Globaler MX-Record Checker
Der MX-Record (Mail Exchanger) ist das grundlegende Routing-Protokoll für eingehenden SMTP-Traffic. Wenn ein externer Mail Transfer Agent (MTA) – wie Google Workspace oder Microsoft Exchange – eine E-Mail an user@example.com zustellen muss, führt er einen DNS-Lookup gegen die Zone von example.com aus und fragt gezielt die MX-Records ab. Der resultierende Payload liefert eine Liste von Hostnamen, die autorisiert sind, E-Mails im Namen dieser Organisation anzunehmen.
Prioritäts-Integer und SMTP-Failover
Im Gegensatz zu Standard-A-Records implementieren MX-Records eine native Hierarchie mithilfe von Prioritäts-Integern (z. B. 10, 20, 50). Dieser Integer diktiert die Verbindungspräferenz. Der sendende MTA wird immer versuchen, einen TCP-Handshake auf Port 25 mit dem Server aufzubauen, der den niedrigsten numerischen Wert besitzt. Wenn dieser primäre Server die Verbindung ablehnt, ein Timeout hat oder einen temporären 4xx-Fehler zurückgibt, fällt der MTA automatisch auf den Record mit der nächstniedrigen Nummer zurück. Das Setzen mehrerer MX-Records mit exakt demselben Prioritäts-Integer ermöglicht ein rudimentäres Round-Robin-Load-Balancing für eingehende Mail-Streams.
Der Bare-IP-Verstoß (RFC 1035)
Einer der häufigsten Konfigurationsfehler von Junior-Sysadmins besteht darin, einen MX-Record direkt auf eine IPv4-Adresse verweisen zu lassen. Gemäß strikten DNS-Standards (RFC 1035) muss das Ziel eines MX-Records ein kanonischer Hostname sein, niemals eine IP. Ein MX, der auf 192.168.1.50 verweist, verletzt das Protokoll. Er muss auf einen Hostnamen wie mail.example.com verweisen, der dann über einen A-Record in die IP aufgelöst wird. Strenge Corporate-Spamfilter und Intrusion-Detection-Systeme verwerfen E-Mails aggressiv, die von Domains mit IP-basierten MX-Zielen stammen oder dorthin geroutet werden sollen.
Null MX-Records (RFC 7505) und Spam-Abwehr
Wenn eine Domain ausschließlich für Web-Traffic verwendet wird und niemals E-Mails empfangen soll, ist sie sehr anfällig für Backscatter-Spam. Angreifer fälschen die Domain in ausgehendem Spam, was dazu führt, dass Tausende von automatisierten Bounce-Nachrichten an die Domain zurückfluten. Um dies zu mildern, deployen Administratoren einen "Null MX"-Record. Durch die Konfiguration eines einzelnen MX-Records mit der Priorität 0 und dem Ziel . (der Root) weist man alle weltweiten Mailserver mathematisch an, dass die Domain keine E-Mails akzeptiert, was sie zwingt, die Nachrichten sofort zu verwerfen, ohne einen Zustellversuch zu unternehmen.