DNS Records: Welche werden benötigt?

[Dagobert-Duck]

Hi.

Eine grundsätzliche Frage zu den Standard-DNS-Einträgen.

I.d.R. werden folgende Records für eine neue Domain vom Hoster aus gesetzt:

Domain: example.de Ziel-IPv4: 1.2.3.4

#	Name	Typ	Wert	TTL
1		A	1.2.3.4	3600
2	*	A	1.2.3.4	3600
3	www	A	1.2.3.4	3600
4		MX	example.de	3600
5		NS	ns1.hoster.de	3600
6		NS	ns2.hoster.de	3600
7		NS	ns3.hoster.de	3600

zu #1: So wie ich es gelesen habe, muss #1 zwingend ein A-Record sein; ein CNAME-Eintrag soll hier nicht möglich sein. Was ist hier der technische Hintergrund? Warum ist es nicht möglich, hier einen CNAME-Record auf example.dyndns.org zu setzen?

zu #2: Hier wird das Ziel für alle Subdomains angegeben. Hier könne wohl ein CNAME-Record rein, sei aber angeblich nicht empfehlenswert, wegen einer zusätzlichen DNS-Abfrage auf die gleiche Domain? Was genau ist hier gegen einzuwenden? Erhöhte Laufzeit?

zu #3: Wofür brauche ich diesen Eintrag überhaupt, wenn ich doch schon alle Subdomains unter #2 gesetzt habe? Fällt www da nicht automatisch mit rein? Kann man sich diesen Record dann nicht gleich sparen?

Der Rest für Mail und Nameserver ist mir soweit klar und leuchtet mir auch ein.

Kann mir hier jemand meine Fragen beantworten? Oder hat jemand hierzu evtl. einen weiterführenden Link für mich? Würde mich freuen...

Danke + Gruß
Dominik

 

[chrsto]

zu 1: korrekt, das darf nur ein A Record sein.

Hintergrund ist, dass eine Subdomain, die via CNAME weitergeleitet (richtig wäre: Alias) wird, keine weiteren Einträge haben darf. Der DNS Server würde nicht entscheiden können, was denn nun stimmt, die Weiterleitung, oder der lokale Eintrag. Eine Domain hat aber zwingend mehrere Einträge (SOA, MX, NS ....).

Beispiel anhand der Domain beispiel.de:

Es existieren folgende Einträge:

CNAME anderedomain.de
MX example.de
NS ns1.hoster.de

Jetzt wird der zuständige Mailserver abgefragt. Was würde stimmen? Die (grundsätzliche) Weiterleitung nach anderedomain.de und die dortigen MX Einträge oder der lokale MX Eintrag example.de ?

Ich hoffe, das war verständlich.

zu 2: CNAME auf die gleiche Domain? Dafür gibt es A Records. Das wäre eine Abfrage. CNAME wären 2.

zu 3: * würde auch www mit einschließen.

 

[padowa76]

Der zuständige Mailserver wird über den MX-Record ermittelt bzw. wenn kein MX gesetzt ist wird der A-Record verwendet. Das CNAME ist bei Mails ganz außen vor.

 

[chrsto]

Nein:

dig test2.n3xt.net

; <<>> DiG 9.18.12-1~bpo11+1-Debian <<>> test2.n3xt.net
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 20067
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
; COOKIE: b7aacd1561c066cf0100000064088b4c63679ab3fb3e4cbf (good)
;; QUESTION SECTION:
;test2.n3xt.net.                        IN      A

;; ANSWER SECTION:
test2.n3xt.net.         3600    IN      CNAME   heise.de.
heise.de.               86400   IN      A       193.99.144.80

;; Query time: 75 msec
;; SERVER: 172.16.2.200#53(172.16.2.200) (UDP)
;; WHEN: Wed Mar 08 14:19:08 CET 2023
;; MSG SIZE  rcvd: 109

dig test2.n3xt.net MX

; <<>> DiG 9.18.12-1~bpo11+1-Debian <<>> test2.n3xt.net MX
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 5831
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
; COOKIE: 63bfff0a25a53d600100000064088b53c230413f6fa22a05 (good)
;; QUESTION SECTION:
;test2.n3xt.net.                        IN      MX

;; ANSWER SECTION:
test2.n3xt.net.         3593    IN      CNAME   heise.de.
heise.de.               86400   IN      MX      10 relay.heise.de.

;; Query time: 19 msec
;; SERVER: 172.16.2.200#53(172.16.2.200) (UDP)
;; WHEN: Wed Mar 08 14:19:15 CET 2023
;; MSG SIZE  rcvd: 115

 

[padowa76]

Laut RFC 2181 (10.3) ist es aber unzulässig (aber ggf. technisch möglich), einen MX-Record auf den CNAME der eigenen Domain zeigen zu lassen

 

[chrsto]

Das wird hier auch nicht gemacht.

Es gibt hier

test2.n3xt.net IN CNAME heise.de.

Damit ist test2.n3xt.net ein Alias von heise.de geworden.

 

[Benares]

Ich habe eine Domain bei netcup. Da habe ich mich auch gefragt, ob bereits der Wert in der 2. Zeile ein CNAME sein könnte. Das ging aber nicht (wurde verweigert). Jetzt sind die Einstellungen so:


bedeutet example.com und mail.example.com lösen auf die IP bei netcup auf, alles andere (irgendwas.example.com) auf den CNAME (bei mir meine MyFritz-Adresse).

Meint ihr, das ist ok so?

 

[Dagobert-Duck]

Danke für den Input.
@chrsto So ganz hab ich es leider noch nicht verstanden. (sorry) Aber vielleicht fehlt mir hier nur noch ein kleiner Schritt ;-)

Also würd ich gern kurz noch einen Schritt zurückgehen:
Eine Domain besteht mindestens aus einer Top-Level-Domain, gefolgt von einer Second-Level-Domain, ggf. folgen dann auch noch Third-Level-Domains; muss aber nicht. Das heißt, dass beispiel.de eine ausreichende Angabe ist, um ein Ziel über DNS-Records zu erreichen. Korrekt?

Weshalb muss nun der Record für diese Second-Level-Domain ZWINGEND ein A-Record sein?
Wenn hier nun ein CNAME auf beispiel.dyndns.de gesetzt sein würde, dann würden doch auch alle anderen Records auch dieser Regel folgen; MX-Records, oder weitere CNAME-Records wüssten dann, dass sie ebenfalls nach beispiel.dyndns.de routen müssten.

Letztendlich ist ja dann spätestens beim DynDNS-Dienst ein A-Record für beispiel.dyndns.de gesetzt.

Also würde dann subdomain.beispiel.de auf beispiel.de verweisen; während beispiel.de auf beispiel.dyndns.de zeigt, wo dann letztendlich die Route über einen A-Eintrag nach 1.2.3.4 aufgelöst wird.

---

Dein Beispiel mit dem mx-Eintrag für den Mailserver.
Auch wenn kein A-Record für die Second-Level-Domain gesetzt ist, stellt sich doch gar nicht die Frage, wohin die Route mx.beispiel.de gehen soll. Es gibt doch letztendlich sowieso nur ein Ziel, nämlich bei beispiel.dyndns.de. Das bedeutet, dass mx.beispiel.de eindeutig nach mx.beispiel.dyndns.de leiten müsste. Es gibt dann doch gar kein 'lokales' Ziel, da alles zur DynDNS-Adresse geht.

 

[chrsto]

Damit deine Secondlevel Domain beispiel.de funktioniert (aufgelöst werden kann) braucht sie zwingend SOA und NS Einträge. Das schließt das Vorhandensein eines CNAME Eintrages aus. Das mit der MX Abfrage war nur beispielthaft gemeint.


EDIT: NS Einträge könnte man ggf. - ohne jetzt näher nachgedacht zu haben - über GLUE Records ersetzen. Aber dann fehlt dir immer noch SOA.

 

[Dagobert-Duck]

Okay. Alles klar. Wenigstens die NS-Einträge müssen ja definitiv beim Hoster selbst liegen und haben damit logischerweise ein anderes Ziel.
Jetzt verstehe ich, wo dann die Frage des Dienstes herkommt, ob nun zu mx.meinziel.de oder zu mx.hosterziel.de geroutet werden muss.

Danke Dir. War ne schwere Geburt. ;-)

Zusammenfassend:
Wenn man nun mal Lösungen über Hetztner, Netcup & Co. außen vor lässt, dann ist das komplette Hosting einer Domain von Zuhause aus nur mit einer statischen IPv4 möglich. Zwar könnte man alle Third-Level-Domains und auch den Mail-Server zu sich nach Hause routen lassen, aber spätestens beim alleinigen Aufruf der Second-Level-Domain landet man im Nirvana, weil man die einfach nicht zu sich nach Hause geleitet bekommt.

(Es sei denn, man aktualisiert täglich beim Domain-Hoster manuell den A-Record für beispiel.de auf die z. Zt. vorhandene eigene IPv4 des eigenen Anschlusses)

Ist das abschließend so richtig?

 

[chrsto]

Korrekt. Allerdings ist das alles wenig sinnvoll:

1. Mailserver zu Hause ohne feste IP: Auf nahezu jedem Mailserver werden Dialup IP Adressen wegen Spam gefiltert, sodass eine Mailzustellung unmöglich wird.
2. Damit das alles überhaupt funktioniert, muss die TTL sehr niedrig eingestellt sein, damit deine Adressänderung auch zeitnah umgesetzt wird. Sobald dein DNS mal weg sein sollte, bricht dein ganzes System zusammen.

 

[Dagobert-Duck]

Alles klar. War auch nur ein theoretischer Gedanke. Habe ja auch einen root bei netcup stehen, auf welchem meine wichtigen Adressen über ISPConfig verwaltet werden - war es eben auch immer gewohnt, auch zuhause im proxmox mit ein paar Trash-Domains rumzuspielen und auszuprobieren.
Jetzt läuft mein Vodafone Business aus und ich habe es in Erwägung gezogen, wieder ein Privatkundentarif ohne feste IP zu nehmen. Lohnt aber alles nicht. Der ist mittlerweile nur noch 10 Euro günstiger. Früher hat der 1000er als Privatkunde 40,- und der gleichgestellte Business 83,- gekostet. Jetzt kostet der private schon 60,- und der Business sogar nur 72,-

Aber dennoch schön, das nun alles einmal mit den DNS-Records kapiert zu haben. Ich danke Dir.

 

[mathew1]

es wurde für diese Problematik mit dem CNAME ein ALIAS Record-Type eingeführt:

Alias RR Type

This document describes a new DNS record type, ALIAS, which is used by authoritative name servers to resolve a stored host name to its corresponding A or AAAA records at request time.

datatracker.ietf.org

Damit läuft das wie gewünscht.
Von diversen modernen Webhostern bekommt man ja auch keine IP des Webservers mehr sondern einen Namen.
Genau dort kann der ALIAS-Record eingesetzt werden - also nicht nur in Zusammenhang mit Dyndns,

Gleichzeitig gibt es diverse unmoderne DNS-Systeme die den ALIAS-Typ (noch) nicht kennen.
Dann einfach die DNS-Zone auf einen anderen DNS-Service umziehen.