KernelHost Tools DNS Lookup

DNS Lookup / DNS Records auslesen

Liest alle wichtigen DNS-Records einer Domain in einer Abfrage: A, AAAA, MX, TXT, CNAME, NS, SOA und CAA inklusive TTL. SPF-, DKIM- und DMARC-Eintraege werden inline geparst und mit Gueltigkeits-Badge angezeigt. Lookup laeuft direkt aus dem KernelHost-Knoten Frankfurt FRA01.

Welche Domain pruefen?

Wie funktioniert DNS?

Das Domain Name System (DNS) ist das Telefonbuch des Internets. Wenn dein Browser tools.kernelhost.com aufruft, wird zuerst die Domain in eine IP-Adresse uebersetzt. DNS ist dabei nicht ein einzelner Server, sondern eine hierarchische Kette: Root-Server (.), TLD-Server (.com, .de, .at) und schliesslich der Authoritative Nameserver der Domain. Diese Kette wird vom Resolver durchlaufen, der das Ergebnis dann lokal cached.

Eine DNS-Abfrage besteht aus Frage und Antwort: Welche Records vom Typ X gibt es fuer Domain Y? Die Antwort enthaelt einen oder mehrere Records plus eine TTL (Time To Live), die angibt, wie lange ein Resolver den Eintrag cachen darf. Aenderungen an DNS sind daher nicht sofort weltweit sichtbar, sondern propagieren entlang der Cache-Hierarchie.

Unser Tool startet einen UDP/TCP-Lookup ueber den System-Resolver des Containers in Frankfurt FRA01. Es gibt kein Tracking, kein Logging der abgefragten Domain und keine Drittanbieter-API. Die Antwort kommt in der Regel innerhalb weniger Millisekunden, weil der Frankfurt-Knoten direkt am DE-CIX angebunden ist.

Welche Record-Typen gibt es?

Jeder DNS-Record-Typ hat eine spezifische Aufgabe. Unser Tool zeigt die acht haeufigsten Typen, die du fuer den Betrieb einer Domain wirklich brauchst.

  • A: Mappt eine Domain auf eine IPv4-Adresse. Eine Domain kann mehrere A-Records haben (Round-Robin-DNS, Loadbalancing).
  • AAAA: Mappt eine Domain auf eine IPv6-Adresse. Pflicht fuer moderne Web-Setups, Google bewertet IPv6-Konnektivitaet positiv im Ranking.
  • MX: Mail Exchanger. Welcher Server ist fuer den Empfang von E-Mails an diese Domain zustaendig. Mit Prioritaet (kleinere Zahl = bevorzugt) fuer Failover.
  • TXT: Beliebiger Text. In der Praxis fast ausschliesslich fuer SPF, DKIM, DMARC, Domain-Verification (Google, Microsoft) und _acme-challenge (Let's Encrypt) genutzt.
  • CNAME: Alias auf eine andere Domain. www.kernelhost.com kann ein CNAME auf kernelhost.com sein. Auf der Apex-Domain (kernelhost.com selbst) ist CNAME nicht erlaubt.
  • NS: Welche Nameserver sind authoritativ fuer diese Domain. NS-Records werden bei der Domain-Registrierung gesetzt und definieren, wo die anderen Records gepflegt werden.
  • SOA: Start Of Authority. Definiert den primaeren Nameserver, die Admin-E-Mail und die Refresh/Retry/Expire/Minimum-TTL-Werte fuer Zone-Transfers.
  • CAA: Certificate Authority Authorization. Welche CAs duerfen TLS-Zertifikate fuer diese Domain ausstellen. Schutz vor unautorisierter Zertifikat-Ausstellung.

MX vs SPF vs DKIM vs DMARC: Email-Setup erklaert

Ein vollstaendiges E-Mail-Setup besteht aus vier DNS-Komponenten. Fehlt eine, landen deine Mails entweder gar nicht im Empfaenger-Postfach oder direkt im Spam-Ordner.

  • MX (Empfang): Sagt der Welt, welcher Server eingehende E-Mails fuer deine Domain annimmt. Ohne MX kann dir niemand schreiben. MX zeigt typischerweise auf einen Hostnamen wie mx.kernelhost.com, der dann per A/AAAA aufgeloest wird.
  • SPF (Versand-Authentifizierung): TXT-Record mit v=spf1, der angibt, von welchen IPs Mails fuer deine Domain rechtmaessig versendet werden duerfen. -all am Ende ist Pflicht (sonst kann jeder beliebige IP fuer dich faelschen).
  • DKIM (kryptographische Signatur): Jede ausgehende Mail wird mit einem privaten Schluessel signiert, der oeffentliche Schluessel liegt im DNS unter selector._domainkey.deine-domain.com als TXT mit v=DKIM1. Empfaenger pruefen die Signatur und erkennen Manipulationen.
  • DMARC (Policy + Reporting): TXT unter _dmarc.deine-domain.com mit v=DMARC1; p=reject; rua=mailto:dmarc@... DMARC kombiniert SPF und DKIM, sagt was der Empfaenger mit fehlgeschlagenen Mails machen soll und liefert dir Reports.

Unser Tool parst SPF, DKIM und DMARC inline und zeigt dir mit gruenem, gelbem oder rotem Badge sofort, ob das Setup sauber ist oder ob z. B. -all fehlt, der DKIM-Schluessel zu kurz ist oder DMARC nur im Monitoring-Mode laeuft.

TTL und DNS-Caching

TTL (Time To Live) gibt in Sekunden an, wie lange ein Resolver einen DNS-Eintrag cachen darf. Bei TTL=3600 fragt der Resolver erst nach einer Stunde wieder beim Authoritative Server nach. Das spart Bandbreite, macht aber DNS-Aenderungen nicht sofort sichtbar.

Die richtige TTL haengt davon ab, was du erreichen willst. Stabiler Produktionsbetrieb: hohe TTL (1 Stunde bis 1 Tag). Bevorstehender Server-Umzug: TTL Tage vorher auf 60-300 Sekunden senken, dann umziehen, dann wieder hochsetzen.

  • Kurze TTL (60-300s): Schnelle Aenderungen, aber mehr Last auf dem Authoritative-Server und leicht hoeherer Latency-Overhead beim Lookup.
  • Lange TTL (3600-86400s): Weniger Last, schnellere Antworten aus dem Cache, aber Aenderungen brauchen Stunden bis Tage bis sie weltweit sichtbar sind.
  • Bei Migrationen: Mindestens 24 Stunden vor dem Umzug TTL auf 60-300 Sekunden senken, dann sind alle Resolver-Caches kurz vor dem Cutover-Termin abgelaufen.

Was ist DNSSEC und brauche ich das?

DNSSEC (DNS Security Extensions) signiert DNS-Records kryptographisch, damit ein Resolver pruefen kann, ob die Antwort auf dem Weg manipuliert wurde. Ohne DNSSEC kann ein boeswilliger ISP- oder Public-WiFi-Resolver dir falsche IPs liefern (DNS-Spoofing).

DNSSEC nutzt zwei Schluessel: ZSK (Zone Signing Key) signiert die Records, KSK (Key Signing Key) signiert den ZSK. Der KSK-Hash wird als DS-Record beim Registrar hinterlegt, was die Vertrauenskette bis zur Root schliesst.

Brauchst du das? Fuer Banken, Behoerden, Mail-Provider und alle, die SMIMEA-, TLSA- oder OPENPGPKEY-Records (DANE) nutzen wollen: ja. Fuer einen normalen Webshop ist DNSSEC ein nice-to-have, das aber nichts kostet, wenn der Provider es unterstuetzt. KernelHost-DNS unterstuetzt DNSSEC out-of-the-box.

Typische Debugging-Use-Cases

Wofuer du dieses Tool im Alltag wirklich brauchst:

  • Mail kommt nicht an: MX-Records pruefen, dann SPF, DKIM, DMARC. Ist eine der vier Komponenten kaputt, landet die Mail im Spam oder wird vom Empfaenger gar nicht angenommen.
  • Domain zeigt auf falsche IP: A- und AAAA-Records pruefen. Manchmal hat man bei einem Server-Umzug nur die A-Records umgestellt, aber alte AAAA-Records vergessen.
  • Subdomain antwortet nicht: CNAME oder direkten A-Record auf der Subdomain pruefen. Haeufiger Fehler: Subdomain wurde im Hosting-Panel angelegt, aber DNS zeigt noch ins Leere.
  • DNS-Propagation pruefen: Nach einer Aenderung mehrere Lookups in zeitlichem Abstand machen. Wenn TTL abgelaufen ist, sollten alle Resolver die neuen Records sehen.
  • Lets Encrypt verweigert Zertifikat: CAA-Records pruefen. Steht dort z. B. nur ein anderer CA-Eintrag und Lets Encrypt fehlt, weigert sich Lets Encrypt, ein Zertifikat auszustellen.

DNS und KernelHost

KernelHost-Webhosting beinhaltet komplettes Managed-DNS: alle Records werden ueber unser Control-Panel gepflegt, DNSSEC ist standardmaessig aktiv, geographisch redundante Anycast-Nameserver in Frankfurt und Wien sorgen fuer schnelle Antworten weltweit.

Wer nur DNS-Hosting ohne Webspace braucht, kann unsere Domain-Service-Pakete nutzen. Domain-Registrierung, Transfer und DNS-Management sind in jedem KernelHost-Hosting-Tarif inklusive. Fuer komplexere Setups (Split-Horizon, GeoDNS, hohe TTL-Praezision) ist VPS- plus eigener Authoritative-Server eine Option, das Tool hier kannst du jederzeit zur Diagnose nutzen.

Haeufig gestellte Fragen

Welche Record-Typen werden abgefragt?

A, AAAA, MX, TXT, CNAME, NS, SOA und CAA. Das sind die acht haeufigsten Typen, die du fuer den normalen Domain-Betrieb wirklich brauchst. Spezial-Records wie SRV, PTR, DS, DNSKEY oder TLSA findest du im Check-Host-Tool unter dem DNS-Modus mit dig.

Werden DKIM-Selektoren automatisch gefunden?

Nein. DKIM-Records liegen unter <selector>._domainkey.<domain>, und der Selektor ist beliebig (google, k1, default usw.). Ohne den Selektor zu kennen, lassen sich DKIM-Eintraege nicht enumerieren. Wenn du den Selektor hast, gib direkt z. B. google._domainkey.kernelhost.com als Domain ein, dann zeigt dir das Tool den TXT-Eintrag mit Parser.

Wird DMARC automatisch geprueft?

Ja. DMARC liegt immer unter _dmarc.<domain> und wird automatisch parallel zur Hauptdomain abgefragt. Du siehst den Eintrag im TXT-Block mit DMARC-Badge und Erklaerung der Policy (none / quarantine / reject), pct, aspf, adkim und rua.

Was bedeutet das Ergebnis 'keine MX Records vorhanden'?

Diese Domain empfaengt keine E-Mails. Wenn du E-Mail an z. B. info@diese-domain.com schickst, bouncen die Mails zurueck. MX ist die Pflicht-Voraussetzung fuer den Mailempfang, ohne MX kannst du keine Mails fuer die Domain empfangen, auch wenn ein A-Record da ist.

Welche TTL-Werte sind sinnvoll?

Im Produktivbetrieb 3600 Sekunden (1 Stunde) bis 86400 Sekunden (1 Tag). Bei bevorstehenden Aenderungen mindestens 24 Stunden vorher auf 60-300 Sekunden senken, dann sind die Caches kurz und die Umstellung wird schnell weltweit sichtbar. Nach der Aenderung wieder hochsetzen.

Werden Eingaben gespeichert?

Nein. Es gibt kein Logging der abgefragten Domains, keine Tracking-Cookies und keine Drittanbieter-API. Der Lookup laeuft lokal im Container ueber dns_get_record(). Wir sehen keine Anfrage-Historie und koennen sie auch nicht ueber Logs rekonstruieren.

Warum sehe ich keine DNSSEC-Records?

Das Tool zeigt acht Standard-Record-Typen. DNSSEC-spezifische Records (DS, DNSKEY, RRSIG, NSEC) sind im Check-Host-Tool unter dem DNS-Modus abrufbar (dig +dnssec). Hier liegt der Fokus auf den Records, die jeder Domain-Inhaber typischerweise selbst pflegt, nicht auf der Validation-Chain.

Kann ich das Tool fuer Subdomains nutzen?

Ja. Gib einfach die Subdomain ein (z. B. www.kernelhost.com oder mail.kernelhost.com). Auf Subdomains sind oft CNAME-Records aktiv, A/AAAA-Records werden dann ueber den CNAME aufgeloest und vom Resolver in einer Antwort kombiniert geliefert.

Alle Produkte von KernelHost

Brauchst du mehr als nur Tools? Schau dir unser kommerzielles Hosting-Angebot an.

KVM-Rootserver ab 4,99 €/Mo Dedicated-Server ab 69,99 €/Mo Minecraft-Server ab 4,00 €/Mo Webhosting ab 3,99 €/Mo Private VPN-Server Dedizierte IP DDoS-Schutz 3,2 Tbps Arbor