Halihallo Sven

Bleibt also Szenario 1: Du hast einen Sekundären Mailserver, der die Mails für dich annimmt, falls der primäre Mailserver ausgefallen ist.
Dann frage ich dich aber einfach mal: Warum? Sämtliche Mailserver dieser Welt haben eine Mailwarteschlange, in der Mails bis zu 7 Tage lang aufbewahrt werden, ehe sie als endgültig unzustellbar an den Sender zurück gehen. Wenn dein primärer Mailserver also ausfällt, dann würde...

Richtig. Soweit ich informiert bin, nehmen die Retry-Versuche stetig
ab. Beim Nichterreichen des Mailservers wird nach einer Stunde, dann
nach 5 Stunden, dann nach einem Tag, dann nach drei Tagen noch einmal
versucht. Bei einer Ausfallszeit von meinetwegen 8 Stunden ist das
nicht weiter arg, da die Mails dann nach spätestens 24 Stunden
(geraten) bei mir eintreffen. Bei dem unwahrscheinlichen
Vorfall, dass der Server für ein oder mehrere Tage offline ist,
geschieht die Auslieferung leider sehr viel später und genau dies
soll verhindert werden. Jede Mail muss innerhalb von 24 Stunden
100%-ig ankommen. Und dies ohne Benachrichtigung an den Sendenden.

Deswegen wählte ich das Szenario 2, welches du beschrieben hast. Zwei
oder mehr Mailserver mit unterschiedlicher Priorität.

...ohne sekundären Mailserver die Auslieferung der Mails an dich in den Warteschlangen der sendenden Mailserver steckenbleiben und nach Wiederverfügbarkeit deines primären Mailservers nachgeholt.

Nur ist die Zeit für die Mailauslieferung x mal länger ist, als die
Ausfallszeit des Servers, da die Zeit für die Auslieferung der Retry-
Zeit/2 + Serverausfallszeit beträgt.

Eventuell erhalten Sender schon nach 4 Stunden (Standard bei Sendmail) eine Nachricht, dass die Mail immer noch nicht ausgeliefert werden konnte.

... was natürlich keinen sehr guten Eindruck macht und deshalb
vermieden werden soll.

...mit sekundärem Mailserver die Auslieferung der Mails an diesen natürlich erfolgreich stattfinden, aber der sekundäre Mailserver seinerseits würde eine Warteschlange mit Mails anlegen, die alle darauf warten, an den primären Mailserver weitergeleitet zu werden. Solange der also offline ist, hat sich qualitativ nichts geändert.

Da bin ich anderer Meinung. Die Mail ist aus der Sicht des Sendenden
erfolgreich versendet worden und auf meiner Seite (ich weiss ja,
wenn der Server ausgefallen ist), könnte ich die Mails direkt vom
sekundären Mailserver abhohlen. So entsteht keine Ausfallszeit für
die Bearbeitung der Mails, selbst bei einem Ausfall des primären
Servers.

Allerdings: Wer es nicht schafft, innerhalb von 7 Tagen für seinen ausgefallenen Mailserver Ersatz zu beschaffen bzw. eine Alternativlösung einzurichten, der sollte vielleicht seine generelle Teilnahme am Mailverkehr überdenken. :)

Keine Einwände :-)
Oder vielleicht einer: Selbst bei diesem unwahrscheinlichen Szenario
(selbst 3 Tage halte ich für inakzeptabel) wäre die Verfügbarkeit
der elektronischen Post und somit der Geschäftsprozesse
gewährleistet.

Es macht jedenfalls keinerlei Unterschied, ob du einen sekundären MX hast, oder nicht: Solange der primäre MX offline ist, kriegst du keine Mails mehr.

Doch, das würde ich. Wenn es wichtig ist, kann ich die Mails direkt
vom sekundären Server abholen (meinetwegen jedes "POP-Postfach"
für jeden Server separat, wie auch schon vorgeschlagen).

Gott sei Dank passiert dies "nie".

Insofern verdoppelt ein sekundärer MX einfach erstmal deinen administrativen Aufwand, ohne tatsächlich irgendwie sinnvolle Zusatzarbeit zu leisten. Ist jedenfalls meine Praxiserfahrung. Natürlich kannst du argumentieren, dass du bei einem sekundären MX quasi den potentiellen neuen primären MX schon aktiv auf Standby laufen hast oder zumindest hilfsweise einen Blick in die Queue werfen könntest, ob irgendwelche wirklich wichtigen Mails reingekommen sind.

Da der Aufwand für mich vergleichsweise gering ist, halte ich dies
doch für eine gute Zeitinvestition. Genauso verstehe ich auch deine
Argumente und danke dafür.

Andererseits: Wenn du dir Gedanken über Ausfallsicherheit eines Serverdienstes machst (in diesem Fall Mail), dann aber nicht in der Lage wärst, innerhalb von 7 Tagen einen ausgefallenen Server wieder in Betrieb zu setzen bzw. Ersatz dafür zu beschaffen, solltest du dir eher keine Gedanken um Ausfallsicherheit machen - oder zu einem Provider wechseln, der sowas leisten kann. :)

Wie in Fragen der Sicherheit, so gilt auch hier: Ein System ist genau
so stark, wie sein schwächstes Glied. Du kannst dir vorstellen, dass
ich bemüht bin alle ggf. vorhandenen schwachen Glieder durch starke
zu ersetzen.

Ist leider so: Mit normalem Kostenaufwand kriegst du nur relativ leicht erreichbare durchschnittliche Uptimes von 99,9% (8 3/4 Stunden Ausfall im Jahr) oder weniger (je nachdem, was dein Provider für den normalen Kunden so anbietet). Je mehr Neunen aber als Nachkommastellen hinten dranhängen sollen, desto teurer wird es. 99,9999% Verfügbarkeit entsprächen im Jahr durchschnittlich etwas mehr als 31 Sekunden Ausfallzeit des Systems - das wird man wahrscheinlich garnicht bemerken.

So ganz nach der Regel, dass für jede zusätzliche 9 als
Nachkommastelle die Kosten exponentiell steigen. Tja.

Viele Grüsse und Danke

Philipp