Kostenloses Konto

Behalte deine Abfragen im Blick

Erstelle in unter 30 Sekunden ein Konto, bewahre 6 Monate Verlauf, teile Anfragen und löse E-Mail- oder Webhook-Warnungen bei jedem Diff aus.

  • 6 Monate durchsuchbarer Verlauf
Jetzt registrieren

Werkzeuge

Eine komplette Suite zum Erkunden und Diagnostizieren Ihrer DNS‑Zonen

Eine Sammlung von Tools, um Ihre Infrastruktur zu verstehen, zu testen und zu überwachen. Starten Sie einen Lookup, speichern Sie ihn im Verlauf, wandeln Sie ihn in eine Überwachung um und lassen Sie sich sofort informieren, sobald ein Diff oder eine ungewöhnliche Latenz auftaucht.

DNS

Umfassende DNS‑Suite. Abfragen A, AAAA, MX, TXT über UDP, TCP und DoH. Iteratives Tracing von der Root bis zur autoritativen Instanz. Latenzmessung, Propagationsverfolgung über öffentliche Resolver und Einrichtung von Überwachungen aus jeder Anfrage heraus.

IP

Alles rund um IP gebündelt: PTR-Reverse-Lookups, IP-WHOIS-Eigentümerdaten sowie ein Checker für Ihre eigene IPv4/IPv6-Adresse inklusive Geostandort und Provider.

E‑Mail‑Authentifizierung (SPF, DKIM, DMARC)

Analyse und Assistent für Ihre SPF‑, DKIM‑ und DMARC‑Einträge: Record‑Erkennung, Schlüsselvalidierung, Alignment‑Prüfung, Richtlinie (p=none/quarantine/reject), rua/ruf‑Berichte und Best Practices gegen Spoofing.

Überwachung & Verlauf

Aktivieren Sie Überwachungen aus dem Verlauf oder direkt nach einem Lookup. Bewahren Sie 6 Monate Diff-Historie auf, teilen Sie einen öffentlichen Link ohne sensible Daten und erhalten Sie Benachrichtigungen per E-Mail oder Webhook.

Zertifikate

Analysieren Sie CSR-Anfragen, prüfen Sie VMC-Zertifikate und bewerten Sie Vertrauensketten, bevor Sie Änderungen veröffentlichen.

Text- & Bild-Tools

Wandeln Sie Text um, codieren Sie Base64, zählen Sie Zeichen und validieren Sie BIMI-Logos vor der Veröffentlichung, um Tiny-PS-Konformität zu bewahren.

Warum Ihre DNS‑Zonen regelmäßig analysieren?

Was eine DNS‑Analyse wirklich offenlegt

Eine DNS‑Zone wirkt einfach. In der Praxis bleiben viele Fehler unbemerkt. Ein CNAME am selben Label wie ein A verletzt die Konformität. Ein CNAME am Apex blockiert andere essenzielle Einträge. Inkonsistente NS zwischen der übergeordneten Zone und der Zone selbst führen je nach Resolver zu unterschiedlichen Antworten. Ein SOA mit eingefrorener Seriennummer verrät eine Zone, die nicht mehr aktualisiert wird.

Die Analyse listet auf, was heute tatsächlich antwortet – keine theoretischen Werte. Wir prüfen A und AAAA auf Erreichbarkeit. Wir bestätigen MX und deren Ziele. Wir lesen TXT für SPF, DKIM und DMARC. Wir prüfen CAA für die Zertifikatsausstellung. Wir betrachten SVCB und HTTPS, wenn Sie Web‑Parameter veröffentlichen. Wir validieren DS und DNSKEY, wenn DNSSEC aktiv ist.

Der TTL spiegelt die reale Lebensdauer von Antworten wider. Ein kurzer TTL hilft während einer Migration. Ein langer TTL stabilisiert den Traffic. Zu kurz belastet die autoritativen Server und erschwert das Caching. Zu lang verzögert eine Korrektur. Die Analyse stellt diese Entscheidungen ihren sichtbaren Effekten gegenüber.

Schließlich hilft die Analyse, „tote“ Zonen zu erkennen: eine delegierte Subdomain ohne erreichbare Nameserver, ein vergessener Eintrag, der auf eine private Adresse zeigt, ein fehlender PTR bei einer Adresse, die E‑Mails versendet. Solche Details erklären oft langwierige und teure Störungen.

Latenzmessung und Auflösungstrace

Die Latenz zu betrachten hilft, von Nutzern wahrgenommene Unterschiede zu verstehen. Eine erreichbare, aber langsame Adresse bleibt ein Problem. Messungen je Resolver und Region zeigen, wo der Pfad schwerer wird. Ein plötzlicher Anstieg kann von einem überlasteten Einstiegspunkt oder einem fälschlich gewählten, weit entfernten Relais herrühren.

Der iterative Trace folgt dem üblichen Weg: Root, dann TLD, dann autoritative Server. Jeder Schritt liefert eine Antwort und fügt Latenz hinzu. Der Trace macht einen autoritativen Server sichtbar, der schlecht antwortet. Er zeigt auch einen öffentlichen Resolver, der eine veraltete Sicht behält. Sie dokumentieren den Vorfall mit Fakten und vermeiden Spekulationen. Speichern Sie den Trace im Verlauf, um ihn intern oder mit Dienstleistern zu teilen.

Der Abfrageverlauf vervollständigt das Bild. Sie vergleichen vor und nach einer Änderung, zeigen Zeitpunkt und erhaltenen Wert, verknüpfen einen Latenzabfall mit einer konkreten Anpassung. Jede Anfrage lässt sich in eine Überwachung verwandeln: Wir fragen weiterhin die 18 Resolver ab und senden eine Benachrichtigung, sobald ein Diff erkannt wird.

Warum E‑Mail‑Authentifizierung unverzichtbar geworden ist

SPF, DKIM, DMARC – wie sie zusammenwirken

SPF beschreibt, wer im Namen der Domain senden darf. Die Prüfung erfolgt auf der Empfängerseite. Die Regel steht als TXT am Apex. Zu permissiv lässt Missbrauch durch. Zu strikt blockiert legitime Flüsse. Es gilt, die Balance zu treffen.

DKIM signiert die Nachricht. Ein privater Schlüssel signiert, der öffentliche Schlüssel steht als TXT unter dem Selector bei _domainkey. Eine gültige Signatur beweist, dass die Nachricht unverändert ist, und identifiziert die signierende Domain. Die Schlüsselqualität zählt: Ein gekürzter Schlüssel bricht die Verifikation, ein falscher Selector macht den Schlüssel unauffindbar.

DMARC vereint Identität und Richtlinie. Es verknüpft die sichtbare Adresse über das Alignment mit SPF und DKIM. Besteht einer der beiden und ist mit der angezeigten Domain ausgerichtet, gilt die Nachricht als konform. Die Richtlinie definiert das Vorgehen bei Fehlern: none zum Beobachten, quarantine zum Drosseln, reject zum Ablehnen. rua/ruf‑Berichte liefern eine tägliche Sicht auf die Flüsse.

BIMI baut auf DMARC mit aktiver Policy auf. Es ist kein Sicherheitssystem im strengen Sinn, sondern ein Identitätssignal in bestimmten Clients. Es unterstreicht ein hohes Hygieneniveau und existiert nicht ohne korrekt durchgesetztes DMARC. Die Werkzeug‑Analyse prüft Präsenz und Kohärenz der Einträge und zeigt, ob die Policy tatsächlich angewendet wird.

Häufige Fehler und sinnvolle Prüfungen

Zwei SPF‑Einträge unter demselben Namen neutralisieren sich – sie müssen zu einem Wert zusammengeführt werden. Ein zu langer Record überschreitet die zulässige Anzahl von Lookups und schlägt letztlich fehl. Ein falsch geschriebener DKIM‑Selector macht den Schlüssel unsichtbar. Ein öffentlicher Schlüssel mit zusätzlichem Zeilenumbruch wird unlesbar. Ein MX, der auf einen CNAME zeigt, ist nicht konform. Eine Absenderadresse ohne passenden PTR verschlechtert die Zustellbarkeit.

Die operative Prüfung bleibt einfach: TXT so lesen, wie sie aus mehreren Resolvern antworten. SPF auf Eindeutigkeit und Anzahl der Mechanismen prüfen. Vorhandensein der DKIM‑Schlüssel und ausreichende Schlüssellänge bestätigen. DMARC auf Alignment und die gewählte Policy untersuchen. Berichte aktivieren und einige Tage verfolgen. Ohne Hast nachjustieren.

TTL spielt auch hier eine Rolle. Ein kurzer TTL erlaubt schnelle Korrekturen bei zu strengem SPF oder einem Schlüsselfehler. Ein mittlerer TTL stabilisiert eine gesunde Konfiguration. Während einer Transition ist ein niedriger TTL ratsam. Nach der Validierung erhöht man ihn, um den Traffic zu entlasten. Das Tool zeigt die reale Netz‑Wirkung – Sie sehen, wann neue Werte ausgeliefert werden.

Ein letzter Punkt betrifft Team und Prozess: Jede Änderung dokumentieren, um Überraschungen zu vermeiden. Datum, betroffene Zone und Grund festhalten. Den bisherigen Wert aufbewahren. Aus mehreren Netzen testen. Einen Trace lesen, wenn ein Server ungewöhnlich antwortet. Mit diesen Routinen wird die Diagnose kurz und klar – Vorfälle werden mit Fakten gelöst, nicht mit Annahmen.