzeptieren dies aber dennoch.
  • MX zum Spamschutz
    Einige Produkte nutzen die Information aus dem MX-Record auch zum Bewerten beim Spam. Wenn ihr Server eine Mail versendet, so kann ich als Empfänger prüfen, ob die IP-Adresse zufällig auch der gleiche Server ist, an den ich eine Mail zurücksenden würde. Wenn ja, dann kann ich dieser Mail eine bessere Bewertung einräumen, da die Absenderadresse zumindest nicht gefälscht ist.
  • Reverse DNS sollte auf Hostname auflösen.
    Ebenfalls wird im Rahmen einer Spamerkennung oft geprüft, ob die IP-Adresse oder der angegebene Name des ausgehenden Mailservers über DNS auflösbar ist. Dies hat aber mit MX-Einträgen nichts zu tun.
  • Brauch ich intern einen MX-Record ?
    Wenn ihre interne DNS-Zone wirklich die gleiche Zone ist, wie im Internet, dann haben Sie schon einen MX-Eintrag. Wenn ihre interne DNS-Zone nur genau so heißt, wie die Domäne im Internet, dann betreiben Sie einen "Split-DNS (Siehe auch DNS). Normalerweise benötigen interne Clients und Systeme keine MX-Einträge, da dies keine Mailserver sondern Clients sind. Diese können Sie einfach direkt auf ihren Exchange Server leiten. Nur größere Firmen mit mehreren Mailservern werden überlegen, auch intern MX-Einträge zu pflegen. Exchange selbst benötigt keinen MX-Eintrag im DNS, um Nachrichten für diese Domäne anzunehmen. Dies steuern Sie alleine über die Empfängerrichtlinien.
  • kein MX-Record auf Routern und Firewall
    Oft wird auch gefragt, was man auf dem Router einstellen muss. Ein Router ist nur für die Weiterleitung von IP-Paketen und optional der Umsetzung der Adressen (NAT) zuständig. Beim Router ist daher zumindest einzustellen, dass Verbindungen zum Mailserver möglich sind. Es soll Router oder Firewalls geben, die zum einen DNS-Funktionalität haben. Solange dieser DNS-Dienst nur als Forwarder arbeitet, ist nichts einzustellen. Ist dieser DNS-Dienst aber zugleich DNS-Server für die Internetzone, dann müssen Sie dort natürlich den MX-Eintrag für das Internet vornehmen. Üblicherweise wird der DNS-Server nicht auf diesem System betrieben.
    Wenn dieses System jedoch zusätzliche Intelligenz für SMTP besitzt, d.h. als SMTP-Relay oder Proxy agiert, dann müssen Sie diesen Dienst so konfigurieren, dass er die Verbindungen oder Mails eben auf den internen Mailserver weiterreicht.

MX mit fixer offizieller IP-Adresse

Diese Konstellation ist die einfachste Umgebung für die Einrichtung ihres MX-Records. Der Exchange Server ist dirert mit einer offiziellen IP-Adresse versehen und aus dem Internet erreichbar. Diese Konfiguration ist gar nicht mal so selten, auch wenn aus Aspekten der Sicherheit hierbei Vorbehalte bestehen können.

Tragen Sie einfach den Mailserver mittels A-Record in ihre DNS-Zone ein und fügen Sie einen MX-Eintrag hinzu, der auf diesen Namen verweist.

mail            A    212.227.144.210
example.com.   MX    10 mail.example.com
example.com.   MX    20 backupmail.provider.com

Wen Sie ihren DNS-Server nicht selbst pflegen, dann nennen Sie ihrem Provider einfach die IP-Adresse, unter der ihr Exchange Server die Verbindungen annimmt und dieser wird die entsprechenden Eintragungen vornehmen. Optional kann der Provider seinen Mailserver als Backup-MX eintragen.

Viele Administratoren scheuen sich, ihren Exchange Server direkt aus dem Internet erreichbar zu machen, weil damit natürlich auch Angreifer jede Schwäche des Systems ausnutzen könnten. Aber dir direkte Erreichbarkeit über die offizielle Adresse ist im Prinzip nicht unsicherer als die Erreichbarkeit über NAT, da auch hier direkt der Zugriff auf den SMTP-Port des Servers erfolgt. Wie bei einem Router mit NAT sollten Sie natürlich auch bei einer Anbindung ohne NAT durch entsprechende Filter auf dem Router bzw. der Firewall davor und dem Server selbst sicherstellen, dass nur erwünschte Pakete übertragen werden.

Die direkte Erreichbarkeit des Servers ist z.B.: dann erforderlich, wenn Sie Verbindungen mittels Intelligent Message Filter und RBL von Exchange ablehnen lassen wollen. Wenn Sie Mails ablehnen möchten, ohne Exchange direkt erreichbar zu machen, muss das davor geschaltete System die Mails ablehnen oder Sie setzen ein Produkt wie NoSpamProxy ein.

MX mit dynamischen IP-Adressen und Router mit NAT

Dank der breiten und kostengünstigen Verfügbarkeit von DSL-Anschlüssen mit dynamischen IP-Adressen binden immer mehr Firmen ihre Mailserver über diesen Weg an. Nun lassen es gerade die Webprovider dieser Firmen wie 1und1, Strato etc. nicht zu, dass ein Kunde selbst die Einträge im DNS automatisch aktualisiert. Dies ist vermutlich auch gar nicht von Nachteil, da solche Umstellung en durch den Kunden auch daneben gehen können.

Andere Provider, die primär DNS-Dienstleistungen anbieten (Siehe Exchange und dynamischem DNS) hingegen erlauben es, dass eine dynamische Adresse mit einem festen Namen verbunden wird. Wenn dann noch ihr Provider es erlaubt, den MX-Eintrag einmalig auf einen festen Namen zu ändern, dann haben Sie schon die Lösung für die Anbindung von Systemen mit dynamischer Adresse. Ihre eigene Zone enthält dann folgenden Eintrag:

example.com.   MX    10 meinserver.dynprovider.com

Diese Zeile sorgt nun dafür, dass alle Mails an ihre Domäne an einen vorgegebenen Hostnamen zugestellt werden. Der Provider, welcher im Beispiel nun "dynprovider.com" heisst, muss weder mit dem Provider, der ihnen den Zugang zum Internet erlaubt (z.B. Telekom, Arcor, GMX, 1und1 etc.) identisch sein, noch der Provider sein, der ihre Webseite hostet. Solange ihr Router oder Server nach der Herstellung einer Verbindung zum Internet den definierten Namen registriert, werden Nachrichten zu ihrem System zugestellt. Dabei sollten Sie aber zwei Nachteile beachten:

  • Name verloren
    Gerade die kostenfreien Anbieter von dynamischen Namen vergeben den Namen schnell wieder neu, wenn er nicht regelmäßig registriert wird. Wenn ihr Server oder ihre Leitung nun aber einige Tage nicht besteht, dann könnte es sein, dass ihr Name schon wieder frei gegeben wurde und von jemand anderem registriert wird. All ihre Mails werden dann dort hin gesendet. Überwachen Sie daher die Funktion regelmäßig
  • Verbindungsunterbrechung
    Viele Provider trennen eine Verbindung nach 24h, so dass auch bei sofortiger erneuter Einwahl die Verbindung für kurze Zeit unterbrochen wurde. Nachrichten, die gerade übertragen wurden, müssen erneut gesendet werden.  Viel schlimmer ist aber das Risiko, dass ihre eben noch gültige IP-Adresse nun jemand anderem zugeordnet wurde Zwar wird ihr Server seinen Namen in kurzer Zeit wieder im Internet auf die neue Adresse ändern, aber dabei vergeht kostbare Zeit. Zudem haben einige Firmen einen DNS-Cache, so dass bei einem Adresswechsel es durchaus möglich ist, dass Sie Mails von anderen Firmen erhalten (sofern ihr Server nicht ablehnt) und ihre Mails an einen anderen Server gehen (und dort hoffentlich abgelehnt werden).

Nachdem nun der MX-Eintrag auf den dynamischen Namen und der auf die einzige dynamische offizielle IP-Adresse verweist, müssen Sie nun wieder sicherstellen, dass die Mails auch bis zu ihrem Exchange Server kommen. Auf einem Router müssen Sie entsprechende eine Portweiterleitung auf ihren Exchange Server einrichten. Hier geben Sie in der Regel als Ziel die private IP-Adresse ihres Servers ein. Zusätzliche MX-Einträge im Router oder im internen DNS-Server sind für diese Funktion nicht erforderlich.

MX mit Relay oder Firewall

Größere Firmen haben nicht nur eine Standleitung, sondern auch mehrere IP-Adressen, Firewalls und Relay-Systeme, die die Verbindungen aus dem Internet von den internen zu schützenden Servern trennen. So wird häufig in einem eigenen Netzwerksegment (DMZ, Siehe Exchange und Firewall) ein Server aufgestellt, der die Verbindungen aus dem Internet annimmt und die Mails nach der Prüfung durch Virenscanner und Content-Filter an den internen Exchange Server weiter leiten. Je nach dem ob der Router und die Firewall zwischen Internet eine IP-AdressUmsetzung durchführt oder die Pakete unverändert weiter leitet, müssen Sie den MX-Eintrag auf die offizielle Adresse des NAT-Systems oder die offizielle Adresse des Relay setzen.

MX Record für Domänen ohne Mailservice

Auch hierfür gibt es mittlerweile einen Lösungsweg in Form der RFC7505. Normalweise sollte ein Mailserver die MX-Records in der Reihenfolge der Priorität durchgehen und wenn es keinen MX-Record gibt, ein Fallback auf den A-Record oder AAAA-Record (IPv6) des Domänennamens machen.

Das kann mit einem NoMX-Record verhinder werden

Weitere Links