Skip to content

TXT Verify Records: So weist du Domain-Besitz gegenüber Diensten nach

Dienste wie Google, AWS oder Mailchimp verlangen einen TXT Record als Beweis, dass dir eine Domain gehört. Was dahinter steckt, wie der Mechanismus funktioniert und worauf du achten solltest.

Was TXT Verify Records sind

Ein TXT Verify Record ist ein DNS-Eintrag, mit dem du gegenüber einem externen Dienst nachweist, dass du die Kontrolle über eine Domain hast. Der Mechanismus basiert auf einer einfachen Logik: Nur wer administrative Rechte über das DNS einer Domain besitzt, kann dort Einträge setzen.

Ein Dienst gibt dir einen eindeutigen Token-Wert vor. Du hinterlegst diesen Wert als TXT Record in deinem DNS. Der Dienst fragt das DNS ab und prüft, ob der Token vorhanden ist. Wenn ja, gilt die Domain als verifiziert.

Wofür TXT Verify Records eingesetzt werden

Die häufigsten Anwendungsfälle:

Webmaster-Tools und Analytics: Google Search Console, Bing Webmaster Tools und ähnliche Dienste nutzen TXT Records, um sicherzustellen, dass nur der tatsächliche Domain-Inhaber Zugriff auf Traffic-Daten und Indexierungs-Einstellungen bekommt.

E-Mail-Dienste: Mailchimp, SendGrid oder Amazon SES verlangen eine Domain-Verifikation, bevor du E-Mails im Namen deiner Domain versenden darfst. Das verhindert, dass beliebige Dritte deine Domain als Absender verwenden.

Cloud-Plattformen: AWS, Azure und Google Cloud nutzen TXT Records, um Custom Domains für Services wie CloudFront, App Service oder Cloud Run freizugeben.

Zertifikatsausstellung: Certificate Authorities (CAs) wie Let's Encrypt bieten DNS-basierte Validierung als Alternative zu HTTP-Challenges an. Ein TXT Record unter _acme-challenge.example.com beweist Domain-Kontrolle und berechtigt zur Zertifikatsausstellung.

SaaS-Integrationen: Dienste wie Slack, Atlassian oder GitHub nutzen TXT Records, um Organisationen einer Domain zuzuordnen und Single Sign-On zu konfigurieren.

Wie ein TXT Verify Record technisch aussieht

Je nach Dienst gibt es zwei Varianten:

Variante 1: TXT Record auf der Root-Domain

example.com. IN TXT "google-site-verification=abc123def456"

Der Token wird direkt auf der Domain als TXT Record gesetzt. Der Dienstname ist im Token-Wert erkennbar.

Variante 2: TXT Record auf einer Subdomain

_github-challenge.example.com. IN TXT "token123"

Der Dienst gibt eine spezifische Subdomain vor, auf der der Token hinterlegt wird. Das hat den Vorteil, dass sofort sichtbar ist, welcher Dienst diesen Eintrag angefordert hat.

Sicherheitsrelevante Unterschiede

Die beiden Varianten unterscheiden sich in einem wichtigen Punkt: Zuordenbarkeit.

Ein Token wie TXT "a8f3b2c9e1d4" auf der Root-Domain ist anonym. Wer sechs Monate später ins DNS schaut, kann nicht erkennen, welcher Dienst diesen Token verlangt hat, ob er noch gebraucht wird oder ob er gefahrlos entfernt werden kann.

Ein Token unter _driftguard.example.com oder mit dem Präfix google-site-verification= ist selbstdokumentierend. Herkunft und Zweck sind direkt ersichtlich.

Das ist relevant, weil DNS-Einträge akkumulieren. Über die Jahre sammeln sich Tokens verschiedener Dienste an. Wenn ein Token keinem Dienst mehr zugeordnet werden kann, bleibt er typischerweise stehen – auch wenn der zugehörige Account längst gekündigt ist.

Risiken bei unkontrollierten Verify Tokens

TXT Verify Records sind ein Autorisierungsmechanismus. Wer einen bestimmten Token im DNS einer Domain hinterlegen kann, erhält Berechtigungen. Das bedeutet im Umkehrschluss: Ein falsch gesetzter Token kann ungewollte Berechtigungen erteilen.

Zertifikatsmissbrauch: Wenn ein Angreifer es schafft, einen Validierungs-Token einer CA in dein DNS einzuschleusen, kann er ein gültiges TLS-Zertifikat für deine Domain ausstellen lassen. Dafür genügt es, wenn jemand im Team einen Token aus einer überzeugenden Phishing-Mail ins DNS überträgt.

Domain-Übernahme bei Cloud-Diensten: Viele Cloud-Plattformen binden Custom Domains über TXT-Verifikation. Ein hinterlassener oder manipulierter Token kann einem fremden Account Kontrolle über deine Domain geben.

Verwaiste Tokens: Alte Tokens, die nach einem Dienstwechsel im DNS verbleiben, können zum Problem werden, wenn der zugehörige Dienst kompromittiert wird oder jemand den alten Account übernimmt.

Gute Praxis für den Umgang mit Verify Tokens

Herkunft prüfen: Bevor du einen Token ins DNS einträgst, überprüfe, dass die Aufforderung tatsächlich vom erwarteten Dienst stammt. Öffne das Dashboard des Dienstes direkt – folge keinen Links aus E-Mails.

Benannte Tokens bevorzugen: Dienste, die einen spezifischen Subdomain-Präfix verwenden (wie _github-challenge oder _driftguard), machen den Zweck jedes Eintrags transparent. Das erleichtert spätere Audits.

Tokens dokumentieren: Führe eine Übersicht, welcher TXT Record wann, von wem und für welchen Dienst hinterlegt wurde. Ohne diese Information wird das Aufräumen unmöglich.

Regelmäßig aufräumen: Prüfe quartalsweise, ob alle TXT Verify Records noch einem aktiven Dienst zugeordnet sind. Entferne alles, was nicht mehr benötigt wird.

Wie Driftguard bei TXT Records hilft

In Driftguard kannst du gezielt festlegen, welche TXT Records überwacht werden sollen. Du benennst die Records, die für dich relevant sind – und Driftguard prüft regelmäßig, ob sie noch vorhanden sind, ob sich ihr Inhalt verändert hat oder ob sie unerwartet verschwinden.

Der Verifikations-Token von Driftguard selbst nutzt einen benannten Record (_driftguard.example.com), sodass im DNS jederzeit erkennbar ist, dass dieser Eintrag zu Driftguard gehört.

Das gibt dir gezielte Kontrolle über die Records, die für deine Infrastruktur kritisch sind – ohne Rauschen durch irrelevante Einträge.

Weiterlesen

Warum der CAA Record festlegt, wer Zertifikate für deine Domain ausstellen darf: Der CAA Record: Wer darf Zertifikate für deine Domain ausstellen?

Wie du dein DNS von Anfang an sauber strukturierst: DNS-Checkliste