DNS-Records überprüfen
Meldet ein Dienst, dass ein DNS-Eintrag noch nicht korrekt gesetzt ist oder möchtest du prüfen, ob Anpassungen in der DNS-Zone bereits korrekt propagiert wurden? Wir beschreiben in diesem Artikel, welche Möglichkeiten es gibt, um DNS-Records zu prüfen.
Online DNS-Checks
Der einfachste Weg, um DNS-Records und deren Propagierung zu prüfen, sind Websites wie DNS Checker oder Global DNS Propagation Checker. Gib dort einfach deine Domain oder Subdomain ein, wähle den Typ des DNS-Records, den du prüfen möchtest und starte die Überprüfung. Es wird dir danach angezeigt, welche Werte für den gewählten Typ vorhanden sind und auf welchen DNS-Servern diese bereits propagiert sind.
Der «DNS Lookup» von MxToolBox kann verwendet werden, wenn du lediglich die Werte von DNS-Records überprüfen möchtest. Ausserdem bietet MxToolBox noch sehr nützliche Checks im Zusammenhang mit dem E-Mail-Verkehr: MXLookup.
Um der Flut an Spam-Mails entgegen zu wirken, prüfen die Spam-Filter der meisten grossen E-Mail-Dienste SPF-, DKIM- und DMARC-Records. Sind diese Einträge nicht vorhanden oder nicht korrekt konfiguriert, können deine E-Mails von Empfangsservern als Spam abgewiesen werden. Folgend erläutern wir, wie du diese DNS-Records überprüfen kannst.
SPF-Record
Im SPF-Eintrag werden alle Server erwähnt, welche berechtigt sind im Namen einer Domain E-Mails zu senden. Um zu prüfen, ob ein SPF-Record für deine Domain vorhanden ist und ob dieser in korrekter Syntax erstellt wurde, gib deine Domain auf der Website von MxToolBox ein: https://mxtoolbox.com/spf.aspx
DKIM-Record
Der DKIM-Eintrag ist ein öffentlicher Schlüssel, welcher vom Sende- und Empfangsserver verwendet wird, um die Echtheit einer E-Mail zu verifizieren. Damit mehrere Dienste parallel E-Mails von derselben Domain senden können, wird jedem DKIM-Eintrag ein Selektor zugewiesen. Laufen deine E-Mails über cyon, wird der Selektor default verwendet. Hast du zusätzlich noch einen Newsletter-Dienst im Einsatz, nutzt dieser einen anderen Selektor für dessen DKIM-Record.
Um zu prüfen, ob DKIM korrekt konfiguriert ist, gib deine Domain und den gewünschten Selektor auf der Seite von MXToolBox ein: https://mxtoolbox.com/dkim.aspx
DMARC-Record
DMARC ist eine Spezifikation, welche den Empfangsservern mitteilt, was mit E-Mails geschehen soll, welche die SPF- oder DKIM-Prüfung nicht bestanden haben. Ist kein DMARC-Eintrag vorhanden, entscheidet der Empfangsserver, wie er mit solchen E-Mails umgeht. Um zu prüfen, ob ein DMARC für deine Domain korrekt konfiguriert ist, gib deine Domain auf der Seite von MXToolBox ein: https://mxtoolbox.com/dmarc.aspx
DNS-Lookup über Kommandozeile
Für alle, die mit der Kommandozeile vertraut sind, können DNS-Records ganz einfach über dig abgefragt werden. Grundsätzlich besteht der Befehl aus folgenden drei Angaben:
<name> | Die zu abfragende Domain. Wir verwenden in diesem Artikel als Beispiel jeweils oliverorange.ch. |
<type> | Der Typ des gewünschten DNS-Records. Ohne Angabe wird der A-Record abgefragt. |
<@server> | Der gewünschte DNS-Server. Ohne Angabe wird der lokal definierte DNS-Server verwendet. |
Mit dem Befehlt
man digwird dir eine Übersicht über alle möglichen Optionen und die zu verwendende Syntax eingeblendet.
Folgend beschreiben wir einige nützliche Beispiele:
A-Record
Um die IP-Adresse, welche für den A-Record einer Domain eingetragen ist, abzufragen, nutze den Befehl dig oliverorange.ch. Es wird dir folgendes angezeigt:
;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 18716 ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 512 ;; QUESTION SECTION: ;oliverorange.ch. IN A ;; ANSWER SECTION: oliverorange.ch. 14089 IN A 149.126.4.12 ;; Query time: 54 msec ;; SERVER: 10.91.0.4#53(10.91.0.4) (UDP) ;; WHEN: Thu Feb 15 08:34:12 CET 2024 ;; MSG SIZE rcvd: 60
Anpassen der Ausgabe
Um die Anzeige etwas übersichtlicher zu halten, kannst du die Optionen +nostats +nocomments +nocmd +noquestion dem Befehl dig oliverorange.ch anhängen. Dadurch wird die Ausgabe deutlich vereinfacht:
oliverorange.ch. 14351 IN A 149.126.4.12
Damit du diese Optionen nicht bei jedem Befehl angeben musst, kannst du diese in der Datei
~/.digrchinterlegen. Fortan gelten diese für alle Abfragen.
MX-Record
Möchtest du wissen, wo die E-Mails einer Domain liegen, kannst du den MX-Record abfragen mit dig mx oliverorange.ch:
oliverorange.ch. 14400 IN MX 0 mail.oliverorange.ch.
Hier verweist der MX auf die Subdomain mail.oliverorange.ch. Wir prüfen also im nächsten Schritt den A-Record dieser Subdomain mit dig mail.oliverorange.ch:
mail.oliverorange.ch. 14400 IN A 149.126.4.12
Die E-Mails laufen über den Server mit der IP-Adresse 149.126.4.12. Mit einer WHOIS-Abfrage whois 149.126.4.12 kann nun herausgefunden werden, wem diese IP-Adresse gehört und somit bei welchem Dienst diese gehostet sind.
SPF-Record
Die SPF-Angaben sind in einem TXT-Record gespeichert. Dieser kann ganz einfach über dig txt oliverorange.ch abgefragt werden:
oliverorange.ch. 14400 IN TXT "v=spf1 include:spf.protection.cyon.net -all"
In diesem Fall sind ausschliesslich die Server von cyon berechtigt E-Mails von oliverorange.ch zu senden. Mit dem Befehl dig txt spf.protection.cyon.net sind nun noch die IP-Ranges ersichtlich, welche zum Senden berechtigt sind:
spf.protection.cyon.net. 754 IN TXT "v=spf1 +ip4:194.126.200.0/24 +ip4:149.126.0.0/21 -all"
DKIM-Record
Auch bei DKIM kommt ein TXT-Record zum Einsatz. Da jeder DKIM-Eintrag einen eigenen Selektor hat, muss zur Abfrage die Subdomain mit dem entsprechenden Selektor angegeben werden. Laufen deine E-Mails über cyon, wird der Selektor default verwendet und die Abfrage erfolgt über den Befehlt dig txt default._domainkey.oliverorange.ch:
default._domainkey.oliverorange.ch. 14400 IN TXT "v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAzp5VtJmnOL27aQmbxxfvqIvcEy446c1oAXVCbi/q2mCQoXWPKciV3f5NDil6wTZczbYaW2ueKxx0b9Fgr1UNGmpHu0ctVi6+ndjhibPpsA6hNga/NRKfxyG8k9h8S79NMPpwgrT4CHOPVUnrpAlWWS8uqaZtxiCXnPdBXlF2Ni2uqVIuLo4q/emjXCRsIz4qo" "JMXDvVK4qds8fkYo/h5fWqeEx/91gA0b0AifVtB2PcN4bADotsEGl8FsRU5W8g804BFL0vlnB6s/v9EP+AWAdfYdesoiyKM5aF/V2zuQ6kuEMvGvqw79l74aUxKoHl/+Eua0Qc3cQ45cVXXfg3QmQIDAQAB;"
DMARC-Record
Der DMARC-Eintrag ist ein weiterer TXT-Eintrag im Dienste des sicheren E-Mail-Verkehrs. Für DMARC wird die Subdomain _dmarc.oliverorange.ch verwendet. Eine Abfrage erfolgt über den Befehl dig txt _dmarc.oliverorange.ch:
_dmarc.oliverorange.ch. 14400 IN TXT "v=DMARC1; p=none;"
Alle DNS-Einträge einer Domain anzeigen
Mit der Option ANY wird dir eine Liste aller DNS-Records der Domain angezeigt:
oliverorange.ch. 3600 IN NSEC3PARAM 1 0 0 - oliverorange.ch. 3600 IN CDS 2833 13 4 E76CA636B1400AB62A959B73A624D4E221F41E204EC230EF358E01EA 19A06750B262B0E8CE576643F3CC2F8019AD9E24 oliverorange.ch. 86400 IN NS ns2.cyon.ch. oliverorange.ch. 3600 IN DNSKEY 256 3 13 xzvEzTvqqlv+z8IqGKddqEKN6KisR1+NXC6yXzFVjpki6JRKE9wqxVPk lTIpvlEhzI4sul2uWuPPCliZnEz9Qw== oliverorange.ch. 14400 IN AAAA 2a01:ab20:0:4::12 oliverorange.ch. 14400 IN MX 0 mail.oliverorange.ch. oliverorange.ch. 86400 IN NS ns1.cyon.ch. oliverorange.ch. 3600 IN CDNSKEY 257 3 13 WeLaxozCqFpkYdESDDIrQpM4PIVa5+SY+FvbL9nCKB6eq2oLAiMNIz9Y PDfuiuuZ/KI2Jtl58Ogwi4+VOeXmxQ== oliverorange.ch. 3600 IN CDS 2833 13 2 8DB29A8FEAC39734AF603F5E30897291F338AA663774D2B15F8E01C9 A0E1741A oliverorange.ch. 14400 IN TXT "v=spf1 include:spf.protection.cyon.net -all" oliverorange.ch. 3600 IN DNSKEY 257 3 13 WeLaxozCqFpkYdESDDIrQpM4PIVa5+SY+FvbL9nCKB6eq2oLAiMNIz9Y PDfuiuuZ/KI2Jtl58Ogwi4+VOeXmxQ== oliverorange.ch. 14400 IN A 149.126.4.12 oliverorange.ch. 14400 IN SOA ns1.cyon.ch. server.cyon.ch. 2024021402 14400 1800 1209600 3600 oliverorange.ch. 14400 IN RRSIG A 13 2 14400 20240222000000 20240201000000 32776 oliverorange.ch. nZbndWo+jx8Ij99SGpBgL+khV6mBFYUgQo1w8ZxTGzFF6UQsTsYzJdxK zwrIvjMji8Y7ZIjyrcTtWP7pGaZQ1w== oliverorange.ch. 86400 IN RRSIG NS 13 2 86400 20240222000000 20240201000000 32776 oliverorange.ch. NcqMGjwxM4Hy7DJ6j4tit/UG00SGU5IWsOZaNXAZJkmDunrCdvTV64Jw PsR3JDUAhnWmivrfYFFFFFfRno+G+g== oliverorange.ch. 14400 IN RRSIG SOA 13 2 14400 20240222000000 20240201000000 32776 oliverorange.ch. XH6aQPSWs7Gl/oppFR+3RacSoTuTeoXAaUhvFz7+2jDqm/IfwBOS5lz4 fX0EVZz+DQM4LJprRvbrb/ln6rfHYQ== oliverorange.ch. 14400 IN RRSIG MX 13 2 14400 20240222000000 20240201000000 32776 oliverorange.ch. Y2fSxzTlKEIcZqlwfebU/Ca9vb/abC+uJvXGNnN1j7BOydxj/j2N66VH nyVRRmtnUOsbvqX9CE4kNSKn8mR2fQ== oliverorange.ch. 14400 IN RRSIG TXT 13 2 14400 20240222000000 20240201000000 32776 oliverorange.ch. 9Hy+Df0jp16sr43zjEjc4bMCvf4ryVwU5ev0VtfNRmb3EK5X9Sajck88 Anl6HSs/Mvu6R/s/yTp7yf6AL2ZOZQ== oliverorange.ch. 14400 IN RRSIG AAAA 13 2 14400 20240222000000 20240201000000 32776 oliverorange.ch. ZlUSlmMDv4x+NJjK9FWtUnCxhWuMEFVW0HSykW1WdVxL/ExREIrQ2Pnn Cu9jI5uuPLTZJ1srtfstVq2wC8rQ4A== oliverorange.ch. 3600 IN RRSIG DNSKEY 13 2 3600 20240222000000 20240201000000 2833 oliverorange.ch. vvaIKubMXfLH8MqNJpooPt1WAK3Cp69py7LNF3WWbBuMsCksy3k0dNxx U6j5rEWRnyx8pfOYh0udNNLiiM153w== oliverorange.ch. 3600 IN RRSIG NSEC3PARAM 13 2 3600 20240222000000 20240201000000 32776 oliverorange.ch. qnlpqNhESlald7kHa6ptuFxDorGZEXbZzvVdlHmzzqvomh8NGXw/vAZX rEytYXRKUQulDfS/TuTYSKx4eB62eQ== oliverorange.ch. 3600 IN RRSIG CDS 13 2 3600 20240222000000 20240201000000 32776 oliverorange.ch. /1ggwcLA5ZQVgZK0Sc2bwbUVN9poruIEB9L2vdDGDQOP8NNKup65Mw5j IJiDrryu8sdeY5ExwZeA9xOH1/HPdg== oliverorange.ch. 3600 IN RRSIG CDS 13 2 3600 20240222000000 20240201000000 2833 oliverorange.ch. NFTcW9pZX3k8Y6Od0VxRb/NtEUlUv6f75JTe59ySQpDZ8bPEAMmnoCBZ mOEMJRQe6HyAh7NLQM7jadLFj6A0eA== oliverorange.ch. 3600 IN RRSIG CDNSKEY 13 2 3600 20240222000000 20240201000000 32776 oliverorange.ch. Fyy6LPjXV5ysrDxmPcfGgLb78hqP9nONrH9FSJlQ66jBN/l1RSfijeN9 n6xV+vXffpDkHxX+A5k8Q5P55s1NYg== oliverorange.ch. 3600 IN RRSIG CDNSKEY 13 2 3600 20240222000000 20240201000000 2833 oliverorange.ch. jHiucyS3iq6R3idD+mnPOj1fh08hpDWMoAUrjC8gV4XIWPRAekAwp2Nm 7IBN44YnjcKkaHLHzqne2w931+9tmg==
Prüfen auf einem bestimmten DNS-Server
Möchtest du prüfen, ob ein DNS-Record auf einem bestimmten DNS-Server korrekt vorhanden ist, ergänze den Befehl mit dem Nameserver oder der IP-Adresse des DNS-Servers. Mit dem Befehl dig oliverorange.ch @8.8.8.8 kannst du beispielsweise den A-Record auf den DNS-Servern von Google prüfen. Mit @ns1.cyon.ch oder @ns2.cyon.ch siehst du, welche Angaben auf unseren Nameservern hinterlegt sind.
