Domain-Offensive Wiki

Erweitere Dein Wissen

Hier findest Du hilfreiche Infos zu verschiedenen Themen rund um Domains.

DNS

Das Domain Name System (DNS) ist ein Eintrag auf den Nameserver der zur Namensauflösung eingegebener Internetadressen benötigt wird.

Zu beachten ist, dass ein DNS Update bis zu 24 Stunden dauern kann. Dieses Update kann nicht beschleunigt werden, da hierfür externe Server verantwortlich sind, welche die Verzögerung verursachen. Wikipedia – DNS-Caching

Die DNS-Updates werden immer live auf den Nameservern von do.de vorgenommen und die DNS-Einträge haben i.d.R. eine TTL von 15 Minuten, sodass Änderungen nach Ablauf dieser Zeit wirksam sind.

Wichtig: Veränderungen an den DNS-Einstellungen, die von den Grundeinstellungen abweichen, können die Funktionalität der Domain negativ beeinflussen. Es ist zu empfehlen nur mit entsprechenden Kenntnissen die DNS anzupassen.

DNS Konfiguration aufrufen

Die DNS wird in der Navigation über „Domains“ -> „Einstellungen“ -> „Weiterleitung / DNS“ aufgerufen.

DNS-Übersicht

Es wurde eine zentrale Stelle für sämtliche Weiterleitungen geschaffen, die es ermöglicht alle Records und Weiterleitungen über die DNS zu konfigurieren.

Es können DNS-Einträge vom Typ A / ALIAS / AAAA / CAA / CNAME / MX / SRV / TXT / NS und OPENPGPKEY angelegt und bearbeitet werden. Darüber hinaus auch FRAME / HEADER (301) / HEADER (302) / FLEXDNS / WEBSPACE und E-MAILROUTING.

Name: Das Feld enthält die Domain bzw. Subdomain für welche der Eintrag gilt.
Zeitlimit (TTL) :Die TTL (time to live) gibt das Verfallsdatum für den Eintrag an.
Type: Hier wird der Record-Typ angezeigt. Je nach Verwendung wird ein bestimmter Record-Typ gewählt.
Priorität: Die Priorität gibt an, welcher der Einträge (von gleichen Typ) priorisiert werden soll. Die Priorität wird nur bei bestimmten Record-Typen (z.B MX) verwendet.
Wert: Der Wert gibt das Ziel an.

Anlegen eines Ressource-Records

Im Dropdown-Feld „Weiterleitung“ wird der gewünschte Resource Record (RR) ausgewählt. In das Feld „Name“ wird die die Subdomain eingetragen, für die der Eintrag erstellt werden soll. Die Domain wird automatisch angehängt. Im Feld „Wert“ wird das Ziel eingetragen.

Um auch die TTL und Priorität zu definieren, kann oben-rechts auf der Seite der Expertenmodus aktiviert werden

SRV-Eintrag

Mittels SRV (Service) Resource Records kann per DNS propagiert werden, welche IP-basierenden Dienste in einer Domain angeboten werden. Zu jedem Dienst werden weitere Informationen geliefert, wie zum Beispiel der Server-Name, der diesen Dienst bereitstellt. Ein Dienst wird durch den Namen und das mit einem Punkt angehängte Protokoll bezeichnet. Beiden Komponenten wird ein _ vorangestellt, um Verwechslungen mit anderen Domain-Namen zu verhindern.

Aufbau

  • Service: Dienst + Protokoll + Domain
  • TTL: Gibt an, wie lange dieser RR (Resource Record) im Cache gehalten werden darf.
  • IN: Internet
  • SRV: Der String „SRV“
  • Priorität: Die niedrigste Priorität hat Vorrang, die jenigen mit den höchsten Ziffern dienen als Ersatz im falle eines Ausfalls.
    Erlaubte Zeichen sind die Ziffern von 0-9.
  • Gewicht: Innerhalb gleicher Priorität sollte die Wahrscheinlichkeit für die Auswahl eines Dienstes relativ zum Gewicht sein (bei einem Dienst mit Gewicht 3 und einem mit Gewicht 2 sollte also im Mittel zu 60 % der erste Dienst gewählt werden – dies dient zur Serverlastverteilung).
  • Port: TCP- oder UDP-Portnummer.
  • Server: Server, der diesen Dienst bereitstellt (dabei darf es sich nicht um einen Alias, also eine Domain mit einem CNAME RR, handeln).

Beispiel

_ldap._tcp.example.com.  3600  IN  SRV  10  0  389  ldap01.example.com.

Ein Client kann in diesem Beispiel per DNS ermitteln, dass in der DNS-Domain example.com der LDAP-Server ldap01 existiert, der über TCP Port 389 erreichbar ist.

PTR-Eintrag

PTR Resource Records ordnen im Domain Name System (DNS) einer IP-Adresse einen oder mehrere Hostname/n zu, sodass eine IP-Adresse zu einem Hostnamen aufgelöst werden kann. Das heißt aber auch, dass nur der Inhaber der IP-Adresse, also in der Regel der Serveranbieter dem die IP-Adresse gehört, einen PTR-Record setzen kann.

SPF-Eintrag

SPF steht für Sender Policy Framework und ist eine Technik zur Eindämmung von Spam- oder Virenmails mit gefälschtem Absender.

Da bei SPF in der zuständigen Zonendatei (DNS) der Absenderdomain ein spezieller TXT-Eintrag eingebaut wird, ist gewährleistet, dass Unbefugte keine Manipulationen vornehmen können.

Bei SPF wird ein Record vom Typ TXT in die Zonendatei der Domain eingetragen. In diesem Eintrag werden die berechtigten SMTP-Server zu einer Domain genannt. Mailserver können bei eingehenden Mails anhand der Absenderdomain und den Informationen aus dem SPF-Eintrag dieser Domain feststellen, ob der sendende SMTP-Server überhaupt berechtigt war, diese Mails zu versenden.

Ein SPF-Record sieht beispielsweise so aus:

deine-domain.de     IN     TXT    "v=spf1 a mx ip4:95.128.201.194 a:mxfallback.redirect.domainoffensive.de -all"
  • Es sind alle Server, für die MX-Records in dieser Domäne existieren, gültig
  • Es sind alle Server, für die A-Records in dieser Domäne existieren, gültig
  • Zusätzlich sind Mails vom Server mit der IP „95.128.201.194“ erlaubt
  • Mails vom Server „mxfallback.redirect.domainoffensive.de“ werden ebenfalls akzeptiert
  • alle anderen Mailserver sind Spam-/Virenschleudern und nicht autorisiert


Um einen eigenen SPF-Eintrag in Form eines TXT-Record in der DNS/Zone zu erstellen, kann folgender Generator verwendet werden.

Hinweis: Für interne Dienste wird der SPF-Record automatisch angelegt.

CAA-Eintrag

CAA steht für Certification Authority Authorization und erlaubt dem Domaininhaber in der DNS zu bestimmen, welchen Zertifizierungsstelle (CA) ein SSL-Zertifikat für die Domain ausstellen darf.

Ein CAA-Record sieht beispielsweise so aus:

example.com.     IN     86400     CAA     0     0 issue "letsencrypt.org"
  • flag: Ein Wert zwischen 0 – 255. Findet aktuell Anwendung zur Repräsentation des „critical flag“ nach RFC
  • tag: Ein ASCII-String der die Eigeschaft darstellt.
  • value: Wert der mit dem „Tag“ verknüpft ist.


Folgende „Tags“ sind definiert:

  • issue: Autorisiert die im „value“ angegebene CA zur Ausstellung der Zertifikates
  • issuewild: Erlaubt Wildcard-Zertifikate.
  • iodef: Mail-Adresse an die die CA Benachrichtiungen zur Ausstellung des Zertifikates schickt. Wird aktuell nicht von allen CA’s unterstützt.


Beispiel:

Es kann folgender Generator für den CAA-Record verwendet werden: zum Generator

DKIM-Eintrag

DomainKeys (DKIM) werden über einen TXT-Records in einer maximalen Schlüssellänge von 1024bit unterstützt.

Mit der Zeichenbegrenzung soll vor DNS Amplification Attacks geschützt werden und keine größeren UDP-Antwort-Pakete ausgeliefert werden.

Hinweis: Für interne Dienste wird der DKIM-Schlüssel automatisch angelegt.

Kurz-Video – DNS anschaulich erklärt

Im folgenden Video wird veranschaulicht wie ein Domain Name System (DNS) funktioniert.
Bereitgestellt von der NIC.AT (Registrierungsstelle für .at-Domains).

Zum YouTube-Video!

DNSSEC – Domain Name System Security Extensions

Wenn eigene Nameserver mit DNSSEC genutzt werden, können die DNSKEY’s für bestimmte Domainendungen über die „Domain-Einstellungnen“ hinterlegt werden.

Hier ist Dein Gutscheincode:

DODE-RE22

Cookie Consent Banner von Real Cookie Banner