Alle Arten von DNS-Einträgen im Überblick!

Das Domain-Name-System und die DNS-Einträge sind ein wichtiger Bestandteil des Internets. Denn sie ermöglichen es, Websites über Domains aufzurufen oder E-Mails zu empfangen.

Jeder Domain sind verschiedene Einträge zugeordnet. Diese legen fest, wie Anfragen verarbeitet werden, etwa welche IP-Adresse zugeordnet oder welcher Mailserver zuständig ist.

Es gibt also verschiedene Arten von DNS-Einträgen, wobei jeder Typ eine andere Art von Information enthält. Einige DNS-Eintragstypen sind grundlegend, damit eine Website unter einer bestimmten Domain erreichbar ist. Andere wiederum sind optional und ergänzen zusätzliche Funktionen.

Basis-Einträge für die Namensauflösung

A-Eintrag – Verknüpfung mit einer IPv4-Adresse

Der A-Eintrag (Address Record) ist einer der grundlegendsten DNS-Einträge überhaupt. Er ordnet einer Domain eine IPv4-Adresse zu – also die Adresse des Servers, auf dem die Website liegt.

A-Einträge sind damit das Fundament vieler DNS-Konfigurationen. Sie stehen am Ende jedes Auflöseprozesses, wenn ein Domainname in eine für Maschinen verständliche IP-Adresse übersetzt werden muss.

AAAA-Eintrag – Verknüpfung mit einer IPv6-Adresse

Der AAAA-Eintrag funktioniert im Prinzip genauso wie ein A-Eintrag, mit einem Unterschied: Statt einer IPv4-Adresse wird hier eine IPv6-Adresse hinterlegt.

Aber warum gibt es überhaupt zwei Versionen von IP-Adressen? Das Internet ist in den vergangenen Jahren stark gewachsen. Das hat zur Folge, dass der ursprüngliche IPv4-Adressraum mit etwa 4 Milliarden Adressen an seine Grenzen stößt. IPv6 löst dieses Problem mit deutlich längeren Adressen und einem fast unerschöpflichen Vorrat an Kombinationsmöglichkeiten.

AAAA-Einträge kommen nur dann zum Einsatz, wenn ein Server und das entsprechende Gerät IPv6 unterstützen. In diesem Fall hat der AAAA-Eintrag sogar Vorrang vor dem klassischen A-Eintrag. Viele Systeme nutzen derzeit noch IPv4. IPv6 wird aber zunehmend wichtiger, vor allem für neue Geräte und moderne Netzwerke.

CNAME-Eintrag – Alias für eine andere Domain

Ein CNAME-Eintrag (Canonical Name) wird verwendet, um einen Alias für eine bestehende Domain zu definieren. Sie kommen ausschließlich bei Subdomains zum Einsatz.

Dabei verweist der Eintrag nicht auf eine IP-Adresse, sondern auf einen anderen Hostnamen. Das bedeutet, dass statt direkt eine IP-Adresse wie beim A-Eintrag anzugeben, die Anfrage an eine andere Domain weitergeleitet wird. Diese hat dann idealerweise selbst über einen A- oder AAAA-Eintrag verfügt.

Sollte sich die IP-Adresse des Hauptservers ändern, muss so nur einmal der A-Eintrag der Ziel-Domain angepasst werden. Alle Aliase bleiben automatisch aktuell.

ALIAS-Eintrag – Alternative zum CNAME für Root-Domains

Ein ALIAS-Eintrag erfüllt einen ähnlichen Zweck wie ein CNAME-Eintrag. Er verweist nicht auf eine IP-Adresse, sondern auf einen anderen Hostnamen. Der Unterschied liegt darin, dass ALIAS-Einträge auch für die Root-Domains verwendet werden können. Bei CNAMEs ist das nicht möglich.

PTR-Eintrag – Für Reverse-DNS-Abfragen

Ein PTR-Eintrag (Pointer Record) funktioniert umgekehrt zum A-Eintrag. Statt einer Domain eine IP-Adresse zuzuordnen, wird hier einer IP-Adresse ein Hostname zugewiesen. Dieser Vorgang wird auch Reverse-DNS-Lookup genannt. Er dient dazu, über eine IP-Adresse herauszufinden, welcher Domainname dahintersteht.

NS-Eintrag – Zuständige Nameserver einer Domain

Der NS-Eintrag (Name Server Record) legt fest, welche Nameserver für eine bestimmte Domain zuständig sind. Diese enthalten die vollständigen DNS-Einträge für die Domain. So können sie Anfragen mit offiziellen Informationen beantworten, anstatt nur zwischengespeicherte Daten weiterzugeben.

Jede Domain benötigt mindestens einen, meist aber mehrere NS-Einträge. So ist sichergestellt, dass DNS-Anfragen auch dann zuverlässig beantwortet werden, wenn ein Server nicht erreichbar ist.

Ein fehlender oder falsch gesetzter NS-Eintrag führt dazu, dass Websites und andere mit der Domain verknüpfte Dienste nicht geladen werden können.

SOA-Eintrag – Information zur Domain-Zone

Der SOA-Eintrag (Start of Authority) ist ein verpflichtender Bestandteil jeder DNS-Zone. Er enthält grundlegende Informationen über die Domain bzw. Zone. Dies können unter anderem die E-Mail-Adresse des Administrators oder der Zeitpunkt der letzten Aktualisierung sein.

Außerdem legt der SOA-Eintrag fest, welcher Server für die Zone zuständig ist. Damit erfüllt er eine zentrale Rolle in der DNS-Hierarchie.

NAPTR-Eintrag – Erweiterter Verweis mit Suchmustern

Der NAPTR-Eintrag (Naming Authority Pointer) ist eine erweiterte Form des klassischen A-Eintrags. Zusätzlich enthält dieser protokollspezifische Informationen und Suchmuster. Falls mehrere NAPTR-Einträge vorhanden sind, kann eine Priorisierung festgelegt werden.

Er wird nur in spezialisierten Anwendungen genutzt, nicht für klassische Websites oder E-Mails.

DNS-Einträge für E-Mail und weitere Services

MX-Eintrag – Zuständig für den E-Mail-Empfang

Der MX-Eintrag (Mail Exchange) legt fest, welcher Server für den Empfang von E-Mails einer Domain zuständig ist. Dabei verweist ein MX-Eintrag nicht direkt auf eine IP-Adresse, sondern auf den Hostnamen eines Mailservers – etwa mail.beispiel.de.

Zusätzlich kann eine Priorität angegeben werden. Dabei steht der niedrigste Wert für den zuerst zu verwendenden Mailserver. So lässt sich eine Reihenfolge definieren, falls mehrere Mailserver verfügbar sind.

OPENPGPKEY-Eintrag – Öffentliche PGP-Schlüssel im DNS

Der OPENPGPKEY-Eintrag ermöglicht es, öffentliche PGP-Schlüssel direkt im DNS zu veröffentlichen. So können Nutzer:innen den passenden Public Key für eine E-Mail-Adresse direkt über eine DNS-Abfrage erhalten. Dieser Eintragstyp unterstützt so die sichere Ende-zu-Ende-Verschlüsselung von E-Mails mit OpenPGP.

SMIMEA-Eintrag – Zertifikate für verschlüsselte E-Mails

Ein SMIMEA-Eintrag (S/MIME Certificate Association) wird verwendet, um S/MIME-Zertifikate mit einem Domainnamen zu verknüpfen. Damit lassen sich E-Mails verschlüsseln und digital signieren, um die Vertraulichkeit und Authentizität der Kommunikation sicherzustellen.

Der SMIMEA-Eintrag funktioniert damit ähnlich wie OPENPGPKEY, allerdings auf Basis des S/MIME-Standards, der vorwiegend im Unternehmensumfeld verbreitet ist.

SRV-Eintrag – Wegweiser für spezielle Dienste

Ein SRV-Eintrag (Service Record) gibt an, welcher Server für einen bestimmten IP-basierten Dienst zuständig ist. Dabei werden auch der Port und das verwendete Protokoll angegeben. SRV-Einträge kommen zum Beispiel bei SIP (VoIP) oder XMPP (Instant Messaging) zum Einsatz. Sie helfen dabei, die technischen Details eines Dienstes klar zu definieren.

DNS-Einträge, die Informationen enthalten

TXT-Eintrag – Zur Verifizierung und E-Mail-Sicherheit

Ein TXT-Eintrag (Text Record) zählt zu den gängigsten DNS-Einträgen. Er ermöglicht es, Freitext im Domain-Name-System zu hinterlegen.

Ursprünglich war er für menschenlesbare Hinweise gedacht. Inzwischen wird er aber überwiegend für technische Zwecke verwendet, beispielsweise für die Verifizierung von Domains. Im Bereich der E-Mail-Sicherheit wird ein TXT-Eintrag für SPF, DMARC und DKIM-Einträge genutzt.

Der eigentliche Inhalt des TXT-Eintrags ist eine Zeichenkette, die meist in Anführungszeichen steht. Diese wird entweder maschinenlesbar (z. B. für E-Mail-Systeme) oder manuell (z. B. zur Verifizierung bei Drittanbietern) ausgewertet.

RP-Eintrag – Zuständige Kontaktperson hinterlegen

Der RP-Eintrag (Responsible Person) gibt an, wer für eine bestimmte Domain technisch oder administrativ verantwortlich ist. In der Regel steht in diesem DNS-Eintrag eine E-Mail-Adresse.

HINFO-Eintrag – Technische Informationen zum Host

Ein HINFO-Eintrag (Host Information) speichert technische Details zum Server, auf dem eine Domain betrieben wird. Dazu gehören Angaben zur verwendeten CPU und zum Betriebssystem.

Heute wird er jedoch kaum noch verwendet, weil solche Informationen aus Datenschutzgründen nicht öffentlich sein sollten.

LOC-Eintrag – Standortinformationen im DNS

Ein LOC-Eintrag (Location Record) speichert geografische Standortdaten zu einer Domain oder einem Host im DNS. Dazu zählen Breiten- und Längengrad, Höhe über dem Meeresspiegel sowie Angaben zur Genauigkeit. Er wird selten genutzt, da moderne Dienste solche Informationen meist auf anderen Wegen erfassen.

Sicherheitsbezogene DNS-Einträge

IPSECKEY-Eintrag – Schlüssel für IPsec-Verbindungen

Ein IPSECKEY-Eintrag enthält öffentliche Schlüssel für IPsec-Verbindungen. IPsec ist ein Netzwerkprotokoll zur sicheren Verschlüsselung und Authentifizierung von Daten auf IP-Ebene. Es wird häufig eingesetzt bei VPNs oder in hochsicheren Netzwerken.

CAA-Eintrag – Kontrolle über SSL-Zertifikate

Der CAA-Eintrag (Certification Authority Authorization) bestimmt, welche Zertifizierungsstelle (CA) SSL-Zertifikate für eine Domain ausstellen darf. So wird verhindert, dass unbekannte Zertifizierungsstellen für eine Domain ausstellen.

SSHFP-Eintrag – Fingerabdruck für SSH-Schlüssel

Ein SSHFP-Eintrag (SSH Fingerprint) ermöglicht es, den Fingerabdruck eines SSH-Schlüssels direkt im DNS zu veröffentlichen. Damit kann ein Client beim Aufbau einer SSH-Verbindung prüfen, ob der öffentliche Schlüssel des Servers mit dem im DNS hinterlegten Fingerprint übereinstimmt. So können Angriffe durch zwischengeschaltete Dritte verhindert werden.

CERT-Eintrag – Zertifikate im DNS speichern

Ein CERT-Eintrag (Certificate Record) speichert verschlüsselte Zertifikate wie PGP oder S/MIME direkt im DNS. In der Praxis wird dieser Eintrag eher selten eingesetzt. Denn heute werden Zertifikate meist über speziell gesicherte Verbindungen oder zentrale Zertifizierungsstellen verwaltet.

TLSA-Eintrag – Zertifikatsverknüpfung für DANE

Ein TLSA-Eintrag (TLS Authentication) wird im Zusammenhang mit dem DANE-Protokoll (DNS-based Authentication of Named Entities) verwendet. Er verknüpft ein SSL-/TLS-Zertifikat direkt mit einem Domainnamen. So können Clients das Zertifikat direkt beim Verbindungsaufbau validieren, unabhängig von klassischen Zertifizierungsstellen.

Weitere Arten von DNS-Einträgen

URI-Eintrag – Ressourcen über das DNS auffindbar machen

Ein URI-Eintrag (Uniform Resource Identifier) ermöglicht es, eine bestimmte Ressource (z. B. eine API) über das DNS auffindbar zu machen. Mithilfe von Prioritäten und Gewichtungen kann gesteuert werden, welche URI bei mehreren bevorzugt wird.

AFSDB-Eintrag – Für das Andrew File System

Ein AFSDB-Eintrag wird für das Andrew File System genutzt, ein verteiltes Dateisystem aus dem Forschungsbereich. Er zeigt an, welcher Server für eine bestimmte AFS-Ressource zuständig ist.

HTTPS-Eintrag – Für sichere Verbindungen

Ein HTTPS-Eintrag enthält Informationen über eine sichere Verbindung zu einer Website, beispielsweise die unterstützten Protokolle. Er reduziert die erforderlichen Schritte beim Aufbau einer HTTPS-Verbindung und verbessert so die Ladezeit und Sicherheit.

SVCB-Eintrag – Flexible Verbindungsdaten für moderne Dienste

Ein SVCB-Eintrag (Service Binding) funktioniert ähnlich wie ein HTTPS-Record, ist aber vielseitiger einsetzbar. Neben HTTP kann er auch für weitere Dienste wie DNS verwendet werden. Zusätzlich unterstützt er moderne Protokolle sowie Alias-Funktionen.