Warum aendert sich nichts stundenlang nach Record-Update?

**Cache.** Jeder DNS-Resolver (dein ISP, Google, Cloudflare) haelt eine Antwort fuer die Dauer seiner **TTL** (Time To Live). Typische TTL: **300 Sek (5 Min)** fuer A-Records, oft **86400 Sek (24h)** fuer NS-Records. Bis TTL ablaeuft, gibt der Resolver den **alten Wert** zurueck. Der **Propagation-Mode** zeigt, welche Resolver den neuen Wert sehen und welche noch den alten. Bei schneller Umstellung **einen Tag vorher TTL auf 60 Sek** senken, danach wieder hoch.

Warum gibt der A-Record mehrere IPs?

Weil die Site **mehrere Server hinter einem Load-Balancer** hat (Cloudflare, AWS, Google, Facebook machen das alle). Der Resolver gibt die **volle Liste**, der Browser waehlt eine (meist die erste, mit Round-Robin-DNS wird die Reihenfolge bei jeder Anfrage gemischt). Bei `google.com` siehst du 4-6 Adressen. Bei kleinen Sites meist 1, bei CDNs 2-4. **Normal** und verbessert Ausfallsicherheit.

Was bedeuten "NXDOMAIN" und "SERVFAIL"?

DNS-Fehlercodes: - **NXDOMAIN** = "diese Domain existiert nicht". Tippfehler (`exampel.com`), abgelaufene Domain oder nie registriert. - **SERVFAIL** = "DNS-Server hat sich verschluckt". Meist kaputtes DNSSEC, unerreichbare NS-Server oder Resolver-Problem. Anderen Resolver probieren, antworten andere ok, liegts an dem einen. - **Timeout** = DNS-Server hat in 10 Sek nicht geantwortet. Meist temporaer, nochmal versuchen. NXDOMAIN auf einem Resolver, valide Antwort auf anderem: Config inkonsistent oder Propagation noch unterwegs.

Was ist TTL und welche Werte sind typisch?

**TTL (Time To Live)** ist die Anzahl Sekunden, die ein Resolver eine Antwort cachen darf. Uebliche Werte: - **A/AAAA**: 300 Sek (5 Min) bis 3600 (1 Std). Kuerzere TTL = schnellere Aenderungen, aber mehr Queries. - **MX/TXT**: 3600 Sek (1 Std) bis 86400 (24 Std). - **NS**: typisch 86400 (24h) oder mehr, aendert sich selten. **Migrations-Strategie**: 24 Std vor Aenderung TTL auf **60 Sek**. Nach Stabilisierung **wieder hoch auf 3600+**. Dauerhaft niedrige TTL = DNS antwortet auf jede Query (mehr Traffic + Kosten).

Warum zeigt "dig" im Terminal andere Ergebnisse als das Tool?

Weil `dig` per Default deinen **lokalen Resolver** fragt (ISP oder Router), waehrend das Tool **oeffentliche Resolver** fragt (Cloudflare 1.1.1.1, Google 8.8.8.8 und Co.). Cached **dein ISP** eine alte Antwort, gibt `dig` die zurueck. Zum Vergleichen: `dig @1.1.1.1 example.com A` und `dig @8.8.8.8 example.com A`. Anderer Grund: manche Heim-Router haben einen **lokalen DNS-Proxy**, der Requests umlenkt. Das Tool umgeht das, da die Query von unserem Server geht.

Unterschied A und CNAME, was nehmen?

**A** zeigt direkt auf eine **IP** (`93.184.215.14`). **CNAME** zeigt auf einen **anderen Namen** (`example.com -> cdn.cloudflare.net`), der wiederum A-Record hat. **Faustregel**: eigener Server mit statischer IP -> **A** (schneller, eine Query statt zwei). Cloud-Dienst (Cloudflare, AWS CloudFront, Vercel, Netlify) -> **CNAME**: sie koennen IPs aendern und deine Domain laeuft weiter. **Vorsicht**: die **Apex-Domain** (`example.com` selbst) darf laut RFC kein CNAME sein. Cloudflare und AWS Route 53 umgehen das mit "**ALIAS**" oder "**CNAME-Flattening**".

Wofuer ist ein CAA-Record?

Ein **CAA (Certification Authority Authorization)**-Record sagt **welche SSL-CA ein Cert ausstellen darf** fuer deine Domain. Ohne CAA koennte theoretisch jede vertrauenswuerdige CA (Let's Encrypt, DigiCert, Sectigo, GoDaddy) ein Cert fuer deine Domain ausstellen. Mit CAA auf `letsencrypt.org` darf **nur Let's Encrypt** ausstellen, alle anderen werden abgelehnt. Schuetzt vor **bestellten Schurken-Certs**, falls ein anderer CA-Account kompromittiert wird. **Beispiel**: `0 issue "letsencrypt.org"` = nur LE. `0 issue ";"` = keiner darf (praktisch fuer ungenutzte Subdomains).

Warum geben Yandex/AdGuard/ControlD andere Ergebnisse als Cloudflare?

Weil nicht jeder Resolver die **gleiche Antwort** gibt, sie machen Extra-Sachen: - **Cloudflare 1.1.1.1, Google 8.8.8.8**: plain DNS, kein Filter - **Quad9**: blockt bekannte boese Domains (Malware, Phishing) - **AdGuard 94.140.14.14**: blockt Werbung und Tracker, manche Domains kommen als `0.0.0.0` - **ControlD**: konfigurierbarer Filter (vom Operator gesetzt) - **NextDNS**: per User konfigurierbar - **OpenDNS**: Kategorie-Blocks (z.B. Erwachseneninhalte) Siehst du einen **Unterschied** bei populaerer Domain, ist es kein DNS-Bug, sondern der **Filter des Resolvers**. Bei frischer Domain meist **Cache noch nicht abgelaufen**.

Speichert ihr meine Anfragen?

Nein. **Deine Domain trifft unseren Server, wir fragen oeffentliche Resolver und geben dir die Antwort**. Wir speichern keine Queries, loggen keine IPs, bauen keine Profile. Das Einzige im Speicher: ein **Per-IP-Request-Counter** (30/Stunde Rate-Limit) gegen Abuse. Counter resettet sich jede Stunde und enthaelt nie Query-Inhalt. Bei A/AAAA-Records nutzen wir zusaetzlich den oeffentlichen ip-api.com-Endpoint fuer ASN/ISP der aufgeloesten IPs (nur die Ziel-IP, nie deine).

DNS-Lookup - kostenlos | YourDevTools

DNS-Lookup: sieh, wohin deine Domain gerade wirklich zeigt

Du hast gerade einen A-Record beim Registrar geaendert und wartest, dass die Welt den neuen Server sieht. Ein Vendor schickt eine Mail mit "stell deinen MX-Record auf das hier um". Ein Kunde fragt, ob deine Domain einen SPF-Record hat. Alle Fragen mit gleicher Antwort: DNS fragen, das Telefonbuch des Internets.

Das Tool fragt oeffentliche DNS-Resolver (Cloudflare 1.1.1.1, Google 8.8.8.8, Quad9, OpenDNS und 4 weitere) und zeigt welche Records gerade sichtbar sind. Kein dig installieren, kein Terminal oeffnen, kein Warten auf den ISP-Cache.

Single-Mode: schnelle Cloudflare-Anfrage, jeder Record in unter einer Sekunde. Propagation-Mode: Request faechert auf 8 Resolver parallel und du siehst eine Matrix, ob deine Aenderung ueberall angekommen ist. Nuetzlich bei Mail-Migration, Server-Umzug oder Warten auf alten Cache.

So nutzt du das Tool

Domain eintippen (kein `https://`, kein Pfad): z.B. `example.com`, `mail.acme.io`. Subdomain funktioniert auch.
Record-Typen waehlen: tippe die `A`-, `MX`-, `TXT`-Chips fuer gezielte Anfrage. Tippe `All` fuer alle Standard-Typen (A, AAAA, MX, TXT, CNAME, NS, SOA, CAA).
Jeder Chip ist Multi-Select: einmal tippen zum Hinzufuegen, nochmal zum Entfernen. `A` ist Default.
"Check propagation" an (Switch unten), wenn du einen Record geaendert hast und pruefen willst, ob er angekommen ist. Faechert auf 8 oeffentliche Resolver.
Klick Lookup, warte 1-3 Sekunden. Ergebnis: Record-Tabelle mit Wert, TTL (wie lange die Antwort cached, in Sekunden oder Minuten) und Prioritaet bei MX-Records.
Bei `A`- und `AAAA`-Records (Server-IPs) holt das Tool zusaetzlich PTR (Reverse-Name) und ASN/ISP (Netz-Besitzer, z.B. "AS13335 Cloudflare"): du siehst sofort, ob die Domain bei Cloudflare, AWS oder Hetzner ist.
Im Propagation-Mode kriegst du eine 8-Spalten-Matrix: eine pro Resolver, gruener Haken bei neuem Wert, Strich bei altem. Perfekt fuer Live-Migrationen.

Wann das nuetzlich ist

Sieben typische Situationen mit konkreter Antwort statt "ich glaube, es klappt":

Host-Migration pruefen. Du hast den A-Record von `212.x.x.x` auf `185.y.y.y` geaendert. Propagation-Check: wenn alle 8 Resolver die neue IP geben, kannst du den alten Server abschalten. Halten ein-zwei (z.B. Yandex) noch den alten, gib ein paar Stunden.
Mail-Zustellung debuggen. Ein Kunde sagt "ich krieg keine Mails von dir". Check den MX-Record: Prioritaet 10 zeigt auf einen verschriebenen Hostnamen. In 5 Min gefixt.
DKIM/SPF pruefen. Deine Newsletter landen in Gmail-Spam. TXT-Records auf `_dmarc.firma.com`, `default._domainkey.firma.com` und Apex (SPF startet mit `v=spf1`) abfragen. Du siehst, was fehlt.
Subdomain per CNAME verkabeln. Kunde will `shop.brand.com` zu seinem Shopify-Store. Nach Aenderung CNAME pruefen: du siehst `shops.myshopify.com` und weisst, der Link sitzt.
Domain vor dem Kauf auditen. Du schaust dir fremde Domain an: NS (welche Nameserver), SOA (wer Admin, letzter Serial-Bump), A (zeigts auf was Lebendiges). 30 Sekunden und du weisst, ob die Domain verlassen oder aktiv ist.',
Wer hostet einen Konkurrenten. Domain eintippen, A-Record schauen, das Tool zeigt die ASN (z.B. "AS16509 Amazon AWS" oder "AS13335 Cloudflare"). Du weisst, ob sie eigenen Server, Cloud oder CDN nutzen.
CAA-Record pruefen. CAA-Records sagen, welche Zertifizierungsstellen SSL-Certs fuer deine Domain ausstellen duerfen (z.B. nur Let's Encrypt). Ohne CAA kann jede CA ausstellen. Jaehrlicher Spotcheck schadet nicht.

Mehr Kontext? Der WHOIS-Lookup zeigt Registrar, Inhaber und Ablauf der Domain. Der SSL-Zertifikats-Pruefer bestaetigt, welches Cert wirklich serviert wird. Mitten in Migration? Verfolg jeden Resolver live in der DNS-Propagation-Matrix.

Fragen und Antworten

DNS ist das Telefonbuch des Internets: macht aus einem Namen wie `example.com` eine Server-IP (`93.184.215.14`). Aber es gibt viele Arten von Servern und Diensten, also haelt DNS verschiedene Record-Typen. A = IPv4-Adresse eines Webservers. AAAA = IPv6. MX = Mailserver (mit Prioritaet). TXT = beliebiger Text, fuer SPF, DKIM, DMARC und Verifizierungen mit Google Search Console etc. CNAME = "dieser Name ist Alias fuer einen anderen". NS = welche DNS-Server sind authoritativ. SOA = Domain-Metadaten (Admin, Refresh-Intervalle). CAA = welche SSL-CAs duerfen Certs ausstellen.

DNS-Lookup: sieh, wohin deine Domain gerade wirklich zeigt

So nutzt du das Tool

Domain eintippen (kein `https://`, kein Pfad): z.B. `example.com`, `mail.acme.io`. Subdomain funktioniert auch.

Record-Typen waehlen: tippe die `A`-, `MX`-, `TXT`-Chips fuer gezielte Anfrage. Tippe `All` fuer alle Standard-Typen (A, AAAA, MX, TXT, CNAME, NS, SOA, CAA).

Jeder Chip ist Multi-Select: einmal tippen zum Hinzufuegen, nochmal zum Entfernen. `A` ist Default.

"Check propagation" an (Switch unten), wenn du einen Record geaendert hast und pruefen willst, ob er angekommen ist. Faechert auf 8 oeffentliche Resolver.

Klick Lookup, warte 1-3 Sekunden. Ergebnis: Record-Tabelle mit Wert, TTL (wie lange die Antwort cached, in Sekunden oder Minuten) und Prioritaet bei MX-Records.

Bei `A`- und `AAAA`-Records (Server-IPs) holt das Tool zusaetzlich PTR (Reverse-Name) und ASN/ISP (Netz-Besitzer, z.B. "AS13335 Cloudflare"): du siehst sofort, ob die Domain bei Cloudflare, AWS oder Hetzner ist.

Im Propagation-Mode kriegst du eine 8-Spalten-Matrix: eine pro Resolver, gruener Haken bei neuem Wert, Strich bei altem. Perfekt fuer Live-Migrationen.

Wann das nuetzlich ist

Sieben typische Situationen mit konkreter Antwort statt "ich glaube, es klappt":

Host-Migration pruefen. Du hast den A-Record von `212.x.x.x` auf `185.y.y.y` geaendert. Propagation-Check: wenn alle 8 Resolver die neue IP geben, kannst du den alten Server abschalten. Halten ein-zwei (z.B. Yandex) noch den alten, gib ein paar Stunden.
Mail-Zustellung debuggen. Ein Kunde sagt "ich krieg keine Mails von dir". Check den MX-Record: Prioritaet 10 zeigt auf einen verschriebenen Hostnamen. In 5 Min gefixt.
DKIM/SPF pruefen. Deine Newsletter landen in Gmail-Spam. TXT-Records auf `_dmarc.firma.com`, `default._domainkey.firma.com` und Apex (SPF startet mit `v=spf1`) abfragen. Du siehst, was fehlt.
Subdomain per CNAME verkabeln. Kunde will `shop.brand.com` zu seinem Shopify-Store. Nach Aenderung CNAME pruefen: du siehst `shops.myshopify.com` und weisst, der Link sitzt.
Domain vor dem Kauf auditen. Du schaust dir fremde Domain an: NS (welche Nameserver), SOA (wer Admin, letzter Serial-Bump), A (zeigts auf was Lebendiges). 30 Sekunden und du weisst, ob die Domain verlassen oder aktiv ist.',
Wer hostet einen Konkurrenten. Domain eintippen, A-Record schauen, das Tool zeigt die ASN (z.B. "AS16509 Amazon AWS" oder "AS13335 Cloudflare"). Du weisst, ob sie eigenen Server, Cloud oder CDN nutzen.
CAA-Record pruefen. CAA-Records sagen, welche Zertifizierungsstellen SSL-Certs fuer deine Domain ausstellen duerfen (z.B. nur Let's Encrypt). Ohne CAA kann jede CA ausstellen. Jaehrlicher Spotcheck schadet nicht.

Fragen und Antworten