Die 10 wichtigsten DNS-Records am Beispiel DNS-Zone derprovider.at
Nachdem wir uns die Domains & DNS näher angesehen haben (siehe Blog: Was sie schon immer über DNS & Domain wissen wollten), geben wir nun 10 praktische Tipps zu DNS-Records.
Nameserver
Die folgenden Nameserver sind für Ihre DNS-Zone zuständig und beinhalten alle DNS-Informationen zu Ihrer Domain. Diese Nameserver sind für Ihre DNS-Zone zuständig und beinhalten alle DNS-Informationen zu Ihrer Domain.
@ IN NS cns01.derprovider.at
@ IN NS cns02.derprovider.at
@ IN NS cns03.derprovider.at
@ IN NS cns04.derprovider.atSecond Level Domain
Meistens zeigt die Second Level Domain, oft nur Domain genannt, auf den Webserver.
@ IN A 138.201.122.74
@ IN AAAA 2a01:4f8:172:2589::2Dienst www
Der Dienst www zeigt auch auf den Webserver, siehe Blog: Woher kommt das www vor der Domain. Tipp: Der www-Eintrag sollte kein CNAME auf ihre Haupt-Domain sein. Grund: Zusätzliche DNS-Abfrage auf die gleiche Domain.
www IN A 138.201.122.74
www IN AAAA 2a01:4f8:172:2589::2
Dienst MX (Mail Exchanger)
Der MX-Record sagt aus, welche Mail-Server für die Domain zuständig sind.
mx01 IN CNAME srvli76.derprovider.at.
mx02 IN CNAME srvli77.derprovider.at.
@ IN MX 10 mx01.derprovider.at
@ IN MX 20 mx02.derprovider.atTexteintrag SPF-Record
Ein sehr wichtiger Eintrag ist der SPF-Record. Er sagt aus, welche Server im Namen der Domain E-Mails versenden dürfen und was bei fehlender Übereinstimmung passiert. In unserem Beispiel dürfen Server, die hinter der Haupt-Domain und hinter den MX-Einträgen liegen, E-Mails versenden und bei Nichtübereinstimmung werden alle E-Mails abgelehnt. Beachte, dass für den korrekten E-Mail-Versand unbedingt der entsprechende Reverse DNS bei den Servern, die versendet werden sollen, eingetragen sein muss.
@ IN TXT "v=spf1 a mx -all"Texteintrag Domain Key (DKIM)
Der Domain Key ist ein zusätzlicher Schutz. Die Server der E-Mail-Empfänger können E-Mails mit gefälschter DKIM-Signatur ablehnen.
mail._domainkey.derprovider.at IN TXT “v=DKIM1; k=rsa; p=MI….AB”SRV (Service-Einträge)
Anwendungen oder auch Apps können unter Umständen SRV-Einträge berücksichtigen und Einstellungen direkt übernehmen. In diesem Beispiel sorgen die Einträge dafür, dass in bestimmten E-Mail-Apps der Posteingangs- und Postausgangs-Server mit den richtigen Ports automatisch ausgefüllt wird.
_imaps._tcp IN SRV 0 “1 993 imap.derprovider.at”
_submission._tcp IN SRV 0 “1 587 smtp.derprovider.at”
AAAA (IPv6)
Wichtig zu wissen ist, dass hierzulande in Österreich, in anderen Ländern oder auch bei bestimmten Anbietern, IPv6 noch nicht weit verbreitet ist aber dennoch eine sehr große Rolle spielt. In manchen Teilen der Welt gibt es ausschließlich nur noch IPv6, und sollte keine “AAAA” - also IPv6-Adresse - im DNS hinterlegt sein, können die betroffenen Clients die Webseite oder auch die Dienste nicht erreichen.
Ein weiteres Beispiel ist VPN, gerade bei Firmen, die nur eine IPv4-Adresse haben, können sich Clients mit einer IPv6-Adresse nicht verbinden. In Österreich zum Beispiel bekommt man vom Provider als Privatkunde oft bereits eine IPv6-Adresse. Firmen hingegen bekommen oft leider nur eine IPv4-Adresse, somit können sich diese Clients nicht in das Firmen-VPN einwählen.
Dazu muss der Privatkunde vom Provider wieder auf eine IPv4-Adresse umgestellt werden, was aber den Nachteil hat, dass man die IPv6-Adresse verlieren könnte. Ein Dual Stack-Betrieb (also IPv4 und IPv6) wird derzeit meist nicht angeboten, was eben genau zu diesen Problemen führt.
CNAME-Einträge - Punkt oder kein Punkt
Beachte beim Anlegen von einem CNAME auf einen anderen FQDN oder Dienst nicht den Punkt “.” am Ende. Dieser Punkt sorgt dafür, dass der DNS-Server weiß, dass er dahinter nicht die Domain verwenden soll. In unserem Beispiel die DNS-Zone massiveart.com.
CNAME-Einträge - Richtig:
premiumdns IN CNAME srvli56.derprovider.at.
premiumdns.massiveart.com zeigt auf srvli56.derprovider.at
mx03 IN CNAME mx01
mx03.massiveart.com zeigt auf mx01.massiveart.comCNAME-Einträge - Falsch:
premiumdns IN CNAME srvli56.derprovider.at <- Kein Punkt
premiumdns.massiveart.com zeigt auf srvli56.derprovider.at.massiveart.com
mx03 IN CNAME mx01. <- Der Punkt zu viel
mx03.massiveart.com zeigt auf mx01
Minus & Bindestrich
Bei TXT Records kann es vorkommen, dass ein “-” verwendet werden muss. z.B. beim SPF-Record (-all). Überprüfe, dass der Bindestrich ein “-” (Minus) ist, denn ansonsten kann es sein, dass das Zeichen fehlt oder der Eintrag nicht funktioniert.
Die wichtigsten RR-Typen:
| RR | Resource Record | Grundlegende Informationseinheit im DNS |
| TTL | Time to Live | Gibt an, in welchen Zeitintervallen die Daten zu einer Domain abgefragt werden sollen. Dazwischen behalten die DNS-Server die Daten im Zwischenspeicher (Cache). |
NS
| Name Server record | Die für die Domain zuständige Nameserver. |
| A | Address record | Die 32 bit IPv4 Addresse eines Hosts |
| AAAA | IPv6 Address record | Die 128bit IPv6 Addresse eines Hosts |
| CNAME | Cannonical Name | Ordnet einen Namen einem anderen Namen zu. Ein CNAME darf innerhalb der Zone nur einmal vorkommen. Zudem werden keine anderen Datensätze wie z.B. der MX-Record für denselben Namen verwendet. Beim CNAME findet eine direkte Auflösung statt. |
| ALIAS | Alias | Dieser Record hat den gleichen Zweck wie ein CNAME, ist jedoch technisch anders aufgebaut. Die Domain kann über einen Hostnamen einer IP-Adresse zugeordnet werden. Dies ermöglicht z.B. den Root Record in der Domain auf einen Zielhost-Namen zu verweisen. Dabei werden z.B. auch der MX-Record und Sub-Domains bzw. Host-Einträge mit berücksichtigt. |
| MX | Mail eXchange record | Gibt einen oder mehrere für die Domain zuständigen Mailserver mit einer Priorität an. Der mit dem niedrigsten Wert angegebene Mailserver wird bevorzugt. |
| TXT | Text record | Ursprünglich für frei definierbaren und von Menschen lesbaren Text. Doch häufig werden TXT-Einträge für z.B. SPF, DKIM oder zur Validierung der Inhaberschaft für eine Domain verwendet. |
| SRV | Service locator | Wird von neuen Protokollen benutzt anstelle von spezifischen Einträgen wie der MX Eintrag. Mit dem SRV Eintrag können Services inklusive Ports und Protokolle definiert werden. Die Prioität ist hier etwas komplexer da noch die Gewichtung ins Spiel kommt. Details unter: https://de.wikipedia.org/wiki/SRV_Resource_Record |
| PTR | Pointer record auch Reverse DNS genannt. | Weist einer IP-Addresse einen Domain Namen zu um die Rückwärtsauflösung zu ermöglichen. Wird vor allem auch im Bereich E-Mail Dienste verwendet, um zu prüfen, ob der Absender Server überhaupt dazu vorgesehen ist. (Spamabwehr) |
