Sie haben eine neue Domain registriert und Ihr Hosting eingerichtet. Jetzt schickt Ihnen der Hosting-Anbieter eine E-Mail mit Anweisungen: "Bitte tragen Sie folgende DNS-Records ein." Darunter steht eine Tabelle mit Einträgen wie A, CNAME, MX, TXT und Werten, die aussehen wie zufällige Zeichenketten.
Was davon ist wofür? Was passiert, wenn man etwas falsch einträgt? Und was bedeutet es, wenn nach einer Änderung plötzlich keine E-Mails mehr ankommen?
Dieser Artikel erklärt, was die wichtigsten DNS-Einträge bedeuten, was sie steuern und wann Sie sie brauchen.
Was DNS überhaupt ist
Das Domain Name System (DNS) ist das Telefonbuch des Internets. Es übersetzt lesbare Adressen wie meinefirma.ch in IP-Adressen wie 185.24.100.42, die Computer tatsächlich verwenden, um Verbindungen aufzubauen.
DNS-Einträge sind die einzelnen Zeilen in diesem Telefonbuch. Jeder Eintrag hat einen Typ, einen Namen und einen Wert. Zusammen legen sie fest: Wo liegt die Website? Wohin kommen E-Mails? Welche Server dürfen E-Mails im Namen dieser Domain versenden?
Die DNS-Einträge einer Domain werden in der sogenannten Zone-Datei verwaltet, die beim DNS-Provider liegt. Das ist meistens der Domain-Registrar oder der Hosting-Anbieter, je nachdem, wo Sie die Nameserver eingestellt haben.
Die wichtigsten DNS-Eintragstypen
A-Record
Der A-Record (Address Record) ist der grundlegendste Eintrag. Er verknüpft einen Domainnamen mit einer IPv4-Adresse.
meinefirma.ch. A 185.24.100.42
Wenn jemand meinefirma.ch aufruft, schaut der Browser zunächst per DNS nach, welche IP-Adresse dahintersteckt. Der A-Record liefert diese Antwort.
Meistens gibt es mehrere A-Records: einen für die Hauptdomain (meinefirma.ch) und einen für www als Subdomain. Beide können auf dieselbe IP zeigen oder auf unterschiedliche Server, je nach Konfiguration.
Das Pendant für IPv6-Adressen heisst AAAA-Record (vier A, wegen der viermal grösseren Adresslänge).
CNAME-Record
Der CNAME-Record (Canonical Name) ist ein Alias. Anstatt auf eine IP-Adresse zu zeigen, zeigt er auf einen anderen Domainnamen.
www.meinefirma.ch. CNAME meinefirma.ch.
Das bedeutet: www.meinefirma.ch ist ein Alias für meinefirma.ch. Der Browser löst zuerst den CNAME auf, erhält meinefirma.ch, und schaut dann dort nach dem A-Record.
CNAMEs sind nützlich, wenn externe Dienste eingebunden werden. Wer zum Beispiel einen Onlineshop bei einem externen Anbieter betreibt und ihn unter shop.meinefirma.ch erreichbar machen will, trägt meist einen CNAME ein, der auf den Hostnamen des Shop-Anbieters zeigt.
Wichtig: Ein CNAME darf nie für die Hauptdomain selbst (meinefirma.ch) verwendet werden, sondern nur für Subdomains. Für die Hauptdomain braucht es einen A-Record.
MX-Record
Der MX-Record (Mail Exchanger) legt fest, welcher Server E-Mails für eine Domain entgegennimmt. Ohne MX-Record kommen keine E-Mails an.
meinefirma.ch. MX 10 mail.meinefirma.ch.
Die Zahl vor dem Mailserver-Namen ist die Priorität. Wenn mehrere MX-Records vorhanden sind, wird der mit der niedrigsten Zahl zuerst angesprochen. Das erlaubt Redundanz: Ist der primäre Mailserver nicht erreichbar, versucht der absendende Server es beim nächsten.
Wer Microsoft 365 oder Google Workspace für E-Mails nutzt, bekommt vom jeweiligen Anbieter spezifische MX-Records mitgeteilt, die eingetragen werden müssen. Nach dem Eintragen landen alle eingehenden E-Mails beim entsprechenden Dienst.
TXT-Record
Der TXT-Record ist ein Freitext-Eintrag. Er wird für viele verschiedene Zwecke verwendet, weil er einfach lesbare Zeichenketten speichern kann, ohne dass ein neuer Eintragstyp definiert werden muss.
Die häufigsten Verwendungszwecke:
SPF (Sender Policy Framework): Legt fest, welche Server berechtigt sind, E-Mails im Namen der Domain zu versenden. Wenn jemand versucht, mit Ihrer Domain als Absender Spam zu verschicken, können empfangende Mailserver anhand des SPF-Eintrags prüfen, ob der sendende Server dazu berechtigt ist.
meinefirma.ch. TXT "v=spf1 include:_spf.google.com ~all"
DKIM (DomainKeys Identified Mail): Ermöglicht es, ausgehende E-Mails digital zu signieren. Empfangende Server können diese Signatur prüfen und so bestätigen, dass die E-Mail tatsächlich vom angegebenen Absender stammt und unterwegs nicht verändert wurde.
DMARC (Domain-based Message Authentication, Reporting and Conformance): Baut auf SPF und DKIM auf und legt fest, was mit E-Mails passieren soll, die diese Prüfungen nicht bestehen: ignorieren, als Spam markieren oder ablehnen.
Domain-Verifizierung: Google Search Console, Microsoft 365 und viele andere Dienste verlangen, dass man die Inhaberschaft einer Domain beweist. Das geschieht meistens, indem man einen spezifischen TXT-Record einträgt, den der Dienst vorgibt.
NS-Record
Der NS-Record (Name Server) gibt an, welche Nameserver für die Zone einer Domain zuständig sind. Diese Einträge werden beim Domain-Registrar gepflegt und teilen dem Internet mit, wo die anderen DNS-Einträge dieser Domain zu finden sind.
meinefirma.ch. NS ns1.hostbott.ch.
meinefirma.ch. NS ns2.hostbott.ch.
NS-Records ändern Sie, wenn Sie den DNS-Provider wechseln, also zum Beispiel wenn Sie die DNS-Verwaltung von Ihrem Registrar zu Ihrem Hosting-Anbieter verlegen.
CAA-Record
Der CAA-Record (Certification Authority Authorization) ist weniger bekannt, aber sicherheitsrelevant. Er legt fest, welche Zertifizierungsstellen SSL-Zertifikate für Ihre Domain ausstellen dürfen.
meinefirma.ch. CAA 0 issue "letsencrypt.org"
Fehlt ein CAA-Record, kann jede Zertifizierungsstelle ein Zertifikat für Ihre Domain ausstellen. Mit einem CAA-Record schränken Sie das ein. Das reduziert das Risiko, dass jemand missbräuchlich ein Zertifikat für Ihre Domain erhält.
Was TTL bedeutet
Jeder DNS-Eintrag hat einen TTL-Wert (Time to Live). Er gibt an, wie lange andere DNS-Server diesen Eintrag zwischenspeichern dürfen, bevor sie ihn erneut abfragen müssen. Der Wert wird in Sekunden angegeben.
meinefirma.ch. 3600 A 185.24.100.42
TTL 3600 bedeutet: Dieser Eintrag darf eine Stunde lang gecacht werden.
Das ist relevant, wenn Sie DNS-Einträge ändern. Wenn Sie einen A-Record von einer IP auf eine andere ändern, sehen manche Nutzer noch bis zu TTL-Sekunden lang den alten Eintrag. Bei einem Serverumzug senkt man den TTL daher idealerweise schon einige Stunden vorher auf einen niedrigen Wert (z.B. 300 Sekunden), damit die Änderung sich schneller im Internet verbreitet.
Was falsche DNS-Einträge bewirken
Ein falscher A-Record führt dazu, dass die Website nicht erreichbar ist. Ein falscher oder fehlender MX-Record bewirkt, dass keine E-Mails ankommen, meistens ohne Fehlermeldung auf Ihrer Seite. Ein falsch konfigurierter SPF-Record kann dazu führen, dass Ihre ausgehenden E-Mails im Spam-Ordner der Empfänger landen.
DNS-Fehler sind deshalb unangenehm: Sie sind oft nicht sofort sichtbar und zeigen sich erst, wenn Kunden melden, dass E-Mails nicht ankommen oder die Website nicht erreichbar ist.
Vor jeder DNS-Änderung empfiehlt sich: den alten Wert notieren, damit man ihn bei Bedarf wiederherstellen kann. Und nach der Änderung prüfen, ob alles funktioniert. Tools wie MXToolbox (für MX und SPF), dnschecker.org (für die Ausbreitung von Änderungen weltweit) oder einfach dig im Terminal helfen dabei.
Das Wichtigste auf einen Blick
| Eintragstyp | Steuert | Typisches Beispiel |
|---|---|---|
| A | Website-IP | Zeigt auf Ihren Webserver |
| AAAA | Website-IP (IPv6) | Wie A, aber für IPv6 |
| CNAME | Alias auf anderen Namen | www zeigt auf Hauptdomain |
| MX | E-Mail-Empfang | Zeigt auf Mailserver |
| TXT | Diverses (SPF, DKIM, DMARC, Verifizierung) | SPF-Eintrag für E-Mail-Sicherheit |
| NS | Zuständige Nameserver | Wer die Zone verwaltet |
| CAA | Erlaubte SSL-Aussteller | Einschränkung auf Let's Encrypt |
Wer eine neue Domain einrichtet, braucht in der Praxis fast immer: einen A-Record für die Website, MX-Records für E-Mail und TXT-Records für SPF und DKIM. Alles andere kommt bei Bedarf dazu.
