Skip to content

Der MX Record: Wer deine Mails empfängt, hat mehr Macht als du denkst

Password-Resets, Verträge, 2FA-Codes – alles läuft über E-Mail. Und der MX Record entscheidet, wo das alles landet.

Was ist ein MX Record?

Der MX Record (Mail Exchange Record) legt fest, welcher Server E-Mails für deine Domain entgegennimmt. Wenn jemand eine Mail an dich@deine-domain.com schickt, fragt der sendende Mailserver zuerst den MX Record ab – und liefert die Mail an den dort hinterlegten Server.

MX Records haben eine Priorität (niedrigere Zahl = höhere Priorität), sodass Fallback-Server definiert werden können. Aber im Kern ist es simpel: Der MX Record sagt dem Internet, wo deine Mails hingehen.

Warum ist er so kritisch?

E-Mail ist nach wie vor der zentrale Vertrauensanker im Internet. Nicht weil E-Mail sicher ist – sondern weil fast alles darauf aufbaut:

• Password-Reset-Links
• 2FA-Backup-Codes
• Vertragsbestätigungen und Rechnungen
• Einladungen zu Plattformen und Services
• Domain-Verifizierungen ("Bestätige deine E-Mail-Adresse")

Wer deine Mails empfängt, kann Passwörter zurücksetzen, Accounts übernehmen, Verträge bestätigen und sich als du ausgeben. Ohne jemals dein eigentliches System zu berühren.

Wie sieht ein Angriff aus?

Szenario 1: Ein Angreifer ändert deinen MX Record so, dass er auf einen Server zeigt, den er kontrolliert. Ab jetzt empfängt er alle eingehenden Mails für deine Domain. Er setzt Passwörter bei SaaS-Tools zurück, übernimmt Accounts und liest vertrauliche Kommunikation mit.

Szenario 2: Der Angreifer fügt einen zusätzlichen MX Record mit höherer Priorität hinzu. Dein eigentlicher Mailserver läuft weiter – aber ein Teil der Mails geht zuerst an den Angreifer. Subtiler, schwerer zu entdecken.

Szenario 3: Business Email Compromise (BEC). Der Angreifer ändert den MX Record nur kurz, fängt eine bestimmte Mail ab (z.B. eine Rechnung mit Zahlungsanweisung), ändert die Bankverbindung und leitet die Mail weiter. Dann setzt er den MX Record zurück. Alles sieht normal aus – bis das Geld weg ist.

Warum MFA hier nicht hilft

MFA schützt den Login. Aber wenn der Angreifer den Password-Reset-Flow kontrolliert, braucht er keinen Login. Er setzt das Passwort zurück, bekommt den Reset-Link per Mail (weil er den MX Record kontrolliert) und loggt sich ein – ganz ohne dein MFA zu umgehen.

Das ist das Perfide: MFA schützt die Tür. Aber der MX Record gibt dem Angreifer den Schlüssel zum Briefkasten, in dem der Ersatzschlüssel liegt.

Wie oft ändern sich MX Records?

Fast nie. Du richtest deinen Mailserver oder Mail-Provider einmal ein – Google Workspace, Microsoft 365, Fastmail – und dann bleiben die MX Records jahrelang gleich.

Genau deshalb ist jede Änderung verdächtig. Wenn sich dein MX Record ändert und du keinen Provider-Wechsel durchgeführt hast, stimmt etwas nicht.

Was Driftguard erkennt

Driftguard erfasst deine MX Records als Baseline: Welche Mailserver, welche Prioritäten. Bei jedem Check wird verglichen. Neue MX Records, geänderte Prioritäten, entfernte Einträge – alles wird erkannt und dokumentiert.

Du bekommst nicht nur ein "MX hat sich geändert", sondern den vollen Kontext: Was war vorher, was ist jetzt, wann wurde es erkannt. Damit du in Sekunden entscheiden kannst: Geplant oder Angriff?