Domain DNS Tipps
Domain & DNS Verwaltung – Komplettanleitung
Diese Anleitung erklärt Schritt für Schritt, wie du deine Domain über DNS mit verschiedenen Servern verbindest, E-Mails zuverlässig zustellbar machst und deine Website absicherst. Alle Einstellungen werden in der DNS-Zone deiner Domain vorgenommen – entweder beim Domain-Registrar oder auf deinem eigenen Nameserver.
ℹ️ Grundwissen: DNS-Änderungen benötigen Zeit zur Propagation (Verbreitung). Rechne mit 5 Minuten bis 48 Stunden, bis Änderungen weltweit aktiv sind. Die TTL (Time To Live) bestimmt, wie lange Einträge gecached werden.
1. Domain mit einem VPS verbinden
Um deine Domain auf einen VPS (Virtual Private Server) zeigen zu lassen, benötigst du die IP-Adresse deines Servers und musst entsprechende DNS-Einträge setzen.
Benötigte DNS-Einträge
| Typ | Name/Host | Wert/Ziel | TTL | Zweck |
|---|---|---|---|---|
A |
@ |
123.456.78.90 |
3600 | Hauptdomain → Server |
A |
www |
123.456.78.90 |
3600 | www-Subdomain → Server |
AAAA |
@ |
2001:db8::1 |
3600 | IPv6 (falls vorhanden) |
Schritt-für-Schritt Anleitung
- Server-IP ermitteln: Logge dich in dein VPS-Panel ein (z.B. Hetzner Cloud, Netcup, DigitalOcean) und notiere die IPv4-Adresse (und ggf. IPv6).
- DNS-Verwaltung öffnen: Gehe zu deinem Domain-Registrar (z.B. IONOS, Strato, Namecheap) und öffne die DNS-Einstellungen deiner Domain.
- A-Record für @ erstellen: Setze einen A-Record mit Host
@(oder leer) auf deine Server-IP. - A-Record für www erstellen: Setze einen weiteren A-Record mit Host
wwwauf dieselbe IP. - Optional – Wildcard: Für alle Subdomains setze einen A-Record mit Host
*auf deine Server-IP. - Warten & Testen: Nach 5-30 Minuten mit
ping deinedomain.deoder dnschecker.org prüfen.
💡 Tipp: Setze die TTL während der Einrichtung auf einen niedrigen Wert (300 = 5 Minuten). Nach erfolgreicher Konfiguration kannst du sie auf 3600 oder höher setzen.
2. Domain mit KeyHelp oder Plesk verbinden
Bei Webserver-Panels wie KeyHelp oder Plesk gibt es zwei Möglichkeiten: Entweder nutzt du die Nameserver des Panels oder du setzt die DNS-Einträge manuell bei deinem Registrar.
Option A: Nameserver des Panels nutzen (empfohlen)
Diese Methode ist am einfachsten, da das Panel alle DNS-Einträge automatisch verwaltet.
- Domain im Panel anlegen:
- KeyHelp: Domains → Domain hinzufügen → Domain-Name eingeben
- Plesk: Websites & Domains → Domain hinzufügen
- Nameserver-Adressen notieren: Diese findest du in den Panel-Einstellungen, z.B.:
ns1.deinserver.dens2.deinserver.de
- Beim Registrar Nameserver ändern: Ersetze die Standard-Nameserver durch die deines Servers.
- Propagation abwarten: Kann bis zu 48 Stunden dauern.
Option B: Externe DNS mit A-Records
Wenn du die DNS-Verwaltung beim Registrar behalten möchtest:
| Typ | Name | Wert | Bemerkung |
|---|---|---|---|
A |
@ |
Server-IP |
Hauptdomain |
A |
www |
Server-IP |
www-Subdomain |
A |
mail |
Server-IP |
Für Webmail-Zugang |
MX |
@ |
mail.deinedomain.de |
Priorität: 10 |
⚠️ Achtung: Bei Option B musst du Mail-Records (MX, SPF, DKIM, DMARC) manuell beim Registrar eintragen. Das Panel kann diese nicht automatisch verwalten.
Domain-Einrichtung in KeyHelp
# KeyHelp Domain-Pfad nach Einrichtung:
/home/BENUTZERNAME/www/DOMAINNAME/
# Öffentliches Verzeichnis (hier Dateien hochladen):
/home/BENUTZERNAME/www/DOMAINNAME/public_html/Domain-Einrichtung in Plesk
# Plesk Domain-Pfad:
/var/www/vhosts/DOMAINNAME/
# Öffentliches Verzeichnis:
/var/www/vhosts/DOMAINNAME/httpdocs/3. Mailserver / Mail-VPS verbinden
Für einen funktionierenden Mailserver benötigst du mehrere DNS-Einträge. Diese teilen anderen Mailservern mit, wohin E-Mails für deine Domain geschickt werden sollen.
Basis DNS-Einträge für E-Mail
| Typ | Name | Wert | Priorität | Zweck |
|---|---|---|---|---|
A |
mail |
123.456.78.90 |
– | IP des Mailservers |
MX |
@ |
mail.deinedomain.de |
10 | Primärer Mailserver |
MX |
@ |
mail2.deinedomain.de |
20 | Backup (optional) |
Wichtig: PTR-Record (Reverse DNS)
Der PTR-Record ist essentiell für die E-Mail-Zustellung! Er muss beim Hosting-Provider des Servers gesetzt werden (nicht beim Domain-Registrar).
# PTR-Record Beispiel:
IP: 123.456.78.90 → mail.deinedomain.de
# So sollte es aussehen:
$ dig -x 123.456.78.90
90.78.456.123.in-addr.arpa. IN PTR mail.deinedomain.de.⚠️ Achtung: Ohne korrekten PTR-Record werden deine E-Mails von vielen Providern (Gmail, Outlook, etc.) als Spam markiert oder komplett abgelehnt!
Mailserver-Ports freigeben
Stelle sicher, dass folgende Ports in der Firewall geöffnet sind:
| Port | Protokoll | Dienst | Verschlüsselung |
|---|---|---|---|
| 25 | TCP | SMTP (Server-zu-Server) | STARTTLS |
| 465 | TCP | SMTPS (Senden) | SSL/TLS |
| 587 | TCP | Submission (Senden) | STARTTLS |
| 993 | TCP | IMAPS (Empfangen) | SSL/TLS |
| 995 | TCP | POP3S (Empfangen) | SSL/TLS |
4. E-Mail-Zustellbarkeit sicherstellen (SPF, DKIM, DMARC)
Diese drei Mechanismen sind unverzichtbar, damit deine E-Mails nicht im Spam landen. Sie beweisen anderen Mailservern, dass du berechtigt bist, E-Mails für deine Domain zu versenden.
4.1 SPF (Sender Policy Framework)
SPF definiert, welche Server E-Mails für deine Domain versenden dürfen.
| Typ | Name | Wert |
|---|---|---|
TXT |
@ |
v=spf1 mx a ip4:123.456.78.90 ~all |
SPF-Syntax erklärt
v=spf1- Version des SPF-Records (immer spf1)
mx- Erlaubt allen Servern, die als MX eingetragen sind
a- Erlaubt dem Server, auf den der A-Record zeigt
ip4:123.456.78.90- Erlaubt dieser spezifischen IPv4-Adresse
ip6:2001:db8::1- Erlaubt dieser spezifischen IPv6-Adresse
include:_spf.google.com- Inkludiert SPF eines anderen Dienstes (z.B. Google Workspace)
~all- Softfail – nicht autorisierte Server werden markiert (empfohlen)
-all- Hardfail – nicht autorisierte Server werden abgelehnt (strenger)
SPF-Beispiele für verschiedene Szenarien
# Nur eigener Server:
v=spf1 mx ip4:123.456.78.90 -all
# Eigener Server + Google Workspace:
v=spf1 mx ip4:123.456.78.90 include:_spf.google.com ~all
# Eigener Server + Microsoft 365:
v=spf1 mx ip4:123.456.78.90 include:spf.protection.outlook.com ~all
# Eigener Server + externer Newsletter-Dienst (z.B. Mailchimp):
v=spf1 mx ip4:123.456.78.90 include:servers.mcsv.net ~all
# KeyHelp/Plesk Server mit IPv4 und IPv6:
v=spf1 mx a ip4:123.456.78.90 ip6:2001:db8::1 ~all4.2 DKIM (DomainKeys Identified Mail)
DKIM signiert ausgehende E-Mails kryptografisch. Der Empfänger kann so prüfen, ob die E-Mail wirklich von dir stammt und nicht verändert wurde.
DKIM-Schlüssel generieren
In KeyHelp: E-Mail → Domain auswählen → DKIM → Aktivieren → Schlüssel wird automatisch generiert
In Plesk: E-Mail → E-Mail-Einstellungen → DKIM aktivieren
Manuell (auf dem Server):
# DKIM-Schlüsselpaar generieren
openssl genrsa -out dkim_private.key 2048
openssl rsa -in dkim_private.key -pubout -out dkim_public.key
# Public Key für DNS (ohne Header/Footer, einzeilig):
cat dkim_public.key | grep -v "PUBLIC KEY" | tr -d '\n'DKIM DNS-Eintrag
| Typ | Name | Wert |
|---|---|---|
TXT |
default._domainkey |
v=DKIM1; k=rsa; p=MIIBIjANBgkq... |
💡 Tipp: Der Selektor (hierdefault) kann variieren. KeyHelp nutzt oftdkim, Plesk nutzt den Domain-Namen. Prüfe die Panel-Einstellungen für den korrekten Selektor.
# Vollständiger DKIM-Record Beispiel:
Name: default._domainkey.deinedomain.de
Typ: TXT
Wert: v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA3BEISPIEL...4.3 DMARC (Domain-based Message Authentication)
DMARC baut auf SPF und DKIM auf und definiert, was mit E-Mails passieren soll, die die Prüfungen nicht bestehen. Außerdem erhältst du Berichte über Zustellprobleme.
| Typ | Name | Wert |
|---|---|---|
TXT |
_dmarc |
v=DMARC1; p=quarantine; rua=mailto:dmarc@deinedomain.de; pct=100; adkim=s; aspf=s |
DMARC-Policies erklärt
p=none- Nur überwachen, keine Aktion (zum Testen empfohlen)
p=quarantine- Verdächtige E-Mails in Spam verschieben
p=reject- Verdächtige E-Mails komplett ablehnen (strengste Option)
rua=mailto:...- E-Mail-Adresse für aggregierte Berichte
ruf=mailto:...- E-Mail-Adresse für forensische Berichte (detailliert)
pct=100- Prozentsatz der E-Mails, auf die die Policy angewendet wird
adkim=s- DKIM-Alignment:
s=strict,r=relaxed aspf=s- SPF-Alignment:
s=strict,r=relaxed
DMARC schrittweise einführen
# Phase 1: Nur Monitoring (2-4 Wochen)
v=DMARC1; p=none; rua=mailto:dmarc@deinedomain.de; pct=100
# Phase 2: Quarantine für 50% (2 Wochen)
v=DMARC1; p=quarantine; rua=mailto:dmarc@deinedomain.de; pct=50
# Phase 3: Quarantine für 100% (2 Wochen)
v=DMARC1; p=quarantine; rua=mailto:dmarc@deinedomain.de; pct=100
# Phase 4: Reject (Endkonfiguration)
v=DMARC1; p=reject; rua=mailto:dmarc@deinedomain.de; ruf=mailto:dmarc@deinedomain.de; pct=100; adkim=s; aspf=sKomplettes E-Mail DNS-Setup (Zusammenfassung)
So sieht ein vollständiges, sicheres E-Mail-Setup aus:
| Typ | Name | Wert |
|---|---|---|
A |
mail |
123.456.78.90 |
MX |
@ |
mail.deinedomain.de (Prio 10) |
TXT |
@ |
v=spf1 mx ip4:123.456.78.90 ~all |
TXT |
default._domainkey |
v=DKIM1; k=rsa; p=MIIBIj... |
TXT |
_dmarc |
v=DMARC1; p=quarantine; rua=mailto:dmarc@deinedomain.de |
5. Website-Sicherheit über DNS
Neben SSL-Zertifikaten gibt es weitere DNS-basierte Sicherheitsmaßnahmen, die deine Website schützen.
5.1 CAA-Record (Certificate Authority Authorization)
Der CAA-Record definiert, welche Zertifizierungsstellen SSL-Zertifikate für deine Domain ausstellen dürfen. Das verhindert, dass Angreifer unberechtigte Zertifikate erhalten.
| Typ | Name | Wert | Zweck |
|---|---|---|---|
CAA |
@ |
0 issue "letsencrypt.org" |
Erlaubt Let's Encrypt |
CAA |
@ |
0 issuewild "letsencrypt.org" |
Erlaubt Wildcard-Zertifikate |
CAA |
@ |
0 iodef "mailto:ssl@deinedomain.de" |
Benachrichtigung bei Verstößen |
# CAA für Let's Encrypt (am häufigsten verwendet):
@ CAA 0 issue "letsencrypt.org"
@ CAA 0 issuewild "letsencrypt.org"
# CAA für mehrere Anbieter:
@ CAA 0 issue "letsencrypt.org"
@ CAA 0 issue "digicert.com"
@ CAA 0 issue "sectigo.com"
# Mit Benachrichtigung:
@ CAA 0 iodef "mailto:security@deinedomain.de"5.2 HTTPS erzwingen mit HSTS (via Webserver)
HSTS wird zwar im Webserver konfiguriert, aber du kannst deine Domain auch in die HSTS-Preload-Liste aufnehmen:
- Stelle sicher, dass SSL aktiv ist und HTTP auf HTTPS weiterleitet
- Setze den HSTS-Header im Webserver:
# Apache (.htaccess): Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" # Nginx: add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always; - Trage deine Domain bei hstspreload.org ein
5.3 Schutz vor E-Mail-Spoofing der Website
Wenn deine Website keine E-Mails versendet (z.B. reine Landing-Page), setze einen restriktiven SPF:
# Keine E-Mails von dieser Domain erlaubt:
v=spf1 -all
# Passender DMARC dazu:
v=DMARC1; p=reject; rua=mailto:dmarc@deinedomain.de5.4 DNSSEC aktivieren
DNSSEC schützt vor DNS-Manipulationen (DNS-Spoofing). Die Aktivierung erfolgt in zwei Schritten:
- Beim DNS-Provider: DNSSEC aktivieren und DS-Record generieren lassen
- Beim Domain-Registrar: Den DS-Record eintragen
ℹ️ Info: Bei vielen Registraren (z.B. Cloudflare) ist DNSSEC mit einem Klick aktivierbar. Prüfe, ob dein Registrar dies unterstützt.
6. Checkliste & Troubleshooting
DNS-Setup Checkliste
- ☐ A-Record für @ auf Server-IP
- ☐ A-Record für www auf Server-IP
- ☐ A-Record für mail auf Mailserver-IP
- ☐ MX-Record für @ auf mail.domain.de
- ☐ PTR-Record beim Hosting-Provider gesetzt
- ☐ SPF-Record konfiguriert
- ☐ DKIM aktiviert und DNS-Record gesetzt
- ☐ DMARC-Record mit Reporting
- ☐ CAA-Record für SSL-Zertifikate
- ☐ SSL-Zertifikat installiert
- ☐ HTTPS-Weiterleitung aktiv
Nützliche Diagnose-Befehle
# DNS-Einträge prüfen:
dig deinedomain.de A
dig deinedomain.de MX
dig deinedomain.de TXT
dig _dmarc.deinedomain.de TXT
dig default._domainkey.deinedomain.de TXT
# PTR-Record prüfen:
dig -x 123.456.78.90
# Alle Records auf einen Blick:
dig deinedomain.de ANY
# Windows Alternative:
nslookup -type=MX deinedomain.de
nslookup -type=TXT deinedomain.deHäufige Probleme & Lösungen
| Problem | Mögliche Ursache | Lösung |
|---|---|---|
| E-Mails landen im Spam | SPF/DKIM/DMARC fehlt oder falsch | Records prüfen mit mail-tester.com |
| E-Mails werden abgelehnt | PTR-Record fehlt | Beim Hosting-Provider setzen |
| Website nicht erreichbar | A-Record falsch oder Propagation | Mit dnschecker.org prüfen |
| SSL-Zertifikat-Fehler | DNS zeigt noch auf alten Server | TTL abwarten oder senken |
| SPF PermError | Mehr als 10 DNS-Lookups im SPF | SPF vereinfachen, includes reduzieren |
Weitere Hilfe
Nützliche externe Tools zur DNS-Prüfung:
- 🔍 DNSChecker.org – DNS-Propagation weltweit prüfen
- 📧 MXToolbox – E-Mail-Konfiguration testen
- ✉️ Mail-Tester.com – Spam-Score deiner E-Mails prüfen
- 🔐 SSL Labs – SSL-Konfiguration testen
- 📋 LearnDMARC – DMARC-Einträge validieren
- 🛡️ HSTS Preload – HSTS-Status prüfen