Anmelden
CaptainDNS

Propagation & Diagnose

Vergleichen Sie öffentliche Resolver und analysieren Sie die gelieferten Antworten.

E-Mail-Authentifizierung

Werkzeuge zur Überprüfung und Validierung Ihrer E-Mail-Authentifizierung.

SPF-Syntax-Validator

Überprüfen Sie Include-Ketten, Mechanismenreihenfolge und das Limit von 10 DNS-Abfragen vor Änderungen.

SPF-Datensatz-Inspektor

Lösen Sie den veröffentlichten TXT-Eintrag auf, erkennen Sie Lookup-Limits und beleuchten Sie jeden Mechanismus.

DKIM-Syntax-Validator

Prüfen Sie schnell die Syntax Ihrer DKIM-Einträge.

DKIM-Datensatzprüfung

Lösen Sie einen Selector auf und analysieren Sie den veröffentlichten DKIM-TXT-Eintrag.

DMARC-Syntax-Validator

Prüfen Sie rua/ruf-Empfänger, Ausrichtungen und die aktive Richtlinie vor der Veröffentlichung.

DMARC-Datensatz-Inspektor

Lösen Sie die veröffentlichte Richtlinie auf, analysieren Sie Diagnosen und bestätigen Sie die Durchsetzung vor dem Reject-Rollout.

BIMI-Syntax-Validator

Prüft BIMI-Tags, Logodownload und VMC-Zertifikat vor der Veröffentlichung.

BIMI-Datensatz-Inspektor

Löst den veröffentlichten BIMI-Eintrag auf und analysiert Logo- und VMC-Diagnosen an einem Ort.

E-Mail-Zustellbarkeits-Audit

Prüfen Sie MX, SPF, DKIM und DMARC, um die Versandbereitschaft einer Domain zu bestätigen.

Mail-Header-Analyse

Dekodieren Sie Beteiligte, SPF/DKIM/DMARC-Ergebnisse und Routing anhand der Roh-Header.

DMARC-Datensatz-Generator

Erstellen Sie konforme DMARC-Einträge mit allen Richtlinien- und Berichtsoptionen.

Text

Transformieren, kodieren und messen Sie Inhalte in Sekunden.

Groß-/Kleinschreibung-Konverter

Wandeln Sie einen Textblock sofort in Klein- oder Großbuchstaben um.

Base64-Encoder / -Decoder

Kodieren oder dekodieren Sie Inhalte als Base64 direkt im Browser.

Slug-Generator

Wandeln Sie jede Überschrift in wenigen Sekunden in einen SEO-freundlichen Slug um.

Wort- & Zeichenzähler

Zählt sofort, wie viele Wörter und Zeichen ein Text enthält.

Bilder

Sehen Sie BIMI-Logos in der Vorschau und prüfen Sie sie vor der Veröffentlichung.

BIMI-Logo-Inspektor

Analysieren Sie die URL eines BIMI-Logos, sein Format, Metadaten und Rendering.

Zertifikate

Analysieren Sie CSR-Dateien, BIMI-Logos und VMC-Zertifikate vor dem Rollout.

CSR-Parser

Analysieren Sie einen CSR, lesen Sie Subject-Daten, Fingerprints und angeforderte SANs.

VMC-Inspektor

Prüfen Sie ein Verified Mark Certificate: ausstellende CA, Gültigkeit und SANs, bevor Sie BIMI veröffentlichen.

IP

Recherchieren Sie Adressen, Inhaber, Reverse-Einträge und Bereiche.

Reverse-Lookup

Lösen Sie einen PTR-Eintrag auf und prüfen Sie die DNS-Konsistenz.

IP-WhoIs

Ermitteln Sie den Inhaber eines IP-Bereichs und seine Kontakte.

IPv4-Netzmaske

Berechnen Sie Netzwerk, Broadcast und nutzbare Hosts für jeden IPv4-Block.

Meine IP-Adresse

Ermitteln Sie Ihre IPv4/IPv6-Adressen und deren Geostandort.

SOA-Eintrag Suche

Im iterativen Tracemodus wird der Resolver ignoriert.
Fragt mehrere öffentliche Resolver ab, um die Antworten zu vergleichen.

Wie Sie die Optionen der DNS-Suchmaschine effektiv nutzen

Was ist der iterative Trace?

Der Trace führt die Auflösung Schritt für Schritt aus. Der Resolver fragt zuerst die Root-Server ab, dann die des TLD (.com, .fr, .eu) und anschließend die autoritativen Server der Zielzone. In jedem Schritt zeigt die Seite den abgefragten Server, die Antwort, den RCODE und die Latenz an.

  1. 1. Root

    Ermittlung der TLD-Server für den angefragten Namen.

  2. 2. TLD

    Verweis auf die NS der Zone (Delegation).

  3. 3. Autoritative Server

    Endgültige Antwort (oder Fehler) mit TTL und Latenz.

Wozu dient das?

  • Antworten nach Resolvern und Regionen vergleichen
  • Einen warmen Cache, einen zu langen TTL oder eine unvollständige Delegation erkennen
  • Einen Latenzunterschied oder einen unerwarteten RCODE erklären

Tipp: Lassen Sie den Trace für schnelle Checks deaktiviert; aktivieren Sie ihn, wenn Sie untersuchen oder ein Ticket/Post‑Mortem vorbereiten.

Was ist der klassische Trace?

Der klassische Trace befragt nur den ausgewählten Resolver (UDP oder DoH) und zeigt die Antwort so, wie sie von diesem Netzpunkt wahrgenommen wird. Sie erhalten den RCODE, die Antwortsektionen sowie die Latenz auf dem Abschnitt Client → Resolver.

  1. 1. Gewählter Resolver

    Verwendet das Preset oder die individuelle Konfiguration, um die Anfrage genau wie Ihr Dienst auszuführen.

  2. 2. Protokoll beibehalten

    Respektiert das ausgewählte Transportprotokoll (UDP, TCP oder DoH), um das reale Verhalten nachzustellen.

  3. 3. Detaillierte Antwort

    Zeigt die Bereiche Question, Answer und Authority/Additional, sofern vorhanden, mitsamt TTL und hilfreichen Metadaten.

Warum nutzen?

  • Die Sicht eines bestimmten Resolvers prüfen, bevor Sie die Delegation verdächtigen
  • Zwischengespeicherte Werte und die Wirkung eines TTL oder Flushs bestätigen
  • Eine Auflösung dokumentieren, wie sie ein Client oder Microservice erlebt

Tipp: Lassen Sie die Option für den iterativen Trace deaktiviert, wenn Sie einen bestimmten Resolver auditieren; aktivieren Sie sie anschließend, um den Pfad Root → TLD → Autoritativ zu vergleichen.

Wie funktioniert der Propagationstest?

Der Test befragt parallel eine Reihe öffentlicher Resolver (Google, Cloudflare, Quad9, OpenDNS, ISPs …) und gruppiert die Antworten nach Inhalt und RCODE. Sie sehen sofort, wer die Aktualisierung bereits übernommen hat.

  1. 1. Multipoint-Resolver

    Aktiviert die Propagations-Presets, um mehrere Akteure weltweit abzufragen.

  2. 2. Automatischer Vergleich

    Gruppiert identische Antworten und hebt Abweichungen oder resolver-spezifische Fehler hervor.

  3. 3. Verwertbare Zusammenfassung

    Liefert eine klare Übersicht, die Resolverliste, deren Latenzen und den Status jeder Gruppe.

Wann einsetzen?

  • Verfolgen, wie sich eine DNS-Änderung weltweit verbreitet
  • Veraltete Caches erkennen und über einen gezielten Flush entscheiden
  • Einen Propagationsstatus in einem Ticket oder Post-Mortem teilen

Tipp: Während des Propagationstests ist die Resolverauswahl gesperrt. Deaktivieren Sie den Modus, um zur Einzelanalyse zurückzukehren.

Zusätzliche Informationen zu DNS-Einträgen vom Typ SOA

Ein SOA-Eintrag beschreibt die Autorität einer DNS-Zone. Er gibt den primären autoritativen Server und die Kontaktadresse an. Er liefert eine Seriennummer sowie Zeitwerte für die Synchronisation der sekundären Server.
Ein SOA-Eintrag enthält einen Namen, einen Typ, einen primären Server, einen Kontakt, eine Seriennummer und fünf Zeitangaben. Die TTL gibt an, wie lange die Antwort im lokalen Resolver zwischengespeichert bleibt.

Beispiel eines DNS-Eintrags vom Typ SOA

NameTypPrimärer Server MNAMEKontakt RNAMESerialRefreshRetryExpireMinimum TTLTTL in Sekunden
@SOAns1.beispiel.net.hostmaster.beispiel.com.20250903017200900120960036003600

In diesem Beispiel zielt der Name @ auf den Zonen-Apex. Der primäre Server muss in A oder AAAA auflösbar sein. Der Kontakt wird wie eine E-Mail-Adresse geschrieben, mit einem Punkt anstelle des @-Zeichens. Zum Beispiel entspricht hostmaster.beispiel.com der Adresse hostmaster@beispiel.com. Die Seriennummer steigt mit jeder Änderung der Zone. Die Werte für Refresh, Retry, Expire und Minimum TTL sind in Sekunden angegeben.

Rolle der Felder in Kürze

Der primäre Server MNAME bezeichnet den Referenz-Host für die Zone.
Der Kontakt RNAME empfängt Nachrichten bezüglich der Zone.
Die Seriennummer ermöglicht es den Sekundären zu erkennen, ob eine neuere Version existiert.
Refresh gibt an, wann ein Sekundärer den Primären überprüft.
Retry gibt die Wartezeit zwischen zwei Versuchen nach einem Fehler an.
Expire gibt an, nach wie langer Zeit ein Sekundärer eine Zone aufgibt, die nicht mehr aktualisiert werden kann.
Minimum TTL dient dem negativen Caching. Es legt die Dauer fest, während der eine fehlende Antwort zwischengespeichert bleibt. Die Standard-TTL der Einträge wird anderswo in der Zone festgelegt.

Wissenswertes
Es gibt nur einen SOA pro Zone. Er wird am Apex neben den NS-Einträgen veröffentlicht. Das Minimum TTL-Feld definiert nicht die Standard-TTL anderer Einträge. Es dient dem negativen Caching.

TTL einfach erklärt

Die TTL des SOA kontrolliert die Cache-Dauer der SOA-Antwort auf Resolver-Seite. Eine zu lange TTL kann die Berücksichtigung einer Seriennummer-Änderung verzögern. Eine angemessene TTL verbessert die Reaktionsfähigkeit, ohne die autoritativen Server zu überlasten.

Wo ein SOA-Eintrag verwendet wird

Am Zonen-Apex. Immer. Delegierte Subdomains besitzen ihren eigenen SOA in ihrer dedizierten Zone. Ein CNAME darf nicht am Apex erscheinen, da die Zone bereits SOA und NS veröffentlichen muss.

Zu vermeiden
Vergessen, die Seriennummer nach einer Zonenänderung zu erhöhen.
Einen primären Server setzen, der nicht in A oder AAAA auflöst.
Refresh und Retry vertauschen.
Ein zu kurzes Expire verwenden, das die Zone bei den Sekundären zum Verschwinden bringt.

Online überprüfen

Eine Online-DNS-Lookup ermöglicht es, einen Domainnamen einzugeben. Das Ergebnis zeigt den SOA, wie er vom Internet aus gesehen wird. Man kann den primären Server, den Kontakt, die Seriennummer und die Zeitwerte ablesen. Anschließend einen lokalen Test vom eigenen Rechner durchführen.

Überprüfung unter Windows

Windows stellt nslookup zur Verfügung. Man kann es im interaktiven Modus verwenden.

Lokaler Resolver
nslookup
set q=soa
beispiel.com
Spezifischer Resolver
nslookup
set q=soa
server 1.1.1.1
beispiel.com

Der erste Teil fragt gemäß der Netzwerkkonfiguration des Rechners ab. Der zweite erzwingt die Verwendung eines Drittanbieter-Resolvers, hier den von Cloudflare.

Überprüfung unter Linux und Mac

Auf diesen Systemen ist der dig-Befehl praktisch und einfach zu verwenden.

Lokaler Resolver
dig SOA beispiel.com
Spezifischer Resolver
dig SOA beispiel.com @1.1.1.1

Schnelles Lesen der Antworten

Eine ältere Seriennummer auf einem sekundären Server deutet auf eine Übertragungsverzögerung hin.
Ein sehr langes Refresh verzögert die Verbreitung von Änderungen.
Ein zu kurzes Expire kann dazu führen, dass ein Sekundärer die Zone aufgibt.
Ein falsch formatierter Kontakt verhindert den Empfang nützlicher Nachrichten.

Einfaches Migrationsverfahren

  1. Die Zonenaktualisierung vorbereiten.
  2. Die Seriennummer erhöhen.
  3. Die Zone auf dem primären Server neu laden.
  4. Die Sekundären sich aktualisieren lassen oder eine Übertragung auslösen, wenn das Tool es erlaubt.
  5. Die neue Seriennummer von mehreren Netzwerken aus überprüfen, dann validieren.

Praktischer Tipp
Ein vorhersagbares Seriennummern-Format verwenden. Ein Datumsformat gefolgt von einem Zähler erleichtert die Verfolgung. Zum Beispiel 2025090301 für die erste Änderung des Tages.

Häufige Fälle

Wechsel des DNS-Anbieters

Die Zone beim neuen Service einrichten. SOA und NS überprüfen. Die Delegation umstellen, wenn alles bereit ist.

Hinzufügung eines sekundären Servers

Zonentransfer auf dem Primären erlauben. Überprüfen, dass der Sekundäre die Zone ordnungsgemäß abruft und die richtige Seriennummer anzeigt.

Korrektur der Kontaktadresse

RNAME aktualisieren. Testen, dass die Nachrichten beim richtigen Empfänger ankommen.

Schnelle Fehlerbehebung

  1. Wenn sich der SOA je nach autoritativen Servern unterscheidet, einen Refresh-Zyklus abwarten, dann erneut überprüfen.
  2. Wenn ein Sekundärer bei einer alten Seriennummer hängen bleibt, Netzwerkzugang und Zonentransfer-Rechte überprüfen.
  3. Wenn die Zone bei einem Sekundären verschwindet, Expire erhöhen und die Gesundheit des Primären überprüfen.
  4. Wenn die Antwort trotz Aktualisierung alt bleibt, auf TTL-Ablauf warten und den Cache des lokalen Resolvers wenn möglich leeren.

Zusammenfassend definiert ein SOA-Eintrag die Autorität einer Zone. Er gibt den primären Server, den Kontakt, die Seriennummer und die Zeitwerte an, die die Synchronisation regeln. Nur ein SOA am Apex. Konsistente Werte gewährleisten eine zuverlässige Verbreitung. Die Überprüfung erfolgt über ein Online-Tool, dann über nslookup und dig.
Mit diesen Anhaltspunkten bleibt die Verwaltung klar. Änderungen verlaufen stressfrei. DNS-Dienste antworten wie erwartet.