KernelHost Tools Reverse DNS

Reverse DNS Lookup

Gib eine IPv4 oder IPv6 Adresse ein und sieh sofort, wem die IP gehört: PTR Record, FCrDNS-Verifizierung, ASN und die Origin-Organisation. Die wichtigste Einzelprüfung, bevor du eine IP ins Internet stellst, besonders für Mail. Das Lookup läuft aus Frankfurt FRA01, ohne Logging.

Welche IP soll geprüft werden?
Probier: 8.8.8.8 1.1.1.1 176.118.193.10 2606:4700:4700::1111

Was ist Reverse DNS?

Reverse DNS (rDNS) ist die umgekehrte Richtung von normalem DNS. Während Forward DNS einen Namen (kernelhost.com) auf eine IP-Adresse abbildet, bildet Reverse DNS die IP zurück auf einen Namen ab. Der zugehörige Record-Typ ist PTR (Pointer). Reverse-Namen leben in zwei eigenen Namensräumen: in-addr.arpa für IPv4 und ip6.arpa für IPv6, jeweils konstruiert aus der IP in umgekehrter Oktett- oder Nibble-Reihenfolge.

Beispiel: Aus der IP 8.8.8.8 wird 8.8.8.8.in-addr.arpa. Eine PTR-Abfrage gegen diesen Namen liefert den Hostnamen zurück (in diesem Fall dns.google). Bei IPv6 wird aus der Adresse 2001:db8::1 der Name 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa, jedes Hex-Nibble der Adresse einzeln und umgekehrt dargestellt.

Wer kontrolliert einen PTR Record? Der Eigentümer des IP-Bereichs, also normalerweise der Upstream-Provider, das Hosting-Unternehmen oder der ISP. Domain-Inhaber können PTR Records nicht selbst setzen, außer der IP-Bereich wird ihnen delegiert (selten, möglich ab /24 Blöcken oder größer). Bei einem einzelnen VPS wird der PTR im Hosting-Control-Panel oder per Support-Ticket gesetzt.

FCrDNS: forward-confirmed Reverse DNS

FCrDNS ist der wichtigste Grund, sich überhaupt um PTR Records zu kümmern. Die Idee ist simpel: Der PTR Record liefert dir einen Hostnamen, diesen Hostnamen löst du dann vorwärts via A oder AAAA auf, und die zurückgegebene IP muss zur ursprünglichen IP passen. Stimmt sie überein, gilt der PTR als vertrauenswürdig. Wenn nicht, gilt der PTR als gefälscht und wird von den meisten modernen Prüfungen ignoriert.

Mailserver (Postfix, Exim, OpenSMTPD) und Spamfilter (SpamAssassin, rspamd, Postscreen) verifizieren FCrDNS bei jeder eingehenden Verbindung. Ein FCrDNS-Fail addiert typischerweise 1.0 bis 3.5 Punkte zum Spam-Score (oft genug für den Junk-Ordner) und viele große Provider (Google, Microsoft, Yahoo) lehnen die Verbindung direkt mit einem 550er-Fehler ab. Ohne gültiges FCrDNS existiert dein Mailserver praktisch nicht.

FCrDNS-Verifizierung durch dieses Tool: Wir lesen den PTR Record, lösen dann jeden zurückgegebenen Hostnamen vorwärts via A (IPv4) oder AAAA (IPv6) auf und vergleichen die zurückgegebenen IPs mit der ursprünglichen IP. Das Badge sagt dir sofort Bescheid: grün bei verifiziert, gelb wenn gar kein Forward-Eintrag existiert, rot bei Mismatch mit der Liste, wohin der PTR tatsächlich zeigt.

Typische Anwendungsfälle

Wofür du dieses Tool im täglichen Betrieb wirklich brauchst:

  • Mailserver in Betrieb nehmen: Bevor du die erste Mail von einer neuen IP verschickst, muss der PTR gesetzt und FCrDNS grün sein. Sonst werden Gmail, Outlook und andere jede Mail ablehnen oder in den Junk-Ordner schieben. Hier prüfen, im Provider-Control-Panel fixen, erneut prüfen.
  • Spam-Analyse: Wenn du Spam bekommst, schau den PTR der Quell-IP nach. Ein fehlender oder kaputter PTR ist ein starkes Spam-Signal. Ein PTR, der auf einen generischen ISP-Pool-Namen zeigt (dsl-broadband-pool-... usw.), ist ein weiterer klassischer Indikator.
  • Log-Analyse und Forensik: Eine IP taucht in deinen Logs auf. Wer ist das? rDNS liefert dir den Hostnamen (oft etwas wie ec2-..., crawler-..., cdn-...) und zusammen mit der ASN bekommst du Cloud-Provider, Land und Organisation. In Sekunden entscheidest du, ob es ein legitimer Bot, ein bekannter Cloud-Kunde oder etwas zum Blocken ist.
  • Netzwerk-Operations: Beim Debuggen einer Traceroute werden Zwischen-Hops per PTR angezeigt. Router entlang der Strecke haben üblicherweise sprechende PTRs (frankfurt-edge1.isp.net, lhr-core2.example.com usw.), die dir den geografischen und topologischen Weg deines Pakets verraten.
  • Abuse-Meldungen: Du willst einen Abuse-Report einreichen? PTR plus ASN sagen dir, welcher Provider zu kontaktieren ist (abuse@<org>). Ohne rDNS müsstest du die IP in RIPE/ARIN Whois-Datenbanken nachschlagen, was deutlich langsamer ist.

So setzt du einen PTR Record

PTR Records werden nicht auf deinem autoritativen Nameserver für die Forward-Zone gesetzt. Sie liegen auf der Reverse-Zone, die vom IP-Eigentümer (ARIN, RIPE, APNIC, LACNIC, AfriNIC) bis zu dem Unternehmen delegiert wird, das den IP-Block hält. Bei einem einzelnen VPS oder Dedicated Server heißt das: den Hosting-Provider bitten, den PTR zu setzen, nicht im eigenen DNS-Panel versuchen.

Die meisten Hosting-Provider bieten Self-Service-PTR-Verwaltung im Kundenportal. Bei KernelHost VPS und Dedicated Servern steht das rDNS-Feld direkt im Server-Management-Panel zur Verfügung und PTR-Änderungen sind innerhalb von 5 bis 10 Minuten live. Für colocated IPs ist der Standardweg ein Support-Ticket mit dem gewünschten Hostnamen pro IP.

Best Practice für Mail: PTR und HELO müssen übereinstimmen. Wenn dein Mailserver sich als mail.example.com meldet (HELO mail.example.com), dann muss der PTR der IP mail.example.com sein, und mail.example.com muss per A-Record wieder auf dieselbe IP zeigen. Alle drei in einer Linie = FCrDNS grün = saubere Reputation.

rDNS bei KernelHost

Jeder KernelHost VPS, Dedicated Server, Mail- und Minecraft-Server kommt mit Self-Service-PTR-Verwaltung für IPv4 und IPv6. Du setzt den Hostnamen pro IP im Control Panel und die Änderung ist innerhalb von Minuten aktiv, ohne Support-Ticket. Für IP-Blöcke (/29 oder größer) lässt sich die komplette Reverse-Zone an deine eigenen Nameserver delegieren.

Unsere DNS-Plane läuft als DNSSEC-signiertes Anycast in Frankfurt und Wien, sodass PTR-Lookups von überall auf der Welt in zweistelligen Millisekunden auflösen. Wenn du gerade dabei bist, einen Mailserver auf einer neuen IP in Betrieb zu nehmen, und vom ersten Tag an die sauberste mögliche Reputation willst, spart dir die Kombination aus KernelHost rDNS plus DKIM/SPF/DMARC im selben Panel den üblichen Debugging-Zyklus am ersten Tag.

Häufige Fragen

Was ist der Unterschied zwischen DNS Lookup und Reverse DNS Lookup?

Forward-DNS-Lookup nimmt einen Hostnamen (kernelhost.com) und liefert eine IP via A oder AAAA Records. Reverse-DNS-Lookup nimmt eine IP und liefert einen Hostnamen via PTR Records. Beide sind voneinander unabhängig, jemand kann eins ändern ohne das andere. FCrDNS ist die Gegenprüfung, die verifiziert, dass beide übereinstimmen.

Warum hat meine IP keinen PTR Record?

Weil ihn niemand gesetzt hat. PTR Records haben keinen Default-Wert, der Inhaber des IP-Blocks (dein Provider) muss sie pro IP setzen. Bei Endkunden-Anschlüssen setzt der ISP üblicherweise automatisch einen generischen Pool-Namen (etwas wie dsl-host-...-isp.net). Bei Hosting-Kunden liegt die PTR-Verwaltung im Provider-Control-Panel oder ist über den Support verfügbar.

Warum zeigt FCrDNS Mismatch, obwohl der PTR gesetzt ist?

Weil der PTR-Hostname nicht vorwärts auf dieselbe IP auflöst. Entweder fehlt A oder AAAA für diesen Hostnamen, oder er zeigt auf eine andere IP. Lösung: Sicherstellen, dass der PTR exakt der Hostname ist, auf den dein A/AAAA zeigt, z. B. PTR = mail.example.com und A mail.example.com = dieselbe IP.

Wird das Lookup geloggt?

Nein. Wir loggen weder die abgefragte IP noch setzen wir Tracking-Cookies, und wir rufen keine Drittanbieter-API auf, außer dem Team-Cymru DNS-Whois Service, was eine reguläre DNS-TXT-Abfrage gegen origin.asn.cymru.com ist (kein HTTP, kein API-Key). Cymru sieht die IP unseres Resolvers und die abgefragte IP, nicht deine IP.

Unterstützt das Tool IPv6?

Ja, vollständig. Gib eine IPv6 Adresse in beliebiger Standardnotation ein (komprimiert wie 2001:db8::1 oder ausgeschrieben), das Tool baut automatisch den korrekten ip6.arpa Namen (nibble-reversed) und schlägt den AAAA-Forward für FCrDNS nach.

Kann ich Reverse DNS für private IPs (10.x.x.x, 192.168.x.x) abfragen?

Nein. Private und reservierte Adressbereiche (10/8, 172.16/12, 192.168/16, 127/8, Link-Local, Multicast) lassen sich nicht über das öffentliche DNS abfragen, weil ihre Reverse-Zonen nicht an die öffentliche Root delegiert sind. PTR für private IPs ist nur innerhalb des Netzwerks auflösbar, dem sie gehören, am lokalen Resolver.

Warum gibt es mehrere PTR Records für eine IP?

Technisch ist es erlaubt, mehrere PTR Records pro IP zu haben (eine IP, die mehrere Hostnamen bedient) und war in Shared-Hosting-Zeiten üblich. Heute wird davon abgeraten für Mailserver (nur einer der PTRs wird für ein gegebenes HELO FCrDNS bestehen), für Webserver toleriert und insgesamt selten. Wenn deine IP mehr als einen PTR hat, entscheide, welcher kanonisch sein soll, und entferne den Rest.

Ist rDNS / PTR Pflicht?

Für Mailserver: ja, faktisch Pflicht. Ohne FCrDNS-sauberen PTR landet deine Mail im Spam oder wird abgelehnt. Für Webserver: nicht Pflicht, aber empfohlen (sauberere Logs, einfachere Abuse-Reports). Für interne Dienste oder kurzlebige Cloud-Workloads: optional.

Alle Produkte von KernelHost

Brauchst du mehr als nur Tools? Schau dir unser kommerzielles Hosting-Angebot an.

KVM-Rootserver ab 4,99 €/Mo Dedicated-Server ab 69,99 €/Mo Minecraft-Server ab 4,00 €/Mo Webhosting ab 3,99 €/Mo Private VPN-Server Dedizierte IP DDoS-Schutz 3,2 Tbps Arbor