DNS steht für Domain Name System und ist eines der grundlegendsten Protokolle des Internets. Es übersetzt menschenlesbare Domainnamen wie google.de in maschinenlesbare IP-Adressen wie 142.250.185.99. Ohne DNS müsstest du dir für jede Website eine Zahlenfolge merken – ähnlich wie bei einem Telefonbuch, das Namen in Nummern übersetzt.
Wenn du eine Website aufrufst, passiert im Hintergrund in Millisekunden folgendes: Dein Gerät fragt einen DNS-Resolver (meist vom ISP oder einem öffentlichen Anbieter wie Google 8.8.8.8 oder Cloudflare 1.1.1.1), der dann hierarchisch die zuständigen Nameserver befragt bis die IP-Adresse gefunden wird.
Die DNS-Auflösung läuft in mehreren Schritten ab: Zuerst prüft dein Browser den lokalen Cache – wurde die Domain schon einmal aufgelöst? Wenn nein, fragt er den rekursiven Resolver deines ISPs. Dieser kennt die Antwort vielleicht aus seinem Cache, sonst fragt er die Root-Nameserver (13 Gruppen weltweit), die ihn zu den TLD-Nameservern (.de, .com usw.) weiterleiten. Von dort geht es zum autoritativen Nameserver der Domain, der die finale Antwort liefert.
A-Record: Verknüpft eine Domain mit einer IPv4-Adresse. Der häufigste Record-Typ überhaupt.
AAAA-Record: Wie A-Record, aber für IPv6-Adressen.
MX-Record: Mail Exchange – gibt an, welcher Server E-Mails für eine Domain empfängt. Ohne MX-Record kommt keine E-Mail an.
CNAME-Record: Canonical Name – ein Alias, der auf eine andere Domain zeigt. Nützlich für Subdomains wie www.example.com → example.com.
TXT-Record: Beliebiger Text – wird für SPF (Spam-Schutz), DKIM (E-Mail-Signatur) und Domain-Verifizierungen genutzt.
NS-Record: Nameserver – gibt an, welche Server für eine Domain zuständig sind.
TTL (Time To Live): Gibt an, wie lange ein DNS-Eintrag im Cache gespeichert werden darf. Ein niedriger TTL-Wert bedeutet häufigere Aktualisierungen.
Standard-DNS-Abfragen sind unverschlüsselt – dein ISP und Dritte können sehen, welche Domains du aufrufst. Modernere Alternativen wie DNS over HTTPS (DoH) oder DNS over TLS (DoT) verschlüsseln diese Anfragen. Cloudflare (1.1.1.1) und Google (8.8.8.8) bieten beide Protokolle an.
Ein weiterer Datenschutzaspekt: Wenn du ein VPN nutzt, aber dein DNS-Resolver nicht durch den VPN-Tunnel läuft, kann dein ISP trotzdem sehen welche Seiten du besuchst. Das nennt sich DNS-Leak.