Skip to content

DNS sauber aufsetzen: Eine Checkliste für den guten Start

Nicht jeder braucht Angst vor Hackern. Aber jeder profitiert von einer sauberen DNS-Konfiguration. Hier ist, was du von Anfang an richtig machen kannst.

Warum sauber starten?

Nicht bei jedem DNS-Setup geht es um Angriffe. Manchmal willst du einfach:

• Dass deine Mails nicht im Spam landen
• Dass dein Zertifikat sich problemlos erneuert
• Dass du in einem Jahr noch weißt, warum welcher Record existiert
• Dass ein Auditor nicht die Augenbrauen hochzieht

Eine saubere DNS-Konfiguration ist wie ein aufgeräumter Schreibtisch. Kein Zwang – aber es macht alles einfacher.

Die Basics: Was jede Domain haben sollte

A/AAAA Record

Zeigt auf deinen Server. Klingt offensichtlich, aber: Wenn du einen Load Balancer oder CDN nutzt, zeige mit einem CNAME dorthin statt mit einer festen IP. Dann musst du bei IP-Änderungen nicht selbst ran.

MX Record

Auch wenn du (noch) keine Mails empfängst: Setze einen MX Record. Entweder auf deinen Mail-Provider oder auf einen Null-MX (0 .), der explizit sagt "diese Domain empfängt keine Mails". Das ist besser als gar nichts – weil "kein MX" von manchen Systemen als "probier den A Record" interpretiert wird.

SPF Record

Minimum: v=spf1 -all wenn du keine Mails versendest. Damit sagst du: Niemand darf Mails von dieser Domain senden. Wenn du Mails versendest, liste deine Provider auf: v=spf1 include:_spf.google.com -all

Wichtig: Nur ein SPF Record pro Domain. Mehrere werden ignoriert.

DMARC Record

Minimum: v=DMARC1; p=reject; rua=mailto:dmarc@deine-domain.com

Damit sagst du: Lehne Mails ab die SPF/DKIM nicht bestehen, und schicke mir Reports. Wenn du unsicher bist, starte mit p=none zum Beobachten – aber vergiss nicht, irgendwann auf reject umzustellen.

Die nächste Stufe: Was oft vergessen wird

CAA Record

Lege fest, welche CA Zertifikate für deine Domain ausstellen darf:

example.com. CAA 0 issue "letsencrypt.org"

Kostet nichts, dauert 30 Sekunden, verhindert dass jemand anderes ein gültiges Zertifikat für deine Domain bekommt. Kein Grund, es nicht zu tun.

DKIM

Wenn du Mails versendest, richte DKIM ein. Dein Mail-Provider (Google Workspace, Microsoft 365, Amazon SES) gibt dir den öffentlichen Schlüssel – du trägst ihn als TXT Record ein. Damit kann der Empfänger prüfen, dass die Mail wirklich von dir kommt und unterwegs nicht verändert wurde.

Null-Records für ungenutzte Subdomains

Wenn du Subdomains hast die nichts tun (staging.example.com, old.example.com): Setze explizite SPF- und DMARC-Records auch dort. Sonst können Angreifer diese Subdomains zum Mail-Spoofing nutzen.

Ordnung halten

Dokumentiere deine Records

Schreib auf, warum jeder Record existiert. In einem Jahr wirst du dich fragen: "Was ist dieser TXT Record mit dem kryptischen Wert?" Wenn die Antwort "Domain-Verifizierung für einen Service den wir nicht mehr nutzen" ist – lösch ihn.

Räume regelmäßig auf

DNS-Records sammeln sich an. Alte Verifizierungs-Records, Test-Subdomains, Records für Services die längst gekündigt sind. Jeder unnötige Record ist eine potenzielle Angriffsfläche – oder zumindest Verwirrung.

Nutze kurze TTLs nur wenn nötig

Standard-TTL von 3600 (1 Stunde) oder höher ist für die meisten Records sinnvoll. Kurze TTLs (60-300 Sekunden) nur für Records die sich häufig ändern. Warum? Kurze TTLs bedeuten mehr DNS-Queries und machen Änderungen schwerer nachvollziehbar.

Der einfachste nächste Schritt

Du musst nicht alles auf einmal machen. Aber ein guter erster Schritt:

1. Prüfe ob du SPF, DMARC und CAA gesetzt hast
2. Wenn nicht: Setze sie. Dauert 10 Minuten.
3. Mach einen Screenshot oder exportiere deine DNS-Zone
4. In einem Monat: Vergleiche. Hat sich etwas geändert, das du nicht erwartet hast?

Oder noch einfacher: Lass Driftguard den Ist-Zustand erfassen und dich informieren, wenn sich etwas ändert. Nicht weil du Angst vor Hackern haben musst – sondern weil Ordnung gut tut.