Cheat-Sheet: DNS-Record-Typen
Stand: 19.06.2026
Das Domain Name System (DNS) ist das Telefonbuch des Internets: Es übersetzt menschenlesbare Domains in IP-Adressen und steuert nebenbei Mailrouting, Verifizierung und vieles mehr. Hinter jeder Domain steckt eine Zone mit verschiedenen Record-Typen. Mit dem DNS-Lookup kannst du diese Einträge live abfragen.
Die wichtigsten Record-Typen
| Typ | Zweck | Beispiel |
|---|---|---|
| A | Verweist eine Domain auf eine IPv4-Adresse. | example.com. A 93.184.216.34 |
| AAAA | Verweist eine Domain auf eine IPv6-Adresse. | example.com. AAAA 2606:2800:220:1::1 |
| CNAME | Alias auf einen anderen Domainnamen (kein paralleler Record erlaubt). | www.example.com. CNAME example.com. |
| MX | Bestimmt den Mailserver inkl. Priorität (kleiner = höher). | example.com. MX 10 mail.example.com. |
| TXT | Freitext für Verifizierungen, SPF, DKIM, DMARC u. a. | example.com. TXT "v=spf1 -all" |
| NS | Benennt die für die Zone zuständigen Nameserver. | example.com. NS ns1.provider.net. |
| SOA | Start of Authority: Verwaltungsdaten der Zone (Seriennummer, TTLs). | example.com. SOA ns1... hostmaster... |
| CAA | Legt fest, welche CAs Zertifikate ausstellen dürfen. | example.com. CAA 0 issue "letsencrypt.org" |
| SRV | Gibt Host und Port für einen bestimmten Dienst an. | _sip._tcp. SRV 10 5 5060 sip.example.com. |
| PTR | Reverse-DNS: IP-Adresse zurück auf einen Namen. | 34.216.184.93.in-addr.arpa. PTR example.com. |
E-Mail-Authentifizierung als TXT-Records
Drei TXT-basierte Standards arbeiten zusammen, um deine Domain vor Spoofing zu schützen und die Zustellbarkeit zu verbessern. Sie bauen aufeinander auf – setze idealerweise alle drei.
-
SPF (Sender Policy Framework) listet, welche Server für deine Domain
Mails versenden dürfen. Beispiel:
v=spf1 include:_spf.google.com -all. Das-allam Ende lehnt alles Übrige hart ab. Erzeugen kannst du es mit dem SPF-Generator. -
DKIM (DomainKeys Identified Mail) signiert ausgehende Mails kryptografisch.
Der öffentliche Schlüssel liegt als TXT-Record unter einem Selektor, z. B.
selektor._domainkey.example.com. Empfänger prüfen damit, ob die Mail unterwegs verändert wurde. -
DMARC verknüpft SPF und DKIM mit einer Richtlinie: Was soll mit Mails
passieren, die durchfallen? Beispiel:
v=DMARC1; p=reject; rua=mailto:dmarc@example.comunter_dmarc.example.com. Den Eintrag baust du komfortabel mit dem DMARC-Generator.
Praktische Hinweise
- Die TTL (Time To Live) legt fest, wie lange Resolver einen Record zwischenspeichern. Vor Umzügen TTL absenken, damit Änderungen schneller greifen.
- Ein
CNAMEdarf nicht auf der Zonenwurzel (apex, z. B.example.com) stehen – nutze dort A/AAAA oder Provider-spezifische ALIAS-Records. - Änderungen wirken nicht sofort weltweit: Plane je nach TTL Minuten bis Stunden ein.
Setze immer einen restriktiven SPF-Record – selbst wenn deine Domain gar keine Mails
versendet (v=spf1 -all), erschwerst du Missbrauch im Namen deiner Domain.