Das Domain Name System (DNS) leitet Nutzer von einer Domain-Adresse zur IP-Adresse der zugehörigen Server. Erfahren Sie mehr über DNS und die enthaltenen Eintragstypen MX, SPF, DKIM, DMARC und NS.
Was Sie über das Domain Name System und seine Eintragstypen wissen sollten
Das Internet nutzt DNS (Domain Name System), um Nutzer von einer Domain-Adresse zur IP-Adresse der zugehörigen Server zu führen. DNS gilt oft als eine Art Telefonbuch des Internets: Wechselt eine Domain ihre Dienste, wird das Telefonbuch aktualisiert. DNS umfasst mehrere Eintragstypen rund um die genutzten Dienste – darunter die E-Mail-Zustellung (MX), die Festlegung der zum Versand berechtigten Anbieter einer Domain (SPF) sowie digitale Signaturen, die belegen, dass eine Nachricht während der Zustellung nicht manipuliert wurde (DKIM). Hinzu kommen Nameserver-Einträge (NS): der Server bzw. Dienst, der sämtliche DNS-Einträge einer Domain hostet. Diese verschiedenen DNS-Einträge sind systembedingt öffentlich einsehbar und sind häufig die Ursache von Problemen bei der E-Mail-Zustellung.
MX-Einträge
MX- bzw. Mail-Exchange-Einträge sagen E-Mail-Absendern, wohin Nachrichten zugestellt werden sollen. Als Best Practice gilt, genau einen MX-Dienst im DNS zu veröffentlichen. Mehrere konkurrierende MX-Anbieter für eine Domain führen schnell zu Problemen. Ist ein Mail-Exchange etwa gerade ausgelastet, können Nachrichten an einen anderen MX-Eintrag umgeleitet werden – unter Umständen sogar an einen völlig anderen E-Mail-Anbieter. Die Folge sind häufig widersprüchliche Regeln und konkurrierende Routings, die die Nachricht auf ihrem Weg ins Postfach des Empfängers steuern.
Beispiel für korrekt konfigurierte MX-Einträge für Google:
SPF-Einträge
SPF-Einträge (Sender Policy Framework) legen fest, welche E-Mail-Dienstanbieter Nachrichten unter der Adresse einer Domain versenden dürfen. Dieser TXT-Eintragstyp ist eine grundlegende Sicherheitsmaßnahme gegen Spoofing – also gegen Nachrichten böswilliger Akteure, die scheinbar von einem bekannten Kontakt oder einer bekannten Domain stammen. Geht eine Nachricht ein, prüft der E-Mail-Anbieter im Header, ob sie von einem Dienst stammt, der im Namen der Domain versenden und den Domainnamen als "From"-Adresse nutzen darf. Best Practice sind maximal 10 DNS-Lookups (inklusive Sub-Lookups) pro SPF-Eintrag. Es gibt Techniken, mit denen sich auch mehr als 10 E-Mail-Dienstanbieter zum Versand im Namen einer Domain berechtigen lassen – das geht jedoch über den Rahmen dieses Artikels hinaus.
Beispiel für korrekt konfigurierte SPF-Einträge für Google Workspace:
DKIM-Einträge
DKIM-Einträge (DomainKeys Identified Mail) sind eine Art digitale Signatur im E-Mail-Header. Mit ihr kann ein Absender die Verantwortung für eine Nachricht übernehmen – auf eine Weise, die der Empfänger validieren kann. Jede Nachricht, die über einen E-Mail-Dienst verschickt wird, trägt die DKIM-Signatur als Nachweis, dass sie während der Zustellung nicht manipuliert wurde. DKIM-Einträge sollten für jeden im SPF-Eintrag genannten Dienst konfiguriert sein.
Beispiel für DKIM-Einträge für Google Workspace:
DMARC-Einträge
Ein vierter Eintragstyp ist DMARC (Domain-based Message Authentication Reporting and Conformance). Dieser DNS-Eintrag sagt empfangenden E-Mail-Servern, wie sie mit Nachrichten einer Domain umgehen sollen, wenn diese die SPF- und/oder DKIM-Prüfung nicht bestehen. DMARC würde den Rahmen dieses Artikels sprengen, sollte bei der Umsetzung bewährter E-Mail-Sicherheitsmaßnahmen aber unbedingt mitgedacht werden.
Beispiel für DMARC-Einträge für Google Workspace:
NS-Einträge
NS-Einträge (Nameserver) bezeichnen den Dienst, der alle DNS-Einträge einer Domain hostet. Üblich ist es, mehrere NS-Einträge eines Anbieters für Redundanz zu veröffentlichen. Nameserver ändern sich, wenn eine Domain zwischen DNS-Hosting-Anbietern umzieht – ein solcher Wechsel kann mehrere Stunden dauern, bis sich die Änderungen im Internet verbreitet haben. Beim neuen DNS-Anbieter müssen die zuvor genannten Einträge konfiguriert werden. Geschieht das nicht, können bisher konfigurierte DNS-Einträge aus den öffentlichen DNS-Abfragen verschwinden und Probleme bei der E-Mail-Zustellung verursachen.
Beispiel für DNS-Nameserver-Einträge:
Weitere Informationen zu DNS-Einträgen finden Sie in den folgenden Artikeln: