Welche DNS-Einträge überwacht der Monitor?

Standardmäßig A, AAAA, MX, NS, TXT und CNAME. Der Monitor erstellt bei jedem Check einen Snapshot der aufgelösten Werte und benachrichtigt, wenn sich etwas ändert — hinzugefügt, entfernt oder modifiziert.

Warum DNS überwachen — ist mein DNS-Provider nicht zuverlässig?

Zuverlässigkeit ist nicht das Problem — sondern Änderungen. DNS-Übernahmen, versehentliche Updates bei Migrationen, externe CDNs mit rotierenden IPs und Einbrüche bei Registrar-Konten – alles äußert sich als Änderung von Einträgen. DNS-Monitoring erkennt das innerhalb von Minuten statt Tagen.

Wie geht der Monitor mit TTL-Caching um?

Die Abfragen erfolgen gegen die autoritativen Nameserver (nicht deinen lokalen Resolver), daher verbirgt TTL-Caching keine Änderungen. Jeder Check macht eine neue autoritative Anfrage – wenn sich der Eintrag bei der Quelle geändert hat, sieht der Monitor das beim nächsten Check.

Kann ich den Status der DNSSEC-Validierung überwachen?

Ja. Der Monitor erfasst den DNSSEC-Status (signiert / nicht signiert) bei jedem Check und benachrichtigt über Änderungen. Eine Domain, die gestern noch DNSSEC-signiert war und jetzt als nicht signiert gemeldet wird, ist ein sicherheitsrelevanter Vorfall, der sofort untersucht werden sollte.

Bekomme ich Fehlalarme durch DNS-Loadbalancing?

Wenn dein A-Eintrag viele rotierende IPs zurückgibt, erkennt der Monitor bei jedem Check eine „Änderung“. Um dies zu unterdrücken, richte expected-values ein, die alle möglichen IPs enthalten, oder deaktiviere die Überwachung des A-Eintrags auf dieser Domain und verlass dich bezüglich Verfügbarkeit nur auf den HTTP-Check.

DNS-Überwachung — Erkennen Sie Änderungen und Übernahmen von Einträgen

DNS-Einträge, die sich ohne Ihr Wissen ändern, sind entweder Fehlkonfigurationen oder Übernahmen. Beides ist schlecht. Behalten Sie sie im Auge.

DNS als Fundament – und die einfachste Sache, die man vermasseln kann

DNS liegt allem anderen zugrunde: Jede Webanfrage, jede E-Mail, jeder API-Aufruf beginnt mit einem DNS-Lookup. Das macht stille Änderungen an DNS-Einträgen zu einem der am häufigsten ausgenutzten Angriffsvektoren – und zu einem der leichtesten Fehler, den ein nachlässiges Teammitglied machen kann. Eine DNS-Änderung kann deine Domain zu einer Phishing-Kopie deiner Seite umleiten, E-Mails durch den Server eines Angreifers routen, dich aus den Suchergebnissen werfen oder den ganzen Stack durch einen Tippfehler lahmlegen. Meistens sind DNS-Schäden nicht einmal böswillig; es handelt sich um eine routinemäßige Ops-Änderung, die jemand gemacht hat, ohne jemanden zu informieren, und die dann Downstream-Probleme verursacht hat.

DNS-Monitoring erkennt diese Änderungen, indem es bei jeder Überprüfung einen Snapshot deiner Einträge anfertigt und mit dem vorherigen vergleicht. Wenn sich seit dem letzten Mal ein überwachter Eintrag geändert hat, erhältst du eine Benachrichtigung. Egal ob geplante Änderung, die du zu kommunizieren vergessen hast, ein Konfigurationsfehler oder ein echter Hijack – du erfährst es innerhalb von Stunden.

Welche Einträge überwacht werden

Für jeden Monitor des Typs HTTP erfasst die tiefere tägliche Überprüfung folgende Eintragstypen:

A und AAAA: IPv4- und IPv6-Adressen, auf die der Hostname aufgelöst wird. Änderung – der Traffic geht woanders hin, absichtlich oder weil jemand deinen Registrar übernommen hat.
MX: Mail-Exchanger. Ein neuer (oder schlimmer, fehlender) MX-Eintrag bedeutet, dass E-Mails anders geroutet werden. Stiller E-Mail-Verlust ist ein Worst-Case-Szenario für jedes Unternehmen.
NS: Nameserver. Änderung – jemand hat deine DNS-Zone zu einem anderen Provider verschoben – die mächtigste Änderung, die man einer Domain antun kann. NS-Änderungen bedeuten fast immer entweder eine geplante Migration oder einen erfolgreichen Angriff auf den Registrar.
TXT: Beliebige Texte, häufig verwendet zur Domain-Validierung (Google, Microsoft, Stripe usw.) und für SPF/DKIM/DMARC.
SPF, DMARC, CAA: Spezielle Sicherheits-Einträge für E-Mails und Zertifikatsausstellung. Besonders eine Änderung bei CAA kann einem Angreifer ermöglichen, ein TLS-Zertifikat für deine Domain zu erhalten.

Das Dashboard zeigt alle aktuellen Einträge in der Detailansicht des Monitors an, sodass du auf einen Blick siehst, was aktuell veröffentlicht ist.

Erkennung von Änderungen

Der Monitor hält einen Snapshot der A-, AAAA-, MX- und NS-Einträge pro Monitor. Bei jeder tieferen Überprüfung werden die aktuellen Einträge mit dem Snapshot verglichen. Einträge, die verschwunden sind, werden als „entfernt“ markiert, neue als „hinzugefügt“. Beide Listen fließen in den Änderungsbericht ein.

Wenn sich ein überwachter Satz von Einträgen ändert, wird ein Alarm über die aktivierten Kanäle ausgelöst. Die Benachrichtigung nennt, welcher Eintragstyp sich geändert hat, und listet genau auf, was hinzugefügt und was entfernt wurde. Anstatt „DNS geändert für example.com“ erhältst du „MX für example.com: mail.oldhost.com entfernt, mail-1.attacker.com hinzugefügt“ – was die Situation sofort verständlich macht.

Du kannst DNS-Änderungsbenachrichtigungen unabhängig von anderen Alarmsignalen deaktivieren, etwa bei einer geplanten Migration mit viel „Krach“. Deaktiviere sie, führe die Migration durch und aktiviere sie wieder nach der Stabilisierung.

Warum das Dinge entdeckt, die andere Tools übersehen

Die meisten Uptime-Tools behandeln DNS wie eine Installation – sie nutzen es, um die URL aufzulösen und vergessen es dann. Aber in dem Moment, in dem ein Wettbewerber (oder Angreifer oder ein deployender Freitags-Gremlin) deinen DNS-Eintrag ändert, zeigt die Auflösung auf eine andere IP – und ein reiner HTTP-Monitor bleibt grün, weil auch das neue IP eine 200 zurückgibt. Ohne DNS-Monitoring bleibt die Änderung unsichtbar, bis jemand manuell prüft. Dann können schon Tage an E-Mails fehlen oder Wochen an Suchmaschinenpositionen verloren sein.

DNS-Monitoring erkennt auch Probleme beim DNS-Provider selbst. Manche Anbieter verlieren oder ändern gelegentlich Einträge beim Zonen-Update; andere haben regionale Störungen, wo Anfragen von einem Ort andere Ergebnisse liefern als von einem anderen. Der Vergleich der Snapshots deckt diese Instabilitäten auf.

Konfiguration

DNS-Monitoring ist für jeden HTTP-/Keyword-/API-Monitor automatisch aktiviert. Die erste tiefergehende Überprüfung (innerhalb von 24 Stunden nach Hinzufügen des Monitors) speichert den Basissnapshot – beim ersten Mal erfolgt keine Benachrichtigung, sondern erst bei Abweichungen in folgenden Checks. Um DNS-Änderungsalerts ein- oder auszuschalten, aktiviere oder deaktiviere „Über DNS-Änderungen benachrichtigen“ im Bereich „Benachrichtigungen“ unter „Einstellungen“. Die erweiterte Ansicht jedes Monitors zeigt jederzeit den vollständigen DNS-Status an, inklusive SPF, DMARC und CAA, die nicht auf Änderungen überwacht werden, aber für eine gelegentliche Kontrolle nützlich sind.

Häufig gestellte Fragen

Welche DNS-Einträge überwacht der Monitor?
Standardmäßig A, AAAA, MX, NS, TXT und CNAME. Der Monitor erstellt bei jedem Check einen Snapshot der aufgelösten Werte und benachrichtigt, wenn sich etwas ändert — hinzugefügt, entfernt oder modifiziert.
Warum DNS überwachen — ist mein DNS-Provider nicht zuverlässig?
Zuverlässigkeit ist nicht das Problem — sondern Änderungen. DNS-Übernahmen, versehentliche Updates bei Migrationen, externe CDNs mit rotierenden IPs und Einbrüche bei Registrar-Konten – alles äußert sich als Änderung von Einträgen. DNS-Monitoring erkennt das innerhalb von Minuten statt Tagen.
Wie geht der Monitor mit TTL-Caching um?
Die Abfragen erfolgen gegen die autoritativen Nameserver (nicht deinen lokalen Resolver), daher verbirgt TTL-Caching keine Änderungen. Jeder Check macht eine neue autoritative Anfrage – wenn sich der Eintrag bei der Quelle geändert hat, sieht der Monitor das beim nächsten Check.
Kann ich den Status der DNSSEC-Validierung überwachen?
Ja. Der Monitor erfasst den DNSSEC-Status (signiert / nicht signiert) bei jedem Check und benachrichtigt über Änderungen. Eine Domain, die gestern noch DNSSEC-signiert war und jetzt als nicht signiert gemeldet wird, ist ein sicherheitsrelevanter Vorfall, der sofort untersucht werden sollte.
Bekomme ich Fehlalarme durch DNS-Loadbalancing?
Wenn dein A-Eintrag viele rotierende IPs zurückgibt, erkennt der Monitor bei jedem Check eine „Änderung“. Um dies zu unterdrücken, richte expected-values ein, die alle möglichen IPs enthalten, oder deaktiviere die Überwachung des A-Eintrags auf dieser Domain und verlass dich bezüglich Verfügbarkeit nur auf den HTTP-Check.

DNS-Überwachung