Ausgehende Mailserver haben nichts mit MX-Records zu tun
Immer wieder höre ich die Behauptung, daß Mailserver, die E-Mails einer Domain versenden, auch als eingehendes Mailrelay in den DNS-Daten ("MX-Records") gelistet sein müssen. Diese Behauptung ist aber schlichtweg falsch. Nirgendwo ergibt sich eine Grundlage für diese These -- weder in den RFCs, noch aus praktischen/technischen Überlegungen heraus. Ganz im Gegenteil: Je größer ein Provider ist, umso selbstverständlicher ist es, daß ein- und ausgehende Mailserver aus Lastgründen auf verschiedene Server aufgeteilt sind. Kein relevanter Provider führt diese Systeme auf einem System zusammen, kein relevanter Provider listet ausgehende Mailrelays in den MX-Records (denn das würde sie belasten und ihre Resourcen klauen). Ein Zusammenhang zwischen Mailversand und Mailempfang ergibt von A bis Z keinerlei Sinn. MX-Records in DNS-Daten definieren lediglich, an welchen Host Mails für diese Domain gesendet werden dürfen. Sie definieren nicht, welche Hosts dafür senden dürfen. Genau aus diesem Grund existieren ja Systeme wie SPF, die dieses (vermeindliche) Problem fixen sollen. Die mittlerweile im DNS eingeführten SPF-Records definieren ja gerade, welche Hosts nach Ansicht des Domain-Besitzers für den Versand zuständig sein sollen. Wenn man so will, sind SPF-Records (ausgehende Mailsysteme) also genau das hier gesuchte Gegenstück zu den MX-Records (eingehende Mailsysteme). Da gerade von SPF die Rede war: Wie fleißige Zuhörer meiner Vorträge oder fleißige Leser der Diskussionen auf der Postfixbuch-Mailingliste wissen, vertrete ich übrigens die Auffassung, daß SPF auf einem großen Denkfehler basiert. SPF kann aus technischen Gründen (Mailinglisten, Weiterleitungen, Community-Systeme) nicht funktionieren. DKIM funktioniert, aber SPF ist Unsinn und die meisten Postmaster, die SPF einsetzen, haben noch nicht kapiert, daß sie dadurch ihre eigenen Mails verlieren.
Weitere Beiträge zum Thema
Enterprise Mail Security with Open Source?
SMTP smuggling aka Postmasters Weihnachtsstress
Kommentare
7 Antworten zu Ausgehende Mailserver haben nichts mit MX-Records zu tun
Ich denke, das sich dies aus Gründen der Praktikabilität so eingebürgert hat. Nicht jeder Email-Administrator verwaltet auch gleich Millionen von Konten. Aber ich stimme zu, das solche Behauptungen sehr nervig sein können und man sich diesbezüglich Lutf verschaffen sollte :-)
Allerdings kann man mit outgoing MX die wiederum mehrere A auflösen schönen Spielereien betreiben, was das outgoing Load Balancing angeht.
Eingehendes SMTP Balancing mit speziellen Proxies ist heutzutage auch möglich. Die Kopfschmerzen gehen hier erst los, wenn SSL ins Spiel kommt.
Hallo, euer link auf
http://www.heinlein-support.de/blog/security/ausgehende-mailserver-habe…
dort der Link "Vorträge" ist broken.
Grüße Rainer
Hallo Peer, du hast natuerlich voellig recht
das der mx nichts damit zu tun hat,
du kannst aber nicht verhindern dass jemand diesen Punkt in einem Antispam system zb zur Bewertung heranzieht, wenn es also moeglich ist
sollte man die ausgehenden Mailserver schon auch mit einem mx versehen, um evtl Antispamtalibans Rechnung
zu tragen, zwingend notwendig ist allerdings wirklich nicht und wharscheinlich waere es auch allgemein nicht
durch bzw umsetzbar
Gruss Robert
Hmm. Ist es sinnvoll etwas zu tun, was mir ggf. schadet und meine Produktivität behindert, weil irgendwer irgendwas fachfremdes und nachweislich falsches zur Bewertung heranzieht? Was ist, wenn er fordert, daß ein Hostname mit "A" beginnen muß? Müssen wir dann alle Hosts umbenennen?
Eine Forderung nach dem MX ist fachlich unzweifelhafter Quatsch. Ein Listing im MX ist jedoch durchaus ärgerlich und nervig.
Bedauerlicherweise hilft Fundamentalismus nicht weiter
erst letzte Woche erklaerte mir der Postmaster
eines Dax Unternehmens, dass Domains/Mails
von Servern die nicht als MX einer Domain eingepflegt sind, fuer deren Antispam , eine "Domain 2ter Klasse"
sind, witziger betraf das Newsletter (s)einer eigenen Subfirma. *g
Also wenns nicht weh tut ist es von Vorteil
ausgehende Mailserver als MX eingepflegt zu haben.
Recht haben und Recht bekommen sind halt 2erlei Dinge
im konkreten Fall betraf mich personelich die Sache nicht wirklich, ich musste also erfreulicherweise keinen Disput mit dem Mann fuehren, sondern habe ihm schlichtweg geraten dann doch wenigstens ein Whitelisting durchzufuehren, ich befuerchte allerdings er wusste nicht wirklich was ich damit meinte
SPF ist kein Unsinn, sondern die Leute die Mailinglisten und Relais mit ungeeigneter Konfiguration einsetzen sind ewiggestrige, die zu Recht aussortiert werden.
Für einen anzuzeigenden Absender gibt es das FROM-Feld, welches auch von jedem Mail-Client und Endnutzer als Absender des Inhalts wahrgenommen wird, und an welches die Antwort geschickt wird. Wer eine E-Mail dagegen weiterleitet, egal ob als Relay, Liste oder Community-System, hat schlichtweg nicht das Recht dazu, fremde Domains als Absender anzugeben, der sie definitiv nicht sind. Als Envelope-From / Return-Path hat jeder Serverbetreiber eine Adresse in seinem eigenen Verantwortungsbereich anzugeben. Wer eine SMTP-Verbindung aktiv aufbaut, um eine E-Mail irgendwo einzureichen soll sich gefälligst auch als technischer Absender dieser E-Mail zu erkennen geben und dafür verantwortlich zeichnen. Ich will auch keine Mailerdämons von Community-Systemen, nur weil die Ihre Datenbank nicht pflegen oder glauben sie hätten das Recht unter meinem Namen Mails irgendwo einzureichen. Deshalb enden meine SPF-Records auf -all und das ist völlig in Ordnung so.
SPF trägt in vielerlei Hinsicht dazu bei, das System transparenter und sicherer zu machen. Wer es nicht schafft, seine E-Mails so zu senden, dass sie meinem SPF entsprechen der hat gegen meine Regeln verstoßen und wird zu Recht aussortiert.
Der MX hat insofern etwas damit zu tun, als das im SPF auf den/die MX-Records verwiesen wird.