Wenn ein Dienst plötzlich nicht mehr erreichbar ist, denken die meisten sofort an Server-Ausfälle, Netzwerkprobleme oder Fehler im Anwendungscode. Doch häufig liegt die Ursache an einer weniger beachteten Stelle: im DNS. Ein einziger fehlerhafter oder fehlender DNS-Eintrag kann dazu führen, dass ein Dienst für Nutzer weltweit unsichtbar wird – obwohl die zugrundeliegende Infrastruktur vollständig funktionsfähig ist.
Was DNS-Monitoring eigentlich bedeutet
DNS-Monitoring bezeichnet die regelmaessige, automatisierte Ueberpruefung von DNS-Eintraegen und der gesamten DNS-Aufloesungskette. Dabei geht es nicht nur darum, ob ein Hostname ueberhaupt aufloesbar ist, sondern auch darum, ob die zurueckgelieferten Werte korrekt sind, ob die Antwortzeiten im erwarteten Bereich liegen und ob sich Eintraege unbemerkt geaendert haben.
Fuer Unternehmen, die mehrere Domains, Subdomains oder externe Dienste betreiben, ist DNS-Monitoring keine optionale Ergaenzung, sondern ein Grundbaustein zuverlaessiger Infrastruktur.
Welche DNS-Eintraege ueberwacht werden sollten
- A- und AAAA-Records: Zeigen, auf welche IPv4- oder IPv6-Adresse ein Hostname aufloest. Aendert sich dieser Wert ohne bekannte Ursache, kann das auf DNS-Hijacking oder eine fehlerhafte Konfiguration hinweisen.
- CNAME-Records: Verweisen auf einen anderen Hostnamen. Bricht die CNAME-Kette, ist der Dienst nicht mehr erreichbar.
- MX-Records: Steuern den E-Mail-Empfang. Ein fehlender oder falscher MX-Eintrag sorgt dafuer, dass eingehende E-Mails gebounced werden.
- TXT-Records: Enthalten SPF-, DKIM- und DMARC-Konfigurationen. Fehler hier fuehren dazu, dass E-Mails als Spam markiert oder abgelehnt werden.
- NS-Records: Legen fest, welche Nameserver fuer eine Domain zustaendig sind. Eine unerwartete Aenderung ist ein ernstes Sicherheitssignal.
Was im Fehlerfall passiert
Das Tueckische an DNS-Fehlern ist ihre Latenz. Wegen TTL-Werten koennen fehlerhafte Eintraege noch stundenlang aus Caches bedient werden. Typische Szenarien ohne aktives DNS-Monitoring:
- Ein A-Record zeigt nach einem Serverumzug noch auf die alte IP.
- Ein TXT-Record fuer SPF wurde bei einem E-Mail-Provider-Wechsel nicht aktualisiert.
- Ein per CNAME eingebundener Drittanbieter-Dienst hat seine Domain aufgegeben.
- NS-Records wurden durch einen Angriff auf den Registrar geaendert.
DNS-Hijacking: Ein unterschaetztes Risiko
DNS-Hijacking bezeichnet das unbefugte Aendern von DNS-Eintraegen, um Nutzer auf andere Server umzuleiten. Angreifer koennen so Zugangsdaten abfangen, Phishing-Seiten ausliefern oder Dienste vollstaendig uebernehmen. Solche Angriffe finden haeufig ueber kompromittierte Registrar-Accounts statt.
Ein aktives DNS-Monitoring, das jeden Record-Wert mit einem bekannten Soll-Stand vergleicht, ist das einzige Mittel zur fruehen Erkennung. Eine Veraenderung ausserhalb eines definierten Aenderungsfensters muss sofort Alarm schlagen.
DNS ist die Telefonbuch-Infrastruktur des Internets. Wer sie nicht ueberwacht, weiss nicht, was gerade mit ihr passiert.
Propagation und Konsistenzpruefungen
DNS-Aenderungen verbreiten sich nicht sofort. Je nach TTL und Resolver-Cache kann es zwischen Minuten und Stunden dauern, bis ein neuer Eintrag weltweit sichtbar ist. Sinnvolles DNS-Monitoring prueft deshalb von mehreren geografischen Standorten gleichzeitig, ob Werte konsistent sind, Antwortzeiten im Normalbereich liegen und DNSSEC-Signaturen valide sind.
DNSSEC: Wenn Sicherheit falsch konfiguriert wird
DNSSEC fuegt kryptographische Signaturen zu DNS-Antworten hinzu. In der Praxis ist eine fehlerhafte DNSSEC-Konfiguration einer der haeufigsten Gruende fuer vollstaendige Nicht-Erreichbarkeit einer Domain. Wenn DNSSEC-Schluessel ablaufen oder inkonsistent konfiguriert sind, lehnen validierende Resolver die gesamte Domain als nicht vertrauenswuerdig ab.
DNSSEC-Monitoring muss deshalb nicht nur die Praesenz von Signaturen pruefen, sondern auch deren Gueltigkeit und Ablaufdatum.
Wie DNS-Monitoring in die Monitoring-Strategie passt
Ein Uptime-Monitor allein kann einen Dienst als unerreichbar markieren, ohne zu wissen, ob die Ursache im DNS liegt. Sinnvoll ist eine klare Trennung zwischen:
- Erreichbarkeit: Kommt eine HTTP-Antwort zurueck?
- DNS-Auflosung: Wird die richtige IP zurueckgeliefert?
- Record-Integritaet: Stimmen alle Werte mit dem Soll-Stand ueberein?
- Zertifikat: Ist das TLS-Zertifikat gueltig?
Mit FreshCore lassen sich neben Uptime-Monitoren auch Domain- und DNS-Pruefungen einrichten. Aenderungen an kritischen DNS-Eintraegen koennen direkt ueber konfigurierte Notification-Handler gemeldet werden.
Praktische Empfehlungen
- Alle produktiv genutzten Domains und Subdomains in die Monitoring-Konfiguration aufnehmen
- TTL-Werte kritischer Records kennen und im Aenderungsmanagement beruecksichtigen
- MX- und TXT-Records fuer E-Mail regelmaessig validieren
- Alarmierungen so konfigurieren, dass unerwartete Record-Aenderungen sofort gemeldet werden
- Nach geplanten DNS-Aenderungen gezielt auf Propagation pruefen
- DNSSEC-Ablaufdaten wie TLS-Zertifikate mit ausreichend Vorlaufzeit ueberwachen
Fazit
DNS ist die unsichtbare Grundlage jeder Erreichbarkeit. Fehler im DNS erzeugen keine klassischen Fehlermeldungen – Dienste sind einfach nicht da. Aktives DNS-Monitoring gibt Teams die Moeglichkeit, Probleme zu erkennen, bevor Nutzer sie bemerken. Wer das DNS im Blick behaelt, ist einer der haeufigsten Ursachen von Ausfaellen und Sicherheitsvorfaellen immer einen Schritt voraus.
Quellen: ICANN DNS Security Threat Mitigation Program; RIPE NCC Labs DNS Monitoring Reports; RFC 4033-4035 (DNSSEC).
