Technischer Hinweis: In DNS-Eintraege pruefen: DNS-Abfrage starten werden DNS-Abfragen vom Serverstandort aus durchgefuehrt. Ergebnisse koennen von lokalen Resolvern abweichen, insbesondere bei kurzen TTL-Werten, laufenden DNS-Migrationen oder unterschiedlichen Resolver-Caches.
DNS-Eintraege pruefen: Typen, Bedeutung und Fehleranalyse im Ueberblick
DNS-Eintraege pruefen ist der erste Schritt, wenn eine Website nicht erreichbar ist, E-Mails nicht ankommen oder ein SSL-Zertifikat nicht passt. Das Domain Name System uebersetzt Domainnamen in IP-Adressen und steuert, wohin Anfragen geroutet werden. Wenn hier etwas falsch konfiguriert ist, funktioniert die darueberliegende Anwendung trotz gesundem Server oft nicht.
Was DNS ist und warum es alles verbindet
Das Domain Name System ist die verteilte Infrastruktur, die Hostnamen wie example.de in IP-Adressen uebersetzt. Ohne DNS muessten Nutzende sich jede Zieladresse direkt merken. In der Praxis fragt der lokale Resolver zuerst einen rekursiven Resolver, dieser folgt der Delegationskette ueber Root-Server, TLD-Zone und autoritative Nameserver, bis die finale Antwort aus der Zone der Domain gefunden wird.
Genau deshalb sollte DNS vor fast jedem weiteren Troubleshooting geprueft werden. Wenn der A-Record auf die falsche Adresse zeigt, wenn der MX-Eintrag fehlt oder wenn die Nameserver-Delegation inkonsistent ist, bringen weder Ping-Tests noch Applikations-Logs die richtige Ursache ans Licht. Ein DNS-Fehler sitzt eine Schicht tiefer und muss dort gelesen werden.
Fuer das Grundverstaendnis lohnt sich ein Blick auf RFC 1035 und die Beschreibung der Root-Server bei IANA. Beides zeigt, warum DNS nicht aus einem einzelnen Server besteht, sondern aus einer Hierarchie, in der Delegation, Caching und Autoritaet zusammenspielen.
DNS-Cache und Wartezeiten
DNS-Antworten werden von Resolvern zwischengespeichert. Wenn Sie einen Eintrag gerade geaendert haben, kann es je nach TTL-Wert Minuten bis Stunden dauern, bis die Aenderung ueberall sichtbar wird. Das ist normales DNS-Verhalten und kein Fehler dieses Tools.
DNS-Record-Typen im Detail
Jeder DNS-Record hat einen klaren Zweck. Die Kombination aus A, AAAA, MX, TXT, CNAME, NS und SOA deckt bereits die meisten Web-, Mail- und Infrastrukturfragen ab. Wer diese Typen lesen kann, erkennt viele Stoerungen bereits vor dem ersten Blick in Webserver-, MTA- oder Firewall-Logs.
| Typ | Zweck | Beispielwert | Typischer Fehler |
|---|---|---|---|
| A | IPv4-Adresse des Hosts | 93.184.216.34 | Zeigt nach Migration noch auf alten Server |
| AAAA | IPv6-Adresse des Hosts | 2606:2800:220:1:: | Fehlt oder zeigt auf nicht erreichbares IPv6-Ziel |
| MX | Mail-Exchange-Server | mx1.example.de mit Prio 10 | Falscher Zielhost oder unplausible Prioritaet |
| TXT | Verifikation, SPF, DKIM, DMARC | v=spf1 include:... ~all | SPF-Fehler oder fehlende Mail-Security-Policy |
| CNAME | Alias auf anderen Hostnamen | www auf example.de | Alias zeigt auf falsches Ziel oder wird am Zone Apex missbraucht |
| NS | Autoritative Nameserver | ns1.example-dns.de | Delegation zeigt auf falsche oder veraltete Nameserver |
| SOA | Verwaltungsdaten der Zone | mname, rname, serial | Seriennummer wird nach Aenderung nicht erhoeht |
Der A-Record ist der klassische Web-Record. Er verbindet einen Hostnamen mit einer IPv4-Adresse und ist bei Serverwechseln haeufig die erste Fehlerquelle. Der AAAA-Record uebernimmt dieselbe Aufgabe fuer IPv6. Wenn AAAA vorhanden ist, die Anwendung aber kein stabiles IPv6 bedient, entstehen oft Stoerungen, die nur fuer einen Teil der Nutzenden sichtbar sind.
Der MX-Record entscheidet ueber den Mail-Empfang. Die niedrigste Prioritaetszahl wird zuerst angesprochen. Der TXT-Record dient heute nicht mehr nur fuer beliebigen Text, sondern traegt zentrale Mail-Security-Informationen, Domain-Verifikationen und teilweise produktkritische Policies. NS und SOA wiederum sind fuer Delegation und Zonenverwaltung entscheidend. Gerade bei Migrationen zwischen DNS-Providern wird hier viel Autoritaet verloren, wenn alte und neue Nameserver parallel oder inkonsistent konfiguriert bleiben.
Haeufige DNS-Probleme und wie Sie sie erkennen
Website nach dem Relaunch nicht erreichbar? Dann zeigt der A-Record oft noch auf die alte Infrastruktur oder der CNAME verweist auf ein nicht mehr gueltiges CDN-Ziel. E-Mails kommen nicht an? Dann sind MX-Eintraege, SPF oder der autoritative TXT-Record die naechsten Kandidaten. Auch Zertifikatsfehler lassen sich haeufig auf DNS zurueckfuehren, wenn der Hostname technisch zu einem anderen Endpunkt geleitet wird als erwartet.
Ein weiteres Standardproblem ist die uneinheitliche Sicht zwischen resolvender Infrastruktur. Der lokale Rechner sieht noch einen alten Datensatz, waehrend ein Server bereits die neue Antwort liefert. In solchen Faellen lohnt sich der Vergleich von DNS-Abfrage, WHOIS-Abfrage und Erreichbarkeitstest. So laesst sich unterscheiden, ob die Domain bereits korrekt delegiert ist oder ob nur einzelne Resolver noch am alten Cache festhalten.
Auch NS- und SOA-Werte liefern in Stoerungsfaellen mehr Signal, als viele Teams vermuten. Wenn die Delegation noch auf alte Nameserver zeigt oder die Seriennummer der Zone nach einer Aenderung nicht sauber hochgezaehlt wurde, entstehen schwer lesbare Teilfehler. Dann sieht ein Resolver die neue Zone, ein anderer aber weiterhin den alten Stand. Wer das mit einer IP-Adresse-Suche des Zielhosts kombiniert, kann haeufig schon vor dem Login in fremde Systeme erkennen, ob DNS oder Infrastruktur die wahrscheinlichere Ursache ist.
MX und SPF zusammen lesen
Fehlende oder falsche MX-Eintraege verhindern den Empfang von E-Mails. Fehlkonfigurierte SPF-Eintraege verschlechtern die Zustellbarkeit ausgehender Nachrichten. Nach jeder Mail-Migration sollten deshalb MX, SPF, DKIM und DMARC gemeinsam geprueft werden.
TTL: Warum DNS-Aenderungen nicht sofort sichtbar sind
TTL steht fuer Time to Live und definiert, wie lange Resolver eine Antwort im Cache behalten duerfen. Bei einem TTL von 3600 Sekunden kann ein Resolver die Antwort bis zu eine Stunde lang wiederverwenden. Bei 86400 Sekunden ist eine veraltete Sicht bis zu 24 Stunden moeglich. Wer DNS nur an einer Stelle prueft, uebersieht diesen zeitlichen Aspekt schnell.
Das macht DNS-Migrationen planungsintensiv. Wenn ein Record unmittelbar vor dem Umschalten noch eine sehr hohe TTL hat, verbreitet sich die neue Zieladresse nicht sofort. Sinnvoll ist es deshalb, die TTL vor geplanten Eingriffen rechtzeitig zu senken, damit Caches schneller auslaufen. Nach der Stabilisierung kann die TTL wieder erhoeht werden, um Resolver zu entlasten.
Gerade bei CDN-, Mail- oder Multi-Provider-Setups lohnt sich diese TTL-Perspektive doppelt. Dort greifen oft mehrere zwischengeschaltete Resolver, Health-Checks oder externe Plattformen gleichzeitig auf die Zone zu. Eine Aenderung wirkt dann nicht als einzelner Schalter, sondern als zeitversetzter Rollout ueber viele Caches hinweg. Wer DNS-Antworten richtig lesen will, muss deshalb immer auch den Zeitfaktor mitlesen.
TTL vor DNS-Migration senken
Setzen Sie die TTL mindestens 24 Stunden vor einem Umzug auf einen niedrigen Wert wie 300 Sekunden. So werden neue DNS-Antworten nach dem Umschalten deutlich schneller sichtbar. Erst wenn der Wechsel stabil ist, sollte die TTL wieder steigen.
SPF, DKIM und DMARC: Mail-Sicherheit im TXT-Eintrag
SPF definiert, welche Server E-Mails im Namen einer Domain versenden duerfen. DKIM fuegt ausgehenden Nachrichten eine kryptografische Signatur hinzu. DMARC legt fest, wie Empfaengersysteme reagieren sollen, wenn SPF oder DKIM fehlschlagen. Fuer die Standards sind vor allem RFC 7208, RFC 6376 und RFC 7489 relevant.
In der Praxis ist dieser Teil fuer die Zustellbarkeit oft wichtiger als jede optische Mail-Einstellung. Eine Domain kann technisch korrekt aufloesen und dennoch bei grossen Empfaengern im Spam landen, wenn die Mail-Security-Records fehlen oder widerspruechlich formuliert sind. Genau deshalb sollte ein DNS-Tool nicht nur A- und MX-Records zeigen, sondern den TXT-Bereich genauso ernst nehmen.
| Mechanismus | Funktion | TXT-Beispiel |
|---|---|---|
| SPF | Autorisierte Absender-IPs | v=spf1 include:_spf.google.com ~all |
| DKIM | Signatur-Schluessel | v=DKIM1; k=rsa; p=MIIBIj... |
| DMARC | Policy bei Verstoss | v=DMARC1; p=reject; rua=mailto:... |
Ohne Mail-Security wird Zustellung instabil
Fehlende SPF- oder DMARC-Konfiguration fuehrt nicht immer zu einem harten Fehler, aber sehr oft zu Spam-Einstufung, Soft Rejects oder schlechter Reputation. Gerade nach Mail-Plattform-Wechseln sollte der TXT-Bereich deshalb als produktkritisch behandelt werden.
Wer DNS-Eintraege pruefen: DNS-Abfrage starten sinnvoll nutzen will, sollte nicht nur die nackten Antworten lesen, sondern Delegation, Caching und den fachlichen Kontext der Eintraege zusammendenken. Dann wird aus einer einfachen DNS-Abfrage eine belastbare Grundlage fuer Web-, Mail- und Infrastrukturdiagnose.
DNS-Pruefung in drei Schritten
- Geben Sie den Domainnamen ein.
- Pruefen Sie die Antworten.
- Nutzen Sie MX, TXT und SOA fuer tieferes Troubleshooting.
Fragen zur DNS-Abfrage
Ein A-Eintrag verbindet einen Hostnamen mit einer IPv4-Adresse. Er ist der grundlegendste DNS-Record und bestimmt, auf welchen Server eine Domain fuer IPv4 zeigt.
A zeigt auf eine IPv4-Adresse, AAAA auf eine IPv6-Adresse. Fuer moderne Erreichbarkeit sollten beide nur dann gesetzt sein, wenn die jeweilige Infrastruktur sauber antwortet.
TXT wird fuer SPF, DKIM, DMARC, Domain-Verifikationen und andere technische Policies genutzt. Gerade fuer Mail-Sicherheit und Fremdsystem-Verifizierung ist dieser Record-Typ zentral.
Ohne MX-Eintrag kann eine Domain regulaer keine E-Mails empfangen. Manche Systeme fallen auf den A-Record zurueck, darauf sollte man sich produktiv aber nicht verlassen.
DNS-Antworten werden gecacht. Ihr lokaler Resolver kann also noch eine aeltere Version im Cache haben, waehrend ein anderer Resolver bereits die neue Antwort sieht.
Ein CNAME ist ein Alias, der auf einen anderen Hostnamen verweist. Typisch ist zum Beispiel www auf example.de. Am Zone Apex ist ein CNAME klassisch problematisch, weil dort meist weitere Record-Typen benoetigt werden.
SOA steht fuer Start of Authority und enthaelt Verwaltungsdaten einer DNS-Zone wie primaeren Nameserver, Kontakt, Seriennummer sowie Refresh- und Retry-Werte.
Das haengt vor allem vom TTL-Wert und vom Verhalten der beteiligten Resolver ab. Bei niedriger TTL koennen Aenderungen binnen Minuten sichtbar werden, bei hohen Werten erst nach vielen Stunden.