TXT-Record im DNS verständlich erklärt: Universeller Text-Record
Der TXT-Record (kurz für Text Record) ist ein universeller DNS-Eintrag, der es Domaininhabern ermöglicht, beliebigen, vom Menschen und von Computern lesbaren Text in den DNS-Zonen zu hinterlegen. Im Gegensatz zu A- oder MX-Records steuert der TXT-Record das Netzwerk-Routing nicht direkt. Stattdessen dient er der Bereitstellung von Konfigurationsdaten, Verifizierungsschlüsseln und Sicherheitsrichtlinien.
TXT-Records sind das Rückgrat der modernen E-Mail-Sicherheit: SPF, DKIM und DMARC werden ausnahmslos als TXT-Einträge hinterlegt. Wer die DNS-Hierarchie und die Funktion einzelner Record-Typen verstanden hat, kann diese Einträge sicher konfigurieren.
Aufbau und Syntax eines TXT-Records
In einer DNS-Zonendatei wird der TXT-Record folgendermassen eingetragen. Der Textwert muss zwingend in doppelten Anführungszeichen stehen:
example.com. 3600 IN TXT "v=spf1 include:_spf.google.com ~all"
- Host/Name (
example.com.): Die Domain oder Subdomain, für die der Text gilt. - Time to Live (TTL -
3600): Die Cache-Dauer. - Klasse (
IN): Internet. - Typ (
TXT): Identifiziert den Eintrag als Text-Record. - Wert/Ziel (
"v=spf1 ..."): Der eigentliche Textinhalt in Anführungszeichen.
Häufige TXT-Record-Typen auf einen Blick
| Zweck | Hostname (Beispiel) | Typischer Wert (Auszug) |
|---|---|---|
| SPF | example.com. | v=spf1 include:_spf.google.com ~all |
| DKIM | selektor._domainkey.example.com. | v=DKIM1; k=rsa; p=MIIBIj... |
| DMARC | _dmarc.example.com. | v=DMARC1; p=quarantine; rua=... |
| Google-Verifizierung | example.com. | google-site-verification=xyz... |
| ACME / Let’s Encrypt | _acme-challenge.example.com. | zufälliger Validierungs-Token |
Auffällig ist, dass viele sicherheitsrelevante Einträge auf Unterstrich-Subdomains (_dmarc, _domainkey) liegen – so wird der Namensraum sauber von regulären Hostnamen getrennt.
Die wichtigsten Anwendungsbereiche
1. Inhaberschafts-Verifizierung (Domain Verification)
Wenn Sie Ihre Domain mit externen Diensten verknüpfen (z. B. Microsoft 365, Google Workspace oder SEO-Tools wie der Google Search Console), verlangen diese Anbieter den Nachweis, dass Ihnen die Domain tatsächlich gehört. Sie erhalten einen zufälligen Code (z. B. google-site-verification=xyz...), den Sie als TXT-Record hinterlegen müssen. Der Anbieter prüft den Eintrag ab und schaltet den Dienst frei.
2. E-Mail-Sicherheit und Spam-Schutz
TXT-Records bilden das technische Fundament für moderne E-Mail-Schutzverfahren:
- SPF (Sender Policy Framework): Definiert, welche Server E-Mails im Namen Ihrer Domain senden dürfen.
- DKIM (DomainKeys Identified Mail): Speichert den öffentlichen kryptografischen Schlüssel, mit dem Empfänger die digitale Signatur Ihrer E-Mails überprüfen können.
- DMARC (Domain-based Message Authentication): Legt fest, wie Empfänger-Server mit E-Mails umgehen sollen, die SPF oder DKIM verletzen.
Technische Limits (RFC 1035)
Bei der Konfiguration von TXT-Records müssen Entwickler zwei wichtige Einschränkungen beachten:
- Das 255-Zeichen-Limit: Ein einzelner String darf die Länge von 255 Bytes nicht überschreiten. Benötigen Sie mehr Platz (z. B. für einen langen RSA-Schlüssel), müssen Sie den Text im DNS-Manager in mehrere Teile splitten, wie:
"v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA..." "..." - Das 512-Byte-Limit (UDP): Traditionelles DNS über UDP beschränkt Antwortpakete auf 512 Bytes. Werden zu viele oder zu lange TXT-Records auf einer Domain konfiguriert, überschreitet die Antwort diese Grenze. DNS-Resolver müssen dann auf TCP ausweichen, was die Namensauflösung verlangsamt.
Typische Fehler und ihre Folgen
TXT-Records sind syntaktisch empfindlich – schon kleine Tippfehler entwerten ganze Sicherheitsrichtlinien:
| Fehler | Folge | Korrektur |
|---|---|---|
| Zwei SPF-Records | PermError, SPF ungültig | Auf einen Record mit include: konsolidieren |
| DKIM-Schlüssel ohne Verkettung | Signaturprüfung scheitert | Lange Werte in "..." "..." aufteilen |
_dmarc-Eintrag auf Root-Domain | DMARC wird ignoriert | Auf _dmarc.example.com. setzen |
| TXT statt CNAME bei Validierung | Dienst erkennt Eintrag nicht | Vom Anbieter geforderten Typ verwenden |
Beispiel: vollständige E-Mail-Sicherheitszone
Eine sauber aufgesetzte Domain kombiniert alle drei E-Mail-Schutzverfahren als TXT-Records:
example.com. 3600 IN TXT "v=spf1 include:_spf.google.com ~all"
_dmarc.example.com. 3600 IN TXT "v=DMARC1; p=quarantine; rua=mailto:dmarc@example.com"
s1._domainkey.example.com. 3600 IN TXT "v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0B..."
Diese drei Einträge greifen ineinander: SPF autorisiert die Sendeserver, DKIM signiert die Nachrichten, und DMARC legt fest, wie Empfänger mit Verstössen umgehen.
[!TIP] Falsch formatierte TXT-Records (z. B. fehlende Anführungszeichen oder unvollständige Verkettungen) führen dazu, dass E-Mail-Verifizierungen scheitern. Prüfen Sie alle TXT-Einträge Ihrer Domain im Detail mit dem DNS Check auf balou.tools.
Häufig gestellte Fragen (FAQ)
Wie lang darf der Text in einem TXT-Record sein?
Ein einzelner Textabschnitt (String) in einem TXT-Record darf maximal 255 Zeichen lang sein. Längere Texte (z. B. 2048-Bit-DKIM-Schlüssel) müssen in mehrere, in Anführungszeichen gesetzte Abschnitte unterteilt werden, die der DNS-Server dann verkettet.
Kann man für eine Domain beliebig viele TXT-Records anlegen?
Ja, es können mehrere TXT-Records parallel existieren (z. B. einer für SPF, einer für die Google-Verifizierung und einer für DMARC). Zu viele Einträge vergrössern jedoch die DNS-Antwortpakete, was in seltenen Fällen zu Ladefehlern bei UDP führen kann.
Darf eine Domain mehrere SPF-TXT-Records haben?
Nein. Pro Domain ist genau ein SPF-Record (beginnend mit `v=spf1`) erlaubt. Existieren mehrere, werten viele Empfänger-Server das Ergebnis als ungültig (PermError), und die SPF-Prüfung schlägt fehl. Mehrere Sendequellen werden stattdessen über `include:`-Mechanismen in einem einzigen Record gebündelt.
Warum wird mein neuer TXT-Record nicht sofort erkannt?
Wegen des DNS-Cachings. Resolver speichern Antworten für die Dauer der TTL zwischen. Wurde der Record zuvor mit einer hohen TTL abgefragt oder existierte er noch nicht (negatives Caching), kann es bis zur vollständigen Propagation einige Minuten bis Stunden dauern, bis der neue Wert überall sichtbar ist.