DNS-Records-Analysator
DNS (Domain Name System) Records ordnen Domainnamen IP-Adressen zu und konfigurieren E-Mail-Routing. Dieses Tool parst Zonendatei-Ausgaben von dig oder BIND, analysiert E-Mail-Authentifizierungseinträge (SPF, DMARC, DKIM, BIMI) und warnt vor häufigen Fehlkonfigurationen.
Spezifikationen
Haeufige Anwendungsfaelle
- Ausgabe von dig oder host für die Fehlersuche analysieren
- DNS-Konfiguration einer Domain vor der Migration prüfen
- E-Mail-Authentifizierungs-Setup überprüfen (SPF, DMARC, DKIM)
- Probleme bei der E-Mail-Zustellbarkeit debuggen
- Domain-DNS-Einträge für Compliance dokumentieren
- CAA-Einträge vor der Beantragung von SSL-Zertifikaten prüfen
Funktionen
- BIND/dig-Zonendatei-Ausgabe parsen
- A-, AAAA-, NS-, MX-, TXT-, CNAME-, SOA-, SRV-, CAA-, TLSA-Einträge anzeigen
- Menschenlesbare TTL-Formatierung (5m, 2h, 1d)
- SPF-Einträge automatisch erkennen und analysieren mit Mechanismus-Erklärungen
- DMARC-Richtlinien und Berichtskonfiguration analysieren
- DKIM-Eintragsanalyse (Schlüsseltyp, Selektor, Gültigkeit, Testmodus)
- BIMI-Eintragsanalyse (VMC-Vorhandensein, Gültigkeit)
- DNSSEC-Unterstützung (DNSKEY-, DS-, RRSIG-Einträge mit Ablaufdatum)
- TLSA/DANE-Zertifikat-Pinning-Anzeige
- SPF-DNS-Lookup-Anzahl validieren (maximal 10 gemäß RFC 7208)
- Warnung bei Fehlkonfigurationen der E-Mail-Authentifizierung
Beispiele
Zonendatei-Ausgabe
Ausprobieren →Ausgabe von dig mit verschiedenen Eintragstypen.
example.com. 300 IN A 192.0.2.1
example.com. 172800 IN NS ns1.example.com.
example.com. 172800 IN NS ns2.example.com.
example.com. 300 IN MX 10 mail.example.com.
example.com. 300 IN TXT "v=spf1 include:_spf.google.com ~all"
_dmarc.example.com. 300 IN TXT "v=DMARC1; p=reject; rua=mailto:dmarc@example.com"SPF-Eintrag
Ausprobieren →Ein SPF-Eintrag, der Google und Mailgun zum E-Mail-Versand autorisiert.
v=spf1 include:_spf.google.com include:mailgun.org ip4:192.168.1.0/24 ~allDMARC-Eintrag
Ausprobieren →Eine strenge DMARC-Richtlinie mit aggregierter und forensischer Berichterstattung.
v=DMARC1; p=reject; rua=mailto:dmarc@example.com; ruf=mailto:forensic@example.com; adkim=s; aspf=s; pct=100Tipps
- Alle Einträge abrufen mit: dig example.com ANY +noall +answer
- SPF erlaubt maximal 10 DNS-Lookups. Verwenden Sie "include" sparsam.
- DMARC p=reject ist am strengsten, aber beginnen Sie mit p=none und rua-Berichterstattung.
- CAA-Einträge beschränken, welche CAs Zertifikate für Ihre Domain ausstellen können.
- TLSA-Einträge ermöglichen DANE für die Zertifikatsverifizierung.
Verstaendnis DNS-Records-Analysator
Das Domain Name System (DNS) ist der Verzeichnisdienst des Internets, der menschenlesbare Domainnamen in IP-Adressen übersetzt und andere wichtige Zuordnungen bereitstellt. DNS-Einträge werden in Zonendateien auf autoritativen Nameservern gespeichert, jeweils mit einem Namen, Typ, Klasse, TTL (Time to Live) und typspezifischen Daten.
Die grundlegendsten Eintragstypen behandeln die Namensauflösung. A-Einträge ordnen eine Domain einer IPv4-Adresse zu, AAAA-Einträge einer IPv6-Adresse. CNAME-Einträge erzeugen Aliase, die einen Namen auf einen anderen verweisen. NS-Einträge delegieren Subdomains an bestimmte Nameserver. MX-Einträge leiten E-Mails mit einem Prioritätswert an Mailserver weiter. SOA-Einträge enthalten Zonen-Metadaten einschließlich des primären Nameservers und der Seriennummer.
TXT-Einträge transportieren E-Mail-Authentifizierungsdaten. SPF-Einträge (v=spf1 ...) spezifizieren autorisierte E-Mail-Absender. DMARC-Einträge (v=DMARC1; ...) teilen Empfängern mit, wie sie mit SPF/DKIM-Fehlern umgehen sollen. DKIM-Einträge speichern öffentliche Schlüssel zur Verifizierung von E-Mail-Signaturen. Fehlkonfigurierte E-Mail-Authentifizierung ist eine Hauptursache für Zustellbarkeitsprobleme.
Der TTL-Wert steuert, wie lange Resolver Antworten zwischenspeichern. Hohe TTLs (86400 Sekunden = 1 Tag) reduzieren den DNS-Verkehr, machen Änderungen aber langsam. Niedrige TTLs (300 Sekunden = 5 Minuten) ermöglichen schnelle Aktualisierungen, erhöhen aber das Abfragevolumen. Senken Sie vor Migrationen die TTLs im Voraus, damit alte Werte schnell ablaufen.
DNS "propagiert" nicht wirklich in der Art, wie der Begriff es impliziert. Wenn ein Eintrag geändert wird, liefern Resolver weiterhin den zwischengespeicherten alten Wert, bis dessen TTL abläuft, und rufen dann den neuen Wert vom autoritativen Server ab. Wenn die TTL 86400 (24 Stunden) betrug, kann es bis zu 24 Stunden dauern, bis die Änderung überall sichtbar ist. Um Änderungen zu beschleunigen, senken Sie die TTL rechtzeitig im Voraus (z.B. auf 300 Sekunden 48 Stunden vor der Migration), führen Sie die Aktualisierung durch und erhöhen Sie die TTL danach wieder.
Ein A-Eintrag ordnet eine Domain direkt einer IPv4-Adresse zu, während ein CNAME einen Alias erstellt, der auf einen anderen Domainnamen verweist — der Resolver folgt der Kette bis zum endgültigen A-Eintrag. CNAMEs können nicht an der Zonenspitze (Bare Domain wie example.com) verwendet werden, da sie mit den erforderlichen SOA- und NS-Einträgen an der Spitze in Konflikt stehen. Einige DNS-Anbieter bieten proprietäre ALIAS- oder ANAME-Eintragstypen an, um diese Einschränkung zu umgehen.
Das Einrichten der E-Mail-Authentifizierung umfasst drei DNS-Einträge. Für SPF fügen Sie einen TXT-Eintrag mit "v=spf1" hinzu, gefolgt von den autorisierten Absendern. Für DKIM fügen Sie einen TXT-Eintrag an einer Selektor-Subdomain hinzu, der den vom E-Mail-Dienst bereitgestellten öffentlichen Schlüssel enthält. Für DMARC fügen Sie einen TXT-Eintrag bei _dmarc.ihredomain.com hinzu, der die Richtlinie (none, quarantine oder reject) und eine Berichtsadresse spezifiziert. Der Start mit p=none ermöglicht die Überwachung der Ausrichtung vor der Durchsetzung. SPF-Fehler werden häufig durch das Überschreiten des 10-DNS-Lookup-Limits verursacht, durch das Vergessen, einen Sendedienst zu autorisieren, durch die Verwendung von -all (hard fail) bevor alle Absender verifiziert sind, oder durch mehrere SPF-Einträge auf derselben Domain — nur ein v=spf1-Eintrag ist erlaubt, und mehrere Einträge verursachen einen permanenten Fehler.