Verständnisfragen zu MX-Records

[HeiDiDo]

Hallo,

mir sind im Zusammenhang mit MX-Records zwei Punkte unklar.

1.) Es wird immer wieder darauf hingewiesen, das der MX-Record keine IP beinhalten darf.

Da verstehe ich einfach nicht, warum. Ob ich die Ip direkt da reinschreibe oder aber einen Host Namen, dem dann per A-Record eine Ip zugewiesen wird, macht für mich erstmal keinen Unterschied.

Bei den RFCs bin ich in dieser Frage bislang nicht fündig geworden. Falls es zu diesem Thema eines geben sollte, würde ich mich sehr über einen Hinweis freuen.

2.) Unklar ist mir außerdem, warum der Host im MX-Eintrag kein Alias sein darf.

 

[Huschi]

Einfache und kurze Antwort auf beide Fragen: "Darum!"

Hilft nicht wirklich und eine echte Begründung findet man nur, wenn man sich die Historie des ganzen Domain-Name-Services anschaut. Dabei entdeckt man nämlich, daß der MX-Record ein Zusammenschluß von mehreren anderen DNS-Einträgen bildet. (Z.B. MD, MF, MAILA)

Warum CNAME nicht erlaubt sind weiß ich nicht genau. Könnte mir aber vorstellen, daß es mit Verhinderung von Rekursionen verbunden ist.
Auf der anderen Seite fällt mir absolut kein Grund ein, warum man einen CNAME angeben sollte.

Die entsprechende RFC 974 nennt übrigens ein Beispiel:

Note that the algorithm to delete irrelevant RRs breaks if LOCAL has a alias and the alias is listed in the MX records for REMOTE. (E.g. REMOTE has an MX of ALIAS, where ALIAS has a CNAME of LOCAL). This can be avoided if aliases are never used in the data section of MX RRs.

huschi.

 

[flyingoffice]

Hallo!

Zu 1.) RFC 974 MAIL ROUTING AND THE DOMAIN SYSTEM

...for
the purposes of message routing, the system stores RRs known as MX
RRs. Each MX matches a domain name with two pieces of data, a
preference value (an unsigned 16-bit integer), and the name of a
host....

Gruß flyingoffice

EDIT: zu langsam

 

[HeiDiDo]

@Huschi:

Danke dir. Ich lese mir das RFC File jetzt nochmal durch und schaue mal, ob ich den von dir zitierten Abschnitt verstehe.

@flyingoffice:

Wolltest du ursprünglich noch mehr schreiben? Die Sachen, die du zitierst, sind mir ja klar. In deinem Zitat geht es ja nur darum, wie ein Mx-Record aufgebaut ist. Ich wollte aber wissen, warum die Ip nicht im MX-Record stehen soll und warum der MX-record immer auf einen A-record und nicht auf einen CNAME Eintrag verweisen soll.

 

[flyingoffice]

Hallo!

Nein, ich wollte nicht mehr schreiben Die zitierte Passage ist nur die längere Variante von Hsuchi's Antwort "Darum"

Gruß flyingoffice

 

[johnripper]

Hallo,
ich weiß dass dieser Eintrag schon etwas älter ist, aber er trifft genau mein Vorhaben:

Ich würde gerne folgendes machen:

example.com MX 10 mx1.example.com
example.com MX 10 mx2.example.com
example.org MX 10 mx1.example.com
example.org MX 10 mx2.example.com
example.net MX 10 mx1.example.com
example.net MX 10 mx2.example.com
..usw...

mx1.example.com CNAME mail1.externeremailprovider.com
mx2.example.com CNAME mail2.externeremailprovider.com

Wie oben beschrieben möchte ich zwei Emailserver gleichberechtigt definieren (ist von dem externen Email-Provider so vorgesehen). Jedoch möchte ich aufgrund von verschiedenen Tatsachen diese nicht direkt in den einzenlen Domains pflegen.
Abgehende Emails kommen weder von der IP hinter mail1.externeremailprovider.com noch von mail1.externeremailprovider.com sondern von einer dritten. Entsprechend dazu werden auch SPF eingerichtet wie folgt:

example.com txt v=spf1 include:spf.example.com -all 
example.net txt v=spf1 include:spf.example.com -all 
example.org txt v=spf1 include:spf.example.com -all 
..usw...

spf.example.com spf v=spf1 ip4:w.x.y.z/n -all

Es gibt verschiedene Diskussionen, die teilweise sagen, dass ich entsprechen mein DNS so einrichten darf, andere sagen wieder ich darf es nicht.
Ich möchte also keine Diskussion losbrechen ob ich es darf oder nicht, sondern was passiert, wenn ich es so einrichte.
Hat jemand Erfahrungen damit? Angeblich gibt es Domains die so eine Konfig aufweisen.
Erste Versuche zeigen, dass es geht..

Hab ich was nicht bedacht?

Danke
JR

P.s. gerne auch weiterführende Links erwünscht, aber bitte keine verweise auf die RFC2821 (Abs. 10.3) o.ä.

 

[Whistler]

Die Erfahrung zeigt, daß es funktioniert - etliche Domains sind so eingerichtet und ich habe es einem sehr speziellen Fall auch schonmal gemacht.

Die Regel stammt m.W. aus der Anfangszeit des Internet, als noch kaum universelle Resolver-Bibliotheken existierten und die Mailserver den MX-Record selbst aufgelöst haben. Hier wollte man einfach keinen zusätzlichen (oder mehrere, falls der CNAME auf einen CNAME verweist) Rekursionszyklus haben.

Das einzige aktuelle Dokument, welches inhaltlich über ein "das darf man nicht" hiausgeht, habe ich ausgerechnet bei Microsoft gefunden:

However, if an alias record (CNAME) is used for the hostname listed in the MX record, the sending host might re-write the envelope and redirect the RCPT command to the alias hostname and not the original recipient. This might cause the destination SMTP host to reject the message.

Von so einem Envelope-Rewrite habe ich zuvor noch nie etwas gehört - möglicherweise eine Exchange-Spezialität.

In der Version 8 hat BIND noch eine Warnung bei einer solchen Konfiguration geworfen, Verson 9 schluckt es (in Standard-Konfiguration) erstmal klaglos.

Was SPF daraus macht, ist u.U. etwas anderes, zumindest die großen Hoster wie 1&1 setzen die Verarbeitung von in SPF-Records enthaltenen Domainnamen scheinbar eigene Resolver ein, die etwas spezieller sein könnten.

Ich würde es im Normalfall vermeiden, bei triftigen Gründen unter "verschärfter Beobachtung" aber trotzdem ausprobieren.

Was die andere Frage betrifft - zwei MX-Records gleicher Priorität sind problemlos zulässig und auch üblich.

 

[johnripper]

Hallo,
danke für deine Hinweise.
Mir hat jemand gesagt, dass ich bei solchen Einstellungen vermutlich Probleme mit Blacklist bekommen würde auf die ich gesetzt werde, aber ich verstehe nicht wiso?
Den MSN Artikel habe ich auch schon gefunden gehabt und ihn auch nicht wirklich verstanden.
Kann man sagen wieviele Hosts Probleme mit so einer Konfig haben könnten?

Danke
JR