Warum dauert DNS-Propagation so lange?

Drei Gruende kommen zusammen: die **TTL** des alten Records (oft 3600 Sekunden = 1 Stunde, manchmal 86400 = 24 Stunden), die **Verzoegerung zwischen Registrar und autoritativen Servern** (ein paar Sekunden bis ein paar Minuten), und **Negative Caching** (wenn ein Resolver ein "kein solcher Record" fuer einen Namen bekam, merkt er sich diese "Abwesenheit" bis zu einer Stunde lang). Obendrauf strecken einige Resolver TTLs ueber den offiziellen Wert hinaus (besonders Carrier-DNS in Mobilfunknetzen). Der Worst Case ist der langsamste Resolver da draussen, weshalb volle Propagation oft mit **24 bis 48 Stunden** angegeben wird.

Was ist TTL und wie steuert sie die Propagationsgeschwindigkeit?

**TTL (Time To Live)** ist eine Zahl in Sekunden, die jedem DNS-Record anhaengt. Sie sagt Resolvern: "du darfst diese Antwort hoechstens N Sekunden cachen". Danach muss der Resolver den autoritativen Server erneut fragen. Niedrige TTL (60 Sekunden) bedeutet schnelle Propagation, aber mehr Anfragen am autoritativen DNS. Hohe TTL (86400 = 24h) ist billig zu hosten, aber langsam zu aendern. Typische Defaults: **A/AAAA = 300 bis 3600**, **MX/TXT = 3600 bis 86400**, **NS = 86400 oder mehr**. Die Matrix zeigt den Propagationseffekt, die TTL steuert, wie schnell er sich ausbreitet.

Welche TTL sollte ich vor einer geplanten Aenderung setzen?

Senke sie auf **60 bis 300 Sekunden**, mindestens **24 Stunden vor** der Aenderung. Die alte TTL (sagen wir 3600) bestimmt, wie lange die vorige Antwort in Caches weiterlebt, du musst also einen **alten TTL-Zyklus** warten, bevor die niedrige TTL respektiert wird. Dann nimmst du die Aenderung vor, wartest die Propagation ab (jetzt schnell, weil TTL kurz ist) und **erhoehst die TTL wieder** auf 3600 oder mehr, sobald alles stabil ist. Dauerhaft niedrige TTLs funktionieren, kosten aber mehr Anfragen und bremsen erste Seitenaufrufe, wenn nichts gecacht ist.

Warum cachen manche Resolver laenger als die TTL sagt?

Mehrere Gruende. **Mobilfunk-DNS** streckt TTLs oft, um Mobildaten zu sparen und Backend-Kosten zu druecken. **Corporate-Proxys** haben manchmal eigene DNS-Caches, die TTL ignorieren. **Browser** halten ihren eigenen In-Process-DNS-Cache (Chrome: rund 60 Sekunden, Firefox konfigurierbar). **OS-Resolver** (Windows DNS-Client, systemd-resolved) cachen ebenfalls, zusaetzlich zum Upstream-Cache. Selbst wenn also jeder oeffentliche Resolver in der Matrix den neuen Wert zeigt, kann ein einzelner Nutzer noch den alten sehen, bis sein **Browser plus OS plus Router plus ISP** alle ihre Eintraege expirieren.

Propagiert ISP-DNS langsamer als oeffentliches DNS wie 1.1.1.1?

Meistens **ja**. Grosse oeffentliche Resolver (Cloudflare 1.1.1.1, Google 8.8.8.8, Quad9) respektieren TTL exakt und sind Anycast, Cache-Invalidierung ist also global innerhalb von Minuten. **ISP-DNS** ist haeufig auf **geringes Anfragevolumen** optimiert, was bedeutet, dass es TTLs streckt, manchmal stillschweigend. Deshalb kann ein Nutzer in einem Wohn-ISP noch eine Stunde nach deiner Aenderung die alte IP sehen, waehrend die Matrix 12/12 konsistent zeigt. Solchen Nutzern den Wechsel auf **1.1.1.1 oder 8.8.8.8** zu empfehlen ist der schnellste Workaround.

Wann ist volle Propagation zu erwarten?

Bei den meisten Aenderungen mit TTL 3600 Sekunden aktualisieren **die meisten Resolver innerhalb von 1 bis 4 Stunden**. Der Klassiker "24 bis 48 Stunden" deckt den langsamen Schwanz ab: ein paar Carrier-DNS, Corporate-Caches und Altsysteme. Wenn du die TTL einen Tag vor der Aenderung auf 60 Sekunden gesenkt hast, sehen **80 bis 90 % der Welt** den neuen Wert innerhalb von **5 Minuten** nach dem Umschalten. Wenn du die TTL vergessen hast zu senken, ist die Wartezeit ein voller TTL-Zyklus ab Aenderung plus der lange Schwanz.

Wie umgehe ich den Cache, um die autoritative Antwort zu bestaetigen?

Zwei Optionen. Lokal: `dig +trace example.com A` im Terminal. Diese Anfrage laeuft den DNS-Baum von der Root bis zu deinen autoritativen Servern ab und **ignoriert jeden Cache** unterwegs. Alternativ richtest du dig direkt auf deinen autoritativen Server: `dig @ns1.your-registrar.com example.com A`. Die Matrix in diesem Tool macht im Grunde dasselbe in groesserem Massstab, indem sie 12 verschiedene Resolver befragt; wenn sogar Cloudflare und Google die neue Antwort zeigen, kannst du dir der autoritativen Seite sicher sein.

Wann wird Propagation nie ganz vollstaendig?

Es gibt legitime Faelle. **Split-Horizon-DNS**: derselbe Name loest absichtlich fuer interne und externe Clients unterschiedlich auf (Corporate-VPNs machen das). **Anycast-Eigenheiten**: manche CDN-Namen liefern je nach Resolver-Standort andere IPs aus, und das ist gewollt (Geo-Routing), kein Propagations-Bug. **Filtering-Resolver**: AdGuard blockt Werbung, Quad9 blockt Malware, eine geflaggte Domain liefert auf diesen Resolvern also `0.0.0.0` oder `NXDOMAIN`, egal was dein autoritatives DNS sagt. Wenn die Matrix stabil 11/12 zeigt mit einem bestimmten Resolver dauerhaft daneben, ist das vermutlich Filterung, nicht Propagation.

Was tun, wenn die Propagation steckenbleibt?

Geh diese Checkliste durch. (1) Bestaetige, dass die Aenderung auf deinen **autoritativen Servern** live ist: `dig @ns1.your-registrar.com name TYPE`. Wenn sogar dort der alte Wert steht, hat die Aenderung die autoritative Schicht nie erreicht, beim Registrar fixen. (2) Bestaetige, dass grosse oeffentliche Resolver (Cloudflare, Google) den neuen Wert haben. Wenn ja, ist der Rest nur Cache. (3) Wenn ein einzelner Resolver stundenlang haengt, obwohl die TTL laengst abgelaufen ist, **flushe seinen Cache**: Cloudflare bietet eine oeffentliche Flush-UI unter `cloudflare-dns.com/purge-cache`, Google unter `developers.google.com/speed/public-dns/cache`. (4) Verifiziere, dass die **TTL** des alten Records zum Zeitpunkt der Aenderung tatsaechlich niedrig war; wenn sie bei 86400 stand, wartest du unabhaengig davon bis zu 24 Stunden.

DNS-Propagation-Matrix - kostenlos

DNS-Propagation-Matrix: ist meine Aenderung schon weltweit?

Du hast gerade einen A-Record beim Registrar geaendert. Jetzt sitzt du da und drueckst F5 im Browser, weil du wissen willst, ob der neue Server live ist. Oder du hast einen MX vor einer Mail-Migration umgehaengt und musst wissen, wie viele Resolver noch die alte Antwort ausliefern. Dieses Tool ist fuer genau diesen Moment gebaut.

Es schickt eine Anfrage, auf einen Record, an 12 oeffentliche DNS-Resolver verteilt ueber Betreiber und Regionen (Cloudflare, Google, Quad9, OpenDNS, AdGuard, Yandex, Comodo, DNS.SB, Mullvad, LibreDNS, NextDNS, PowerDNS). Du bekommst eine Tabelle: jeder Resolver, was er aktuell zurueckliefert, und ein Farbhinweis, ob er mit der Mehrheitsantwort uebereinstimmt. Eine Zusammenfassung unten sagt es dir in Klartext: "Konsistent: 12/12 einig auf `1.2.3.4`" oder "Ausstehend: 4/12 liefern noch den alten Wert".

Schalte Auto-Refresh ein und die Seite wiederholt die Anfrage alle 30 Sekunden, so kannst du den Tab waehrend einer Migration offen lassen und nachhinkende Resolver beim Aufholen zusehen.

So benutzt du es

Die geaenderte Domain eingeben (kein `https://`, kein Pfad): `example.com`, `mail.acme.io`, `cdn.brand.dev`. Subdomain funktioniert auch, wenn du nur einen bestimmten Record geaendert hast.
Record-Typ waehlen ueber die Segment-Leiste: `A` fuer IPv4, `AAAA` fuer IPv6, `CNAME` fuer Aliase, `MX` fuer Mail, `TXT` fuer SPF/DKIM/DMARC und Verifizierungstokens, `NS` fuer die autoritativen Nameserver.
Check propagation klicken. In 2 bis 4 Sekunden bekommst du eine Tabelle mit allen 12 Resolvern und eine farbige Zusammenfassungskarte unten.
Gruene Zeilen = dieser Resolver stimmt mit der Mehrheit ueberein. Gelbe Zeilen = liefert eine andere Antwort (vermutlich noch gecacht). Rote Zeilen = der Resolver ist gescheitert (Timeout, SERVFAIL, NXDOMAIN).
Auto-Refresh anschalten und die gleiche Anfrage wiederholt sich alle 30 Sekunden. Nuetzlich, wenn du der Welt beim Aufholen zusehen willst, ohne den Button zu spammen.
Die Zusammenfassung unten zeigt die Mehrheitsantwort plus eine "uebereinstimmend / gesamt"-Zahl. "12/12" bedeutet vollstaendige Propagation. Alles darunter bedeutet, dass mindestens ein Resolver noch einen alten oder gefilterten Wert ausliefert.
Wenn ein einzelner Resolver durchgaengig abweicht, waehrend die anderen 11 einig sind, liegt das Problem bei diesem Resolver, nicht bei deinem DNS: er filtert die Domain vielleicht (AdGuard blockt Werbung, Quad9 blockt Malware) oder cacht aggressiver.

Wann das nuetzlich ist

Sieben typische Momente, in denen "ist mein DNS schon propagiert?" wichtiger ist als jede andere Frage:

Direkt nach einem Serverumzug. Du hast den A-Record von `212.x.x.x` auf `185.y.y.y` geaendert. Du laesst die Matrix laufen und refreshst jede Minute. Wenn 12/12 die neue IP zeigen, kannst du die alte Maschine gefahrlos abschalten.
MX-Migration vor einem Mail-Cutover. Du wechselst von einem Mailprovider zum anderen und musst sicher sein, dass die Zustellbarkeit sich nicht zwischen beiden aufspaltet. Die MX-Matrix zeigt, wann jeder Resolver den neuen Server ausliefert.
CNAME fuer eine SaaS-Subdomain. Du hast `shop.brand.de` auf Shopify verdrahtet, das Dashboard sagt "zeigt hierher noch nicht". Pruefe die CNAME-Matrix: wenn 12/12 das richtige Ziel zeigen, ist nur das SaaS-Dashboard langsam.
DKIM-Rollout. Du hast einen TXT-Record bei `default._domainkey.brand.de` ergaenzt. Du fragst TXT ab: wenn jeder Resolver den neuen Key-String zurueckgibt, kannst du das DKIM-Signing einschalten, ohne Bounces zu kassieren.
TTL-Preflight. Vor einer grossen Aenderung den aktuellen Record abfragen, um zu bestaetigen, was gecacht ist. Wenn die TTL gestern auf 60 Sekunden gesenkt wurde, weisst du, dass der Rollout schnell sein wird. Wenn sie noch bei 3600 steht, plane mindestens eine Stunde ein.
Debugging "geht bei manchen Nutzern, bei anderen nicht". Ein Kollege erreicht die neue Seite nicht. Du fragst, welches DNS er nutzt, und pruefst diesen Resolver in der Matrix: wenn er noch die alte IP zeigt, ist die Antwort Cache, nicht dein Code.
Filtering vs Propagation unterscheiden. Quad9 liefert `NXDOMAIN` fuer eine deiner Domains, waehrend alle anderen sie aufloesen. Das ist Filterung (Malware-Liste), keine Propagations-Luecke. Die Matrix macht den Unterschied auf einen Blick sichtbar.

Verwandte Tools: DNS-Lookup (jeder Record-Typ, volle Details), Reverse DNS / PTR-Lookup (IP zu Hostname), WHOIS-Lookup (wem gehoert die Domain), DNSSEC-Validator (kryptografische Vertrauenskette).

Fragen und Antworten

DNS-Propagation ist die Zeit, die eine Aenderung an deinem autoritativen DNS braucht, um weltweit sichtbar zu werden. Es gibt keinen globalen Push oder Sync: jeder Resolver (Cloudflare, Google, dein ISP) cacht die vorherige Antwort fuer die Dauer seiner TTL. Bis dieser Cache-Eintrag abgelaufen ist, liefert der Resolver weiterhin den alten Wert. Propagation ist also eigentlich ein Cache-Expiry-Rennen, kein wortwoertlicher Copy-Schritt. Die Matrix in diesem Tool zeigt 12 Resolver auf einmal, damit du siehst, wer die Aenderung schon mitbekommen hat und wer noch auf der alten Antwort sitzt.

DNS-Propagation-Matrix: ist meine Aenderung schon weltweit?

Schalte Auto-Refresh ein und die Seite wiederholt die Anfrage alle 30 Sekunden, so kannst du den Tab waehrend einer Migration offen lassen und nachhinkende Resolver beim Aufholen zusehen.

So benutzt du es

Die geaenderte Domain eingeben (kein `https://`, kein Pfad): `example.com`, `mail.acme.io`, `cdn.brand.dev`. Subdomain funktioniert auch, wenn du nur einen bestimmten Record geaendert hast.

Record-Typ waehlen ueber die Segment-Leiste: `A` fuer IPv4, `AAAA` fuer IPv6, `CNAME` fuer Aliase, `MX` fuer Mail, `TXT` fuer SPF/DKIM/DMARC und Verifizierungstokens, `NS` fuer die autoritativen Nameserver.

Check propagation klicken. In 2 bis 4 Sekunden bekommst du eine Tabelle mit allen 12 Resolvern und eine farbige Zusammenfassungskarte unten.

Gruene Zeilen = dieser Resolver stimmt mit der Mehrheit ueberein. Gelbe Zeilen = liefert eine andere Antwort (vermutlich noch gecacht). Rote Zeilen = der Resolver ist gescheitert (Timeout, SERVFAIL, NXDOMAIN).

Auto-Refresh anschalten und die gleiche Anfrage wiederholt sich alle 30 Sekunden. Nuetzlich, wenn du der Welt beim Aufholen zusehen willst, ohne den Button zu spammen.

Die Zusammenfassung unten zeigt die Mehrheitsantwort plus eine "uebereinstimmend / gesamt"-Zahl. "12/12" bedeutet vollstaendige Propagation. Alles darunter bedeutet, dass mindestens ein Resolver noch einen alten oder gefilterten Wert ausliefert.

Wenn ein einzelner Resolver durchgaengig abweicht, waehrend die anderen 11 einig sind, liegt das Problem bei diesem Resolver, nicht bei deinem DNS: er filtert die Domain vielleicht (AdGuard blockt Werbung, Quad9 blockt Malware) oder cacht aggressiver.

Wann das nuetzlich ist

Sieben typische Momente, in denen "ist mein DNS schon propagiert?" wichtiger ist als jede andere Frage:

Direkt nach einem Serverumzug. Du hast den A-Record von `212.x.x.x` auf `185.y.y.y` geaendert. Du laesst die Matrix laufen und refreshst jede Minute. Wenn 12/12 die neue IP zeigen, kannst du die alte Maschine gefahrlos abschalten.
MX-Migration vor einem Mail-Cutover. Du wechselst von einem Mailprovider zum anderen und musst sicher sein, dass die Zustellbarkeit sich nicht zwischen beiden aufspaltet. Die MX-Matrix zeigt, wann jeder Resolver den neuen Server ausliefert.
CNAME fuer eine SaaS-Subdomain. Du hast `shop.brand.de` auf Shopify verdrahtet, das Dashboard sagt "zeigt hierher noch nicht". Pruefe die CNAME-Matrix: wenn 12/12 das richtige Ziel zeigen, ist nur das SaaS-Dashboard langsam.
DKIM-Rollout. Du hast einen TXT-Record bei `default._domainkey.brand.de` ergaenzt. Du fragst TXT ab: wenn jeder Resolver den neuen Key-String zurueckgibt, kannst du das DKIM-Signing einschalten, ohne Bounces zu kassieren.
TTL-Preflight. Vor einer grossen Aenderung den aktuellen Record abfragen, um zu bestaetigen, was gecacht ist. Wenn die TTL gestern auf 60 Sekunden gesenkt wurde, weisst du, dass der Rollout schnell sein wird. Wenn sie noch bei 3600 steht, plane mindestens eine Stunde ein.
Debugging "geht bei manchen Nutzern, bei anderen nicht". Ein Kollege erreicht die neue Seite nicht. Du fragst, welches DNS er nutzt, und pruefst diesen Resolver in der Matrix: wenn er noch die alte IP zeigt, ist die Antwort Cache, nicht dein Code.
Filtering vs Propagation unterscheiden. Quad9 liefert `NXDOMAIN` fuer eine deiner Domains, waehrend alle anderen sie aufloesen. Das ist Filterung (Malware-Liste), keine Propagations-Luecke. Die Matrix macht den Unterschied auf einen Blick sichtbar.

Verwandte Tools: DNS-Lookup (jeder Record-Typ, volle Details), Reverse DNS / PTR-Lookup (IP zu Hostname), WHOIS-Lookup (wem gehoert die Domain), DNSSEC-Validator (kryptografische Vertrauenskette).

Fragen und Antworten

DNS-Propagation-Matrix

DNS-Propagation-Matrix: ist meine Aenderung schon weltweit?

So benutzt du es

Wann das nuetzlich ist

Fragen und Antworten

Passende Tools

DNS-Lookup

Reverse-DNS-Suche (PTR-Eintrag)

WHOIS-Lookup

DNSSEC Validator

DNS-Propagation-Matrix

DNS-Propagation-Matrix: ist meine Aenderung schon weltweit?

So benutzt du es

Wann das nuetzlich ist

Fragen und Antworten

Passende Tools

DNS-Lookup

Reverse-DNS-Suche (PTR-Eintrag)

WHOIS-Lookup

DNSSEC Validator