Reverse DNS (rDNS) verständlich erklärt: Die IP-Rückwärtssuche
Reverse DNS (rDNS), auch als IP-Rückwärtssuche bezeichnet, ist ein DNS-Verfahren zur Ermittlung des Domainnamens, der einer bestimmten IP-Adresse zugewiesen ist. Während das standardmässige DNS (Forward DNS) wie ein Telefonbuch fungiert, bei dem man über einen Namen (z. B. Allerate) die Telefonnummer (IP-Adresse) sucht, verhält sich Reverse DNS wie eine Nummernsuche: Man gibt die Telefonnummer ein und erhält den Namen des Inhabers.
Der Unterschied: Forward DNS vs. Reverse DNS
Beide Systeme arbeiten komplementär, werden jedoch in getrennten Zonen verwaltet:
- Forward DNS (Vorwärtsauflösung):
- Anfrage: Welcher Server gehört zu
allerate.com? - Antwort: Die IP-Adresse
192.0.2.1(abgefragt über den A-Record). - Nutzung: Webbrowser, um Websites aufzurufen.
- Anfrage: Welcher Server gehört zu
- Reverse DNS (Rückwärtsauflösung):
- Anfrage: Welcher Name gehört zur IP-Adresse
192.0.2.1? - Antwort: Der Hostname
mail.allerate.com(abgefragt über den PTR-Record). - Nutzung: E-Mail-Server zur Spam-Abwehr und Netzwerkdiagnosen.
- Anfrage: Welcher Name gehört zur IP-Adresse
Die Relevanz von rDNS im E-Mail-Verkehr
Der mit Abstand wichtigste Anwendungsfall für Reverse DNS ist die Verifizierung von E-Mail-Servern.
Da fast alle Spam-Mails von infizierten Heim-Computern oder ungesicherten IoT-Geräten versendet werden, nutzen Spam-Filter das Reverse DNS als ersten harten Filter:
- Ein Server kontaktiert den Empfänger und möchte eine E-Mail abliefern.
- Der Empfänger prüft die IP des Absenders via rDNS.
- Szenario A: Die IP besitzt keinen rDNS-Eintrag. Die E-Mail wird meist sofort abgewiesen.
- Szenario B: Die IP besitzt einen generischen rDNS-Eintrag des Internet-Providers (z. B.
dyn-ip-123.customer.swisscom.ch). Dies deutet auf einen privaten Internetanschluss hin. Die E-Mail wird abgewiesen, da Mailserver feste, statische IP-Adressen mit personalisierten Hostnamen nutzen müssen. - Szenario C (Erfolgreich): Die IP verweist sauber auf einen qualifizierten Mailserver-Namen (z. B.
mail.allerate.com), und dieser Name zeigt im A-Record wiederum zurück auf dieselbe IP (FCrDNS-Zertifizierung). Die E-Mail wird zur weiteren Inhaltsprüfung angenommen.
Technische Funktionsweise: arpa-Zonen
Da das DNS hierarchisch nach Domainnamen organisiert ist, wurde für die IP-Rückwärtssuche eine spezielle Systemdomain namens .arpa (Address and Routing Parameter Area) geschaffen.
- IPv4-Adressen werden umgedreht und unter
in-addr.arpaabgefragt (z. B.1.2.0.192.in-addr.arpa). - IPv6-Adressen werden in ihre einzelnen Hex-Zeichen zerlegt und unter
ip6.arpaaufgelöst.
Die umgekehrte Notation ist kein Zufall: Das DNS arbeitet von rechts (allgemein) nach links (spezifisch). Bei der IP 192.0.2.1 ist 192 der allgemeinste Teil – in der arpa-Hierarchie muss dieser daher nach hinten wandern, damit die Delegation analog zu normalen Domains funktioniert.
Forward DNS vs. Reverse DNS im direkten Vergleich
Forward- und Reverse-DNS sind komplementär, werden aber in getrennten Zonen und oft von unterschiedlichen Parteien verwaltet. Die folgende Tabelle stellt die wichtigsten Unterschiede gegenüber:
| Eigenschaft | Forward DNS | Reverse DNS (rDNS) |
|---|---|---|
| Frage | Name → welche IP? | IP → welcher Name? |
| Verwendeter Record | A-Record / AAAA | PTR-Record |
| Zone | normale Domain-Zone | in-addr.arpa / ip6.arpa |
| Verwaltet von | Domain-Inhaber | IP-Block-Betreiber (ISP/Hoster) |
| Typischer Zweck | Website erreichbar machen | Mailserver-Reputation, Diagnose |
| Pflicht für Mailserver | ja | ja |
Für einen vertrauenswürdigen Mailserver müssen beide Richtungen konsistent sein: Der A-Record mail.allerate.com → 192.0.2.10 und der PTR-Record 192.0.2.10 → mail.allerate.com müssen exakt aufeinander zeigen. Genau diese Übereinstimmung prüft die FCrDNS-Kontrolle (Forward-Confirmed Reverse DNS).
Typische rDNS-Fehler und ihre Folgen
Probleme mit Reverse DNS äussern sich fast immer als Zustellprobleme bei E-Mails. Diese Tabelle zeigt die häufigsten Ursachen:
| Fehler | Symptom | Lösung |
|---|---|---|
| Kein rDNS-Eintrag | Mails werden abgewiesen | PTR beim Hoster/ISP setzen lassen |
| Generischer Provider-Name | Greylisting, niedrige Reputation | rDNS auf eigenen Mail-Hostnamen ändern |
| rDNS ≠ HELO/EHLO-Name | FCrDNS schlägt fehl | PTR, A-Record und HELO angleichen |
| Kein A-Record für rDNS-Ziel | Forward-Check scheitert | A-/AAAA-Record für Hostnamen anlegen |
| Dynamische IP genutzt | dauerhafte Spam-Einstufung | statische IP mit eigenem PTR mieten |
Die Diskrepanz zwischen rDNS-Name und dem im SMTP-Dialog gesendeten HELO-Namen ist eine besonders häufig übersehene Fehlerquelle. Sie hängt eng mit der SPF-Konfiguration zusammen, die ebenfalls die Absender-Identität absichert.
Praxisbeispiel: Mailserver auf einem neuen Server
Ein Unternehmen zieht seinen Mailserver auf einen neuen Cloud-Server mit der IP 192.0.2.10 um:
- Vorher: Der Hoster hat die IP mit dem generischen rDNS
static-192-0-2-10.cloud.example.netvorbelegt. Gmail und Outlook stufen ausgehende Mails als verdächtig ein, ein Teil landet im Spam. Der A-Record zeigt zwar korrekt auf die IP, doch die Rückrichtung passt nicht zum Mail-Hostnamen. - Nachher: Im Server-Panel des Hosters wird der PTR auf
mail.allerate.comgesetzt. Forward- und Reverse-Auflösung stimmen nun überein, der HELO-Name lautet ebenfallsmail.allerate.com. Die FCrDNS-Prüfung ist erfolgreich, die Reputation steigt und die Mails werden zuverlässig zugestellt.
Die Lehre: Reverse DNS ist kein optionales Detail, sondern Teil eines Vertrauensverbunds aus A-Record, HELO-Name und den E-Mail-Authentifizierungsverfahren rund um den PTR-Record.
[!TIP] Ein fehlendes oder falsch konfiguriertes Reverse DNS ist der häufigste Grund für abgewiesene geschäftliche E-Mails. Testen Sie die rDNS-Konfiguration Ihres Mailservers mit der Mail Deliverability Suite auf balou.tools.
Häufig gestellte Fragen (FAQ)
Wer konfiguriert das Reverse DNS?
Da rDNS an die IP-Adresse gekoppelt ist, kann es nur vom Eigentümer der IP (dem Internet-Service-Provider oder Cloud-Hoster wie AWS, Azure, Hetzner) eingerichtet werden. Dies geschieht über das Anlegen eines PTR-Records.
Welche Rolle spielt rDNS beim Traceroute?
Bei Netzwerkdiagnosen (wie Traceroute) hilft rDNS dabei, die physischen Zwischenstationen (Router) im Internet mit lesbaren Namen (z. B. `core1.zurich.provider.com`) statt kryptischen IP-Adressen anzuzeigen.
Wie prüfe ich das Reverse DNS einer IP-Adresse selbst?
Auf der Kommandozeile fragt `dig -x 192.0.2.10` (Linux/macOS) oder `nslookup 192.0.2.10` (Windows) den rDNS-Namen einer IPv4-Adresse ab. Liefert die Abfrage keinen oder nur einen generischen Provider-Hostnamen zurück, fehlt ein sauber gepflegter Eintrag – ein typisches Warnsignal für spätere Mailprobleme.
Ist Reverse DNS dasselbe wie ein PTR-Record?
Nicht ganz. Reverse DNS ist das Verfahren der IP-Rückwärtssuche, der PTR-Record ist der konkrete DNS-Eintrag, der dieses Verfahren technisch umsetzt. Reverse DNS funktioniert nur, wenn in der zuständigen `in-addr.arpa`- bzw. `ip6.arpa`-Zone ein gültiger PTR-Record hinterlegt ist.