Zum Inhalt

DNS & Domains

DNS & Domains – wie es wirklich funktioniert

Das Hauptkapitel hat die wichtigsten Domain-Fallen und DNS-Grundbegriffe erklärt. Dieser Deep Dive geht tiefer: Wie funktioniert das DNS-System intern, was passiert bei einer Anfrage, was bedeuten TTL und Propagation wirklich – und wie nutzt du dieses Wissen, um im Notfall schnell und richtig zu handeln?

Wie eine DNS-Anfrage wirklich funktioniert

Wenn du www.deinunternehmen.de in den Browser eingibst, passiert folgendes – in Millisekunden:

  1. Lokaler Cache: Dein Gerät prüft zuerst seinen eigenen DNS-Cache. Hat es diese Adresse kürzlich schon nachgeschlagen, verwendet es die gespeicherte Antwort direkt.

  2. Recursive Resolver: Ist keine gespeicherte Antwort vorhanden, fragt dein Gerät einen sogenannten Recursive Resolver – in der Regel den DNS-Server deines Internetproviders oder einen konfigurierten Dienst wie Quad9 oder Cloudflare. Dieser Resolver übernimmt die eigentliche Arbeit der Auflösung.

  3. Root-Server: Der Resolver fragt einen der 13 Root-Nameserver weltweit: „Wer ist zuständig für .de-Domains?" Die Root-Server kennen nicht die konkreten Adressen, aber sie wissen, welche Server für jede Top-Level-Domain (.de, .com, .org usw.) zuständig sind.

  4. TLD-Nameserver: Der Resolver fragt den für .de zuständigen Nameserver der DENIC: „Wer ist zuständig für deinunternehmen.de?" Dieser antwortet mit den Nameservern deines Registrars oder DNS-Anbieters.

  5. Autoritativer Nameserver: Der Resolver fragt deinen autoritativen Nameserver (den DNS-Server, der deine Einträge verwaltet): „Was ist die IP-Adresse von www.deinunternehmen.de?" Dieser antwortet mit dem konkreten A-Record.

  6. Antwort zurück: Der Resolver gibt die IP-Adresse an dein Gerät zurück. Dein Browser baut eine Verbindung zu dieser IP auf.

Warum ist das wichtig? Weil du verstehst, wo du eingreifen kannst – und wo nicht. Du kontrollierst deinen autoritativen Nameserver (über deinen Registrar oder DNS-Anbieter). Du kannst A-Records, MX-Records und TXT-Records ändern. Aber du hast keine Kontrolle über Caches bei Endbenutzern, über andere Resolver oder über Root-Server.

TTL – der Hebel für schnelle Änderungen

Jeder DNS-Eintrag hat einen TTL-Wert (Time to Live) – gemessen in Sekunden. Er gibt an, wie lange ein Resolver oder ein Endgerät die Antwort cachen darf, bevor er erneut nachfragen muss.

Ein typischer TTL-Wert ist 3600 Sekunden (1 Stunde) oder 86400 Sekunden (24 Stunden). Das bedeutet: Wenn du einen A-Record änderst, kann es bis zu TTL Sekunden dauern, bis alle Nutzer die neue Adresse sehen – weil alte Antworten noch in Caches stecken.

Der praktische Tipp für geplante Migrationen:

Wenn du weißt, dass du in einer Woche deinen Hoster wechseln wirst, senke bereits jetzt den TTL-Wert des betroffenen Eintrags auf 300 Sekunden (5 Minuten). Wenn du dann tatsächlich umschaltest, verbreitet sich die Änderung innerhalb von Minuten – statt Stunden. Nach dem Wechsel kannst du den TTL-Wert wieder auf den Normalwert erhöhen.

Merksatz: TTL ist dein Hebel für schnelle Propagation. Senke ihn im Voraus, wenn du eine Migration planst.

DNS-Einträge im Detail

Das Hauptkapitel hat die wichtigsten Record-Typen benannt. Hier die vollständige Übersicht für Selbständige:

A-Record Verknüpft einen Hostnamen mit einer IPv4-Adresse. deinunternehmen.de → 203.0.113.10. Das ist der Eintrag, der deine Website erreichbar macht.

AAAA-Record Wie der A-Record, aber für IPv6-Adressen. Viele moderne Hoster unterstützen IPv6 – wenn dein Hoster dir eine IPv6-Adresse gibt, trage sie ein.

CNAME-Record Ein Alias. www.deinunternehmen.de → deinunternehmen.de. Statt einer IP-Adresse zeigt der CNAME auf einen anderen Hostnamen. Der Resolver löst dann diesen Hostnamen weiter auf. Wichtig: Ein CNAME darf nicht für die Apex-Domain (die Domain ohne Präfix, also deinunternehmen.de) verwendet werden – nur für Subdomains.

MX-Record Steuert die E-Mail-Zustellung. Er hat zwei Felder: Priorität und Ziel-Hostname. Beispiel: 10 mail.deinunternehmen.de. Mehrere MX-Records mit unterschiedlichen Prioritäten sind möglich – E-Mails werden zuerst an den Server mit der niedrigsten Prioritätszahl gesendet; fällt dieser aus, an den nächsten.

TXT-Record Freitext-Feld, das für verschiedene Zwecke genutzt wird: SPF, DKIM, DMARC, Domain-Verifikation bei Google/Microsoft und mehr. Eine Domain kann mehrere TXT-Records haben.

NS-Record Gibt die autoritativen Nameserver für die Domain an. Diese Einträge werden beim Registrar gesetzt und bestimmen, welcher DNS-Anbieter deine Einträge verwaltet. Wenn du deinen DNS-Anbieter wechselst, änderst du diese Einträge.

SOA-Record Start of Authority – technischer Verwaltungseintrag, der automatisch gesetzt wird. Enthält u. a. den primären Nameserver und die E-Mail-Adresse des Zone-Administrators. Wird in der Regel nicht manuell bearbeitet.

Registrar vs. DNS-Anbieter vs. Hoster – drei verschiedene Rollen

Ein häufiger Irrtum: Viele glauben, Registrar und DNS-Anbieter sind dasselbe. Das müssen sie nicht sein.

Registrar: Das Unternehmen, bei dem du deine Domain registriert hast und das die Inhaberschaft verwaltet. IONOS, Strato, united-domains, Hetzner, Namecheap. Der Registrar ist für die NS-Records zuständig – er bestimmt, welche Nameserver für deine Domain autoritativ sind.

DNS-Anbieter: Das Unternehmen, dessen Nameserver deine DNS-Einträge (A, MX, TXT usw.) verwalten. Oft ist das der Registrar – aber es kann auch ein separater Dienst sein, zum Beispiel Cloudflare DNS, die eine schnelle und zuverlässige DNS-Infrastruktur als kostenlose Ergänzung anbieten.

Hoster: Das Unternehmen, auf dessen Servern deine Website liegt. Der A-Record zeigt auf die IP-Adresse des Hosters.

Warum die Trennung sinnvoll ist: Wenn dein Hoster ausfällt oder du ihn wechselst, änderst du nur den A-Record beim DNS-Anbieter. Deine Domain bleibt wo sie ist. Wenn dein DNS-Anbieter Probleme hat, kannst du die Nameserver beim Registrar auf einen anderen Anbieter umstellen. Jede Ebene ist unabhängig austauschbar.

DNSSEC – Schutz vor gefälschten DNS-Antworten

DNSSEC (DNS Security Extensions) ist ein Sicherheitsmechanismus, der DNS-Antworten mit digitalen Signaturen versieht. Er schützt vor DNS-Spoofing: einem Angriff, bei dem ein Angreifer gefälschte DNS-Antworten in den Cache eines Resolvers einschleust und Nutzer so auf gefälschte Websites umleitet.

Ohne DNSSEC hat ein Resolver keine Möglichkeit zu verifizieren, ob eine DNS-Antwort echt ist oder von einem Angreifer gefälscht wurde. Mit DNSSEC wird jede Antwort mit einem kryptografischen Schlüssel signiert, und der Resolver kann die Signatur verifizieren.

Für Selbständige: DNSSEC wird von vielen Registraren angeboten – bei IONOS, Strato und anderen kann es mit wenigen Klicks aktiviert werden. Der Nutzen ist real: DNS-Spoofing wird erheblich erschwert.

Allerdings ist DNSSEC nicht immer kostenlos. Einige Registrare – darunter IONOS – berechnen für DNSSEC einen Aufpreis pro Domain. Das ist kein Grund, DNSSEC grundsätzlich abzulehnen, aber es lohnt sich, Kosten und Nutzen abzuwägen: Für eine Domain, über die du Kundenkommunikation und geschäftskritische Dienste abwickelst, ist der Aufpreis gut investiert. Für eine rein informative Nebendomain mit wenig Traffic ist die Entscheidung weniger eindeutig. Prüfe die aktuellen Konditionen deines Registrars und entscheide bewusst.

Hinweis: DNSSEC muss auf beiden Seiten konsistent sein – beim Registrar (der das DS-Record einträgt) und beim DNS-Anbieter (der die Zone signiert). Wenn du DNS-Anbieter wechselst, muss DNSSEC neu eingerichtet werden; ein inkonsistenter Zustand macht deine Domain unerreichbar.

Domain-Hijacking: Wie Domains gestohlen werden

Domain-Hijacking ist der Diebstahl einer Domain – entweder durch Übernahme des Registrar-Kontos oder durch betrügerischen Transfer. Es ist selten, aber wenn es passiert, hat es sofortige und weitreichende Konsequenzen: Website weg, E-Mail weg, digitale Identität weg.

Die häufigsten Angriffswege:

Kompromittiertes Registrar-Konto: Der Angreifer gelangt über Phishing oder ein schwaches Passwort in dein Registrar-Konto und ändert die Nameserver oder initiiert einen Transfer.

Social Engineering beim Registrar: Angreifer geben sich gegenüber dem Support des Registrars als Kontoinhaber aus und überzeugen ihn, Zugang zu gewähren oder einen Transfer zu genehmigen.

Ablauf der Domain: Eine vergessene Domain läuft ab, wird sofort von Domain-Squattern registriert.

Schutzmaßnahmen: - Starkes, einzigartiges Passwort und 2FA für das Registrar-Konto – das ist der wichtigste Schutz. - Transfer-Lock aktivieren: Die meisten Registrare bieten einen Transfer-Lock, der verhindert, dass die Domain ohne explizite Freigabe zu einem anderen Registrar transferiert werden kann. Aktiviere ihn. - WHOIS Privacy: Viele Registrare bieten an, deine persönlichen Kontaktdaten im WHOIS-Eintrag zu verbergen. Das verhindert zwar keinen Angriff, reduziert aber die für Social Engineering verfügbaren Informationen.

Checkliste: DNS & Domains im Detail

  • Ich verstehe den Unterschied zwischen Registrar, DNS-Anbieter und Hoster – und weiß, welche Rolle bei mir wer übernimmt.
  • Der Transfer-Lock ist für meine Domain aktiviert.
  • Mein Registrar-Konto ist mit 2FA gesichert.
  • Ich kenne den TTL-Wert meiner wichtigsten DNS-Einträge und weiß, wie ich ihn vor einer geplanten Migration senken kann.
  • Ich habe alle aktuellen DNS-Einträge dokumentiert (Screenshot oder Export).
  • DNSSEC ist aktiviert, sofern Registrar und DNS-Anbieter es unterstützen.
  • WHOIS Privacy ist aktiviert.
  • Ich weiß, wie ich im Notfall Nameserver, A-Record und MX-Record meiner Domain ändern kann.