Anmelden
CaptainDNS

Propagation & Diagnose

Vergleichen Sie öffentliche Resolver und analysieren Sie die gelieferten Antworten.

E-Mail-Authentifizierung

Werkzeuge zur Überprüfung und Validierung Ihrer E-Mail-Authentifizierung.

SPF-Syntax-Validator

Überprüfen Sie Include-Ketten, Mechanismenreihenfolge und das Limit von 10 DNS-Abfragen vor Änderungen.

SPF-Datensatz-Inspektor

Lösen Sie den veröffentlichten TXT-Eintrag auf, erkennen Sie Lookup-Limits und beleuchten Sie jeden Mechanismus.

DKIM-Syntax-Validator

Prüfen Sie schnell die Syntax Ihrer DKIM-Einträge.

DKIM-Datensatzprüfung

Lösen Sie einen Selector auf und analysieren Sie den veröffentlichten DKIM-TXT-Eintrag.

DMARC-Syntax-Validator

Prüfen Sie rua/ruf-Empfänger, Ausrichtungen und die aktive Richtlinie vor der Veröffentlichung.

DMARC-Datensatz-Inspektor

Lösen Sie die veröffentlichte Richtlinie auf, analysieren Sie Diagnosen und bestätigen Sie die Durchsetzung vor dem Reject-Rollout.

BIMI-Syntax-Validator

Prüft BIMI-Tags, Logodownload und VMC-Zertifikat vor der Veröffentlichung.

BIMI-Datensatz-Inspektor

Löst den veröffentlichten BIMI-Eintrag auf und analysiert Logo- und VMC-Diagnosen an einem Ort.

E-Mail-Zustellbarkeits-Audit

Prüfen Sie MX, SPF, DKIM und DMARC, um die Versandbereitschaft einer Domain zu bestätigen.

Mail-Header-Analyse

Dekodieren Sie Beteiligte, SPF/DKIM/DMARC-Ergebnisse und Routing anhand der Roh-Header.

DMARC-Datensatz-Generator

Erstellen Sie konforme DMARC-Einträge mit allen Richtlinien- und Berichtsoptionen.

Text

Transformieren, kodieren und messen Sie Inhalte in Sekunden.

Groß-/Kleinschreibung-Konverter

Wandeln Sie einen Textblock sofort in Klein- oder Großbuchstaben um.

Base64-Encoder / -Decoder

Kodieren oder dekodieren Sie Inhalte als Base64 direkt im Browser.

Slug-Generator

Wandeln Sie jede Überschrift in wenigen Sekunden in einen SEO-freundlichen Slug um.

Wort- & Zeichenzähler

Zählt sofort, wie viele Wörter und Zeichen ein Text enthält.

Bilder

Sehen Sie BIMI-Logos in der Vorschau und prüfen Sie sie vor der Veröffentlichung.

BIMI-Logo-Inspektor

Analysieren Sie die URL eines BIMI-Logos, sein Format, Metadaten und Rendering.

Zertifikate

Analysieren Sie CSR-Dateien, BIMI-Logos und VMC-Zertifikate vor dem Rollout.

CSR-Parser

Analysieren Sie einen CSR, lesen Sie Subject-Daten, Fingerprints und angeforderte SANs.

VMC-Inspektor

Prüfen Sie ein Verified Mark Certificate: ausstellende CA, Gültigkeit und SANs, bevor Sie BIMI veröffentlichen.

IP

Recherchieren Sie Adressen, Inhaber, Reverse-Einträge und Bereiche.

Reverse-Lookup

Lösen Sie einen PTR-Eintrag auf und prüfen Sie die DNS-Konsistenz.

IP-WhoIs

Ermitteln Sie den Inhaber eines IP-Bereichs und seine Kontakte.

IPv4-Netzmaske

Berechnen Sie Netzwerk, Broadcast und nutzbare Hosts für jeden IPv4-Block.

Meine IP-Adresse

Ermitteln Sie Ihre IPv4/IPv6-Adressen und deren Geostandort.

DNS-Gesundheit einer Domain prüfen

Warum eine vollständige Prüfung durchführen?

Eine gut konfigurierte Domain antwortet schnell und vorhersehbar. Wenn die Delegation beim Parent korrekt ist, jeder Server über IPv4 und IPv6 erreichbar ist, der SOA synchronisiert ist und die Grundeinstellungen sauber sind, verschwinden Ausfälle fast immer. Diese Prüfung überprüft all dies, indem sie die tatsächliche Auflösungskette zurückverfolgt. Sie vergleicht zunächst die Sicht des Parent mit der Sicht Ihrer Zone und befragt dann jeden Server, um zu sehen, ob er autoritativ antwortet, UDP und TCP akzeptiert und ob seine Antworten mit denen seiner Peers konsistent sind. Sie erhalten eine genaue Momentaufnahme des Domain-Zustands zum Zeitpunkt der Überprüfung.

Wie funktioniert die Prüfung?

Die Überprüfung beginnt auf Parent-Ebene. Sie liest die im Register veröffentlichte NS-Liste sowie die Glue-Adressen beim Parent, wenn diese erforderlich sind. Diese Hilfsadressen werden Glue-Records genannt. Sie werden nur benötigt, wenn der Servername zur Domain gehört, die Sie prüfen. Die Prüfung ruft dann die NS-Liste aus der Zone selbst ab und vergleicht beide Ansichten. Wenn es eine Abweichung gibt, wird die Auflösung zufällig. Ein Resolver kann dem Pfad des Parent folgen, ein anderer der Zone. Die Diagnose meldet dann eine Parent-Zone-Diskrepanz und sagt Ihnen, was zu korrigieren ist.

Sobald die Delegation validiert ist, befragt das Tool jeden Server. Es testet die Auflösung über IPv4 und IPv6, wenn möglich. Es misst die Latenz und überprüft, ob der Server autoritativ für die Domain antwortet. Es prüft auch, ob die Rekursion auf einem autoritativen Server deaktiviert ist und ob Zonentransfers nicht für jedermann offen sind. Wenn eine Antwort über UDP abgeschnitten wird, überprüft es, ob TCP übernimmt. Diese Punkte vermeiden subtile Fehler, die nur unter Last oder bei großen Antworten auftreten.

Delegation, Glue und Lame Delegation

Die Parent-Delegation muss auf Server zeigen, die wissen, wie sie autoritativ für Ihre Zone antworten. Wenn der Parent auf einen Host zeigt, der nicht autoritativ ist, spricht man von Lame Delegation. Resolver verschwenden Zeit, geben manchmal auf, und Sie sehen SERVFAIL. Die Prüfung erkennt diesen Fall und zeigt deutlich an, welcher Server das Problem verursacht. Sie überprüft auch die Aktualität der Glue-Records. Veraltete Glue-Records entstehen, wenn sich eine NS-Adresse geändert hat, der Datensatz des Parent jedoch nicht aktualisiert wurde. Einfaches Ergebnis: Einige Resolver haben die korrekte Adresse über die Zone, andere versuchen weiterhin die alte Adresse über den Parent. Der Bericht führt Sie zur Aktualisierung der Glue-Records beim Registrar.

Netzwerkzugänglichkeit und Transport

Ein autoritativer Server muss über UDP antworten. Er muss auch TCP akzeptieren, wenn eine Antwort die erwartete Größe überschreitet. Zu strenge Firewalls brechen diesen Fallback. Die Prüfung versucht beide Modi und sagt Ihnen, ob TCP blockiert ist. Sie überprüft das Vorhandensein von IPv4. Sie kennzeichnet das Fehlen von IPv6 als mögliche Verbesserung und nicht als blockierenden Fehler. Schließlich erinnert sie daran, dass ein autoritativer Server keine Rekursion durchführen sollte und dass Zonentransfers nicht öffentlich zugänglich sein sollten. Diese Punkte betreffen Sicherheit und Stabilität.

Antwortkonsistenz und SOA

Alle Server derselben Zone müssen denselben NS-Satz, denselben SOA-Serial und dieselben Daten zum Zeitpunkt T veröffentlichen. Wenn ein Server die neueste Version nicht erhalten hat, sehen Sie unterschiedliche Antworten je nach abgefragtem Server. Die Diagnose liest den SOA auf jedem Host und überprüft, ob der Serial monoton voranschreitet. Sie untersucht auch die SOA-Timer. Ein vernünftiger Refresh ermöglicht es den Secondaries, dem Primary zu folgen. Ein kurzer Retry beschleunigt die Wiederherstellung nach einem Fehler. Ein ausreichender Expire verhindert, dass ein Secondary die Zone zu schnell aufgibt. Der Minimum-TTL dient für negatives Caching und sollte gemessen bleiben. Der Bericht kommentiert diese Werte praktisch, ohne Dogma, um Ihrem Änderungsrhythmus zu entsprechen.

IPv4 und IPv6

Die Präsenz von IPv6 ist nicht obligatorisch, wird aber zum Standard. Die Aktivierung von IPv6 auf Ihren NS beseitigt eine Fehlerquelle für Besucher und Bots, die diesen Stack bevorzugen, wenn er existiert. Die Prüfung testet beide Stacks, wenn sie veröffentlicht sind. Sie kennzeichnet das Fehlen von AAAA als Verbesserungsmöglichkeit und nicht als Ausfall.

DNSSEC, wenn Sie es verwenden

Wenn Ihre Domain signiert ist, überprüft die Prüfung, ob der Parent einen DS veröffentlicht, der zu den Schlüsseln der Zone passt. Sie liest DNSKEY-Records und prüft, ob die Signaturen am Apex gültig sind. Eine Diskrepanz zwischen DS und Schlüsseln bricht die Vertrauenskette. Der Bericht erklärt, was zuerst zu aktualisieren ist, und erinnert an die Reihenfolge der Operationen bei einem Schlüsselwechsel.

Das Ergebnis lesen und handeln

Der obere Teil des Berichts fasst den Gesamtzustand zusammen. Als Fehler klassifizierte Punkte blockieren oder beeinträchtigen die Auflösung erheblich. Beheben Sie Parent-Zone-Diskrepanzen, fehlende Glue, geschlossenes TCP, Lame Delegation oder abweichende Serials prioritär. Als Warnungen klassifizierte Punkte verbessern die Qualität, ohne blockierend zu sein. Fehlendes IPv6, schwache NS-Verteilung, unrealistische SOA-Timer fallen in diese Kategorie. Jeder Punkt wird von einer konkreten Handlungsanweisung begleitet. Sie wissen, was zu tun ist und wo es zu tun ist, in der Zone oder beim Registrar.

Konkrete Szenarien

Bevor Sie den DNS-Anbieter wechseln, führen Sie die Prüfung durch und reduzieren Sie dann die TTLs für kritische Records. Fügen Sie neue NS hinzu, aktualisieren Sie die Delegation beim Registry, deklarieren Sie Glue, wenn Ihre NS in Ihrer Domain sind, warten Sie auf das Ablaufen der Caches und führen Sie dann die Prüfung erneut durch. Sie validieren, dass Parent und Zone dieselbe Geschichte erzählen und dass alle Server autoritativ mit demselben SOA antworten.

Nach einer NS-Adressänderung überprüfen Sie sofort die Glue beim Parent. Solange die alte Adresse veröffentlicht bleibt, geht ein Teil des Traffics weiterhin an die falsche Stelle. Die Prüfung stellt Ihnen diesen Punkt mit der genauen zu korrigierenden Adresse vor Augen.

Wenn Benutzer zufällige Fehler sehen, konsultieren Sie den Konsistenzabschnitt. Ein eingefrorener Serial oder ein NS, der die neueste Zone nicht erhalten hat, erklärt oft intermittierendes Verhalten. Die Überprüfung zeigt Ihnen, welcher Server zurückliegt, und gibt Ihnen die Reihenfolge für dessen Wiederinbetriebnahme.

Einfache Best Practices

  • Behalten Sie mindestens zwei NS auf verschiedenen Netzwerken.
  • Aktualisieren Sie Delegation und Glue bei jeder Änderung.
  • Halten Sie TCP auf autoritativen Servern offen.
  • Deaktivieren Sie Rekursion und sperren Sie Zonentransfers.
  • Wählen Sie SOA-Timer, die Ihrer Update-Frequenz entsprechen.
  • Aktivieren Sie IPv6, wenn Sie können.
  • Dokumentieren Sie jede Änderung mit Datum und Grund.

Dies sind kurze Aktionen, die lange Vorfälle verhindern.

Was Sie gewinnen

Eine Domain, die die Prüfung besteht, wird überall auf die gleiche Weise aufgelöst. Änderungen propagieren gemäß dem gewählten TTL und nicht zufällig. Sie reduzieren Tickets im Zusammenhang mit endloser „Propagation", die tatsächlich nur schlecht antizipiertes Caching ist. Sie erkennen auch Schwächen, die bei einem einfachen Lookup nicht sichtbar sind, wie Lame Delegation oder geschlossenes TCP. Das Ergebnis ist ein klarer Aktionsplan. Sie beheben, Sie überprüfen, Sie machen weiter.

Datenschutz und Umfang

Die Überprüfung fragt nur öffentliche Informationen ab. Sie kontaktiert Ihre Zone und den Parent, wie es ein Resolver tun würde. Es sind keine privaten Daten erforderlich. Das Tool speichert Ihre Konfiguration nicht. Nur anonyme technische Metriken werden aufbewahrt, um die Verfügbarkeit des Dienstes zu überwachen.

Mit dieser Prüfung beginnen Sie mit Fakten. Parent und Zone sind ausgerichtet oder nicht. Server antworten autoritativ oder nicht. Der SOA ist synchronisiert oder bleibt zurück. Sie erhalten einen klaren Überblick über Ihre Domain und einen einfachen Weg, um zu beheben, was behoben werden muss.