Ticket öffnen 
+373 79 600002 
Telegramm Live Chat 
Häufige Fragen 
Deutsch
English 
Русский 
Română 
Français 
Türkçe 
Español 
Português 
Українська 
български 
Polski 
Indonesia 
中文 (中国) 
DNSWas ist DNS und die DNS-Hierarchie? Ein vollständiger technischer Leitfaden
DNS (Domain Name System) ist ein hierarchisches, verteiltes Benennungssystem, das menschenlesbare Domainnamen — wie `www.example.com` — in maschinenlesbare IP-Adressen wie `192.0.2.1` übersetzt. Ohne DNS müsste jeder Internetnutzer numerische Adressen für jede Website, jeden API-Endpunkt oder jeden Mailserver auswendig lernen. DNS ist das Protokoll, das das moderne Internet in großem Maßstab navigierbar macht.
Im Kern funktioniert DNS als global verteilte Datenbank. Anfragen werden über eine strukturierte Delegierungskette aufgelöst — von Root-Servern an der Spitze über TLD-Server (Top-Level-Domain) bis hin zu autoritativen Nameservern, die die eigentlichen Einträge für eine bestimmte Domain enthalten. Diese Architektur macht DNS gleichzeitig schnell, widerstandsfähig und erweiterbar.
Warum DNS mehr als nur ein „Telefonbuch” ist
Die „Telefonbuch”-Analogie ist ein nützlicher Ausgangspunkt, unterschätzt jedoch dramatisch, was DNS in Produktionsumgebungen tatsächlich leistet. DNS bildet die Grundlage für:
- Namensauflösung — Konvertierung von FQDNs (Fully Qualified Domain Names) in IPv4- und IPv6-Adressen
- E-Mail-Routing — MX-Einträge leiten SMTP-Datenverkehr an die richtige Mail-Infrastruktur weiter
- Service Discovery — SRV-Einträge ermöglichen es Anwendungen, Dienste dynamisch zu lokalisieren (wird intensiv in SIP, XMPP und Kubernetes verwendet)
- Traffic Engineering — Geo-DNS und gewichtete Routing-Einträge ermöglichen globalen Lastausgleich und latenzbasiertes Failover
- Sicherheitsdurchsetzung — TXT-Einträge enthalten SPF-, DKIM- und DMARC-Richtlinien; DNSSEC fügt kryptografische Validierung hinzu
- CDN-Orchestrierung — CNAME-Flattening und Anycast-Routing ermöglichen CDNs, den nächstgelegenen Edge-Knoten transparent bereitzustellen
Für jeden, der eine VPS Hosting-Umgebung oder einen Dedicated Server verwaltet, ist das Verständnis von DNS auf dieser Ebene keine Option — falsch konfiguriertes DNS ist eine der häufigsten Grundursachen für Anwendungsausfälle, E-Mail-Zustellungsfehler und SSL-Bereitstellungsfehler.
Der DNS-Auflösungsprozess: Schritt für Schritt
Wenn ein Benutzer `www.example.com` in einen Browser eingibt, läuft folgende Sequenz ab. Das Verständnis jedes Schritts ist entscheidend für die Diagnose von Auflösungsfehlern und die Optimierung von TTL-Strategien.
Schritt 1: Lokale Cache-Prüfung
Das Betriebssystem prüft zunächst seinen lokalen DNS-Cache (der aus früheren Lookups befüllt wurde). Unter Linux kann dies `systemd-resolved` oder `nscd` beinhalten. Unter Windows verwaltet der DNS-Client-Dienst diesen Cache. Wenn ein gültiger gecachter Eintrag innerhalb seiner TTL vorhanden ist, endet die Auflösung hier.
Schritt 2: Stub-Resolver zum rekursiven Resolver
Wenn kein lokaler Cache-Treffer vorhanden ist, leitet der OS-Stub-Resolver die Anfrage an einen rekursiven DNS-Resolver weiter — typischerweise den Resolver Ihres ISP oder einen konfigurierten öffentlichen Resolver wie:
- Google Public DNS: `8.8.8.8` / `8.8.4.4`
- Cloudflare: `1.1.1.1` / `1.0.0.1`
- Quad9: `9.9.9.9`
Der rekursive Resolver übernimmt die eigentliche Arbeit des Durchlaufens der DNS-Hierarchie im Auftrag des Clients.
Schritt 3: Root-Server-Anfrage
Wenn der rekursive Resolver keine gecachte Antwort hat, fragt er einen der 13 Root-Server-Cluster ab (adressiert als `a.root-servers.net` bis `m.root-servers.net`). Dies sind keine 13 einzelnen Maschinen — es sind 13 Anycast-Adressgruppen, die von Organisationen wie ICANN, Verisign, NASA und RIPE NCC betrieben werden, mit über 1.500 physischen Instanzen weltweit verteilt.
Der Root-Server gibt keine IP-Adresse zurück. Er gibt eine Weiterleitung zurück — die Adresse des autoritativen TLD-Servers für das abgefragte Suffix (z. B. `.com`).
Schritt 4: TLD-Server-Anfrage
Der rekursive Resolver fragt den entsprechenden TLD-Nameserver ab. Für `.com` wird dieser von Verisign betrieben. Der TLD-Server gibt eine weitere Weiterleitung zurück — die autoritativen Nameserver für die spezifische Second-Level-Domain (z. B. `ns1.example.com`).
Schritt 5: Autoritativer Nameserver-Anfrage
Der rekursive Resolver fragt den autoritativen Nameserver ab, der die Zonendatei für `example.com` enthält. Dieser Server gibt den eigentlichen DNS-Eintrag zurück — zum Beispiel einen A-Eintrag, der `www.example.com` auf `93.184.216.34` abbildet.
Schritt 6: Antwort-Caching und Auslieferung
Der rekursive Resolver cached die Antwort gemäß dem TTL (Time to Live)-Wert des Eintrags und gibt dann die IP-Adresse an den Stub-Resolver des Clients zurück, der sie an den Browser weiterleitet. Der Browser öffnet dann eine TCP-Verbindung (oder QUIC für HTTP/3) zu dieser IP-Adresse.
Wichtiger Hinweis: TTL-Werte werden vom Domain-Inhaber auf dem autoritativen Server festgelegt. Ein TTL von 300 Sekunden bedeutet, dass der Eintrag 5 Minuten lang gecacht werden kann, bevor er erneut abgefragt wird. Während einer Migration oder Incident Response ist das vorherige Absenken von TTLs (auf 60–300 Sekunden) eine gängige Betriebspraxis, um Propagationsverzögerungen zu minimieren.
Die DNS-Hierarchie: Architektur und Komponenten
Der DNS-Namensraum ist als umgekehrter Baum strukturiert. Jeder Knoten im Baum ist ein Label, und ein vollständiger Pfad vom Blatt zur Wurzel bildet einen Domainnamen. Der abschließende Punkt in `www.example.com.` repräsentiert die Root.
Ebene 1: Die Root-Zone
Die Root-Zone ist der Apex der DNS-Hierarchie, dargestellt durch ein leeres Label (`.`). Sie enthält NS-Einträge, die auf TLD-Server für jede existierende Top-Level-Domain verweisen. Die Root-Zonendatei wird von der IANA (Internet Assigned Numbers Authority) gepflegt und enthält derzeit Delegierungen für über 1.500 TLDs.
Root-Server arbeiten nach einem Trust-Anchor-Modell — DNSSEC-Validierungsketten enden letztendlich beim Key Signing Key (KSK) der Root-Zone, der durch einen streng auditierten Zeremonienprozess verwaltet wird.
Ebene 2: Top-Level-Domains (TLDs)
TLD-Server sind autoritativ für alle unter ihrem Suffix registrierten Domains. Es gibt mehrere Kategorien:
| TLD-Typ | Beispiele | Betreibertyp |
|---|
| — | — | — |
|---|
| Generische TLD (gTLD) | `.com`, `.net`, `.org`, `.edu` | ICANN-akkreditierte Registries |
|---|
| Gesponserte TLD (sTLD) | `.gov`, `.mil`, `.edu` | Eingeschränkt, gesponserte Organisationen |
|---|
| Ländercode-TLD (ccTLD) | `.uk`, `.de`, `.jp`, `.io` | Nationale Registries |
|---|
| Neue gTLD | `.app`, `.tech`, `.cloud`, `.shop` | Private Registry-Betreiber |
|---|
| Infrastruktur | `.arpa` | IANA (verwendet für Reverse-DNS) |
|---|
Ebene 3: Second-Level-Domains (SLDs) und Subdomains
Die Second-Level-Domain ist das Label unmittelbar links von der TLD — `example` in `example.com`. Dies ist die Einheit, die Domain-Registranten kaufen und verwalten. Wenn Sie eine Domain über einen Dienst wie Domain-Registrierung registrieren, erwerben Sie das Recht, die DNS-Delegierung für diese SLD zu kontrollieren.
Subdomains sind Labels, die der SLD vorangestellt werden (`www`, `mail`, `api`, `blog`). Sie werden vollständig innerhalb der Zonendatei des autoritativen Nameservers konfiguriert — keine zusätzliche Registrierung ist erforderlich. Die Subdomain-Tiefe ist theoretisch unbegrenzt, obwohl praktische Grenzen existieren (die gesamte FQDN-Länge darf 253 Zeichen nicht überschreiten; jedes Label darf 63 Zeichen nicht überschreiten).
Ebene 4: Autoritative Nameserver und Zonendateien
Autoritative Nameserver sind die Quelle der Wahrheit für die DNS-Einträge einer Domain. Sie antworten auf Anfragen mit gesetztem AA (Authoritative Answer)-Flag. Eine Zonendatei ist eine Klartextdatenbank, die alle Ressourceneinträge für eine Domain enthält.
Wichtige DNS-Eintragstypen, die jeder Administrator kennen muss:
| Eintragstyp | Zweck | Beispiel |
|---|
| — | — | — |
|---|
| A | Ordnet Hostname einer IPv4-Adresse zu | `www 300 IN A 93.184.216.34` |
|---|
| AAAA | Ordnet Hostname einer IPv6-Adresse zu | `www 300 IN AAAA 2606:2800:220:1:248:1893:25c8:1946` |
|---|
| CNAME | Alias, der auf einen anderen Hostnamen verweist | `blog CNAME www.example.com.` |
|---|
| MX | Mail-Exchanger mit Priorität | `@ 3600 IN MX 10 mail.example.com.` |
|---|
| NS | Delegiert Zone an Nameserver | `@ IN NS ns1.example.com.` |
|---|
| TXT | Beliebiger Text; verwendet für SPF, DKIM, DMARC | `@ IN TXT "v=spf1 include:_spf.google.com ~all"` |
|---|
| SOA | Start of Authority; Zonen-Metadaten | Serial, Refresh, Retry, Expire, minimale TTL |
|---|
| SRV | Dienststandort mit Port und Gewichtung | `_sip._tcp IN SRV 10 20 5060 sip.example.com.` |
|---|
| PTR | Reverse-DNS (IP zu Hostname) | Verwendet in `in-addr.arpa`-Zonen |
|---|
| CAA | Schränkt ein, welche CAs SSL-Zertifikate ausstellen können | `@ IN CAA 0 issue "letsencrypt.org"` |
|---|
CAA-Einträge verdienen besondere Aufmerksamkeit: Sie sind eine häufig übersehene Sicherheitskontrolle, die verhindert, dass nicht autorisierte Zertifizierungsstellen SSL-Zertifikate für Ihre Domain ausstellen. Wenn Ihr CAA-Eintrag die von Ihnen verwendete CA nicht aufführt, schlägt die Zertifikatsausstellung fehl.
Rekursive Resolver vs. autoritative Server: Ein entscheidender Unterschied
Diese beiden Komponenten sind architektonisch unterschiedlich und werden von Neulingen oft verwechselt.
| Attribut | Rekursiver Resolver | Autoritativer Nameserver |
|---|
| — | — | — |
|---|
| Rolle | Fragt im Auftrag von Clients ab | Beantwortet Anfragen über eigene Zonen |
|---|
| Datenquelle | Cache + vorgelagerte Anfragen | Zonendatei (lokale Datenbank) |
|---|
| AA-Flag in der Antwort | Nicht gesetzt | Gesetzt |
|---|
| Beispiele | ISP-Resolver, 8.8.8.8, 1.1.1.1 | BIND, PowerDNS, NSD, Route 53 |
|---|
| Cached Antworten | Ja (respektiert TTL) | Nein (liefert autoritative Daten) |
|---|
| Betrieben von | ISPs, Unternehmen, öffentliche Anbieter | Domain-Inhaber, Hosting-Anbieter |
|---|
Ein einzelner Server kann technisch gesehen beide Rollen ausführen, dies wird jedoch in der Produktion aufgrund von Sicherheits- und Leistungsimplikationen dringend abgeraten (offene Resolver sind ein Angriffsvektor für DNS-Amplification-DDoS-Angriffe).
DNSSEC: Kryptografische Integrität für die DNS-Kette
Standard-DNS hat keine eingebaute Authentifizierung — Antworten können durch Cache-Poisoning-Angriffe gefälscht werden (der Kaminsky-Angriff ist der bekannteste). DNSSEC (DNS Security Extensions) begegnet diesem Problem, indem digitale Signaturen zu DNS-Einträgen hinzugefügt werden.
Die DNSSEC-Vertrauenskette funktioniert wie folgt:
- Jede Zone signiert ihre Einträge mit einem Zone Signing Key (ZSK)
- Der öffentliche Schlüssel des ZSK wird als DNSKEY-Eintrag veröffentlicht
- Die übergeordnete Zone signiert einen Hash des DNSKEY der untergeordneten Zone und erstellt einen DS (Delegation Signer)-Eintrag
- Diese Kette erstreckt sich von der Root-Zone (dem ultimativen Trust-Anchor) bis zu einzelnen Einträgen
Die DNSSEC-Validierung erfolgt auf der Ebene des rekursiven Resolvers. Validatoren prüfen Signaturen gegen veröffentlichte Schlüssel; wenn die Validierung fehlschlägt, gibt der Resolver `SERVFAIL` zurück, anstatt einer potenziell vergifteten Antwort.
Betrieblicher Hinweis: DNSSEC erhöht die Komplexität der Zonenverwaltung erheblich. Key-Rollovers, Signaturablauf und DS-Eintragssynchronisierung mit der übergeordneten Zone sind häufige Ursachen für Ausfälle. Testen Sie die DNSSEC-Konfiguration immer mit Tools wie `dnsviz.net`, bevor Sie sie in der Produktion aktivieren.
DNS in Hosting-Umgebungen: Praktische Überlegungen
Propagation vs. TTL
„DNS-Propagation” ist ein weit verbreiteter Fehlbegriff. Was tatsächlich passiert, ist das TTL-Ablaufen über Caches hinweg. Wenn Sie einen A-Eintrag ändern, werden Resolver, die den alten Wert gecacht haben, ihn weiterhin liefern, bis die TTL abläuft. Es gibt keinen aktiven „Push”-Mechanismus im Standard-DNS.
Um Ausfallzeiten bei Migrationen zu minimieren:
- Senken Sie die TTL der betroffenen Einträge mindestens 24–48 Stunden vor der Änderung auf 300 Sekunden (damit bestehende Caches ablaufen können)
- Nehmen Sie die DNS-Änderung vor
- Nachdem Sie bestätigt haben, dass die neue Konfiguration stabil ist, stellen Sie die TTL auf einen Produktionswert wieder her (3600–86400 Sekunden)
Split-Horizon-DNS
In Umgebungen mit öffentlichen und privaten Netzwerksegmenten — üblich bei VPS Hosting oder Dedicated Servers — liefert Split-Horizon-DNS (auch Split-Brain-DNS genannt) unterschiedliche Antworten basierend auf der Quelle der Anfrage. Interne Clients lösen `db.example.com` zu einer privaten RFC-1918-Adresse auf; externe Clients erhalten die öffentliche IP oder eine Load-Balancer-Adresse. Dies wird in BIND mithilfe von `view`-Direktiven oder in PowerDNS über Lua-Scripting implementiert.
Reverse-DNS (PTR-Einträge)
Reverse-DNS ordnet IP-Adressen mithilfe der `in-addr.arpa` (IPv4)- oder `ip6.arpa` (IPv6)-Zonen Hostnamen zu. PTR-Einträge sind entscheidend für:
- E-Mail-Zustellbarkeit — viele empfangende Mailserver lehnen E-Mails von IPs ohne passende PTR-Einträge ab oder bestrafen sie stark
- Sicherheits-Logging — Anreicherung von Firewall- und Zugriffsprotokollen mit Hostnamen
- Compliance — einige regulatorische Rahmenbedingungen erfordern Reverse-DNS für Audit-Trails
Wenn Sie ein E-Mail-Hosting-Setup oder einen selbstverwalteten Mailserver betreiben, stellen Sie sicher, dass Ihr Hosting-Anbieter einen PTR-Eintrag für die IP-Adresse Ihres Servers konfiguriert hat.
DNS und SSL-Zertifikatsbereitstellung
DNS-01-ACME-Challenges (verwendet von Let’s Encrypt und anderen CAs) erfordern das Schreiben eines spezifischen TXT-Eintrags in die Zone Ihrer Domain, um die Domain-Kontrolle nachzuweisen. Diese Methode ist für die Ausstellung von Wildcard-Zertifikaten erforderlich. Automatisiertes Zertifikatsmanagement (über `certbot` oder `acme.sh`) erfordert API-Zugriff auf Ihren DNS-Anbieter, um diese TXT-Einträge programmgesteuert zu erstellen und zu entfernen.
Häufige DNS-Fehlermodi und Diagnose
Das Verständnis von Fehlermodi ist das, was einen kompetenten Administrator von jemandem unterscheidet, der einfach nur Tutorials befolgt.
NXDOMAIN — Der abgefragte Name existiert nicht in der Zone. Häufige Ursachen: Tippfehler im Eintragsname, Zone nicht geladen oder Delegierung zeigt auf falsche Nameserver.
SERVFAIL — Der Server konnte die Anfrage nicht abschließen. Häufige Ursachen: DNSSEC-Validierungsfehler, nicht erreichbare autoritative Server oder eine fehlerhafte Zonendatei (Syntaxfehler in SOA- oder NS-Einträgen).
Veralteter Cache — Der Resolver liefert einen abgelaufenen oder veralteten Eintrag. Verwenden Sie `dig +nocache` oder fragen Sie den autoritativen Server direkt ab, um Resolver-Caches zu umgehen.
Lame Delegation — Die NS-Einträge der übergeordneten Zone verweisen auf Nameserver, die nicht tatsächlich autoritativ für die Zone sind (die Zone nicht geladen haben). Dies ist ein stiller Fehlermodus, der zu intermittierenden Auflösungsfehlern führt.
Wichtige Diagnosebefehle:
“`bash
Query a specific resolver for an A record
dig @8.8.8.8 www.example.com A
Trace the full resolution path from root
dig +trace www.example.com
Check authoritative answer directly
dig @ns1.example.com www.example.com A +norec
Verify reverse DNS
dig -x 93.184.216.34
Check DNSSEC chain
dig www.example.com A +dnssec
Inspect SOA record (useful for checking serial after zone update)
dig example.com SOA
“`
DNS-Leistungsoptimierung
- Anycast-Deployment — Autoritative Server, die über Anycast bereitgestellt werden, antworten vom geografisch nächstgelegenen Knoten, was die Anfragelatenz reduziert
- TTL-Abstimmung — Höhere TTLs (3600–86400s) reduzieren die Resolver-Last und verbessern die Cache-Trefferquoten für stabile Einträge; niedrigere TTLs (60–300s) ermöglichen schnelleres Failover für dynamische Infrastruktur
- Negatives Caching — NXDOMAIN-Antworten werden für die im minimalen TTL-Feld des SOA angegebene Dauer gecacht; übermäßig lange negative TTLs verzögern die Wiederherstellung nach Fehlkonfigurationen
- EDNS Client Subnet (ECS) — Ermöglicht rekursiven Resolvern, einen Teil der Client-IP an autoritative Server weiterzuleiten, was genauere Geo-Routing-Entscheidungen ermöglicht (auf Kosten eines gewissen Datenschutzes)
- DNS over HTTPS (DoH) / DNS over TLS (DoT) — Verschlüsselt DNS-Anfragen während der Übertragung und verhindert ISP-seitige Abfangung und Manipulation; zunehmend wichtig für datenschutzsensible Deployments
Entscheidungsmatrix: Die richtige DNS-Konfiguration wählen
| Szenario | Empfohlener Ansatz |
|---|
| — | — |
|---|
| Einfache Website, einzelner Server | A-Eintrag, der auf Server-IP zeigt; geringe Komplexität |
|---|
| Multi-Region-Webanwendung | Geo-DNS oder gewichteter CNAME über verwalteten DNS-Anbieter |
|---|
| Selbst gehosteter Mailserver | A + MX + PTR + SPF/DKIM/DMARC TXT-Einträge obligatorisch |
|---|
| Wildcard-SSL-Zertifikat | DNS-01-ACME-Challenge; erfordert DNS-API-Zugriff |
|---|
| Interne Dienste (privates Netzwerk) | Split-Horizon-DNS mit interner Zone |
|---|
| Hochsicherheits-Domain | DNSSEC + CAA-Einträge + DMARC-Richtlinie |
|---|
| Anforderung an schnelles Failover | TTL <= 300s bei kritischen Einträgen; Health-Check-basiertes Routing |
|---|
| Prävention von Subdomain-Übernahmen | Verwaiste CNAME-Einträge regelmäßig prüfen |
|---|
Technische Kernpunkte
- DNS-Auflösung ist eine mehrstufige Delegierungskette: Stub-Resolver > rekursiver Resolver > Root > TLD > autoritativer Server
- Die 13 Root-Server-Cluster (keine einzelnen Maschinen) verwenden Anycast, um über 1.500 physische Instanzen weltweit zu bedienen
- TTL steuert die Cache-Dauer — „Propagation” ist lediglich das Warten auf den Cache-Ablauf, kein aktiver Push
- Autoritative Server halten Zonendateien; rekursive Resolver cachen und leiten weiter — verwechseln Sie die beiden Rollen niemals
- DNSSEC fügt kryptografische Validierung hinzu, erhöht aber die betriebliche Komplexität; Key-Rollovers und DS-Synchronisierung sind häufige Fehlerpunkte
- PTR-Einträge sind für Mailserver-Deployments und Sicherheits-Logging unverzichtbar
- CAA-Einträge schränken ein, welche Zertifizierungsstellen SSL-Zertifikate für Ihre Domain ausstellen können
- Lame Delegations und veraltete negative Caches gehören zu den heimtückischsten DNS-Fehlermodi
- Verwenden Sie immer `dig +trace`, um Auflösungsprobleme von der Root nach unten zu diagnostizieren, anstatt sich auf die Ausgabe auf Resolver-Ebene zu verlassen
Häufig gestellte Fragen
Was ist der Unterschied zwischen einem rekursiven Resolver und einem autoritativen DNS-Server?
Ein rekursiver Resolver fragt die DNS-Hierarchie im Auftrag eines Clients ab und cached Antworten. Ein autoritativer DNS-Server hält die eigentliche Zonendatei für eine Domain und gibt definitive Antworten mit gesetztem AA-Flag zurück. Sie sind architektonisch getrennte Rollen, obwohl ein einzelner Daemon technisch gesehen beide ausführen kann.
Warum dauert die DNS-Propagation so lange, nachdem ich einen Eintrag geändert habe?
DNS „propagiert” nicht in einem aktiven Sinne. Resolver cachen Einträge für die Dauer der TTL, die auf dem Eintrag festgelegt ist. Wenn Ihr A-Eintrag eine TTL von 86400 Sekunden (24 Stunden) hat, werden Resolver, die den alten Wert gecacht haben, ihn bis zu 24 Stunden lang weiterhin liefern. Um dies zu minimieren, senken Sie die TTL mindestens 24 Stunden vor einer Änderung auf 300 Sekunden.
Was verursacht eine SERVFAIL-Antwort und wie behebe ich sie?
SERVFAIL resultiert am häufigsten aus einem DNSSEC-Validierungsfehler, nicht erreichbaren autoritativen Nameservern oder einer beschädigten/fehlerhaften Zonendatei. Verwenden Sie `dig +dnssec`, um auf DNSSEC-Probleme zu prüfen, verifizieren Sie, dass Ihre autoritativen Server erreichbar sind und antworten, und validieren Sie Ihre Zonendatei-Syntax mit `named-checkzone`.
Benötige ich DNSSEC für meine Domain?
DNSSEC wird dringend für Domains empfohlen, die sensible Transaktionen, E-Mail-Infrastruktur oder Finanzdienstleistungen abwickeln. Es verhindert Cache-Poisoning-Angriffe. Es fügt jedoch betrieblichen Overhead hinzu — Key-Rollovers und DS-Eintragsverwaltung erfordern sorgfältige Automatisierung. Für die meisten Produktionsdomains überwiegt der Sicherheitsvorteil die Komplexität.
Welche DNS-Einträge sind für einen funktionierenden Mailserver erforderlich?
Mindestens: ein MX-Eintrag, der auf den Hostnamen Ihres Mailservers zeigt, ein A-Eintrag, der diesen Hostnamen auflöst, ein PTR-Eintrag für die IP des Servers (konfiguriert von Ihrem Hosting-Anbieter) sowie TXT-Einträge für SPF, DKIM und DMARC. Das Fehlen eines dieser Einträge führt zu Zustellungsfehlern oder direkter Ablehnung durch empfangende Mailserver.