KernelHost Tools DNS Lookup

DNS Lookup / DNS-records inspecteren

Leest alle belangrijke DNS-records van een domein in één query: A, AAAA, MX, TXT, CNAME, NS, SOA en CAA inclusief TTL. SPF-, DKIM- en DMARC-records worden inline geparsed en getoond met een geldigheidsbadge. Lookup draait vanaf de KernelHost-node in Frankfurt FRA01.

Welk domein controleren?

Hoe werkt DNS?

Het Domain Name System (DNS) is het telefoonboek van het internet. Wanneer uw browser tools.kernelhost.com opent, wordt het domein eerst vertaald naar een IP-adres. DNS is geen enkele server maar een hiërarchische keten: rootservers (.), TLD-servers (.com, .de, .at) en uiteindelijk de autoritatieve nameserver van het domein. De resolver loopt deze keten af en bewaart het resultaat lokaal in cache.

Een DNS-query bestaat uit vraag en antwoord: welke records van type X bestaan voor domein Y? Het antwoord bevat een of meer records plus een TTL (time to live), die de resolver vertelt hoe lang hij de invoer mag cachen. DNS-wijzigingen zijn daarom niet direct wereldwijd zichtbaar, ze propageren langs de cachehiërarchie.

Onze tool start een UDP/TCP-lookup via de systeemresolver van de container in Frankfurt FRA01. Geen tracking, geen logging van het opgevraagde domein en geen third-party API. Het antwoord komt meestal binnen enkele milliseconden, omdat de Frankfurt-node direct is aangesloten op DE-CIX.

Welke recordtypes bestaan er?

Elk DNS-recordtype heeft een specifieke taak. Onze tool toont de acht meest voorkomende types die u daadwerkelijk nodig heeft om een domein te beheren.

  • A: Wijst een domein toe aan een IPv4-adres. Een domein kan meerdere A-records hebben (round-robin DNS, load balancing).
  • AAAA: Wijst een domein toe aan een IPv6-adres. Verplicht voor moderne websetups, Google waardeert IPv6-connectiviteit positief.
  • MX: Mail exchanger. Welke server accepteert mail voor dit domein. Heeft een prioriteit (lager getal heeft voorkeur) voor failover.
  • TXT: Vrije tekst. In de praktijk vrijwel uitsluitend gebruikt voor SPF, DKIM, DMARC, domeinverificatie (Google, Microsoft) en _acme-challenge (Let's Encrypt).
  • CNAME: Alias naar een ander domein. www.kernelhost.com kan een CNAME zijn die naar kernelhost.com wijst. CNAME is niet toegestaan op het apex-domein zelf.
  • NS: Welke nameservers zijn autoritatief voor dit domein. NS-records worden ingesteld bij de domeinregistratie en bepalen waar alle andere records worden beheerd.
  • SOA: Start Of Authority. Definieert de primaire nameserver, het admin-e-mailadres en de refresh/retry/expire/minimum TTL-waarden voor zone transfers.
  • CAA: Certificate Authority Authorization. Welke CA's TLS-certificaten mogen uitgeven voor dit domein. Bescherming tegen ongeautoriseerde uitgifte.

MX vs SPF vs DKIM vs DMARC: e-mailsetup uitgelegd

Een complete e-mailsetup bestaat uit vier DNS-componenten. Als er één ontbreekt, komt uw mail niet aan of belandt in de spamfolder.

  • MX (ontvangst): Vertelt de wereld welke server inkomende mail accepteert voor uw domein. Zonder MX kan niemand u schrijven. MX wijst meestal naar een hostname zoals mx.kernelhost.com, die vervolgens via A/AAAA wordt opgelost.
  • SPF (afzenderauthenticatie): TXT-record met v=spf1 dat aangeeft welke IP's legitiem mail mogen verzenden voor uw domein. -all aan het einde is verplicht (anders kan iedereen uw domein vervalsen).
  • DKIM (cryptografische handtekening): Elke uitgaande mail wordt met een privésleutel ondertekend, de publieke sleutel staat in DNS op selector._domainkey.uw-domein.com als TXT v=DKIM1. Ontvangers verifiëren de handtekening en detecteren manipulatie.
  • DMARC (beleid + rapportage): TXT op _dmarc.uw-domein.com met v=DMARC1; p=reject; rua=mailto:dmarc@... DMARC combineert SPF en DKIM, vertelt de ontvanger wat te doen met gefaalde mail en levert rapporten.

Onze tool parsed SPF, DKIM en DMARC inline en toont groene, gele of rode badges zodat u direct ziet of de setup schoon is of dat bv. -all ontbreekt, de DKIM-sleutel te kort is of DMARC alleen in monitoringmodus draait.

TTL en DNS-caching

TTL (time to live) vertelt een resolver in seconden hoe lang hij een DNS-record mag cachen. Met TTL=3600 vraagt de resolver pas na een uur opnieuw bij de autoritatieve server. Dit bespaart bandbreedte maar maakt DNS-wijzigingen niet onmiddellijk zichtbaar.

De juiste TTL hangt af van wat u wilt. Stabiele productie: hoge TTL (1 uur tot 1 dag). Aanstaande serververhuizing: verlaag de TTL dagen van tevoren naar 60-300 seconden, verhuis dan, en zet weer hoog.

  • Korte TTL (60-300s): Snelle wijzigingen, maar meer belasting op de autoritatieve server en iets hogere lookuplatency.
  • Lange TTL (3600-86400s): Minder belasting, snellere antwoorden uit cache, maar wijzigingen duren uren tot dagen om wereldwijd zichtbaar te zijn.
  • Bij migraties: Verlaag de TTL minstens 24 uur voor de verhuizing naar 60-300 seconden, zodat alle resolvercaches net voor de cutover verlopen.

Wat is DNSSEC en heb ik het nodig?

DNSSEC (DNS Security Extensions) ondertekent DNS-records cryptografisch zodat een resolver kan controleren of het antwoord onderweg is gemanipuleerd. Zonder DNSSEC kan een kwaadwillende ISP- of public-WiFi-resolver vervalste IP's teruggeven (DNS-spoofing).

DNSSEC gebruikt twee sleutels: ZSK (zone signing key) ondertekent de records, KSK (key signing key) ondertekent de ZSK. De KSK-hash wordt als DS-record bij de registrar gepubliceerd, waarmee de vertrouwensketen tot aan de root sluit.

Heeft u het nodig? Voor banken, overheidsdiensten, mailproviders en iedereen die SMIMEA-, TLSA- of OPENPGPKEY-records (DANE) gebruikt: ja. Voor een normale webshop is DNSSEC een nice-to-have die niets kost als uw provider het ondersteunt. KernelHost DNS ondersteunt DNSSEC out of the box.

Veelvoorkomende debugging use cases

Waarvoor u deze tool in het dagelijks leven daadwerkelijk gebruikt:

  • Mail komt niet aan: Controleer MX-records, daarna SPF, DKIM, DMARC. Als één van de vier kapot is, belandt mail in spam of wordt afgewezen door de ontvanger.
  • Domein wijst naar verkeerd IP: Controleer A- en AAAA-records. Vaak zijn bij een serververhuizing alleen de A-records bijgewerkt en blijven oude AAAA-records achter.
  • Subdomein reageert niet: Controleer de CNAME of het directe A-record op het subdomein. Veelvoorkomende fout: het subdomein is in het hostingpaneel aangemaakt maar DNS wijst nog naar niets.
  • DNS-propagatie controleren: Doe na een wijziging meerdere lookups in de tijd verspreid. Zodra de TTL is verlopen, zouden alle resolvers de nieuwe records moeten zien.
  • Lets Encrypt weigert certificaat: Controleer de CAA-records. Als die alleen een andere CA vermelden en Lets Encrypt ontbreekt, weigert Lets Encrypt uitgifte.

DNS bij KernelHost

KernelHost-webhosting bevat compleet managed DNS: alle records worden beheerd via ons controlepaneel, DNSSEC staat standaard aan, en geografisch redundante anycast-nameservers in Frankfurt en Wenen leveren snelle antwoorden wereldwijd.

Wie alleen DNS-hosting zonder webspace nodig heeft, kan onze domeindienstpakketten gebruiken. Domeinregistratie, transfer en DNS-beheer zijn inbegrepen in elk KernelHost-hostingpakket. Voor complexere setups (split horizon, geo DNS, hoge TTL-precisie) is een VPS plus eigen autoritatieve server een optie, en u kunt deze tool altijd gebruiken voor diagnose.

Veelgestelde vragen

Welke recordtypes worden opgevraagd?

A, AAAA, MX, TXT, CNAME, NS, SOA en CAA. Dit zijn de acht meest voorkomende types die u daadwerkelijk nodig heeft om een domein te beheren. Speciale records zoals SRV, PTR, DS, DNSKEY of TLSA zijn beschikbaar in de Check-Host tool onder DNS-modus met dig.

Worden DKIM-selectoren automatisch gevonden?

Nee. DKIM-records staan op <selector>._domainkey.<domain>, en de selector is willekeurig (google, k1, default enzovoort). Zonder de selector te kennen, kunnen DKIM-entries niet worden geïnventariseerd. Als u de selector kent, voer dan bv. google._domainkey.kernelhost.com direct in als domein, dan toont de tool de TXT-entry met parser.

Wordt DMARC automatisch gecontroleerd?

Ja. DMARC zit altijd op _dmarc.<domain> en wordt automatisch parallel met het hoofddomein opgevraagd. U ziet de entry in het TXT-blok met DMARC-badge en uitleg van het beleid (none / quarantine / reject), pct, aspf, adkim en rua.

Wat betekent 'geen MX-records'?

Dit domein ontvangt geen e-mail. Als u mail stuurt naar bv. info@dit-domein.com, bouncet die. MX is de verplichte voorwaarde voor mailontvangst, zonder MX kunt u geen mail ontvangen voor het domein, ook niet als er een A-record is.

Welke TTL-waarden zijn zinvol?

In productie 3600 seconden (1 uur) tot 86400 seconden (1 dag). Voor wijzigingen verlaagt u minstens 24 uur van tevoren naar 60-300 seconden zodat caches kort zijn en de wijziging snel wereldwijd zichtbaar wordt. Daarna weer omhoog.

Worden invoerwaarden bewaard?

Nee. Er is geen logging van opgevraagde domeinen, geen tracking cookies en geen third-party API. De lookup draait lokaal in de container via dns_get_record(). We zien geen querygeschiedenis en kunnen die ook niet uit logs reconstrueren.

Waarom zie ik geen DNSSEC-records?

De tool toont acht standaard recordtypes. DNSSEC-specifieke records (DS, DNSKEY, RRSIG, NSEC) zijn beschikbaar in de Check-Host tool onder DNS-modus (dig +dnssec). De focus hier ligt op records die elke domeineigenaar zelf beheert, niet op de validatieketen.

Kan ik de tool voor subdomeinen gebruiken?

Ja. Voer gewoon het subdomein in (bv. www.kernelhost.com of mail.kernelhost.com). Op subdomeinen zijn CNAME-records gebruikelijk, A/AAAA worden dan via de CNAME opgelost en gecombineerd in één antwoord door de resolver.

Alle KernelHost-Producten

Heb je meer nodig dan alleen tools? Bekijk ons commerciële hosting-aanbod.

KVM-Rootserver vanaf 4,99 €/maand Dedicated-Server vanaf 69,99 €/maand Minecraft-Server vanaf 4,00 €/maand Webhosting vanaf 3,99 €/maand Private VPN-Server Speciaal IP DDoS-bescherming 3,2 Tbps Arbor