Zum Hauptinhalt springen
Anmelden
CaptainDNS

Propagation & Diagnose

Vergleichen Sie öffentliche Resolver und analysieren Sie die gelieferten Antworten.

E-Mail-Diagnose

Werkzeuge zur Überprüfung und Validierung Ihrer E-Mail-Authentifizierung.

SPF
DKIM
DMARC
DMARCbis
BIMI
MTA-STS
TLS-RPT
DANE / TLSA

Zustellbarkeit

E-Mail-Zustellbarkeits-AuditMail-Header-AnalyseE-Mail-TesterIP-Blacklist-PrüferDomain-Blacklist-PrüferSPF-FlattenerDKIM-Selektor-FinderSMTP/MX-Tester

Sichern & Überwachen

Datensatzgeneratoren, Richtlinien-Hosting und kontinuierliche Überwachung.

Netzwerk & Web

Netzwerktools, Webseitenanalyse und Zertifikate.

IP-Tools

Meine IP-Adresse

Ermitteln Sie Ihre IPv4/IPv6-Adressen und deren Geostandort.

Reverse-Lookup

Lösen Sie einen PTR-Eintrag auf und prüfen Sie die DNS-Konsistenz.

IP-WhoIs

Ermitteln Sie den Inhaber eines IP-Bereichs und seine Kontakte.

IPv4-Netzmaske

Berechnen Sie Netzwerk, Broadcast und nutzbare Hosts für jeden IPv4-Block.

IPv6-Subnetzrechner

Berechne IPv6-Subnetze, Adressbereiche und Reverse-DNS-Einträge.

Zertifikate & BIMI

BIMI-Logo-Inspektor

Analysieren Sie die URL eines BIMI-Logos, sein Format, Metadaten und Rendering.

BIMI SVG Converter

Konvertiere ein SVG in Sekunden ins BIMI-konforme Tiny-PS-Format.

CSR-Parser

Analysieren Sie einen CSR, lesen Sie Subject-Daten, Fingerprints und angeforderte SANs.

VMC-Inspektor

Prüfen Sie ein Verified Mark Certificate: ausstellende CA, Gültigkeit und SANs, bevor Sie BIMI veröffentlichen.

Web

Seitengewicht-Prüfer

Prüfe, ob deine Seite das 2-MB-Crawl-Limit von Google überschreitet.

Phishing-URL-Prüfer

Prüfe, ob eine URL als Phishing oder Malware von 4 Quellen gemeldet ist.

Redirect Checker

HTTP-Weiterleitungsketten analysieren

Domain-Weiterleitung

Leiten Sie Ihre Domains mit automatischem HTTPS und 301/302-Weiterleitungen weiter.

Entwicklertools

Textwerkzeuge und Tools für den Entwickleralltag.

Text

Inhalte transformieren und messen in Sekunden.

Groß-/Kleinschreibung-Konverter

Wandeln Sie einen Textblock sofort in Klein- oder Großbuchstaben um.

Slug-Generator

Wandeln Sie jede Überschrift in wenigen Sekunden in einen SEO-freundlichen Slug um.

Wort- & Zeichenzähler

Zählt sofort, wie viele Wörter und Zeichen ein Text enthält.

Passwort-Generator

Erstelle starke Zufallspasswörter und einprägsame Passphrasen sofort.

Entwickler

Kodierung, Hashing, Regex und Formatierung fur den Entwickleralltag.

Base64-Encoder / -Decoder

Kodieren oder dekodieren Sie Inhalte als Base64 direkt im Browser.

Hash-Generator

Berechne MD5-, SHA-1-, SHA-256- und SHA-512-Hashes eines Textes.

URL-Encoder / -Decoder

Kodieren oder dekodieren Sie Text mit Percent-Encoding (RFC 3986) direkt im Browser.

Regex-Tester

Testen Sie einen regulären Ausdruck gegen Text und visualisieren Sie die Treffer.

JSON / YAML Formatierer

JSON und YAML formatieren, validieren und konvertieren - mit einem Klick.

DNS-Werkzeugkasten

Diagnostizieren, auditieren und überwachen Sie Ihre DNS-Zonen in Echtzeit

Einfache und leistungsstarke Tools zur Erkundung Ihrer DNS-Zonen: A/AAAA/MX/TXT-Auflösungen, iterative Traces, Vergleich öffentlicher Resolver, weltweiter Propagationstest und vollständiges DNS-Gesundheitsaudit.

DNS-Lookup

A/AAAA/MX/TXT/NS/SOA-Auflösungen über UDP, TCP oder DoH. Vergleichen Sie Antworten mehrerer Resolver, messen Sie Latenzen und zeigen Sie den vollständigen Trace an.

Domain DNS-Audit

Analysieren Sie Parent/Zone-Konsistenz, prüfen Sie Delegation, testen Sie IPv4/IPv6 und TCP, validieren Sie SOA-Synchronisation zwischen autoritativen Servern.

Weltweite Propagation

Verfolgen Sie die Verbreitung Ihrer DNS-Änderungen über Google, Cloudflare, Quad9, OpenDNS und viele ISPs. Identifizieren Sie noch veraltete Caches.

API und IntegrationenDemnächst

Stellen Sie Ihre Lookups per API bereit, integrieren Sie Checks in Ihre CI/CD-Pipelines und automatisieren Sie Ihre DNS-Diagnosen. Vollständige Dokumentation verfügbar.

DNSSEC Checker

Prüfe die DNSSEC-Vertrauenskette Zone für Zone, erkenne verwaiste DS-Einträge, schwache Algorithmen und abgelaufene Signaturen.

RDAP Lookup

Domain-Registrierungsdaten abfragen: Registrar, Daten, EPP-Statuscodes, DNSSEC. Automatischer WHOIS-Fallback.

Warum DNS-Tools verwenden?

DNS ist der erste Schritt jeder Internetverbindung. Ein DNS-Problem = unerreichbare Website, nicht zugestellte E-Mails, unmögliche SSL-Zertifikatsvalidierung. Ohne Einblick in Ihre DNS-Konfiguration arbeiten Sie blind.

Drei Situationen, in denen diese Tools unverzichtbar sind:

  • Servermigration → Prüfen, dass der neue A/AAAA-Eintrag propagiert ist, bevor der alte Server abgeschaltet wird
  • E-Mail-Problem → Bestätigen, dass MX, SPF, DKIM, DMARC korrekt veröffentlicht sind
  • Unerreichbare Website → Diagnostizieren, ob das Problem bei DNS, Server oder Netzwerk liegt
  • DNSSEC defekt → Vertrauenskette prüfen, verwaiste DS-Einträge oder abgelaufene Signaturen erkennen

So diagnostizieren Sie ein DNS-Problem in 3 Schritten

Schritt 1: DNS-Abfrage starten

Öffnen Sie DNS Lookup, geben Sie Ihre Domain ein und wählen Sie den Eintragstyp:

  • A: IPv4-Serveradresse
  • AAAA: IPv6-Adresse
  • MX: Mailserver
  • TXT: SPF, DKIM, DMARC, Verifizierungen
  • NS: Autoritative Nameserver

Vergleichen Sie Antworten von Google DNS, Cloudflare, Quad9 und dem autoritativen Server.

Schritt 2: DNS-Gesundheit prüfen

Nutzen Sie das DNS-Audit für eine vollständige Analyse:

  • Parent/Zone-Konsistenz
  • Delegation und Glue-Einträge
  • IPv4- und IPv6-Erreichbarkeit
  • TCP-Unterstützung (erforderlich für große Antworten)
  • SOA-Synchronisation zwischen Servern

Schritt 3: Propagation verfolgen

Nach einer Änderung vergleicht der Propagationstest die Antworten von Dutzenden öffentlicher Resolver. Sie sehen sofort, wer den neuen Wert hat und wer noch den alten liefert.

Was ist DNS?

DNS (Domain Name System) übersetzt Domainnamen in IP-Adressen. Wenn Sie captaindns.com eingeben, fragt Ihr Browser einen DNS-Resolver ab, der der Kette folgt:

  1. Root-Server → Zeigen an, wo der TLD (.com) zu finden ist
  2. TLD-Server → Zeigen die NS der Domain an
  3. Autoritative Server → Liefern die endgültige Antwort

Auflösungsbeispiel:

Abfrage: captaindns.com A
→ Root: ".com wird von a.gtld-servers.net verwaltet"
→ TLD: "captaindns.com ist an ns1.provider.com delegiert"
→ Autoritativ: "A = 203.0.113.50, TTL 3600"

Analysierte DNS-Eintragstypen

TypFunktionBeispiel
AIPv4-Adresse203.0.113.50
AAAAIPv6-Adresse2001:db8::1
CNAMEAlias auf einen anderen Namenwww → captaindns.com
MXMailserver10 mail.captaindns.com
TXTFreitext (SPF, DKIM, etc.)v=spf1 include:_spf.google.com -all
NSNameserverns1.captaindns.com
SOAZonenautoritätSerial, Refresh, Retry, Expire, Minimum
CAAZertifizierungsstellenissue "letsencrypt.org"
PTRReverse-LookupIP → Name

DNSSEC: die DNS-Auflösungskette absichern

DNSSEC (Domain Name System Security Extensions) ergänzt das DNS um kryptografische Signaturen. Ohne DNSSEC kann ein Angreifer DNS-Antworten abfangen und manipulieren (DNS-Spoofing, Cache Poisoning), um den Datenverkehr auf einen bösartigen Server umzuleiten.

So funktioniert DNSSEC:

  1. Jede DNS-Zone signiert ihre Einträge mit einem privaten Schlüssel
  2. Der öffentliche Schlüssel wird im DNS veröffentlicht (DNSKEY-Eintrag)
  3. Die übergeordnete Zone veröffentlicht einen DS-Eintrag (Delegation Signer), der den Schlüssel der Kindzone verknüpft
  4. Der Resolver prüft jede Signatur bis zur Root-Zone

Was der DNSSEC Checker prüft:

PrüfungErkennt
VertrauensketteVerwaiste DS-Einträge, ungültige Signaturen, abgelaufene Schlüssel
AlgorithmenSchwache (RSA-1024) oder veraltete Algorithmen
Parent/Zone-KonsistenzDS beim Parent stimmt nicht mit dem DNSKEY der Zone überein
NSEC/NSEC3Korrekt signierter Nichtexistenz-Nachweis

DNSSEC ist Voraussetzung für DANE/TLSA (SMTP-Absicherung) und wird für immer mehr Dienste gefordert. Microsoft 365 verlangt DNSSEC für E-Mail-Domains ab 2026.

RDAP: Registrierungsdaten von Domains

RDAP (Registration Data Access Protocol) ersetzt WHOIS für die Abfrage von Domain-Registrierungsdaten. Seit dem 28. Januar 2025 schreibt die ICANN WHOIS für gTLDs nicht mehr vor. 374 TLDs haben ihren WHOIS-Dienst bereits abgeschaltet.

Was ein RDAP Lookup zeigt:

  • Registrar: wer die Domain verwaltet (Name, IANA-ID, Abuse-Kontakt)
  • Daten: Erstellung, Ablauf, letzte Änderung, Domainalter
  • EPP-Codes: aktive Sperren (transferProhibited, deleteProhibited), Suspendierungen, Übergangsstatus
  • DNSSEC: ist die Domain auf Registrar-Ebene DNSSEC-signiert?
  • Kontakte: Inhaber, administrativ, technisch (sofern nicht durch DSGVO maskiert)

Warum das wichtig ist:

  • Eine Domain ohne clientTransferProhibited ist anfällig für Diebstahl (Domain-Hijacking)
  • Eine Domain im Status pendingDelete wird innerhalb von 30 Tagen gelöscht
  • Eine Domain, die vor weniger als 30 Tagen erstellt wurde, ist potenziell verdächtig (Phishing)
  • Fehlendes DNSSEC setzt die Domain DNS-Spoofing aus

Das Tool erkennt automatisch das Protokoll (RDAP oder WHOIS) und normalisiert die Ergebnisse in dasselbe Format, unabhängig vom TLD.

Konkrete Anwendungsfälle

Vorfall 1: Website nach Migration nicht erreichbar

Symptom: Die Website funktioniert für einige Nutzer, für andere nicht.

Diagnose:

  • Führen Sie einen DNS-Lookup auf den A-Eintrag durch
  • Vergleichen Sie Antworten: Google hat die neue IP, einige ISPs haben noch die alte

Maßnahme: Auf TTL-Ablauf warten oder TTL vor der nächsten Migration senken.

Vorfall 2: E-Mails nach Anbieterwechsel abgelehnt

Symptom: Ausgehende E-Mails werden mit "SPF fail" abgelehnt.

Diagnose:

  • Prüfen Sie TXT mit DNS Lookup
  • Alter Include ist noch vorhanden, neuer fehlt

Maßnahme: SPF-Eintrag korrigieren, auf Propagation warten, erneut testen.

Vorfall 3: SSL-Zertifikat kann nicht generiert werden

Symptom: Let's Encrypt scheitert mit "DNS problem".

Diagnose:

  • Führen Sie DNS-Audit der Domain durch
  • Ein NS ist lame (antwortet nicht autoritativ)

Maßnahme: Delegation beim Registrar korrigieren, auf Propagation warten.

FAQ - Häufig gestellte Fragen

F: Wie funktioniert DNS-Lookup?

A: Das Tool fragt den ausgewählten Resolver (Google, Cloudflare oder den autoritativen Server) ab und zeigt die Rohantwort mit TTL, Answer/Authority/Additional-Sektionen und Latenz an. Sie können den iterativen Trace aktivieren, um jeden Schritt der Auflösung zu sehen.

F: Was ist DNS-Propagation?

A: "Propagation" bezeichnet die Zeit, die Resolver-Caches benötigen, um abzulaufen und den neuen Wert abzurufen. Sie hängt vom TTL ab: Ein TTL von 3600 bedeutet, dass einige Resolver den alten Wert bis zu 1 Stunde nach Ihrer Änderung behalten können.

F: Warum unterscheiden sich Ergebnisse zwischen Resolvern?

A: Jeder Resolver hat seinen eigenen Cache. Wenn ein Resolver Ihre Zone vor Ihrer Änderung abgefragt hat, behält er die Antwort im Cache, bis der TTL abläuft. Deshalb sind Änderungen nicht sofort überall sichtbar.

F: Was prüft das DNS-Audit?

A: Das Audit prüft die Konsistenz zwischen Parent (Registry) und Zone, verifiziert, dass jeder NS autoritativ antwortet, testet IPv4/IPv6, validiert TCP, vergleicht SOA-Serials und erkennt Lame Delegations oder veraltete Glue-Einträge.

F: Wie kann man die Propagationszeit reduzieren?

A: Senken Sie den TTL des zu ändernden Eintrags 24-48h vor der Änderung (z.B. auf 300 Sekunden). Nehmen Sie die Änderung vor. Sobald stabil, erhöhen Sie den TTL wieder auf den Normalwert, um die Leistung zu optimieren.

F: Was ist DNSSEC und warum sollte man es aktivieren?

A: DNSSEC versieht DNS-Antworten mit kryptografischen Signaturen, um Spoofing und Cache Poisoning zu verhindern. Ohne DNSSEC kann ein Angreifer Ihren Datenverkehr auf einen bösartigen Server umleiten. DNSSEC ist Voraussetzung für DANE/TLSA und wird von Microsoft 365 ab 2026 verlangt. Prüfen Sie Ihre Vertrauenskette mit dem DNSSEC Checker.

F: Wie kann man die Registrierungsdaten einer Domain abfragen?

A: Verwenden Sie den RDAP Lookup, um Registrar, Daten (Erstellung, Ablauf), EPP-Codes und DNSSEC-Status einer Domain abzufragen. RDAP ersetzt WHOIS seit Januar 2025. Das Tool wechselt automatisch auf WHOIS für nicht abgedeckte TLDs (.de, .cn, .eu, .ru).

Ergänzende Tools

ToolZweck
SPF-InspektorSPF-Eintrag prüfen und korrigieren
DKIM-InspektorDKIM-Signatur und Schlüssel validieren
DMARC-InspektorDMARC-Richtlinie konfigurieren und testen
E-Mail-TesterSPF/DKIM/DMARC von Ihrem Server testen
DNSSEC CheckerDNSSEC-Vertrauenskette validieren, verwaiste DS und schwache Algorithmen erkennen
RDAP LookupDomain-Registrierungsdaten abfragen (Registrar, Daten, EPP, DNSSEC)
Domain-WeiterleitungDomains mit automatischem HTTPS und 301/302-Weiterleitung umleiten

Nützliche Ressourcen