Kostenloser DNSSEC-Checker

Prüfen Sie sofort, ob DNSSEC für eine beliebige Domain korrekt konfiguriert ist. Unser kostenloser DNSSEC-Validator überprüft die DS-Einträge bei Ihrem Registrar, die DNSKEY-Einträge auf Ihrem autoritativen Nameserver, die Gültigkeit der RRSIG-Signatur sowie die gesamte Vertrauenskette von Ihrer Domain bis zur DNS-Root.

Bitte geben Sie einen gültigen Domainnamen ein, ohne http:// Präfix.

0+

Organisationen weltweit

0+

Fortune-100-Unternehmen und Regierungen

0+

Länder, in denen wir tätig sind

Was überprüft dieser DNSSEC-Checker?

Unser DNSSEC-Checker führt sechs zentrale Validierungsprüfungen für Ihre Domain durch:

1

DS-Eintrag beim Registerführer

Bestätigt, dass der „Delegation Signer“-Eintrag in Ihrer übergeordneten Zone (bei Ihrem Registrar) vorhanden ist. Dies ist die entscheidende Verbindung, die Ihre signierte Zone mit der globalen Vertrauenskette verknüpft.

2

DNSKEY-Eintrag in der Zone

Stellt sicher, dass der Eintrag für den öffentlichen Schlüssel auf Ihrem autoritativen Nameserver veröffentlicht ist. Eine Zone verfügt in der Regel über zwei Schlüssel: einen Zonen-Signaturschlüssel (ZSK) für den täglichen Gebrauch und einen Schlüssel-Signaturschlüssel (KSK) zum Signieren des ZSK.

3

Gültigkeit der RRSIG-Signatur

Überprüft, ob Ihre DNS-Einträge über kryptografische Signaturen verfügen und diese noch gültig sind. Abgelaufene RRSIGs führen sofort zu einem Fehlschlag der DNSSEC-Validierung.

4

DS-DNSKEY-Übereinstimmung

Stellt sicher, dass der DS-Eintrag bei Ihrer Registrierungsstelle korrekt auf den DNSKEY in Ihrer Zone verweist. Eine Nichtübereinstimmung (häufig aufgrund eines unvollständigen Schlüsselwechsels) führt dazu, dass die Validierung fehlschlägt.

5

Algorithmus-Sicherheit

Erkennt veraltete oder schwache Signaturalgorithmen. Schwache Algorithmen können die Sicherheitsvorteile von DNSSEC beeinträchtigen.

6

Integrität der Vertrauenskette

Stellt sicher, dass die gesamte Kette von der DNS-Root über die TLD bis hin zu Ihrer Domain intakt ist. Eine Unterbrechung an einer beliebigen Stelle dieser Kette führt zum Fehlschlagen der gesamten Validierung.

Der Prüfer gibt einen von vier Status zurück:

Aktiviert

Alle Prüfungen Ihrer Datensätze wurden erfolgreich bestanden.

Teilweise

DNSKEY ist vorhanden, aber der DS-Eintrag fehlt bei Ihrem Domain-Registrar.

Falsch konfiguriert

Der DS-Eintrag ist vorhanden, aber der zugehörige DNSKEY fehlt.

Nicht aktiviert

Es konnten weder DS- noch DNSKEY-Einträge gefunden werden.

Was ist DNSSEC?

DNSSEC (Domain Name System Security Extensions) ist eine Reihe kryptografischer Erweiterungen des DNS, die es Resolvern ermöglichen, zu überprüfen, ob DNS-Antworten authentisch sind und während der Übertragung nicht manipuliert wurden. DNSSEC versieht DNS-Einträge mit digitalen Signaturen und schafft so eine Vertrauenskette von der DNS-Root-Zone bis hin zu einzelnen Domains. Dies schützt vor DNS-Cache-Poisoning- und DNS-Spoofing-Angriffen, durch die Nutzer auf bösartige Server umgeleitet werden könnten.

DNSSEC verschlüsselt keine DNS-Abfragen. Dies wird durch DNS-over-HTTPS oder DNS-over-TLS gewährleistet. Außerdem schützt es weder E-Mail-Inhalte noch ersetzt es DMARC/DKIM/SPF. Vielmehr sichert es den DNS-Auflösungsprozess, auf den diese E-Mail-Authentifizierungsstandards angewiesen sind.

Wenn Sie sich eingehender mit den technischen Details von DNSSEC befassen möchten, lesen Sie unseren:

Die Vertrauenskette verstehen

Die DNSSEC-Validierung erfolgt von oben nach unten über eine hierarchische Vertrauenskette:

DNS-Root
TLD (.com, .org usw.)
Ihre Domäne

Jede Ebene wird von der darüberliegenden Ebene über einen DS-Eintrag signiert und authentifiziert. Wenn diese Kette auf einer beliebigen Ebene unterbrochen wird, schlägt die Validierung fehl – selbst wenn Ihre Zone einwandfrei konfiguriert ist.

Der häufigste Fehler: Der DS-Eintrag wurde nicht bei Ihrer Registrierungsstelle eingereicht. Ihre Zone ist signiert (DNSKEY ist vorhanden), aber nicht mit der übergeordneten Zone verknüpft. Der Checker gibt den Status „Teilweise“ zurück .

So beheben Sie das Problem: Übermitteln Sie Ihren DS-Eintrag (von Ihrem DNS-Host) an Ihren Registrar. Beide Einträge müssen vorhanden sein, damit die Kette funktioniert.

DNSSEC-Eintragstypen erklärt

DNSSEC verwendet vier primäre DNS-Eintragstypen, die alle von unserem Tool überprüft werden.

DNSKEY-Eintrag

Speichert den öffentlichen Schlüssel, der zur Überprüfung von DNSSEC-Signaturen verwendet wird. Enthält den ZSK (signiert Datensätze) und den KSK (signiert den ZSK).

1
DS-Datensatz (Delegation Signer)

Enthält einen Hash des DNSKEY in der übergeordneten Zone, wodurch Ihre Domain mit der DNSSEC-Vertrauenskette verknüpft wird.

2
RRSIG (Resource Record Signature)

Kryptografische Signatur für jeden DNS-Eintragssatz. Muss vor Ablauf erneuert werden, um die DNSSEC-Validierung aufrechtzuerhalten.

3
NSEC-/NSEC3-Eintrag

Weist nach, dass DNS-Einträge nicht existieren (authentifizierte Existenzverneinung). NSEC3 ist die datenschutzkonforme Variante. Sie verhindert, dass Angreifer alle Namen in Ihrer Zone auflisten können.

4

So aktivieren Sie DNSSEC für Ihre Domain

Die Aktivierung von DNSSEC erfolgt in zwei Schritten. Für eine vollständige Validierung müssen beide Schritte abgeschlossen werden:

Schritt 1

Aktivieren Sie die DNSSEC-Signierung bei Ihrem DNS-Hosting-Anbieter

Melden Sie sich bei Ihrem DNS-Anbieter an, aktivieren Sie die DNSSEC-Signierung für Ihre Domain und kopieren Sie den generierten DS-Eintrag. Dadurch werden Ihre DNSKEY-Einträge erstellt und die Signierung Ihrer DNS-Zone automatisch gestartet.

Schritt 2

Reichen Sie den DS-Eintrag bei Ihrer Registrierungsstelle ein

Melden Sie sich bei Ihrem Domain-Registrar an, öffnen Sie die DNSSEC-Einstellungen und fügen Sie den in Schritt 1 generierten DS-Eintrag hinzu. Speichern Sie die Änderungen, um die DNSSEC-Vertrauenskette zu vervollständigen.

Dauer: Die DNS-Synchronisierung dauert 24 bis 48 Stunden.

Häufiger Fehler: Viele Nutzer aktivieren die DNSSEC-Signierung, vergessen jedoch, den DS-Eintrag zu veröffentlichen, wodurch die Vertrauenskette unvollständig bleibt.

Häufige DNSSEC-Fehler und deren Behebung

Hier sind die fünf häufigsten Fehler bei der DNSSEC-Konfiguration und wie man sie behebt:

Status: Teilweise oder falsch konfiguriert

DS-Eintrag fehlt oder ist falsch konfiguriert

Ursache: Der DNSKEY ist in Ihrer Zone vorhanden (Ihre Zone ist also signiert), aber der DS-Eintrag wurde entweder nicht bei Ihrem Registrar eingereicht oder ist fehlerhaft. Die Vertrauenskette ist auf Registrar-Ebene unterbrochen.

Empfohlene Lösungen:

  • Melden Sie sich bei Ihrem Domain-Registrar an (GoDaddy, Namecheap usw.)
  • Rufen Sie die DNS-Einstellungen Ihrer Domain auf
  • Suchen Sie den Abschnitt „DNSSEC“ oder „DS-Eintrag“
  • Rufen Sie den DS-Eintrag über das Control Panel Ihres DNS-Hosting-Anbieters ab
  • Fügen Sie den Wert des DS-Eintrags in das Feld „DS-Eintrag“ Ihres Registrars ein.
  • Speichern Sie die Änderungen und warten Sie 24–48 Stunden, bis die DNS-Änderungen übernommen sind.
  • Führen Sie den Checker erneut aus, um den Status „Aktiviert“ zu bestätigen
Status: Nicht aktiviert

DNSSEC ist beim Registrar oder auf dem Nameserver nicht aktiviert

Ursache: Die DNSSEC-Signierung ist nirgendwo aktiviert. Es sind weder DNSKEY- noch DS-Einträge vorhanden.

Empfohlene Lösungen:

  • Melden Sie sich bei Ihrem DNS-Hosting-Kontrollpanel an (Cloudflare, Route 53 usw.)
  • Suchen Sie den Abschnitt „DNSSEC“ oder „DNS-Sicherheit“
  • Aktivieren Sie die DNSSEC-Signierung für Ihre Domain
  • Kopieren Sie den bereitgestellten DS-Eintrag oder die DNSKEY-Daten
  • Melden Sie sich bei Ihrem Registrar an und fügen Sie den DS-Eintrag hinzu (Schritte siehe oben)
  • Warten Sie 24 bis 48 Stunden und führen Sie den Checker erneut aus.
Status: Falsch konfiguriert

Abgelaufene RRSIG-Signatur

Ursache: Die Signaturen Ihrer DNS-Einträge sind abgelaufen. Dies wird in der Regel durch einen fehlgeschlagenen automatischen Schlüsselwechsel oder einen Ausfall des DNS-Hosting-Anbieters verursacht.

Empfohlene Lösungen:

  • Melden Sie sich bei Ihrem DNS-Hosting-Kontrollpanel an
  • Suchen Sie den Abschnitt „DNSSEC“ und führen Sie die Aktion „Zone neu signieren“ oder „Signaturen aktualisieren“ aus.
  • Falls keine solche Aktion vorhanden ist, deaktivieren Sie die DNSSEC-Signierung und aktivieren Sie sie anschließend wieder.
  • Warten Sie einige Minuten, bis die Signaturen neu generiert wurden.
  • Führen Sie den Checker erneut aus
Status: Falsch konfiguriert

DS-DNSKEY-Abweichung

Ursache: Der DS-Eintrag bei Ihrem Registrar stimmt nicht mehr mit dem DNSKEY in Ihrer Zone überein. Dies tritt in der Regel nach einem Schlüsselwechsel auf, wenn der DS-Eintrag nicht aktualisiert wurde.

Empfohlene Lösungen:

  • Melden Sie sich in Ihrem DNS-Hosting-Kontrollpanel an und rufen Sie den aktuellen DS-Eintrag ab (dieser hat sich möglicherweise während des Rollovers geändert).
  • Melden Sie sich bei Ihrem Registrar an
  • Aktualisieren Sie den DS-Eintrag mit dem neuen Wert, den Sie von Ihrem DNS-Anbieter erhalten haben.
  • Warten Sie 24–48 Stunden und führen Sie den Checker erneut aus.
Status: Teilweise

DNSSEC ist auf dem Nameserver aktiviert, nicht jedoch beim Registrar

Ursache: Ihre Zone ist signiert (DNSKEY-Einträge sind vorhanden), aber der DS-Eintrag ist bei Ihrem Registrar nicht vorhanden. Dies ist der mit Abstand häufigste Fehler bei der DNSSEC-Konfiguration.

Empfohlene Lösungen:

  • Melden Sie sich bei Ihrem Domain-Registrar an (GoDaddy, Namecheap usw.)
  • Rufen Sie die DNS-Einstellungen Ihrer Domain auf
  • Suchen Sie den Abschnitt „DNSSEC“ oder „DS-Eintrag“
  • Rufen Sie den DS-Eintrag über das Control Panel Ihres DNS-Hosting-Anbieters ab
  • Reichen Sie es bei Ihrer Registratur ein

DNSSEC und E-Mail-Sicherheit

DNSSEC und E-Mail-Authentifizierungsstandards (DMARC, DKIM, SPF) sind sich ergänzende, aber voneinander getrennte Sicherheitsebenen.

Wie sie miteinander verbunden sind

DNSSEC sichert DNS-Abfragen, während SPF, DKIM und DMARC E-Mails schützen. Dadurch wird sichergestellt, dass die für die E-Mail-Authentifizierung verwendeten DNS-Einträge echt sind und nicht manipuliert wurden.

Warum DNSSEC wichtig ist

Ohne DNSSEC können Angreifer DNS-Antworten fälschen und Ihren DKIM-Schlüssel durch einen gefälschten ersetzen. DNSSEC verhindert dies, indem es sicherstellt, dass Mailserver den authentischen DKIM-Schlüssel aus Ihrem DNS abrufen.

Was DNSSEC nicht leistet

DNSSEC ersetzt weder DMARC noch DKIM oder SPF. Alle drei sind weiterhin für die E-Mail-Authentifizierung erforderlich. DNSSEC dient lediglich dazu, die DNS-Infrastruktur, auf die sie sich stützen, sicherer zu machen.

Überprüfen Sie, ob für Ihre Domain die E-Mail-Authentifizierung aktiviert ist

Haben Sie Ihren DMARC-Eintrag überprüft?

Überprüfen Sie mit unserem kostenlosen Abfrage-Tool sofort, ob Ihr DMARC-Eintrag aktiv, gültig und frei von Syntaxfehlern ist.

DMARC-Prüfprogramm

Bei p=none? Weiter zur Durchsetzung.

Der gehostete DMARC-Dienst von PowerDMARC begleitet Sie sicher von der Überwachung bis hin zur vollständigen Durchsetzung von „p=reject“ und bietet Ihnen dabei Transparenz in Echtzeit.

Gehostetes DMARC

Möchten Sie eine kontinuierliche Überwachung?

PowerDMARC wertet Sammelberichte automatisch aus und benachrichtigt Sie, wenn neue Absender auftreten oder Authentifizierungsprobleme auftreten.

Kostenlos starten

Was unsere Kunden und Partner über uns sagen

Steve Smith
Steve Smith

Regionalleiter für Auckland, Advantage

„Unser Geschäft basiert auf Vertrauen – nicht nur zwischen uns und unseren Kunden, sondern auch mit unseren Partnern. Dank der hervorragenden Partnerschaft mit PowerDMARC können wir unseren Kunden außergewöhnliche Dienstleistungen bieten.“

Häufig gestellte Fragen

Was ist DNSSEC und wie funktioniert es?
DNSSEC versieht DNS-Einträge mit kryptografischen Signaturen und schafft so eine Vertrauenskette von der DNS-Root bis hin zu den einzelnen Domains. Wenn ein Resolver eine DNSSEC-signierte Domain abfragt, überprüft er die Signaturen auf jeder Ebene der Hierarchie, um sicherzustellen, dass die Antwort authentisch und unverändert ist. Ausführliche Informationen zur Funktionsweise finden Sie in unserem vollständigen DNSSEC-Leitfaden.
Wie kann ich überprüfen, ob DNSSEC funktioniert?
Geben Sie Ihre Domain in das obenstehende Prüftool ein und klicken Sie auf „Prüfen“. Das Tool überprüft die DS-Einträge beim Registrar, die DNSKEY-Einträge auf Ihrem Nameserver sowie die gesamte Vertrauenskette und gibt den Status „Aktiviert“, „Teilweise“, „Falsch konfiguriert“ oder „Nicht aktiviert“ zurück. Sie können auch dig DS yourdomain.com @8.8.8.8 über die Befehlszeile, um den DS-Eintrag manuell abzufragen.
Ist DNSSEC noch von Bedeutung?
Ja. DNS-Cache-Poisoning ist nach wie vor ein aktiver Angriffsvektor, und DNSSEC ist die einzige Abwehrmaßnahme auf Protokollebene dagegen. Es ist zudem eine Voraussetzung für DANE (DNS-based Authentication of Named Entities), das eine von Zertifizierungsstellen unabhängige Zertifikatsüberprüfung ermöglicht. Viele Regierungen, Aufsichtsbehörden und Compliance-Rahmenwerke schreiben DNSSEC mittlerweile für kritische Domains vor.
Was wird mit DNSSEC validiert?
DNSSEC überprüft die Echtheit und Integrität von DNS-Antworten und stellt sicher, dass die für eine Domain zurückgegebenen IP-Adressen, MX-Einträge und sonstigen DNS-Daten von einem autoritativen Server stammen und während der Übertragung nicht verändert wurden. Es überprüft weder Website-Inhalte noch E-Mail-Nachrichten und verschlüsselt keine DNS-Abfragen.

Sind Sie bereit, Markenmissbrauch und Betrug zu verhindern und einen umfassenden Einblick in Ihren E-Mail-Kanal zu erhalten?