Netzwerk-Grundlagen

DNS einfach erklärt

Das Domain Name System ist das Telefonbuch des Internets. Es übersetzt menschenlesbare Domainnamen wie ipcheckdirekt.de in IP-Adressen. Ohne DNS müsstest du dir für jede Webseite eine Zahlenkolonne merken. Wie DNS wirklich funktioniert, was alle die Abkürzungen bedeuten und warum DNS auch ein Datenschutzthema ist – dieser Artikel erklärt alles.

Das Grundprinzip: Namen in Adressen übersetzen

Wenn du in deinen Browser ipcheckdirekt.de eingibst, muss dein Browser wissen, unter welcher IP-Adresse der Server dieser Domain erreichbar ist. Menschen können sich Namen besser merken als IP-Adressen – DNS ist der Vermittler.

DNS ist ein verteiltes System: Es gibt keine einzelne Datenbank für alle Domains der Welt. Stattdessen ist es hierarchisch aufgebaut und über tausende Server weltweit verteilt – das macht es extrem robust und schnell.

Die DNS-Hierarchie: Wer antwortet auf was?

Die DNS-Hierarchie beginnt bei den sogenannten Root-Nameservern. Es gibt weltweit 13 Root-Nameserver-Adressen (von a.root-servers.net bis m.root-servers.net), hinter denen tatsächlich Hunderte von physischen Servern stecken (Anycast-Routing). Sie kennen die autoritativen Server für alle Top-Level-Domains (TLDs) wie .de, .com oder .org.

Die TLD-Nameserver kennen die autoritativen Server für alle Domains unter ihrer TLD. DENIC e.G. betreibt zum Beispiel die autoritativen Nameserver für alle .de-Domains.

Der autoritative Nameserver einer Domain kennt schließlich alle DNS-Einträge dieser Domain selbst. Wenn du eine Domain kaufst, kannst du über das Control-Panel deines Registrars die DNS-Einträge bearbeiten – diese Einträge landen auf dem autoritativen Nameserver.

WLAN teilen

WLAN-QR-Code in 30 Sekunden

Gäste verbinden ohne Passwort-Tippen

Kostenlos erstellen

Der Resolver: Dein persönlicher DNS-Vermittler

Dein Gerät fragt DNS nicht direkt bei Root-Servern an – das wäre zu langsam und würde enormen Verkehr erzeugen. Stattdessen nutzt du einen sogenannten rekursiven Resolver (auch Recursive Resolver oder DNS-Resolver).

Dieser Resolver – meist dein ISP oder ein öffentlicher Dienst wie Google (8.8.8.8) oder Cloudflare (1.1.1.1) – übernimmt die gesamte Anfrage für dich: Er fragt Root-Server, TLD-Server und autoritativen Server nacheinander ab, sammelt das Ergebnis ein und gibt es an deinen Browser zurück. Das nennt sich rekursive Auflösung.

Praktisch wichtig: Der Resolver cacht (zwischenspeichert) Antworten. Hat er ipcheckdirekt.de in letzter Zeit bereits aufgelöst, antwortet er sofort aus dem Cache – ohne die gesamte Kette erneut zu befragen.

TTL: Wie lange ist ein DNS-Eintrag gültig?

Jeder DNS-Eintrag hat einen TTL-Wert (Time to Live) in Sekunden. Er gibt an, wie lange Resolver und Browser den Eintrag cachen dürfen, bevor sie ihn neu anfragen müssen.

Ein TTL von 3600 bedeutet: Resolver dürfen die Antwort eine Stunde lang zwischenspeichern. Wenn du die IP deiner Domain änderst (z.B. bei einem Serverumzug), kann es bis zu dieser TTL-Zeit dauern, bis alle Nutzer weltweit die neue IP sehen. Domain-Betreiber setzen den TTL deshalb vor einem geplanten Serverumzug oft auf einen sehr niedrigen Wert (z.B. 60 Sekunden) – damit die Änderungen schnell wirksam werden.

Typische TTL-Werte: 300 Sekunden (5 Minuten) für dynamische Dienste, 3600 (1 Stunde) bis 86400 (1 Tag) für stabile Einträge.

Die wichtigsten DNS-Record-Typen

DNS kann nicht nur IP-Adressen speichern. Es gibt verschiedene Record-Typen für unterschiedliche Zwecke:

A-Record (Address Record)

Der häufigste Typ. Ein A-Record verknüpft einen Domainnamen mit einer IPv4-Adresse. Beispiel: ipcheckdirekt.de → 203.0.113.42. Jede Webseite braucht mindestens einen A-Record, damit Browser sie finden können.

AAAA-Record (IPv6 Address Record)

Das IPv6-Pendant zum A-Record. Vier Mal das A steht für die vierfache Adresslänge (128 Bit statt 32 Bit). Ein AAAA-Record verknüpft eine Domain mit einer IPv6-Adresse. Mehr zu IPv6 im Artikel IPv4 vs. IPv6.

MX-Record (Mail Exchange Record)

MX-Records geben an, welche Mailserver für eine Domain zuständig sind. Wenn jemand eine E-Mail an info@ipcheckdirekt.de schickt, schaut das sendende Mailsystem den MX-Record nach, um herauszufinden, wohin es die Mail zustellen soll. MX-Records haben eine Priorität (niedrigere Zahl = höhere Priorität), sodass mehrere Mailserver als Fallback konfiguriert werden können.

TXT-Record (Text Record)

TXT-Records können beliebigen Text enthalten. In der Praxis werden sie häufig für Verifizierungen und Sicherheitsmechanismen genutzt:

→SPF (Sender Policy Framework): Definiert, welche Server berechtigt sind, E-Mails im Namen dieser Domain zu versenden.
→DKIM: Enthält den öffentlichen Schlüssel zur Verifikation digital signierter E-Mails.
→DMARC: Kombinations-Policy für SPF und DKIM mit Reporting-Funktion.
→Domain-Verifizierung: Dienste wie Google Search Console verlangen einen TXT-Record als Eigentümernachweis.

CNAME-Record (Canonical Name)

Ein CNAME ist ein Alias – er zeigt nicht auf eine IP, sondern auf einen anderen Domainnamen. Beispiel: www.ipcheckdirekt.de → ipcheckdirekt.de. CNAMEs werden häufig genutzt, um Subdomains auf die Hauptdomain oder auf externe Dienste (CDN, E-Mail-Marketing) umzuleiten.

E-Mail-Sicherheit

Ist deine Domain fälschungssicher?

SPF, DKIM & DMARC in 10 Sekunden prüfen

Gratis-Check

DNS-over-HTTPS (DoH) und DNS-over-TLS (DoT)

Klassische DNS-Anfragen laufen unverschlüsselt über das Netzwerk – dein ISP, Netzwerkbetreiber oder potenzielle Angreifer können mitlesen, welche Domains du anfragst. Das ist ein erhebliches Datenschutzproblem, da DNS-Anfragen verraten, welche Webseiten du besuchen willst.

DNS-over-HTTPS (DoH) löst dieses Problem, indem DNS-Anfragen in normalen HTTPS-Traffic eingebettet werden – Port 443, verschlüsselt, nicht vom regulären Web-Traffic zu unterscheiden. Firefox und Chrome unterstützen DoH nativ; du kannst es in den Browser-Einstellungen aktivieren und zwischen verschiedenen DoH-Anbietern wählen (Cloudflare, Google, NextDNS u.a.).

DNS-over-TLS (DoT) funktioniert ähnlich, nutzt aber einen dedizierten Port (853) statt Port 443. Es bietet die gleiche Verschlüsselung, ist aber für ISPs leichter zu erkennen und ggf. zu blockieren.

Wichtig: Auch DoH/DoT lösen das Problem nicht vollständig. Du vertraust dem DoH-Anbieter – und nicht mehr deinem ISP. Wer maximalem Datenschutz will, sollte zusätzlich ein vertrauenswürdiges VPN nutzen, das DNS-Anfragen durch den Tunnel leitet. Mehr dazu im Artikel IP-Adresse verbergen.

DNS und dein ISP

Standardmäßig nutzt dein Router den DNS-Server deines ISPs – dieser wird bei der DHCP-Konfiguration automatisch mitgegeben. Das hat Vor- und Nachteile: Der ISP-DNS ist oft schnell (geringe Latenz durch geografische Nähe), aber dein ISP sieht alle deine DNS-Anfragen.

Du kannst jederzeit auf einen anderen DNS-Resolver umstellen, entweder im Router (gilt dann für alle Geräte im Netzwerk) oder direkt auf dem Gerät. Beliebte Alternativen: Cloudflare (1.1.1.1), Google (8.8.8.8/8.8.4.4), Quad9 (9.9.9.9, mit Malware-Filterung) oder AdGuard DNS (94.140.14.14, mit Werbeblocking auf DNS-Ebene).

Mehr über ISPs und ihre Rolle im Netz erklärt unser Artikel Was ist ein Internet Service Provider?

Welchen DNS-Server nutzt du gerade?

Prüfe deine aktuelle IP-Adresse und Verbindungsdetails – kostenlos und in Echtzeit.

Zum IP-Check →

Weiterführende Artikel

IP-Adresse verbergen

DNS-Leaks und VPN-Konfiguration richtig verstehen.

Was ist ein ISP?

Wie dein Internetanbieter das Netz organisiert.