T
dns security dig dnssec dnsbl sysadmin

Erweiterte DNS-Tools & Sicherheit: dig, DNSSEC und DNSBL meistern

Ein umfassender Leitfaden zu DNS-Sicherheit und -Diagnose. Lernen Sie, wie Sie den dig-Befehl verwenden, DNSSEC validieren und IP-Reputationen mit DNSBL/RBL prüfen.

2026-04-12

Erweiterte DNS-Tools & Sicherheit: dig, DNSSEC und DNSBL meistern

Das Domain Name System (DNS) wird oft als das „Telefonbuch des Internets“ bezeichnet. Während seine Hauptaufgabe darin besteht, menschenlesbare Namen wie example.com in IP-Adressen zu übersetzen, umfasst das moderne DNS komplexe Sicherheitsebenen und Diagnosetools. Dieser Leitfaden behandelt wichtige Tools für Netzwerkadministratoren und Entwickler: den Befehl dig, DNSSEC für die Sicherheit und DNSBL für das Reputationsmanagement.

Den dig-Befehl meistern

Der Befehl dig (Domain Information Groper) ist ein flexibles Tool zum Abfragen von DNS-Nameservern. Er ist der Nachfolger von nslookup und wird von Sysadmins wegen seiner detaillierten Ausgabe bevorzugt.

Grundlegende Syntax

dig @nameserver domain type

Häufige Beispiele

  • A-Record abfragen: dig google.com A
  • MX-Records (Mail) abfragen: dig google.com MX
  • Einen spezifischen DNS-Server verwenden (z. B. Google DNS): dig @8.8.8.8 google.com
  • Kurze Ausgabe (nur IP): dig google.com +short
  • Delegierung verfolgen: dig google.com +trace (Hervorragend geeignet, um herauszufinden, wo eine Abfrage fehlschlägt)

DNSSEC: Das Telefonbuch absichern

Standard-DNS ist anfällig für „Cache Poisoning“ oder „Spoofing“, bei dem ein Hacker gefälschte DNS-Daten an einen Resolver sendet. DNSSEC (Domain Name System Security Extensions) fügt DNS-Einträgen kryptografische Signaturen hinzu, um sicherzustellen, dass die Daten authentisch sind und nicht manipuliert wurden.

Wie DNSSEC funktioniert

  1. RRSIG: Jeder Datensatzsatz wird mit einem privaten Schlüssel signiert.
  2. DNSKEY: Der öffentliche Schlüssel zur Überprüfung der Signatur wird im DNS gespeichert.
  3. DS (Delegation Signer): Ein Hash des öffentlichen Schlüssels wird in der übergeordneten Zone gespeichert (z. B. speichert .com den DS-Eintrag für example.com).

Validierung von DNSSEC

Sie können prüfen, ob eine Domain über gültiges DNSSEC verfügt, indem Sie folgenden Befehl verwenden:

dig example.com +dnssec

Suchen Sie im Abschnitt „Answer“ nach dem RRSIG-Eintrag.

DNSBL/RBL: Schutz vor Spam

DNSBL (DNS-based Blackhole List), auch bekannt als RBL (Real-time Blackhole List), ist ein Mechanismus zur Verfolgung von IP-Adressen, die als Quellen für Spam oder Malware bekannt sind.

Mailserver verwenden DNSBL, um zu entscheiden, ob sie eingehende E-Mails annehmen. Wenn die IP des Absenders auf einer Blacklist steht, wird die E-Mail abgelehnt oder als Spam markiert.

So prüfen Sie eine Blacklist

Die meisten DNSBLs verwenden ein spezifisches DNS-Abfrageformat: umgekehrte-ip.blacklist-domain

Beispiel (Prüfung, ob 1.2.3.4 auf Spamhaus gelistet ist): dig 4.3.2.1.zen.spamhaus.org

  • Wenn eine IP zurückgegeben wird (normalerweise 127.0.0.x), ist sie gelistet.
  • Wenn NXDOMAIN zurückgegeben wird, ist sie nicht gelistet.

Vergleichstabelle: DNS-Eintragstypen

Typ Vollständiger Name Zweck Beispielwert
A Address Ordnet Domain IPv4 zu 93.184.216.34
AAAA IPv6 Address Ordnet Domain IPv6 zu 2606:2800:220:1:248:1893:25c8:1946
CNAME Canonical Name Alias für eine andere Domain web.example.com
MX Mail Exchange Route für E-Mails 10 mail.example.com
TXT Text Menschlich/maschinenlesbare Notizen v=spf1 include:_spf.google.com ~all
CAA Certificate Auth Schränkt CAs für Zertifikatsausstellung ein 0 issue "letsencrypt.org"

FAQ: Häufige DNS-Probleme

F: Meine DNS-Änderungen werden nicht angezeigt. Warum?

A: Dies liegt normalerweise an der TTL (Time To Live). DNS-Einträge werden von Resolvern zwischengespeichert. Wenn Ihre TTL auf 86400 (24 Stunden) eingestellt war, kann es so lange dauern, bis sich Änderungen weltweit verbreiten.

F: Was ist der Unterschied zwischen rekursivem und autoritativem DNS?

A: Rekursive Server (wie 8.8.8.8) finden die Informationen für Sie. Autoritative Server sind die offizielle Quelle der Wahrheit für eine bestimmte Domain.

F: Warum steht meine Server-IP auf einer Blacklist?

A: Ihr Server sendet möglicherweise Spam (vielleicht aufgrund eines kompromittierten Skripts) oder Sie verwenden einen „schmutzigen“ IP-Bereich, der zuvor von Spammern genutzt wurde. Verwenden Sie ein DNSBL-Prüftool, um herauszufinden, auf welchen Listen Sie stehen.

Verwandte Tools

  • Online-dig-Befehl: Führen Sie komplexe DNS-Abfragen direkt im Browser aus (Demnächst verfügbar).
  • DNSSEC-Validator: Überprüfen Sie den kryptografischen Zustand Ihrer Domain.
  • Blacklist-Prüfer: Verifizieren Sie, ob Ihre IP auf einer der großen DNSBL/RBL steht.
  • DNS-Zonendatei-Generator: Erstellen Sie gültige BIND/Zonendateien für Ihren Server.
Zurück zum Blog