DNS verständlich erklärt: Records, Auflösung und typische Fehler
Das Domain Name System (DNS) ist das Telefonbuch des Internets. Es übersetzt für Menschen lesbare Domainnamen (wie allerate.com) in maschinenlesbare IP-Adressen (wie 192.0.2.1 oder 2001:db8::1). Ohne das DNS müssten wir uns für jeden Website-Besuch lange Zahlenreihen merken.
Wie die DNS-Auflösung funktioniert (Schritt für Schritt)
Wenn Sie eine Domain in Ihren Browser eingeben, startet im Hintergrund eine Kette von Abfragen, um die passende IP-Adresse zu ermitteln.
sequenceDiagram
participant Browser
participant Resolver as Rekursiver Resolver (ISP / 8.8.8.8)
participant Root as Root-Server (.)
participant TLD as TLD-Server (.com)
participant Auth as Autoritativer Nameserver
Browser->>Resolver: Wo ist allerate.com?
Note over Resolver: Kein Cache-Eintrag vorhanden
Resolver->>Root: Wer verwaltet .com?
Root-->>Resolver: Hier sind die Nameserver für .com (TLD)
Resolver->>TLD: Wer verwaltet allerate.com?
TLD-->>Resolver: Hier sind die autoritativen Nameserver für allerate.com
Resolver->>Auth: Welche IP hat allerate.com?
Auth-->>Resolver: Die IP ist 192.0.2.1 (A-Record)
Resolver-->>Browser: Die IP ist 192.0.2.1
Die beteiligten Server-Typen
- Rekursiver Resolver: Der erste Ansprechpartner (meist vom Internetanbieter oder öffentliche Dienste wie Google DNS
8.8.8.8). Er übernimmt die Arbeit, die hierarchische Kette abzufragen. - Root-Nameserver: Die oberste Hierarchieebene. Sie kennen die Nameserver aller Top-Level-Domains (wie
.ch,.com,.org). - TLD-Nameserver: Verwalten die Domains innerhalb einer bestimmten Endung.
- Autoritativer Nameserver: Die finale Instanz. Dieser Server gehört dem Domaininhaber (oder dessen Provider) und enthält die tatsächlichen DNS-Einträge.
Die wichtigsten DNS-Record-Typen
Für verschiedene Aufgaben werden unterschiedliche Eintragstypen im DNS angelegt:
| Record-Typ | Name | Funktion |
|---|---|---|
| A | Address | Verknüpft eine Domain mit einer IPv4-Adresse. |
| AAAA | IPv6 Address | Verknüpft eine Domain mit einer IPv6-Adresse. |
| CNAME | Canonical Name | Erstellt einen Alias (Verweis auf eine andere Domain). |
| MX | Mail Exchange | Definiert, welche Server E-Mails für die Domain empfangen. |
| TXT | Text | Beliebiger Textinhalt, wichtig für Verifizierungen und E-Mail-Schutz. |
| NS | Name Server | Legt fest, welche Nameserver autoritativ für die Domain sind. |
DNS & E-Mail-Zustellbarkeit (SPF, DKIM, DMARC)
Ein extrem wichtiger Anwendungsfall von DNS-TXT-Records ist der Schutz vor Spam und Phishing (E-Mail-Spoofing):
- SPF (Sender Policy Framework): Listet im TXT-Record auf, welche Server im Namen der Domain E-Mails versenden dürfen.
- DKIM (DomainKeys Identified Mail): Fügt E-Mails eine digitale Signatur hinzu. Der öffentliche Schlüssel wird im DNS hinterlegt, damit Empfänger die Echtheit der Mail prüfen können.
- DMARC (Domain-based Message Authentication): Bestimmt, was mit E-Mails passieren soll, die SPF oder DKIM nicht bestehen (z. B. ablehnen oder in den Spam-Ordner verschieben).
DNS-Record-Typen nach Einsatzzweck
Welchen Record Sie benötigen, ergibt sich aus der Aufgabe. Die folgende Tabelle gruppiert die wichtigsten Eintragstypen nach Anwendungsfall und verweist auf den jeweiligen Detail-Leitfaden:
| Aufgabe | Record-Typ(en) | Detail-Leitfaden |
|---|---|---|
| Domain auf Server zeigen | A / AAAA | A-Record, AAAA-Record |
| Alias auf andere Domain | CNAME | CNAME-Record |
| E-Mail-Empfang steuern | MX | MX-Record |
| E-Mail-Authentifizierung | TXT (SPF/DKIM/DMARC) | SPF, DKIM, DMARC |
| Zuständige Nameserver | NS / SOA | NS-Record, SOA-Record |
| Zertifikatsausstellung einschränken | CAA | CAA-Record |
| Dienste lokalisieren | SRV | SRV-Record |
| Reverse-Lookup (IP → Name) | PTR | PTR-Record, Reverse DNS |
Ein häufiger Anfängerfehler ist die Verwechslung von A- und CNAME-Records: Ein A-Record verweist direkt auf eine IP, ein CNAME auf einen anderen Domainnamen. Mehr zu den Fallstricken im CNAME-Leitfaden und in der DNS-Hierarchie.
TTL, Caching und Propagation verstehen
Damit das DNS nicht bei jeder Anfrage die komplette Hierarchie durchlaufen muss, werden Antworten zwischengespeichert. Wie lange, bestimmt die TTL (Time to Live) jedes Eintrags – ein Wert in Sekunden. Eine hohe TTL (z. B. 86 400 = 24 Stunden) entlastet die Nameserver und beschleunigt wiederholte Abfragen, verzögert aber Änderungen. Eine niedrige TTL (z. B. 300 = 5 Minuten) macht Sie flexibel, erhöht jedoch die Abfragelast.
Die sogenannte DNS-Propagation – die scheinbar langsame «Verteilung» einer Änderung – ist in Wahrheit kein aktiver Verteilprozess, sondern schlicht das Ablaufen der gecachten TTL-Werte rund um den Globus. Wer einen Serverumzug plant, senkt deshalb die TTL einige Tage vorher und prüft das Ergebnis anschliessend gezielt pro Resolver mit dem DNS-Troubleshooting-Vorgehen.
Typische DNS-Fehler & Best Practices
- CNAME auf die Root-Domain: Nach RFC-Standard darf auf der nackten Hauptdomain (z. B.
allerate.com) kein CNAME gesetzt werden, da er alle anderen Records (wie MX für Mails) überschreiben würde. Nutzen Sie stattdessen A/AAAA-Records oder provider-spezifische Lösungen (“ALIAS” / “ANAME”). - Zu hohe TTL (Time to Live) bei Migrationen: Wenn Sie den Server wechseln, senken Sie die TTL (Time to Live) einige Tage vorher auf 300 Sekunden. Sonst cachen Server weltweit noch stundenlang die alte IP-Adresse.
- Fehlende Redundanz: Hinterlegen Sie stets mindestens zwei unterschiedliche Nameserver (NS-Records) bei verschiedenen Anbietern, um Ausfälle abzufangen.
- DNSSEC vernachlässigt: Aktivieren Sie DNSSEC. Dadurch werden DNS-Antworten kryptografisch signiert, was “DNS Spoofing” (Umleitung auf manipulierte Phishing-Seiten) verhindert.
Alle DNS-Leitfäden im Überblick
Hier finden Sie unsere detaillierten Fachartikel zu den einzelnen Themen des Domain Name Systems:
- Klassische Records: A-Record | AAAA-Record | CNAME-Record | NS-Record | TXT-Record
- Erweiterte Records: CAA-Record | MX-Record | PTR-Record | SOA-Record | SRV-Record
- E-Mail-Sicherheit: SPF-Record | DKIM-Record | DMARC-Record
- Konzepte & Diagnose: DNS-Hierarchie | DNSSEC | TTL (Time to Live) | DNS-Propagation (Verteilung) | Reverse DNS | DNSBL (Spam-Blacklists) | DNS-Troubleshooting
[!TIP] Sie möchten Ihre aktuellen DNS-Einträge oder Ihre E-Mail-Authentifizierung (SPF/DKIM) live überprüfen? Nutzen Sie unsere kostenlosen Diagnose-Tools DNS Check und Mail-Zustellbarkeitstest auf balou.tools.
Häufig gestellte Fragen (FAQ)
Was ist der Unterschied zwischen einem A-Record und einem AAAA-Record?
Ein A-Record (Address Record) bildet einen Domainnamen auf eine klassische IPv4-Adresse (32-Bit) ab. Ein AAAA-Record (Quad-A Record) bildet die Domain hingegen auf eine modernere IPv6-Adresse (128-Bit) ab.
Warum dauert es manchmal Stunden, bis eine DNS-Änderung aktiv ist?
Dies liegt am DNS-Caching. Nameserver und Betriebssysteme speichern DNS-Antworten gemäss der festgelegten TTL (Time to Live) im Cache. Erst nach Ablauf dieser Zeitspanne wird der Nameserver erneut abgefragt.
Wie prüfe ich, welche DNS-Einträge für eine Domain gesetzt sind?
Auf der Kommandozeile nutzen Sie `dig allerate.com A` (oder `MX`, `TXT`) bzw. unter Windows `nslookup`. Wichtig ist, gezielt einen öffentlichen Resolver wie `dig @8.8.8.8` abzufragen, um lokale Cache-Effekte auszuschliessen. Eine komplette Anleitung finden Sie im DNS-Troubleshooting-Leitfaden.
Was bedeutet «autoritativ» bei einem Nameserver?
Ein autoritativer Nameserver ist die verbindliche Quelle für die DNS-Einträge einer Domain – er gibt die Originalantwort, nicht eine zwischengespeicherte Kopie. Rekursive Resolver hingegen fragen diese autoritativen Server ab und cachen deren Antworten gemäss TTL.