Hallo Adrian,
Du wirfst ziemlich viele Dinge, die durch unterschiedliche Ansätze realisiert werden, in einen Topf. Was willst Du eigentlich genau erreichen?
Die MX-Records geben ja den Namen des/der Rechner an, der/die für eine Domain den Mail-Verkehr erledigt/erledigen. Bevor auf dann auf einen der MX-Rechner zugegriffen werden kann, muss aber dessen Name zuerst in eine IP-Adresse aufgelöst werden, da die schönen Namen lediglich für den Menschen Bedeutung haben und bei der Bearbeitung durch die Computer/Router lediglich die numerischen IP-Adressen relevant sind.
In Firewalls werden daher ebenfalls nur IP-Adressen, Ports und IP-Protokolle dafür verwendet um zu entscheiden, welches IP-Paket weitergeleitet und welches Paket verworfen wird. Für den Mail-Verkehr muss man daher (bei einem "normalen" standalone) Mailserver für SMTP den Port 25 für das TCP-Protokoll freischalten und zwar ein- und ausgehend für alle IP-Adressen, da man ja nicht wissen kann, woher die Mails kommen, bzw. wohin sie zugestellt werden sollen.
Etwas anderes ist es, wenn man bestimmten Rechner erlauben möchte, Mails über den Server zu verschicken (Stichwort "Relaying"), was dem Rest der Welt jedoch verwehrt werden muss. In bestimmten Einsatzbereichen reicht es dabei aus, die Auswahl anhand der IP-Adresse des einliefernden Rechners zu treffen (im Intranet, wenn sichergestellt werden kann, dass nur vertrauenswürdige Rechner diese IP-Adressen annehmen können). In allen anderen Fällen müssen die Rechner z.B. mithilfe kryptographischer Methoden beweisen, dass sie berechtigt sind, Mails zu verschicken (Stichworte "STMP AUTH", "StartTLS"), während ihre IP-Adresse keine Rolle spielt.
Viele Grüße,
LinuxAdmin
