Wer im Internet eine Website besuchen möchte, tippt in der Regel einfach eine Webadresse in den Browser ein – beispielsweise webwide.de. Doch hinter den Kulissen läuft dabei ein komplexer technischer Vorgang ab: die Namensauflösung über das sogenannte Domain Name System, kurz DNS.
Computer und andere internetfähige Geräte kommunizieren nämlich nicht über Domainnamen, sondern über sogenannte IP-Adressen – numerische Codes wie 192.168.200.1. Diese Zahlenfolgen sind für Menschen jedoch schwer zu merken und unpraktisch in der Anwendung. Genau hier kommt das DNS ins Spiel: Es übersetzt eingetippte Webadressen in die zugehörigen IP-Adressen, sodass die Verbindung zur gewünschten Website hergestellt werden kann.
Doch wie genau funktioniert dieser Prozess? Und welche Rolle spielen dabei sogenannte DNS-Records, also DNS-Einträge? Im Folgenden werfen wir einen genaueren Blick auf die Funktionsweise dieses grundlegenden Internetsystems.
Was versteht man unter DNS-Records?
Gibt man eine Webadresse wie www.webwide.de in den Browser ein, beginnt im Hintergrund ein komplexer Suchprozess: Das System muss zunächst herausfinden, welche IP-Adresse mit dieser Domain verknüpft ist. Diese „Übersetzung“ von Domainnamen in IP-Adressen nennt man DNS-Auflösung – und sie erfolgt in mehreren Schritten über ein Netzwerk verteilter Server.
Der DNS-Resolver prüft zunächst auf dem eigenen Computer, ob die Information vielleicht schon im Cache vorhanden ist. Falls nicht, wird die Anfrage an den DNS-Server des Internetanbieters weitergeleitet. Findet auch dieser keine passende Information, wird sie an weitere DNS-Server übergeben – im Zweifel bis hin zu einem der Root-Server, die als zentrale Knotenpunkte für das globale Domain Name System fungieren.
Herzstück dieser Suche sind die sogenannten DNS-Records (auch Resource Records genannt). Diese Einträge befinden sich in den Datenbanken der Nameserver und enthalten alle relevanten Informationen zur Zuordnung von Domainnamen zu IP-Adressen. Kurz gesagt: Ohne DNS-Records wäre keine Namensauflösung möglich – und keine Website erreichbar.
Das Domain Name System selbst ist dezentral und hierarchisch organisiert. Jeder Server innerhalb dieses Systems ist für einen bestimmten Abschnitt des sogenannten Namensraums zuständig. Root-Server übernehmen dabei lediglich die Rolle eines Wegweisers: Sie wissen beispielsweise, welcher Nameserver für die Top-Level-Domain .de zuständig ist – nicht jedoch, welche IP-Adresse hinter www.webwide.de steckt. Diese Information liegt letztlich beim zuständigen Nameserver des Hosting-Anbieters.
Für Website-Betreiber bedeutet das: Wer seine Domain und deren Funktionalität vollständig kontrollieren will – etwa um E-Mails zu empfangen, Subdomains zu verwalten oder auf einen neuen Webserver umzuziehen – sollte ein grundlegendes Verständnis für DNS-Records mitbringen.
Wie funktionieren DNS-Records im Detail?
DNS-Records – also die Einträge, die Domainnamen mit technischen Informationen wie IP-Adressen verknüpfen – werden in sogenannten Zonendateien verwaltet. Eine DNS-Zone ist dabei ein definierter Verwaltungsbereich innerhalb des Domain Name Systems. Sie enthält alle relevanten Daten für einen bestimmten Abschnitt einer Domain, einschließlich ihrer Subdomains.
In manchen Fällen deckt eine einzelne Zone eine komplette Domain ab. Bei größeren, komplexeren Websites kann es jedoch sinnvoll sein, eine Domain in mehrere Zonen aufzuteilen – beispielsweise, um verschiedene Abteilungen, Subdomains oder geografische Bereiche separat zu verwalten.
Jeder DNS-Server ist für genau eine solche Zone zuständig. Wenn nun ein Nutzer eine Website aufruft, durchsucht der DNS-Server die zugehörige Zonendatei nach dem passenden Eintrag. Wird die gesuchte Information nicht direkt gefunden, wird die Anfrage an nachgelagerte, spezialisiertere Server weitergereicht – so lange, bis der zuständige Server mit der gewünschten IP-Adresse gefunden ist.
Auf diese Weise funktioniert das DNS wie ein verteiltes Auskunftssystem: Jeder Server kennt nur den Teilbereich, für den er verantwortlich ist, arbeitet jedoch mit anderen Servern zusammen, um Anfragen zuverlässig und effizient aufzulösen.
Wie ist die Syntax von DNS-Records aufgebaut?
Jeder DNS-Record folgt einem strukturierten, textbasierten Format, das in der Zonendatei als einzelne Zeile im ASCII-Format gespeichert wird. Die Einträge sind standardisiert, leicht lesbar und bestehen aus mehreren Feldern, die durch Leerzeichen voneinander getrennt sind. Dabei kann die genaue Anzahl der Felder variieren – je nach Typ des Eintrags. Das Grundschema sieht wie folgt aus:
<name> <ttl> <class> <type> <rdlength> <rdata>
Einige Felder sind optional und werden nur bei Bedarf angegeben. Doch was bedeuten die einzelnen Bestandteile im Detail?
<name>– Der Domainname, auf den sich der Eintrag bezieht. Das ist genau der Name, den der Nutzer in den Browser eingibt, z. B.www.webwide.de.<ttl>(Time to Live) – Gibt an, wie lange dieser DNS-Eintrag im Cache eines Clients oder DNS-Servers zwischengespeichert werden darf, bevor er erneut abgefragt werden muss. Der Wert wird in Sekunden angegeben und ist optional.<class>– In der Praxis fast immerINfür Internet, obwohl das DNS-System theoretisch auch andere Klassen unterstützt (z. B.CHAOSoderHS). Daher ist dieses Feld meist optional.<type>– Der Typ des Resource Records. Hier wird definiert, um welche Art von Eintrag es sich handelt, etwa A (IPv4-Adresse), MX (Mailserver), CNAME (Alias) usw.<rdlength>– Optionales Feld, das angibt, wie viele Bytes das nachfolgende Datenfeld (rdata) umfasst.<rdata>– Die eigentlichen Daten, auf die sich der Eintrag bezieht – z. B. eine IP-Adresse bei einem A-Record.
Ein konkretes Beispiel für einen klassischen A-Record:
www.beispiel.de. 3600 IN A 45.223.31.1
Dieser Eintrag bedeutet: Die Subdomain www unter webwide.de. verweist auf die IPv4-Adresse 45.223.31.1. Der DNS-Client darf die Information für 3.600 Sekunden im Cache behalten. Es handelt sich um einen Eintrag der Klasse IN (Internet) vom Typ A (Adresszuweisung).
Alternativ: Kompakte Notation mit $TTL und $ORIGIN
Zonendateien lassen sich auch kompakter schreiben, indem bestimmte Werte vorausgesetzt werden:
$TTL 3600
$ORIGIN webwide.de.
www A 45.223.31.1
Hier wird durch $ORIGIN festgelegt, dass alle Einträge in dieser Datei zur Domain webwide.de. gehören. Der Hostname www ist also als www.webwide.de. zu interpretieren. Auch weitere Hosts wie mail oder ftp können so effizient verwaltet werden.
Ein vollständiger Domainname im DNS – ein sogenannter Fully Qualified Domain Name (FQDN) – endet mit einem Punkt. Dieser symbolisiert die Root-Zone des DNS-Systems. Auch wenn er oft weggelassen wird, ist er für DNS-Server technisch relevant und sollte in Zonendateien korrekt angegeben werden.
DNS-Record-Typen: Die wichtigsten Einträge und ihre Funktionen
DNS-Records sind nicht nur für die Übersetzung von Domainnamen in IP-Adressen zuständig. Je nach Typ speichern sie unterschiedliche Arten von Informationen – vom Mailserver bis zum physischen Standort eines Servers. Im Folgenden finden Sie eine Übersicht über die zentralen DNS-Record-Typen und ihre Aufgaben:
A-Record (IPv4-Adresse)
Der A-Record ist der Klassiker unter den DNS-Einträgen. Er verbindet einen Domainnamen mit einer IPv4-Adresse – der numerischen Adresse, die Server im Internet eindeutig identifiziert. Diese Form der Namensauflösung ist die Grundlage dafür, dass Browser eine Website über eine einfache URL ansteuern können. Da IPv4-Adressen 4 Byte groß sind, beträgt die Datengröße (rdlength) stets 4.
AAAA-Record (IPv6-Adresse)
Der AAAA-Record – auch als „Quad-A“ bezeichnet – erfüllt die gleiche Funktion wie der A-Record, nutzt aber das modernere IPv6-Format. IPv6-Adressen sind 128 Bit lang (entspricht 16 Byte), weshalb dieser Record-Typ mehr Speicherplatz beansprucht. Der Name leitet sich aus der vierfachen Länge gegenüber dem A-Record ab.
SOA-Record (Start of Authority)
Der SOA-Record ist das organisatorische Rückgrat jeder DNS-Zone. Er enthält grundlegende Verwaltungsdaten – etwa die primäre Quelle der Zone, die E-Mail-Adresse des Administrators, eine fortlaufende Seriennummer sowie Parameter für Replikation und Ablaufzeiten. Besonders beim Zonentransfer (der Synchronisation von DNS-Daten auf mehrere Server) spielt der SOA-Record eine zentrale Rolle.
CNAME-Record (Alias-Eintrag)
Mit einem CNAME-Record lässt sich ein Domainname als Alias eines anderen festlegen. Statt direkt auf eine IP-Adresse zu verweisen, zeigt der Eintrag auf einen bestehenden A- oder AAAA-Record. Ideal für die Verwaltung mehrerer Subdomains, die auf denselben Server verweisen sollen – beispielsweise blog.webwide.de → www.webwide.de.
MX-Record (Mailserver)
MX-Records regeln den E-Mail-Verkehr. Sie definieren, welche Mailserver für den Empfang von Nachrichten zu einer Domain zuständig sind. Ist mehr als ein Server eingetragen, wird über eine Prioritätsstufe gesteuert, in welcher Reihenfolge sie kontaktiert werden. So lässt sich auch die Ausfallsicherheit des Maildienstes erhöhen.
PTR-Record (Reverse Lookup)
Der PTR-Record ist das Gegenstück zum A- oder AAAA-Record: Statt eine IP-Adresse zu einer Domain zu liefern, gibt er die Domain zu einer IP-Adresse zurück – also „rückwärts“. Diese Technik wird etwa in Sicherheitsprüfungen oder zur Spam-Erkennung bei Mailservern eingesetzt. Die IP-Adresse wird dabei umgedreht und in eine spezielle Zone integriert, z. B. 45.223.31.1.in-addr.arpa.
NS-Record (Nameserver-Zuweisung)
NS-Records geben an, welche Nameserver für eine bestimmte DNS-Zone verantwortlich sind. Ohne diesen Eintrag wüssten andere DNS-Instanzen nicht, wohin sie Anfragen weiterleiten sollen. Jede Zonendatei muss daher mindestens einen NS-Record enthalten, oft werden zur Redundanz mehrere eingetragen.
TXT-Record (Textinformationen)
Mit TXT-Records lassen sich beliebige Texte in DNS-Zonen einfügen. Sie werden häufig für technische Verifizierungen genutzt – etwa zur Domain-Authentifizierung bei E-Mail-Diensten (SPF, DKIM, DMARC). Aber auch Unternehmensinformationen oder Hinweise können über diesen Record hinterlegt werden.
SRV-Record (Dienstdefinition)
Ein SRV-Record definiert, unter welcher Adresse und welchem Port ein bestimmter Dienst erreichbar ist. Neben dem Service-Namen enthält der Eintrag auch Informationen zum verwendeten Protokoll (z. B. TCP oder UDP). Typische Einsatzszenarien sind XMPP (Chat) oder LDAP (Verzeichnisdienste).
LOC-Record (Geoposition)
Mit dem LOC-Record lässt sich der geografische Standort eines Servers angeben – inklusive Koordinaten, Höhe über dem Meeresspiegel und Genauigkeitsangaben. Der Eintrag ist optional, kann aber in speziellen Anwendungen (z. B. Content Delivery Networks) oder für geografisch gesteuerte Dienste nützlich sein.
Was ist eine Zonendatei und wie ist sie aufgebaut?
Die Zonendatei ist das Herzstück jeder DNS-Konfiguration. Dabei handelt es sich um eine einfache Textdatei, in der sämtliche DNS-Records einer Zone gespeichert sind. Damit das Domain Name System korrekt funktioniert und Anfragen sauber aufgelöst werden, muss die Datei einem festen Format folgen. Andernfalls kann es zu schwerwiegenden Fehlern kommen – typischerweise in Form der DNS-Fehlermeldung SERVFAIL.
Jede Zonendatei beginnt mit grundlegenden Metainformationen über die Zone. Dazu zählen:
$ORIGIN: Gibt die Basis-Domain der Zone an. Alle folgenden Einträge beziehen sich relativ auf diesen Ursprung.$TTL: Definiert die Standard-Gültigkeitsdauer (Time to Live) in Sekunden für die DNS-Records innerhalb der Datei. Wird bei einzelnen Einträgen kein TTL-Wert angegeben, greift dieser globale Standardwert.
Beispiel:
$ORIGIN webwide.de.
$TTL 3600
Die erste Zeile nach der Einleitung ist in jeder gültigen Zonendatei ein SOA-Record (Start of Authority). Er enthält wichtige Verwaltungsinformationen und ist technisch zwingend erforderlich. Ohne diesen Eintrag wird die Zonendatei vom Nameserver nicht akzeptiert.
Tatsächlich ist eine Zonendatei bereits dann formell korrekt, wenn sie ausschließlich aus dem SOA-Record besteht – auch wenn in der Praxis natürlich weitere Einträge notwendig sind, um Domains erreichbar zu machen.
Nach dem SOA-Record folgen meist:
- NS-Records, die die zuständigen Nameserver definieren,
- A- und AAAA-Records, um Hostnamen in IP-Adressen aufzulösen,
- sowie optional CNAME-, MX-, TXT- und andere Einträge.
Jeder Record steht normalerweise in einer eigenen Zeile. Ein Zeilenumbruch signalisiert das Ende eines Eintrags. Wer Informationen auf mehrere Zeilen verteilen möchte – zum Beispiel zur besseren Lesbarkeit – kann Klammern verwenden.
Um Anmerkungen für Administratoren oder Dokumentationszwecke zu hinterlegen, kann man Kommentare mit einem Semikolon (;) einfügen. Alles, was rechts davon steht, wird vom DNS-Server ignoriert. Auch Leerzeilen sind erlaubt und dienen lediglich der besseren Übersicht. Das DNS-System überspringt sie beim Einlesen automatisch.
Alle DNS-Record-Typen im Überblick
Das DNS kennt weit mehr als nur die bekannten Einträge wie A, AAAA oder MX. Insgesamt existieren über 100 unterschiedliche Resource Record (RR)-Typen, die jeweils spezifische Funktionen erfüllen – manche sind Standard, andere experimentell oder bereits veraltet.
Die zentrale Verwaltung der DNS-Record-Typen übernimmt die IANA (Internet Assigned Numbers Authority). Diese Organisation vergibt nicht nur IP-Adressen, sondern weist jedem DNS-Typ auch eine eindeutige numerische Kennung (Record-Wert) zu. Diese Werte sind in offiziellen DNS-Zonen essenziell, da DNS-Protokolle intern häufig über diese Nummern arbeiten.
Die folgende Tabelle bietet eine systematische Übersicht über die derzeit definierten Record-Typen inklusive Typname, Wert und Funktion.
| Wert | Typ | Beschreibung |
|---|---|---|
| 1 | A | Weist einem Host eine IPv4-Adresse zu. |
| 2 | NS | Gibt an, welcher Nameserver für eine Zone zuständig ist. |
| 5 | CNAME | Aliasname für eine andere Domain (Canonical Name). |
| 6 | SOA | Enthält Verwaltungsinformationen über die Zone. |
| 12 | PTR | Ermöglicht Reverse-Lookup (IP → Domain). |
| 15 | MX | Definiert Mailserver für die E-Mail-Zustellung. |
| 16 | TXT | Ermöglicht beliebige Textinformationen, z. B. für SPF. |
| 28 | AAAA | Liefert eine IPv6-Adresse für einen Hostnamen. |
| 33 | SRV | Gibt Dienste inkl. Port und Protokoll an (z. B. für VoIP). |
| 39 | DNAME | Alias für komplette Subzonen (ähnlich CNAME). |
| 41 | OPT | Erweiterungseintrag für EDNS (kein eigentlicher Datensatz). |
| 43 | DS | DNSSEC: Signaturverweis auf untergeordnete Zone. |
| 44 | SSHFP | Speichert SSH-Fingerprints für Authentifizierung. |
| 45 | IPSECKEY | Schlüssel für IPsec-Konfigurationen. |
| 46 | RRSIG | Digitale Signatur für DNSSEC-Einträge. |
| 47 | NSEC | Verkettung von DNSSEC-Einträgen (Next Secure). |
| 48 | DNSKEY | Öffentlicher Schlüssel für DNSSEC. |
| 52 | TLSA | TLS-Zertifikatsbindung (DANE). |
| 57 | RKEY | (Obsolet) Schlüsselverwaltung, ähnlich wie KEY. |
| 59 | CDS | Child DS – DNSSEC-Delegation von Kindzonen. |
| 60 | CDNSKEY | Öffentlicher Schlüssel einer Kindzone (DNSSEC). |
| 61 | OPENPGPKEY | Veröffentlicht OpenPGP-Schlüssel. |
| 99 | SPF | Wurde durch TXT ersetzt (obsolet, aber noch verbreitet). |
| 257 | CAA | Legt fest, welche CAs Zertifikate für die Domain ausstellen dürfen. |
| 32768 | TA | DNSSEC Trust Anchor für nicht signierte Wurzeln. |
| 32769 | DLV | DNSSEC Lookaside Validation (obsolet). |
Obsolet gewordene oder experimentelle Einträge sind in der Übersicht nicht enthalten. Eine vollständige Liste können Sie auf der Webseite von IANA finden. Für produktive Umgebungen empfiehlt es sich, ausschließlich offiziell unterstützte und standardisierte Record-Typen zu verwenden.
Fazit
Die Vielzahl an DNS-Record-Typen verdeutlicht die Komplexität und Vielseitigkeit des Domain Name Systems. Während einige Einträge wie A, AAAA, MX oder CNAME zu den alltäglichen und essenziellen Bausteinen moderner Netzwerke zählen, existieren daneben zahlreiche spezialisierte, experimentelle oder veraltete Record-Typen. Diese Vielfalt ergibt sich aus der langen Entwicklungsgeschichte des DNS und den stetig wachsenden Anforderungen an Sicherheit (z. B. DNSSEC), Authentifizierung (z. B. CAA, TLSA) und Flexibilität (z. B. SRV, TXT). Ein grundlegendes Verständnis der wichtigsten DNS-Records ist entscheidend für Netzwerkadministration, Webhosting und IT-Sicherheit.
FAQ - Häufig gestellte Fragen
Wie lange dauert es, bis Änderungen an DNS-Records weltweit wirksam sind?
Die Wirksamkeit hängt vom TTL-Wert (Time to Live) des Records ab. Änderungen verbreiten sich in der Regel innerhalb von Minuten bis zu 48 Stunden. Ausführliche Informationen zur DNS-Propagierung finden Sie in unserem Blogartikel "DNS-Propagation: Was ist das?".
Was passiert, wenn ein DNS-Record falsch konfiguriert ist?
Fehlerhafte Records können dazu führen, dass Websites oder Dienste nicht erreichbar sind – z. B. durch falsche IP-Adressen, fehlerhafte Weiterleitungen oder fehlgeschlagene E-Mail-Zustellung.
Muss jeder Domain-Name einen vollständigen Satz von DNS-Records haben?
Nein. Es müssen nur die Records eingerichtet sein, die für den jeweiligen Einsatzzweck erforderlich sind, z. B. A/MX/TXT für eine Website mit E-Mail-Funktion.
Was ist der Unterschied zwischen Zonen-Datei und DNS-Records?
Eine Zonendatei enthält alle DNS-Records für eine bestimmte Zone. Die einzelnen Einträge darin sind die Resource Records (RR), also die DNS-Records.
Können mehrere DNS-Records desselben Typs für eine Domain existieren?
Ja. Z. B. können mehrere A- oder MX-Records definiert werden, um Lastverteilung oder Redundanz zu ermöglichen.
Was ist ein Wildcard-DNS-Record und wofür wird er verwendet?
Ein Wildcard-Record (z. B. *.webwide.de) gilt für alle Subdomains, die nicht explizit definiert wurden. Er wird häufig für flexible Subdomain-Routing eingesetzt.
Wer verwaltet und pflegt DNS-Records für eine Domain?
In der Regel erfolgt die Verwaltung durch den Domain-Inhaber über ein Webinterface beim Domainregistrar oder Hosting-Anbieter.
Können DNS-Records für Angriffe missbraucht werden?
Ja. Beispiele sind DNS-Spoofing, Cache Poisoning oder die Verwendung offener Resolver für DDoS-Angriffe.
Was ist der Unterschied zwischen Forward- und Reverse-DNS?
Forward-DNS übersetzt Domain-Namen in IP-Adressen, während Reverse-DNS IP-Adressen zurück in Domain-Namen auflöst – meist über PTR-Records.
Welche DNS-Records sind für E-Mail-Sicherheit entscheidend?
SPF, DKIM und DMARC (oft als TXT-Records gespeichert) sind zentrale DNS-Einträge zur Authentifizierung und Vermeidung von E-Mail-Spoofing.