• Website-Infrastruktur und bewährte Sicherheitspraktiken

Die Rolle von DNS-Einträgen für die Funktionalität und Sicherheit von Websites verstehen

  • Felix Rose-Collins
  • 10 min read
Die Rolle von DNS-Einträgen für die Funktionalität und Sicherheit von Websites verstehen

Intro

DNS steht für Domain Name System. Es handelt sich um eine Kerntechnologie, die dafür sorgt, dass das Internet so funktioniert, wie es funktioniert. Seine grundlegendste Definition lautet: "Das DNS ist für die Auflösung der IP-Adressen von Websites in ihre Domänennamen verantwortlich."

In Wirklichkeit kann das DNS viel mehr als das. Die DNS-Funktionen werden mit Hilfe von DNS-Einträgen ausgeführt. DNS-Einträge sind Textdateien, die wichtige Informationen enthalten, die für das Funktionieren des DNS entscheidend sind.

In diesem Artikel wird die Bedeutung von DNS-Einträgen für die Funktion und Sicherheit von Websites hervorgehoben. Zu diesem Zweck werden wir uns verschiedene Arten von DNS-Einträgen ansehen und erklären, was sie für die Funktion und Sicherheit einer Website tun.

Am Ende dieses Artikels werden Sie einen besseren Überblick über das System der Domänennamen haben.

Understanding the Role of DNS Records in Website Functionality and Security

Wie funktioniert das DNS?

Um DNS-Einträge und ihre Rolle für die Funktion und Sicherheit von Websites zu verstehen, sind Kenntnisse über das Domain Name System (DNS) unerlässlich.

Es beginnt also alles mit Ihrem Computer. Ihr Computer, der nach einer Website sucht, wird als Client bezeichnet. Der Client wendet sich mit seiner Anfrage an einen Server, den so genannten DNS-Resolver. Der DNS-Resolver ist ein Server, der von Ihrem Internetdienstanbieter zugewiesen wird, oder Sie können ihn in den Einstellungen Ihres Betriebssystems selbst festlegen. Die Aufgabe des Resolvers besteht darin, alle vom Client gestellten DNS-Anfragen zu bearbeiten.

Treffen Sie Ranktracker

Die All-in-One-Plattform für effektives SEO

Hinter jedem erfolgreichen Unternehmen steht eine starke SEO-Kampagne. Aber bei den zahllosen Optimierungstools und -techniken, die zur Auswahl stehen, kann es schwierig sein, zu wissen, wo man anfangen soll. Nun, keine Angst mehr, denn ich habe genau das Richtige, um zu helfen. Ich präsentiere die Ranktracker All-in-One-Plattform für effektives SEO

Wir haben endlich die Registrierung zu Ranktracker absolut kostenlos geöffnet!

Ein kostenloses Konto erstellen

Oder melden Sie sich mit Ihren Anmeldedaten an

Also. Der Kunde fragt den Resolver: "Hey, ich möchte diesen Domänennamen (xyz.com) finden. Kennen Sie seine IP-Adresse?" Der Resolver überprüft seinen Cache, um zu sehen, ob er den Domänennamen und die IP-Adresse gespeichert hat. Ist dies nicht der Fall, kontaktiert er eine Reihe von Servern in der DNS-Hierarchie, um zu sehen, ob sie die IP-Adresse haben.

DNS-Hierarchie-Bild

DNS Hierarchy Image

Bildquelle: https://www.menandmice.com/glossary/dns-server-types

Normalerweise ist die IP-Adresse relativ schnell gefunden. Manchmal muss der Resolver jedoch bis ganz nach oben in der Hierarchie gehen und Server abfragen, die als Root-Nameserver (NS) bekannt sind.

Es gibt weltweit 13 Root-Nameserver, die die IP-Adressen aller Websites im Internet enthalten. Wenn eine IP-Adresse für eine Domäne nicht auf den Nameservern vorhanden ist, bedeutet dies, dass die DNS-Abfrage für diese Domäne "nicht auflösbar" ist.

Nachdem die IP-Adresse gefunden wurde, sendet der Resolver sie an den Client zurück. Der Client stellt dann eine Anfrage an den Server mit der angegebenen IP-Adresse, und der Server antwortet mit der gewünschten Website.

So funktioniert eine einfache Abfrage, und all dies geschieht innerhalb von Sekunden. Wo kommen die DNS-Einträge ins Spiel? Nun, die Informationen, die auf allen Servern in der DNS-Hierarchie gespeichert sind, werden in Form von DNS-Einträgen gespeichert.

Treffen Sie Ranktracker

Die All-in-One-Plattform für effektives SEO

Hinter jedem erfolgreichen Unternehmen steht eine starke SEO-Kampagne. Aber bei den zahllosen Optimierungstools und -techniken, die zur Auswahl stehen, kann es schwierig sein, zu wissen, wo man anfangen soll. Nun, keine Angst mehr, denn ich habe genau das Richtige, um zu helfen. Ich präsentiere die Ranktracker All-in-One-Plattform für effektives SEO

Wir haben endlich die Registrierung zu Ranktracker absolut kostenlos geöffnet!

Ein kostenloses Konto erstellen

Oder melden Sie sich mit Ihren Anmeldedaten an

DNS-Einträge können von einem Webmaster mit gängigen Tools wie cPanel, Cloudflare, GoDaddy, etc. verwaltet werden. Um zu erfahren, wie Sie Ihre Website mit solchen Tools verwalten können, lesen Sie unseren Artikel über cPanel. Die Erstellung einer detaillierten Dokumentation über die Verwaltung von DNS-Einträgen kann zeitaufwändig sein. Ein KI-Absatzgenerator kann dabei helfen, qualitativ hochwertige, informative Inhalte effizient zu erstellen und so komplexe Konzepte klar zu erklären.

Sehen wir uns nun an, wie DNS-Einträge die Funktionalität einer Website unterstützen und zu ihr beitragen.

Verschiedene DNS-Einträge und ihr Beitrag zur Funktionalität einer Website

Wir beginnen mit der Prüfung von Datensätzen, die für die Funktion der Website eine Rolle spielen. Diese sind im Vergleich zu den Sicherheitseinträgen zahlreicher.

Alle DNS-Einträge haben dieselbe Vorlage. Von links nach rechts gibt es den Domänennamen, die Gültigkeitsdauer, die Eintragsklasse, den Eintragsnamen und den Eintragswert. Die meisten Einträge unterscheiden sich nur im Namen und im Wert. Nachfolgend sehen Sie ein Bild eines A-Datensatzes.

dnschecker Bildquelle: dnschecker

Das Bild zeigt vier A-Einträge für Microsoft.com. Der Domänenname lautet "microsoft.com". Die TTL beträgt 1290 Sekunden, IN (Internet) ist die Klasse, A ist der Name des Eintrags, und die Zahlen sind die IPv4-Adresse, d. h. der Wert.

Nun, da wir wissen, wie ein typischer DNS-Eintrag aussieht, wollen wir verstehen, was sie tun und wie sie zur Funktionalität einer Website beitragen.

1. A/AAAA-Aufzeichnungen

Die Einträge A und AAAA stehen für IPv4- bzw. IPv6-Adressen. Ihr einziger Zweck ist die Zuordnung von IP-Adressen zu einem Domänennamen. Dies ist die grundlegendste Funktion des DNS, die das Funktionieren des Internets erst ermöglicht.

Die IP-Adresse ist, wie Sie vielleicht wissen, eine numerische (IPv4) oder hexadezimale (IPv6) Darstellung des Standorts eines Servers.

Alle Inhalte im Internet sind auf zahlreichen Servern in der ganzen Welt gespeichert. Wenn Sie nach einem Domänennamen suchen, prüft der DNS-Auflöser seinen Cache auf A- oder AAAA-Einträge für die Domäne.

Findet er sie nicht, fragt er bei anderen Servern in der Hierarchie nach, ob sie sie haben oder nicht. Wenn die entsprechenden A/AAAA-Datensätze gefunden werden, speichert der Resolver sie in seinem Cache, so dass er sie später nicht mehr suchen muss.

Inzwischen sollten Sie die Rolle der A/AAAA-Datensätze für die Funktion der Website erkannt haben. Ohne diese Einträge wäre es unmöglich, eine Website zu finden. Die Konfiguration der A/AAAA-Datensätze einer Website ist also entscheidend für ihre Funktion.

2. CNAME-Eintrag

CNAME-Datensätze sind nicht so wichtig wie A/AAAA-Datensätze, aber sie haben ihren eigenen Nutzen. Ein CNAME-Eintrag verweist eine Domäne auf eine andere. Einfacher ausgedrückt: Sie können dafür sorgen, dass alle DNS-Anfragen für eine Domäne automatisch an eine andere Domäne weitergeleitet werden.

Wenn Sie beispielsweise eine Domäne namens "cars.com" und eine andere Domäne namens "vehicles.com" haben, können Sie einen CNAME-Eintrag verwenden, um "cars.com" in "vehicles.com" umzuwandeln.

Wenn jemand "cars.com" in die Adressleiste seines Browsers eintippt, landet er stattdessen automatisch auf "vehicles.com". Das liegt daran, dass die DNS-Abfrage für "cars.com" mit einem CNAME-Eintrag beantwortet wird, der auf den A/AAAA-Eintrag von "vehicles.com" verweist.

Dies ist nützlich für Websites, die mehrere ähnliche Domänen haben. Mit CNAME-Einträgen wird der Endbenutzer immer auf die richtige Website geleitet. Wenn Ihre Domain also "xyz.org" heißt, können Sie CNAME-Einträge für "www.xyz.org" erstellen, die auf "xyz.org" verweisen.

3. MX-Eintrag

MX steht für Mail Exchange Records. MX-Einträge sind entscheidend für die E-Mail-Funktionen einer Website. Ihre Aufgabe besteht im Wesentlichen darin, festzulegen, welche Mailserver mit den E-Mails der Domäne umgehen.

Nehmen wir an, Sie betreiben ein Online-Geschäft. Natürlich haben Sie eine E-Mail-Adresse, über die Kunden Sie kontaktieren können. Vielleicht haben Sie auch eine separate E-Mail-Adresse für potenzielle Geschäftspartner.

Wenn Ihre MX-Einträge richtig konfiguriert sind, werden Sie keine Probleme beim Empfang von E-Mails haben. Jede E-Mail, die an die E-Mail-Adresse Ihrer Domäne gerichtet ist, wird an den richtigen, im Eintrag definierten Mailserver gesendet.

Ohne einen MX-Eintrag würden diese E-Mails verloren gehen. Sie würden sie nicht erhalten, weil sie an keinen Mailserver gesendet werden. Wenn Sie keine E-Mails erhalten, können Sie auch nicht auf sie antworten. Das erweckt den Eindruck, dass Sie nicht kommunikativ sind, und hinterlässt einen schlechten Eindruck bei den Benutzern Ihrer Website.

4. TXT-Datensatz

TXT-Einträge sind nicht standardisierte Einträge, die für eine Vielzahl von Funktionen verwendet werden können. Sie können von Drittanbietern wie Suchmaschinen, Mailservern, API-Anbietern usw. zur Überprüfung von Websites verwendet werden.

Ein TXT-Datensatz hat keinen festen Wert wie andere Datensätze. Sein Wert kann alles sein, was Sie wollen. Solange Sie die Zeichenbegrenzung einhalten, können Sie einen beliebigen Wert eingeben.

Zur Überprüfung der Website geben die oben genannten Drittanbieter einem Webmaster privat einen bestimmten Wert vor, den er zu seinem TXT-Eintrag hinzufügen kann. Wenn der Wert mit dem des Drittanbieters übereinstimmt, bedeutet dies, dass es sich um die richtige Website und nicht um einen Betrüger handelt.

Es gibt auch andere Möglichkeiten, TXT-Datensätze für die Sicherheit zu verwenden, die wir im Abschnitt "Sicherheit" prüfen werden.

5. NS-Datensatz

Der mit Abstand wichtigste Eintragstyp ist der NS-Eintrag. NS steht für Nameserver. Nameserver stehen an der Spitze der DNS-Hierarchie. Sie enthalten alle Domäneneinträge.

NS-Einträge geben an, welche Nameserver die Einträge einer Domäne enthalten. Ohne einen NS-Eintrag wüssten Resolver und DNS-Server, die in der Hierarchie weiter unten stehen, nicht, welchen Server sie abfragen müssen, um Informationen über eine bestimmte Domäne zu erhalten.

Wenn also Ihre NS-Einträge nicht vorhanden sind, ist Ihre Website im Grunde genommen nicht auffindbar, was sie unbrauchbar macht. Sorgen Sie deshalb dafür, dass Ihre NS-Einträge in Ordnung sind.

6. SRV-Eintrag

SRV steht für Service. Diese Datensätze legen fest, welche Internetdienste wie VoIP, E-Mails und Messaging welche Ports verwenden.

Ohne einen SRV-Eintrag wird bestimmter Datenverkehr für bestimmte Ports abgewiesen. Normalerweise ist dies für die meisten Websites kein Problem. Wenn Sie jedoch Internetdienste nutzen, die VoIP, E-Mails oder Instant Messaging verwenden, müssen SRV-Einträge korrekt eingerichtet werden.

7. PTR-Datensatz

PTR-Einträge werden für umgekehrte DNS-Abfragen verwendet. PTR steht für Pointer, und dieser Eintragstyp ordnet eine IP-Adresse einem Domänennamen zu. Er ist also das Gegenteil eines A/AAAA-Eintrags.

PTR-Einträge sind für die Funktion einer Website notwendig, da sie zur Überprüfung verwendet werden. Manchmal können Websites ihren Domänennamen fälschen und Anfragen an einen Server für eine andere Domäne senden. Der Server kann anhand der PTR-Einträge prüfen, ob die IP-Adresse des Betrügers mit der der echten Domäne übereinstimmt.

Im Falle einer Nichtübereinstimmung wird der Antrag abgelehnt.

DNS-Einträge, die zur Sicherheit beitragen

alt_text

Die Sicherheit einer Website ist äußerst wichtig. Sie können mehr darüber in einem unserer anderen Artikel erfahren.

Im Folgenden finden Sie Einträge, die Ihre Website schützen und verschiedene Sicherheitsrisiken wie Spoofing und Cache Poisoning verhindern.

1. DNSSEC-Einträge

DNSSEC steht für DNS-Sicherheit. Dabei handelt es sich um ein Sicherheitsprotokoll, mit dem die Mängel des DNS beseitigt werden sollen. Das DNS wurde nämlich nicht mit Blick auf die Sicherheit entwickelt. Daher war es extrem einfach, es als Angriffsvektor zu nutzen.

Mit DNSSEC wurden zwei neue Arten von Datensätzen eingeführt. Diese Datensätze helfen dabei, den Inhalt anderer Datensätze zu sichern und die Quelle zu überprüfen, aus der sie stammen.

DNSSEC arbeitet auf der Grundlage der Public-Key-Kryptographie. Grundsätzlich werden DNS-Einträge mit kryptografischen Schlüsseln signiert, um sicherzustellen, dass ihre Daten nicht manipuliert werden können.

Ähnliche Schlüssel werden verwendet, um sicherzustellen, dass die Datensätze auch aus der richtigen Quelle stammen.

Dies trägt zur Sicherheit einer Website bei, indem es Sie vor Cache-Poisoning-Angriffen schützt. Böswillige Akteure können die DNS-Einträge im Cache eines Resolvers ändern und den Datenverkehr nahtlos von einer Website auf eine andere umleiten.

Mit DNSSEC können Sie Besucher, die versuchen, Ihre Website zu erreichen, davor schützen, böswillig umgeleitet zu werden, und Ihren Ruf wahren.

Schauen wir uns an, wie DS- und DNSKEY-Einträge dies umsetzen.

2. DNSKEY-Eintrag

Der DNSKEY-Eintrag enthält einen öffentlichen Schlüssel. Dieser öffentliche Schlüssel ist das Paar zum privaten Schlüssel der Zone. Alle DNS-Datensätze einer Zone werden mit dem privaten Schlüssel signiert, und der öffentliche Schlüssel aus dem DNSKEY-Datensatz wird verwendet, um diese Signatur zu überprüfen.

Wenn die Signatur nicht überprüft werden kann, bedeutet dies, dass die Daten im Datensatz geändert wurden und der Datensatz ungültig ist.

Es bleibt jedoch immer noch die Frage: Wie kann man überprüfen, ob der öffentliche Schlüssel selbst nicht kompromittiert worden ist? Hier kommen die DS-Datensätze ins Spiel.

3. DS Datensatz

DS Record steht für Delegation Signer. Es handelt sich dabei um einen Eintrag, der die Autorität einer Domäne delegiert. In der DNS-Hierarchie gibt es Verwaltungsbereiche, die als Zonen bezeichnet werden. Zonen können Eltern oder Kinder haben. Übergeordnete Zonen gelten als maßgebend, d. h. sie sind vertrauenswürdig, und ihre Informationen sind vertrauenswürdig.

Parent-Zonen können ihre Befugnisse an ihre Child-Zonen delegieren. Sie tun dies mit Hilfe von DS-Datensätzen. DS-Einträge enthalten einen Hash des Schlüssels, der im DNSKEY-Eintrag gespeichert ist.

Solange der Hash-Wert des DNSKEY-Datensatzes mit dem Hash-Wert im DS-Datensatz übereinstimmt, bedeutet dies, dass der Schlüssel gültig ist. Diese Überprüfung erfolgt auf jeder Ebene, d. h. auf der übergeordneten Ebene einer Zone, auf der übergeordneten Ebene der übergeordneten Zone und so weiter.

4. SPF-, DKIM- und DMARC-Einträge

TXT-Datensätze spielen bei der Sicherheit eine wichtige Rolle. Die mit der Sicherheit verbundenen TXT-Einträge heißen SPF, DKIM und DMARC. Sie beziehen sich auf die Sicherheit von E-Mails, die mit Ihrer Domäne in Verbindung stehen. Indem Sie sie einrichten, können Sie den Ruf Ihres E-Mail-Absenders schützen und die Zustellbarkeit Ihrer Website verbessern.

Die Funktionen dieser Datensätze sind miteinander verbunden. Beginnen wir mit SPF-Datensätzen.

5. SPF-Datensätze

SPF steht für Sender Policy Framework. SPF-Einträge listen auf, welche Mailserver berechtigt sind, E-Mails im Namen einer Domäne zu versenden. Bevor es SPF-Einträge gab, konnte jeder eine E-Mail senden und behaupten, sie stamme von einer bestimmten Domäne. Dies stellte ein Problem für Betrüger dar, die solche E-Mails für Phishing, bösartige Weiterleitungen und sogar Social Engineering nutzten.

6. DKIM-Einträge

DKIM steht für Domain Keys Identified Mail. Dies ist ebenfalls eine Art von Textdatensatz. DKIM-Einträge schließen eine Schwachstelle, die SPF-Einträge hinterlassen haben. Das ist die Möglichkeit, eine E-Mail-Adresse zu fälschen.

DKIM-Einträge verwenden ebenfalls Kryptographie, um sicherzustellen, dass eine E-Mail von der richtigen Quelle stammt. DKIM besteht aus zwei Teilen: einem öffentlichen Schlüssel, der in den DNS-Einträgen verfügbar ist, und einem DKIM-Header in der E-Mail, der mit dem privaten Schlüssel signiert ist. Clients, die E-Mails empfangen, müssen prüfen, ob der DKIM-Header-Schlüssel und die Datensatzschlüssel zum selben Paar gehören oder nicht. Ist dies der Fall, stammt die E-Mail von der richtigen Quelle, ist dies nicht der Fall, wird die E-Mail zurückgewiesen.

7. DMARC-Einträge

DKIM und SPF werden verwendet, um die Quelle einer E-Mail zu überprüfen und Spoofing zu verhindern. DMARC wird verwendet, um dem E-Mail-Empfänger mitzuteilen, was er tun soll, wenn er E-Mails erhält, die die oben genannten Prüfungen nicht bestehen.

Treffen Sie Ranktracker

Die All-in-One-Plattform für effektives SEO

Hinter jedem erfolgreichen Unternehmen steht eine starke SEO-Kampagne. Aber bei den zahllosen Optimierungstools und -techniken, die zur Auswahl stehen, kann es schwierig sein, zu wissen, wo man anfangen soll. Nun, keine Angst mehr, denn ich habe genau das Richtige, um zu helfen. Ich präsentiere die Ranktracker All-in-One-Plattform für effektives SEO

Wir haben endlich die Registrierung zu Ranktracker absolut kostenlos geöffnet!

Ein kostenloses Konto erstellen

Oder melden Sie sich mit Ihren Anmeldedaten an

DMARC steht für Domain-Based Message Authentication Reporting and Conformance.

DMARC-Einträge weisen den E-Mail-Empfänger grundsätzlich an, eine oder mehrere der folgenden Maßnahmen zu ergreifen, wenn eine E-Mail die SPF- und DKIM-Prüfungen nicht besteht.

  • Markieren Sie die E-Mail als Spam.
  • Lassen Sie die Spam-Mails durch
  • Ablehnung von Spam-Mails

Außerdem melden sie der Domäne, deren E-Mails die SPF- und DKIM-Prüfungen nicht bestehen. Auf diese Weise können Domänenbesitzer überprüfen, ob ihre Domäne Probleme hat, und schnell Maßnahmen ergreifen, um ihre Absenderreputation zu erhalten.

Ohne DMARC-Datensätze treffen E-Mail-Dienstleister ihre eigenen Entscheidungen über die Ablehnung oder Annahme von E-Mails. Dies kann merkwürdige Folgen für den Ruf Ihrer Domäne (und damit auch für den Ruf Ihrer Website) haben. Es ist also besser, die Kontrolle darüber zu haben.

Schlussfolgerung

Sie sehen also, wie wichtig DNS-Einträge für die Funktion und Sicherheit einer Website sind. Ohne die DNS-Einträge ist es unmöglich, Websites zu finden. DNS ist auch für die Definition von Ports für einzelne Dienste auf einer Website zuständig (z. B. E-Mail und VoIP).

Mit DNS-Sicherheitsdatensätzen verhindern Sie, dass andere den Namen Ihrer Website missbrauchen und damit Schaden anrichten. Sie stellen auch sicher, dass der Ruf Ihrer Website als E-Mail-Absender erhalten bleibt, was dazu führt, dass mehr E-Mails den Weg in die Posteingänge der Verbraucher finden.

Felix Rose-Collins

Felix Rose-Collins

Ranktracker's CEO/CMO & Co-founder

Felix Rose-Collins is the Co-founder and CEO/CMO of Ranktracker. With over 15 years of SEO experience, he has single-handedly scaled the Ranktracker site to over 500,000 monthly visits, with 390,000 of these stemming from organic searches each month.

Starten Sie mit Ranktracker... kostenlos!

Finden Sie heraus, was Ihre Website vom Ranking abhält.

Ein kostenloses Konto erstellen

Oder melden Sie sich mit Ihren Anmeldedaten an

Different views of Ranktracker app