Das Domain Name System (DNS) bildet das Rückgrat des Internets. Jede Website, jede E-Mail und jeder Online-Dienst hängt von korrekt konfigurierten DNS-Einträgen ab. Dieser Guide erklärt alle 10 wesentlichen DNS-Eintragstypen mit praxisnaher Konfigurationssyntax, die Sie direkt in Ihrem DNS-Panel anwenden können.
Schnellvergleich: Alle 10 DNS-Eintragstypen
| Typ | Zweck | Beispielwert | Typische TTL |
|---|---|---|---|
| A | IPv4-Adresse | 192.0.2.1 | 300–3600s |
| AAAA | IPv6-Adresse | 2001:db8::1 | 300–3600s |
| CNAME | Alias/Weiterleitung | www.example.com | 3600s |
| MX | Mailserver | mail.example.com | 3600s |
| TXT | Textdaten (SPF, DKIM) | “v=spf1 …” | 3600s |
| NS | Nameserver-Delegation | ns1.example.com | 86400s |
| SOA | Zonen-Autorität | (Seriennr., Refresh) | 86400s |
| PTR | Reverse-DNS | host.example.com | 3600s |
| SRV | Service-Lokalisierung | _sip._tcp.example.com | 3600s |
| CAA | Zertifikats-Autorität | letsencrypt.org | 3600s |
1. A-Record (Address Record)
Definition
Der A-Record ist der fundamentalste DNS-Eintragstyp. Er ordnet einen Domainnamen einer IPv4-Adresse zu und ermöglicht damit die grundlegende Namensauflösung im Internet.
Syntax
example.com. IN A 192.0.2.1
www.example.com. IN A 192.0.2.1
Praxisbeispiel
; Hauptdomain auf Webserver
meinedomain.de. 300 IN A 203.0.113.50
; Subdomain für Staging
staging.meinedomain.de. 300 IN A 203.0.113.51
Häufige Fehler
- Trailing Dot vergessen: In Zonendateien muss der FQDN mit einem Punkt enden
- Mehrere A-Records ohne Load Balancing: Führt zu Round-Robin, nicht zu echtem Failover
- TTL zu hoch bei Migration: Bei Server-Umzügen vorher TTL auf 300s senken
2. AAAA-Record (IPv6 Address Record)
Definition
Der AAAA-Record ist das IPv6-Äquivalent zum A-Record. Mit der zunehmenden Verbreitung von IPv6 wird dieser Eintragstyp immer wichtiger.
Syntax
example.com. IN AAAA 2001:0db8:85a3:0000:0000:8a2e:0370:7334
Praxisbeispiel
; Dual-Stack-Konfiguration
meinedomain.de. 3600 IN A 203.0.113.50
meinedomain.de. 3600 IN AAAA 2001:db8:1::50
Häufige Fehler
- Nur AAAA ohne A-Record: Nicht alle Netzwerke unterstützen IPv6 vollständig
- Fehlende Null-Komprimierung:
2001:db8::1statt2001:0db8:0000:0000:0000:0000:0000:0001 - Firewall-Regeln vergessen: IPv6-Firewall separat konfigurieren
3. CNAME-Record (Canonical Name)
Definition
Ein CNAME-Record erstellt einen Alias, der auf einen anderen Domainnamen verweist. Der DNS-Resolver folgt dem CNAME, um die endgültige IP-Adresse zu ermitteln.
Syntax
www.example.com. IN CNAME example.com.
blog.example.com. IN CNAME hosting.provider.com.
Praxisbeispiel
; CDN-Anbindung
cdn.meinedomain.de. 3600 IN CNAME d1234.cloudfront.net.
; SaaS-Service
shop.meinedomain.de. 3600 IN CNAME shops.myshopify.com.
Häufige Fehler
- CNAME auf dem Apex (Root-Domain):
meinedomain.de. CNAME ...ist nach RFC nicht erlaubt - CNAME kombiniert mit anderen Records: Ein CNAME darf nicht neben MX, TXT oder A existieren
- CNAME-Ketten: Mehrere CNAMEs hintereinander verlangsamen die Auflösung
4. MX-Record (Mail Exchange)
Definition
MX-Records bestimmen, welcher Mailserver E-Mails für eine Domain empfängt. Der Prioritätswert steuert die Reihenfolge der Zustellung.
Syntax
example.com. IN MX 10 mail1.example.com.
example.com. IN MX 20 mail2.example.com.
Praxisbeispiel
; Google Workspace
meinedomain.de. 3600 IN MX 1 aspmx.l.google.com.
meinedomain.de. 3600 IN MX 5 alt1.aspmx.l.google.com.
meinedomain.de. 3600 IN MX 5 alt2.aspmx.l.google.com.
meinedomain.de. 3600 IN MX 10 alt3.aspmx.l.google.com.
meinedomain.de. 3600 IN MX 10 alt4.aspmx.l.google.com.
Häufige Fehler
- MX auf IP-Adresse zeigen: MX muss auf einen Hostnamen verweisen, nicht auf eine IP
- MX auf CNAME zeigen: Laut RFC 2181 ist dies unzulässig
- Niedrigere Priorität = höhere Präferenz: Priorität 1 wird vor Priorität 10 versucht
5. TXT-Record (Text Record)
Definition
TXT-Records speichern beliebige Textinformationen. Sie werden primär für Domain-Verifizierung, SPF, DKIM und DMARC verwendet.
Syntax
example.com. IN TXT "v=spf1 include:_spf.google.com ~all"
Praxisbeispiel
; Domain-Verifizierung
meinedomain.de. 3600 IN TXT "google-site-verification=abc123xyz"
; SPF-Record
meinedomain.de. 3600 IN TXT "v=spf1 include:_spf.google.com include:sendgrid.net -all"
Häufige Fehler
- Mehrere SPF-Records: Pro Domain darf nur EIN SPF-TXT-Record existieren
- Zeichenlimit überschritten: Ein einzelner TXT-String darf max. 255 Zeichen lang sein (mehrere Strings verketten)
- Anführungszeichen vergessen: Der Wert muss in Anführungszeichen stehen
6. NS-Record (Name Server)
Definition
NS-Records delegieren eine DNS-Zone an bestimmte Nameserver. Sie bestimmen, welche Server für eine Domain autoritativ sind.
Syntax
example.com. IN NS ns1.example.com.
example.com. IN NS ns2.example.com.
Praxisbeispiel
; Delegation an Cloudflare
meinedomain.de. 86400 IN NS ada.ns.cloudflare.com.
meinedomain.de. 86400 IN NS bob.ns.cloudflare.com.
; Subdomain-Delegation
api.meinedomain.de. 86400 IN NS ns1.api-provider.com.
Häufige Fehler
- Nur einen NS-Record setzen: Mindestens zwei NS-Records für Redundanz
- Glue Records vergessen: Wenn NS auf eigene Subdomain zeigt, braucht es Glue Records beim Registrar
- NS-Records im falschen Level setzen: Delegation erfolgt in der übergeordneten Zone
7. SOA-Record (Start of Authority)
Definition
Der SOA-Record definiert die autoritativen Informationen einer DNS-Zone, einschließlich des primären Nameservers, der Kontakt-E-Mail und der Timing-Parameter für die Zone.
Syntax
example.com. IN SOA ns1.example.com. admin.example.com. (
2026052201 ; Seriennummer (YYYYMMDDNN)
7200 ; Refresh (2 Stunden)
3600 ; Retry (1 Stunde)
1209600 ; Expire (14 Tage)
86400 ; Minimum TTL (1 Tag)
)
Häufige Fehler
- Seriennummer nicht erhöhen: Sekundäre Server erkennen Änderungen nicht
- E-Mail-Format falsch:
admin@example.comwird zuadmin.example.com.(Punkt statt @) - Expire zu kurz: Wenn der primäre Server ausfällt, werden sekundäre Server die Zone verwerfen
8. PTR-Record (Pointer Record)
Definition
PTR-Records ermöglichen Reverse-DNS-Lookups: Sie ordnen eine IP-Adresse einem Domainnamen zu. Dies ist essenziell für die E-Mail-Zustellbarkeit.
Syntax
1.2.0.192.in-addr.arpa. IN PTR mail.example.com.
Praxisbeispiel
; IPv4 Reverse DNS
50.113.0.203.in-addr.arpa. 3600 IN PTR mail.meinedomain.de.
; IPv6 Reverse DNS
0.5.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa. IN PTR mail.meinedomain.de.
Häufige Fehler
- PTR stimmt nicht mit A-Record überein: Forward und Reverse müssen konsistent sein
- PTR beim falschen Provider konfiguriert: PTR wird beim IP-Inhaber (Hosting/ISP) gesetzt, nicht beim Domain-Registrar
- Fehlender PTR für Mailserver: E-Mails werden ohne PTR häufig als Spam markiert
9. SRV-Record (Service Record)
Definition
SRV-Records ermöglichen die Lokalisierung von Diensten in einer Domain. Sie definieren Host, Port, Priorität und Gewichtung für spezifische Services.
Syntax
_service._proto.example.com. IN SRV priority weight port target
Praxisbeispiel
; Microsoft 365 Skype for Business
_sip._tls.meinedomain.de. 3600 IN SRV 100 1 443 sipdir.online.lync.com.
_sipfederationtls._tcp.meinedomain.de. 3600 IN SRV 100 1 5061 sipfed.online.lync.com.
; XMPP/Jabber
_xmpp-server._tcp.meinedomain.de. 3600 IN SRV 5 0 5269 xmpp.meinedomain.de.
Häufige Fehler
- Unterstrich vergessen: Service und Protokoll beginnen mit
_ - Gewichtung falsch verstehen: Bei gleicher Priorität verteilt die Gewichtung den Traffic
- Port 0 = Service deaktiviert:
SRV 0 0 0 .deaktiviert einen Service explizit
10. CAA-Record (Certificate Authority Authorization)
Definition
CAA-Records legen fest, welche Zertifizierungsstellen (CAs) SSL/TLS-Zertifikate für eine Domain ausstellen dürfen. Seit 2017 müssen CAs CAA-Records prüfen.
Syntax
example.com. IN CAA 0 issue "letsencrypt.org"
example.com. IN CAA 0 issuewild "letsencrypt.org"
example.com. IN CAA 0 iodef "mailto:ssl-admin@example.com"
Praxisbeispiel
; Nur Let's Encrypt und DigiCert erlauben
meinedomain.de. 3600 IN CAA 0 issue "letsencrypt.org"
meinedomain.de. 3600 IN CAA 0 issue "digicert.com"
meinedomain.de. 3600 IN CAA 0 issuewild "letsencrypt.org"
meinedomain.de. 3600 IN CAA 0 iodef "mailto:security@meinedomain.de"
CA/B Forum Ballot SC-081v3: Die neue Zertifikats-Zeitachse
Im April 2025 hat das CA/Browser Forum mit Ballot SC-081v3 eine schrittweise Verkürzung der maximalen Zertifikatslaufzeit beschlossen:
| Datum | Maximale Laufzeit | DCV-Wiederverwendung |
|---|---|---|
| 15. März 2026 | 200 Tage | 200 Tage |
| 15. März 2027 | 100 Tage | 100 Tage |
| 15. März 2029 | 47 Tage | 10 Tage |
Was das für Sie bedeutet:
- Automatisierung wird Pflicht: Manuelle Zertifikatserneuerung ist bei 47 Tagen nicht mehr tragbar
- ACME-Protokoll (z.B. Certbot, acme.sh) wird zum Standard
- CAA-Records gewinnen an Bedeutung, da häufigere Ausstellungen das Risiko erhöhen
- DNS-Validierung muss zuverlässig und schnell funktionieren
# Certbot mit automatischer Erneuerung
certbot certonly --dns-cloudflare \
--dns-cloudflare-credentials /etc/letsencrypt/cloudflare.ini \
-d meinedomain.de -d *.meinedomain.de
# Cronjob für tägliche Prüfung
0 3 * * * certbot renew --quiet --post-hook "systemctl reload nginx"
E-Mail-Authentifizierung: SPF, DKIM und DMARC
Die Google/Yahoo-Anforderungen 2024
Seit Februar 2024 verlangen Google und Yahoo von allen Massenversendern (>5.000 E-Mails/Tag):
- SPF oder DKIM muss bestehen (beides empfohlen)
- DMARC-Richtlinie muss veröffentlicht sein (mindestens
p=none) - Übereinstimmung zwischen From-Header und authentifizierter Domain
- Ein-Klick-Abmeldung (List-Unsubscribe-Header)
SPF-Konfiguration
; Basis-SPF für Google Workspace + Transaktions-E-Mails
meinedomain.de. 3600 IN TXT "v=spf1 include:_spf.google.com include:sendgrid.net ip4:203.0.113.50 -all"
SPF-Mechanismen:
include:— Andere SPF-Records einbeziehenip4:/ip6:— Bestimmte IPs erlaubena— A-Record der Domain erlaubenmx— MX-Server erlauben-all— Alles andere ablehnen (Hard Fail)~all— Alles andere als verdächtig markieren (Soft Fail)
Wichtig: Maximal 10 DNS-Lookups pro SPF-Auswertung. Jedes include: und a/mx zählt als Lookup.
DKIM-Konfiguration
; DKIM-Selektor für Google Workspace
google._domainkey.meinedomain.de. 3600 IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC..."
; DKIM für SendGrid
s1._domainkey.meinedomain.de. 3600 IN CNAME s1.domainkey.u12345.wl.sendgrid.net.
DMARC-Konfiguration
; DMARC mit Reporting
_dmarc.meinedomain.de. 3600 IN TXT "v=DMARC1; p=reject; rua=mailto:dmarc-reports@meinedomain.de; ruf=mailto:dmarc-forensics@meinedomain.de; adkim=s; aspf=s; pct=100"
DMARC-Einführungsstrategie:
; Phase 1: Nur Monitoring
_dmarc.meinedomain.de. IN TXT "v=DMARC1; p=none; rua=mailto:dmarc@meinedomain.de"
; Phase 2: Quarantäne für 50%
_dmarc.meinedomain.de. IN TXT "v=DMARC1; p=quarantine; pct=50; rua=mailto:dmarc@meinedomain.de"
; Phase 3: Vollständige Ablehnung
_dmarc.meinedomain.de. IN TXT "v=DMARC1; p=reject; rua=mailto:dmarc@meinedomain.de; adkim=s; aspf=s"
Entscheidungsbaum: Welchen Record-Typ verwenden?
Wollen Sie eine Domain auf eine IP-Adresse zeigen?
├── IPv4? → A-Record
└── IPv6? → AAAA-Record
Wollen Sie eine Domain auf eine andere Domain zeigen?
├── Subdomain? → CNAME-Record
└── Root-Domain? → A-Record (oder ALIAS/ANAME beim Provider)
Wollen Sie E-Mail empfangen?
└── MX-Record + SPF (TXT) + DKIM (TXT/CNAME) + DMARC (TXT)
Wollen Sie die Domain verifizieren?
└── TXT-Record
Wollen Sie die DNS-Zone delegieren?
└── NS-Record
Wollen Sie einen Dienst mit Port und Priorität bewerben?
└── SRV-Record
Wollen Sie SSL-Zertifikatsausstellung kontrollieren?
└── CAA-Record
Wollen Sie Reverse-DNS konfigurieren?
└── PTR-Record (beim IP-Provider)
Vollständiges Setup-Beispiel
Hier ist eine komplette DNS-Konfiguration für eine geschäftliche Domain mit Website, E-Mail und Sicherheitsrichtlinien:
; === Zone: geschaeftsdomain.de ===
; SOA
geschaeftsdomain.de. 86400 IN SOA ns1.dnshost.com. admin.geschaeftsdomain.de. (
2026052201 7200 3600 1209600 86400
)
; Nameserver
geschaeftsdomain.de. 86400 IN NS ns1.dnshost.com.
geschaeftsdomain.de. 86400 IN NS ns2.dnshost.com.
; Website (A + AAAA)
geschaeftsdomain.de. 300 IN A 203.0.113.10
geschaeftsdomain.de. 300 IN AAAA 2001:db8:1::10
www.geschaeftsdomain.de. 300 IN CNAME geschaeftsdomain.de.
; E-Mail (MX)
geschaeftsdomain.de. 3600 IN MX 1 aspmx.l.google.com.
geschaeftsdomain.de. 3600 IN MX 5 alt1.aspmx.l.google.com.
geschaeftsdomain.de. 3600 IN MX 5 alt2.aspmx.l.google.com.
; SPF
geschaeftsdomain.de. 3600 IN TXT "v=spf1 include:_spf.google.com include:sendgrid.net -all"
; DKIM
google._domainkey.geschaeftsdomain.de. 3600 IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3..."
; DMARC
_dmarc.geschaeftsdomain.de. 3600 IN TXT "v=DMARC1; p=reject; rua=mailto:dmarc@geschaeftsdomain.de; adkim=s; aspf=s"
; CAA
geschaeftsdomain.de. 3600 IN CAA 0 issue "letsencrypt.org"
geschaeftsdomain.de. 3600 IN CAA 0 issuewild "letsencrypt.org"
geschaeftsdomain.de. 3600 IN CAA 0 iodef "mailto:security@geschaeftsdomain.de"
; Services
_sip._tls.geschaeftsdomain.de. 3600 IN SRV 10 1 443 sip.geschaeftsdomain.de.
Bevor Sie Ihre DNS-Einträge konfigurieren, sollten Sie sicherstellen, dass Ihre Wunschdomain verfügbar ist. Mit dem Nameslink Domain-Check können Sie sofort die Verfügbarkeit prüfen und bei Bedarf direkt registrieren.
Fehlerbehebung und Diagnose-Tools
Kommandozeile
# A-Record abfragen
dig example.com A +short
# Alle Records einer Domain abfragen
dig example.com ANY
# Bestimmten Nameserver abfragen
dig @8.8.8.8 example.com MX
# DNSSEC-Validierung prüfen
dig example.com +dnssec
# DNS-Propagation prüfen
dig example.com A @ns1.dnshost.com
dig example.com A @8.8.8.8
dig example.com A @1.1.1.1
# SPF-Record prüfen
dig example.com TXT | grep spf
# CAA-Records abfragen
dig example.com CAA
# Reverse DNS prüfen
dig -x 203.0.113.50
Online-Tools
- DNS Checker: Weltweite Propagation prüfen
- MXToolbox: MX, SPF, DKIM, DMARC validieren
- Google Admin Toolbox: DNS-Einträge analysieren
- SSL Labs: Zertifikatskonfiguration testen
Häufige Probleme und Lösungen
| Problem | Ursache | Lösung |
|---|---|---|
| Domain löst nicht auf | Fehlender A/AAAA-Record | A-Record mit korrekter IP erstellen |
| E-Mail als Spam markiert | Fehlendes SPF/DKIM/DMARC | Alle drei konfigurieren |
| SSL-Zertifikat wird abgelehnt | CAA blockiert die CA | CA in CAA-Record aufnehmen |
| Subdomain zeigt alte IP | TTL-Cache | Warten oder TTL vorher senken |
| www funktioniert nicht | Fehlender CNAME/A-Record | CNAME auf Root-Domain setzen |
TTL Best Practices
Die Time-to-Live (TTL) bestimmt, wie lange DNS-Antworten gecacht werden:
| Szenario | Empfohlene TTL | Begründung |
|---|---|---|
| Normale Betriebsphase | 3600s (1h) | Guter Kompromiss zwischen Cache und Flexibilität |
| Vor einer Migration | 300s (5min) | Schnelles Umschalten ermöglichen |
| Während der Migration | 60–300s | Minimale Downtime bei Problemen |
| Nach erfolgreicher Migration | 3600–86400s | Stabile Einträge profitieren von Caching |
| MX-Records | 3600s | E-Mail-Zustellung nicht gefährden |
| NS-Records | 86400s (24h) | Nameserver-Wechsel sind selten |
| CAA-Records | 3600s | CAs prüfen bei jeder Ausstellung |
Profi-Tipp: Senken Sie die TTL mindestens 48 Stunden vor einem geplanten DNS-Wechsel. Erst wenn die alte TTL abgelaufen ist, greift der neue niedrige Wert.
FAQ
1. Kann ich einen CNAME-Record auf der Root-Domain verwenden?
Nein, laut RFC 1034 darf kein CNAME neben anderen Records existieren. Da die Root-Domain immer SOA- und NS-Records hat, ist ein CNAME dort unmöglich. Einige DNS-Provider bieten proprietäre Lösungen wie ALIAS, ANAME oder Flattening an, die dieses Problem umgehen.
2. Was passiert, wenn ich keinen DMARC-Record konfiguriere?
Seit den Google/Yahoo-Anforderungen 2024 riskieren Sie ohne DMARC, dass Ihre E-Mails bei großen Providern abgelehnt oder im Spam-Ordner landen. Beginnen Sie mindestens mit p=none für Monitoring und arbeiten Sie sich zu p=reject vor.
3. Wie viele DNS-Lookups sind bei SPF erlaubt?
Maximal 10 DNS-Lookups pro SPF-Auswertung (RFC 7208). Jedes include:, a, mx und redirect zählt als Lookup. Überschreiten Sie das Limit, schlägt die SPF-Prüfung mit einem PermError fehl. Nutzen Sie SPF-Flattening-Tools, um Includes aufzulösen.
4. Warum sehe ich meine DNS-Änderung nicht sofort?
DNS-Propagation dauert je nach TTL des vorherigen Eintrags. Lokale Resolver, ISP-Caches und Betriebssystem-Caches speichern Antworten. Nutzen Sie dig @8.8.8.8 für direkte Abfragen oder leeren Sie den lokalen Cache mit sudo dscacheutil -flushcache (macOS) bzw. ipconfig /flushdns (Windows).
5. Muss ich für die 47-Tage-Zertifikatsrichtlinie jetzt schon etwas tun?
Die Umstellung erfolgt schrittweise: 200 Tage ab März 2026, 100 Tage ab März 2027, und 47 Tage erst ab März 2029. Dennoch sollten Sie jetzt schon automatische Zertifikatserneuerung einrichten (z.B. mit Certbot oder acme.sh) und CAA-Records konfigurieren. So sind Sie vorbereitet, wenn die kurzen Laufzeiten greifen.
Die richtige Domain für Ihr Projekt
Eine professionelle DNS-Konfiguration beginnt mit der richtigen Domain. Ob Sie eine neue Marke aufbauen oder eine bestehende Domain bewerten möchten:
- Domain suchen und registrieren: Mit dem Nameslink Quick-Buy finden Sie verfügbare Domains sofort
- Verfügbarkeit prüfen: Der Domain-Check zeigt in Echtzeit, welche Domains frei sind
- Domain-Wert einschätzen: Die Domain-Bewertung hilft bei Kauf- oder Verkaufsentscheidungen
Referenzen
- RFC 1035 – Domain Names: Implementation and Specification
- RFC 7208 – Sender Policy Framework (SPF)
- RFC 6376 – DomainKeys Identified Mail (DKIM)
- RFC 7489 – DMARC
- RFC 8659 – DNS Certification Authority Authorization (CAA)
- CA/B Forum Ballot SC-081v3
- Google Email Sender Guidelines 2024
- RFC 2782 – DNS SRV Records