Kostenloses Tool
DNSSEC-Check
Testen Sie die DNSSEC-Vertrauenskette einer Domain, Zone für Zone
Kostenloser DNSSEC-Check und -Test. Geben Sie eine Domain ein, um zu sehen, ob ihre Vertrauenskette korrekt eingerichtet ist, von der Top-Level-Domain bis hinunter zur Domain selbst, mit einer Diagnose je Zone und klaren Lösungswegen. Die Prüfung läuft in Ihrem Browser.
DNSSEC-Analyse
Warnungen
Vertrauenskette
Jede Zeile ist eine Zone in der Delegierung, von der Top-Level-Domain bis hinunter zu der von Ihnen eingegebenen Domain. Öffnen Sie eine Zone, um ihre Prüfungen im Detail und ihre Schlüssel zu sehen.
So prüfen Sie DNSSEC für eine Domain
In vier Schritten von einem Domainnamen zu einem klaren Ergebnis für die DNSSEC-Konfiguration.
-
1
Domain eingeben
Geben Sie eine beliebige Domain in das Formular oben ein. Apex-Domains und Subdomains funktionieren beide. Internationalisierte Domainnamen werden für Sie in Punycode umgewandelt.
-
2
Prüfung starten
Das Tool fragt DNS-over-HTTPS aus Ihrem Browser ab und geht die Vertrauenskette von der Top-Level-Domain abwärts durch. Die Ergebnisse erscheinen nach wenigen Sekunden direkt auf der Seite.
-
3
Ergebnis lesen
Das Banner zeigt einen von sechs Zuständen: sicher, unsigniert, teilweise, falsch konfiguriert, defekt oder Fehler. Öffnen Sie jede Zone, um zu sehen, welche Prüfungen bestanden, gewarnt oder nicht bestanden wurden.
-
4
Warnungen beheben
Folgen Sie den Hinweisen je Zone. Ein fehlender DS-Eintrag, eine abgelaufene Signatur oder ein veralteter Algorithmus hat jeweils eine konkrete Lösung bei Ihrem Registrar oder DNS-Anbieter.
Was Ihnen ein DNSSEC-Check verrät
Ein DNSSEC-Check ist der schnellste Weg, um zu bestätigen, dass eine signierte Domain weiterhin validiert. Nutzen Sie ihn, um:
- eine frisch signierte Domain durchgängig zu bestätigen, bevor Sie sich auf sie verlassen.
- einen SERVFAIL-Ausfall zu diagnostizieren: Ein Defekt-Ergebnis mit der Begründung des Resolvers zeigt direkt auf das unterbrochene Glied.
- zu prüfen, ob ein DS-Eintrag beim Registrar korrekt hinterlegt wurde, nachdem Sie DNSSEC bei Ihrem DNS-Anbieter aktiviert haben.
- eine RRSIG-Signatur abzufangen, die kurz vor dem Ablauf steht, bevor sie die Domain offline nimmt.
- einen veralteten Signaturalgorithmus (RSASHA1, RSAMD5) zu erkennen, den RFC 8624 ausmustern will.
- eine Partner- oder Anbieterdomain zu prüfen, bevor Sie sich auf DANE oder DNSSEC-validierte MX-Lookups verlassen.
DNSSEC verstehen
Was ist DNSSEC?
Das DNS ist das Telefonbuch des Internets: Es übersetzt einen Namen wie example.com in die Adressen, mit denen sich Computer verbinden. Einfaches DNS kann nicht nachweisen, dass eine Antwort echt ist. Ein Angreifer, der zwischen Ihnen und einem DNS-Server sitzt, kann daher eine gefälschte Antwort zurückgeben und Sie an den falschen Ort leiten. DNSSEC (DNS Security Extensions) löst das, indem es DNS-Einträge mit kryptografischen Schlüsseln signiert. Ein Resolver, der DNSSEC unterstützt, prüft die Signatur jeder Antwort. Stimmt die Signatur, ist die Antwort echt. Stimmt sie nicht, weist der Resolver die Antwort ab, statt etwas Gefälschtes weiterzureichen. DNSSEC schützt die Integrität der DNS-Antworten. Es verbirgt sie nicht und ersetzt weder SPF noch DKIM oder DMARC.
So funktioniert die Vertrauenskette
Kein einzelner Schlüssel signiert das gesamte Internet. Stattdessen bürgt jede Zone für die darunterliegende und bildet so eine Kette. Die DNS-Root ist signiert, und ihr Schlüssel ist als Vertrauensanker in jedem validierenden Resolver hinterlegt. Die Root signiert einen Eintrag, der auf den Schlüssel von .com verweist. Die Zone .com signiert einen Eintrag, der auf den Schlüssel von example.com verweist. Die Zone example.com signiert ihre eigenen Einträge. Um einen Namen zu validieren, folgt ein Resolver dieser Kette Glied für Glied von der Root abwärts. Jedes Glied besteht aus zwei Teilen: einem DS-Eintrag in der übergeordneten Zone, der den Schlüssel der untergeordneten Zone als Fingerabdruck festhält, und einem DNSKEY-Eintrag in der untergeordneten Zone, der den eigentlichen Schlüssel enthält. Stimmt der DS-Fingerabdruck mit dem DNSKEY überein, hält das Glied. Dieser DNSSEC-Check geht dieselbe Kette durch und zeigt Ihnen jedes Glied.
Signiert ist nicht dasselbe wie sicher
Eine Domain kann DNSSEC-Schlüssel veröffentlichen und trotzdem die Validierung nicht bestehen. Signiert bedeutet, dass die Zone DNSKEY-Einträge hat und ihre Antworten signiert. Sicher bedeutet, dass die Kette zusätzlich vollständig ist: Die übergeordnete Zone veröffentlicht einen passenden DS-Eintrag, und die Signaturen gehen auf, sodass Resolver das Authenticated-Data-Flag setzen. Fehlt der DS-Eintrag in der übergeordneten Zone, behandeln Resolver die Zone als unsigniert, und die Schlüssel bewirken nichts. Verweist der DS-Eintrag auf einen Schlüssel, der nicht mehr existiert, geben Resolver einen Fehler zurück, und die Domain ist nicht mehr erreichbar. Deshalb ist die Aktivierung von DNSSEC eine Aufgabe in zwei Schritten in der richtigen Reihenfolge: zuerst die Schlüssel bei Ihrem DNS-Anbieter hinterlegen, dann den DS-Eintrag bei Ihrem Registrar anlegen. Sobald Ihr DNS vertrauenswürdig ist, schließen Sie den Kreis bei der E-Mail mit einem vollständigen DMARC-, SPF- und BIMI-Check.
Häufig gestellte Fragen
- Was ist DNSSEC?
- DNSSEC (DNS Security Extensions) fügt DNS-Einträgen digitale Signaturen hinzu. Ein validierender Resolver prüft diese Signaturen anhand einer Vertrauenskette, die bei der signierten DNS-Root beginnt und über jede Zone bis zur Domain hinabreicht. Stimmen die Signaturen, weiß der Resolver, dass die DNS-Antwort auf dem Weg nicht manipuliert wurde. DNSSEC schützt die Integrität der DNS-Antworten; es verschlüsselt sie nicht und ersetzt weder SPF noch DKIM oder DMARC.
- Wie prüfe ich, ob eine Domain DNSSEC nutzt?
- Geben Sie die Domain oben in den DNSSEC-Check ein und starten Sie ihn. Das Tool fragt DNS-over-HTTPS aus Ihrem Browser ab, geht die Vertrauenskette von der Top-Level-Domain bis zur Domain durch und meldet eines von sechs Ergebnissen: sicher, unsigniert, teilweise, falsch konfiguriert, defekt oder Fehler. Für jede signierte Zone gibt es eine detaillierte Aufschlüsselung, sodass Sie genau sehen, wo die Kette hält oder reißt.
- Lohnt sich DNSSEC?
- DNSSEC verhindert einen bestimmten Angriff: dass jemand die DNS-Antworten Ihrer Domain fälscht oder manipuliert, etwa durch Cache Poisoning. Dieser Schutz deckt auch die DNS-Einträge ab, auf die andere Systeme angewiesen sind, darunter MX-, SPF- und MTA-STS-Abfragen, und er ist Voraussetzung für DANE. Der Preis ist betrieblicher Natur: Eine defekte Signatur oder ein abgelaufener Schlüssel macht Ihre Domain für alle unerreichbar, die hinter einem validierenden Resolver sitzen. Die meisten Domains laufen problemlos ohne DNSSEC. Am wertvollsten ist es für schützenswerte Domains, bei denen DNS-Manipulation eine reale Gefahr ist und bei denen der Betreiber Schlüsselwechsel sorgfältig verwalten kann.
- Was bedeutet der DNSSEC-Status defekt (bogus)?
- Defekt (englisch bogus) bedeutet, dass die Domain signiert ist, die Kette sich aber nicht validieren lässt: Eine Signatur ist falsch, ein Schlüssel fehlt, oder ein DS-Digest passt nicht zu dem DNSKEY, auf den er verweist. Validierende Resolver antworten mit SERVFAIL statt mit einer Antwort, sodass niemand mit einem solchen Resolver die Domain überhaupt erreichen kann. Ein Defekt ist ein Ausfall, keine Warnung. Die üblichen Ursachen sind ein Schlüsselwechsel, bei dem ein Schlüssel zu früh entfernt wurde, eine abgelaufene Signatur oder ein bei Ihrem DNS-Anbieter abgeschaltetes DNSSEC, ohne den DS-Eintrag beim Registrar zu entfernen.
- Verbessert DNSSEC die E-Mail-Zustellbarkeit?
- Nicht direkt. E-Mail-Anbieter beurteilen die Zustellbarkeit anhand von SPF, DKIM, DMARC, Absenderreputation und Inhalt, nicht daran, ob Ihre Zone signiert ist. DNSSEC hilft der E-Mail indirekt, indem es die Integrität der DNS-Antworten schützt, auf die die E-Mail-Authentifizierung angewiesen ist, etwa Ihrer SPF-include-Abfragen, Ihrer öffentlichen DKIM-Schlüssel und des MTA-STS-Policy-Hosts. Außerdem ist es Voraussetzung für DANE (RFC 7672), das manche Anbieter nutzen, um TLS für eingehende E-Mails zu erzwingen. Richten Sie zuerst SPF, DKIM und DMARC ein und behandeln Sie DNSSEC als separate Maßnahme für die DNS-Integrität.
- Was ist der Unterschied zwischen einer signierten und einer sicheren Domain?
- Eine signierte Domain veröffentlicht DNSKEY-Einträge und signiert ihre DNS-Antworten. Eine sichere Domain ist signiert, und ihre übergeordnete Zone veröffentlicht einen passenden DS-Eintrag, sodass die Vertrauenskette vollständig ist und validierende Resolver das Authenticated-Data-Flag setzen. Eine Domain kann signiert, aber nicht sicher sein: Fehlt der DS-Eintrag in der übergeordneten Zone (teilweise) oder passt er nicht zu den Schlüsseln (defekt), behandeln Resolver die Zone entweder als unsigniert oder verweigern die Antwort. Dieser DNSSEC-Check unterscheidet beides.
- Ist dieser DNSSEC-Check kostenlos?
- Ja. Der DNSSEC-Check ist vollständig kostenlos und erfordert keine Registrierung. Die Prüfung läuft in Ihrem Browser über öffentliche DNS-over-HTTPS-Resolver, sodass nichts an Ihrer Abfrage auf unseren Servern gespeichert wird.
Verwandte Tools
DMARC-Check
Prüfen Sie DMARC, SPF und DKIM einer Domain in Sekunden.
DMARC-Generator
Erstellen Sie aus wenigen Angaben einen gültigen DMARC-Eintrag.
SPF-Generator
Erstellen und prüfen Sie einen SPF-Eintrag für Ihre Absender.
BIMI-Generator
Erzeugen Sie den BIMI-Eintrag, der Ihr Logo im Posteingang anzeigt.
DMARC-Berichtanalyse
Wandeln Sie rohe DMARC-XML-Berichte in lesbare Ergebnisse um.
MX-Lookup
Sehen Sie nach, welche Mailserver eine Domain veröffentlicht.
E-Mail-Header-Analyse
Werten Sie E-Mail-Header aus, um Zustellung und Authentifizierung nachzuvollziehen.
BIMI-SVG-Tiny-P/S-Konverter
Konvertieren Sie ein SVG-Logo in das BIMI-Tiny-P/S-Profil.
Das DNS Ihrer Domain auf Änderungen überwachen
Ein DNSSEC-Check ist eine Momentaufnahme. Ein kostenloses Konto überwacht die DNS-Einträge und die E-Mail-Authentifizierung Ihrer Domain rund um die Uhr und benachrichtigt Sie, sobald sich ein Eintrag ändert, damit ein ablaufender Schlüssel oder eine unterbrochene Delegierung nie zu einem stillen Ausfall wird.