DNS-Records inspizieren
Welche IP, welcher Mailserver, welche Nameserver? Plus SPF, DMARC, CAA und DNSSEC — kompakt auf einer Seite.
DNS-Record-Typen erklärt
A & AAAA
A löst einen Hostnamen auf eine IPv4-Adresse auf,
AAAA auf eine IPv6-Adresse. Modern aufgestellte Server
haben beides. Ohne AAAA bist du für ~40 % aller Internet-Nutzer
weltweit nur über IPv6→IPv4-Tunnel erreichbar — das kostet Latenz.
MX (Mail Exchange)
Sagt anderen Mailservern, wohin sie Mails an @deine-domain.de
schicken sollen. Mehrere Einträge mit unterschiedlicher Priorität sind
üblich (Backup-MX). Ohne MX werden Mails als A-Record
geliefert (nicht empfohlen).
NS (Nameserver)
Wer ist autoritativ für diese Domain? Bei Plesk-Hosting sind das oft
ns1.foo.de und ns2.foo.de deines Hosters.
Wechselst du den DNS-Hoster (z.B. zu ClouDNS, Cloudflare), ändern
sich diese Einträge bei deiner Registrar.
CAA (Certificate Authority Authorization)
Definiert, welche Zertifizierungsstellen für deine Domain überhaupt
Zertifikate ausstellen dürfen. Beispiel:
0 issue "letsencrypt.org" — nur Let's Encrypt darf Zertis ausstellen.
Schützt vor missbräuchlichen Zertifikaten (Stichwort: BGP-Hijacking).
SPF (TXT)
Sender Policy Framework. Listet, welche Server berechtigt sind, Mails
in deinem Namen zu versenden. Beispiel:
v=spf1 include:_spf.google.com ~all erlaubt Google Workspace.
Ohne SPF wandern viele deiner Mails in den Spam.
DMARC (TXT auf _dmarc.)
Sagt empfangenden Mailservern, was sie tun sollen, wenn eine Mail
nicht SPF/DKIM-konform ist. p=none = nur loggen,
p=quarantine = Spam, p=reject = ablehnen.
Ohne DMARC ist deine Domain für Phishing-Spoofing offen.
DNSSEC
Kryptografische Signaturen für DNS-Antworten — verhindert Cache-Poisoning. Bei vielen Hostern ein einfacher Klick, aber leider noch nicht überall Standard. Wenn dein Resolver DNSSEC-validiert (z.B. 1.1.1.1 oder 9.9.9.9), lohnt es sich.