DNS Server oder Resolver

23. September 2025 Lucas Peters Lesezeit: 3 Minuten 🗪 4 Kommentare Auf Mastodon ansehen

DNS ist das zentrale Adressbuch des Internets. Doch was steckt hinter Begriffen wie Relay, Resolver oder Registry? In diesem Artikel werfen wir einen Blick auf die Grundlagen und zeigen, welche Optionen sich fürs Self-Hosting wirklich lohnen.

Basierend auf einem Leserwunsch zum Thema DNS gibt es nun einen Artikel, der das Thema DNS etwas weiter beleuchtet

Gerade beim Thema selbst hosten, kommt hin und wieder das Thema Resolver, Relay o.ä. auf. Nicht immer ist klar, was nun was ist.

Was ist DNS?

DNS ist das digitale Telefonbuch des Internets.
Jedes Gerät im Internet hat eine IP-Adresse (z. B. 123.456.123.456). Damit man sich aber nicht diese Zahlen merken muss, gibt es Domain-Namen wie meinedomain.de.

Ähnlich also wie Koordinaten und Adressen.

Das Domain Name System (DNS) sorgt dafür, dass dein Computer weiß: „Wenn jemand meinedomain.de aufruft, dann steckt dahinter die IP-Adresse X.“

Die Verwaltung funktioniert so:

Registry: Das ist die Organisation, die eine Endung wie .de oder .ch betreut. Bei .de ist es die DENIC, bei .ch die SWITCH.
Registrar: Das ist dein Anbieter, bei dem du eine Domain kaufen kannst (z. B. IONOS, Hostpoint). Der kümmert sich darum, dass deine Domain bei der Registry eingetragen wird. Und hinterlegt die Einträge im DNS Server.
Autoritativer DNS-Server: Das ist der Server, auf dem die echten Einträge für deine Domain liegen (z. B. A-Record für die IP deiner Website, MX-Record für E-Mails).

Wenn du also gnulinux.ch aufrufst, läuft das so:

Dein Computer fragt: „Wo finde ich gnulinux.ch?“
Die .ch-Registry (SWITCH) sagt: „Frag bitte diesen DNS-Server.“
Der autoritative Server von gnulinux.ch liefert die IP zurück.
Dein Browser verbindet sich mit dieser IP.

Ähnlich also wie Koordinaten (IP-Adresse) und eine Adresse (Domain).

Selbst Hosten

Wenn du zu Hause oder im eigenen Netzwerk DNS selbst betreibst, stößt du auf zwei Begriffe: Relay und Resolver.

DNS-Relay (Weiterleiter)

Nimmt die Anfragen deiner Geräte entgegen.
Leitet sie einfach an einen anderen DNS-Server weiter.
Beispiel: AdGuard Home. Wenn du dort 9.9.9.9 (Quad9) als Upstream einträgst, läuft der Weg so:

Handy → AdGuard → Quad9 → Internet
Vorteil: Einfach einzurichten, zusätzliche Filtermöglichkeiten.
Nachteil: Du bist vom externen Server abhängig und gibst ihm deine Daten.

Rekursiver Resolver (eigene Nachforschung)

Holt die Antwort selbst direkt von den Root-Servern und arbeitet sich Schritt für Schritt durch (Root → .de → zuständiger Server).
Beispiel: Unbound (oft schon in Routern/Firewalls wie OPNSense integriert).
Vorteil: Volle Kontrolle, Datenschutz, DNSSEC-Prüfung.
Nachteil: etwas mehr Einrichtung und Pflege nötig.

Vor und Nachteile

Eine strenge Trennung ist schwierig, da die Systeme oft kombiniert werden (z. B. AdGuard mit Unbound). Grundsätzlich gilt:

Externe DNS-Dienste (Quad9, Cloudflare, Google DNS):
- Schnell, einfach, zusätzliche Malware-Filter
- Zentrale Stelle sieht alle Anfragen
Eigener Resolver (z. B. Unbound):
- Datenschutz, volle Kontrolle, keine Abhängigkeit
- Höherer Aufwand, deine IP ist direkt bei den Ziel-Servern und Internetprovider sichtbar

Ich habe in meinem Heimnetz einen Adguard für diverse Filterlisten, welche dann die Anfragen an Quad9 sendet.

Das ist für mich das optimum aus Privatsphäre, Sicherheit, Ausfallsicherheit und vertretbarem Aufwand im Hosting.

Praxis-Beispiel

In meinem Heimnetz nutze ich AdGuard Home als Filter (Blocklisten, Statistiken).
Dieser schickt Anfragen an Quad9, um zusätzliche Sicherheitsfilter zu nutzen.

Für mich ist das ein guter Kompromiss:

Privatsphäre (eigene Filter)
Sicherheit (Quad9 blockt Malware-Domains)
Ausfallsicherheit (Quad9 hat globale Infrastruktur)
geringer Hosting-Aufwand

Quellen:

Titelbild: ChatGPT

Geschrieben von tux0r am 23. September 2025 um 14:31

Nachteil Quad9, weshalb ich ja den Artikel zu Technitium geschrieben hatte: die zensieren Websites und es kommt dem Datenschutz nicht entgegen, alle besuchten Websites einem Drittanbieter zur Auflösung mitzuteilen.

Antworten

Geschrieben von Naja am 24. September 2025 um 11:49

Als Alternative zu den genannten externen DNS-Diensten würde ich noch DNS4EU und dnsforge (bei Nutzung bitte gelegentlich spenden) in die Diskussion werfen. Dort lässt sich jeweils aussuchen ob/was gefiltert wird, und die Anfragen bleiben in der EU:

[https://de.wikipedia.org/wiki/DNS4EU]()

[https://dnsforge.de/]()

Geschrieben von Robert am 24. September 2025 um 19:05

Das mit den DNS-Servern ist echt nicht so leicht. Die meisten Leute verbleiben aus Unwissenheit oder Bequemlichkeit (was läuft, läuft) beim DNS-Server des Internetprovider. Sehr vielen ist nicht bewusst, das ein DNS-Server grundsätzlich alle Anfragen lesen und speichern kann. Hinzu kommt, dass DNS-Server zu Filterungs- und Zensurzwecken, in gutmütiger Art und Weise durch Blockierung von Trackern und Werbung oder aber in bösartiger Absicht durch falsche Antworten oder Umleitungen missbraucht werden können. So können DNS-Server völlig unbemerkt Webseiten Shadowbannen, indem Anfragen einfach ins leere laufen und ein "nicht gefunden" zurückliefern und beim Benutzer der Eindruck entsteht eine bestimmte Webseite würde nicht mehr existieren - obwohl sie tatsächlich weiterhin im Internet existent ist.

In diesem Zusammenhang ist vielleicht das DNS-Projekt einer französischen NGO https://www.dns0.eu/ erwähnenswert, die zudem auch https://nextdns.io/ betreiben um etwas Geld in die Kasse zu bekommen. Und auf der anderen Seite der DNS-Medaille gibt es noch https://blog.uncensoreddns.org/

Andernfalls gibt es eine riesengroße Auswahl: https://www.bestdns.org/ (134.000 !! DNS Server) https://www.publicdns.xyz/ https://public-dns.info/ https://publicdnsserver.com/

Wobei man nie wissen kann, ob dort jemand seine DNS-Dienste nur anbietet um dann zu erfahren wohin ihr euch verbinden lassen wollt. Vielleicht ist es ja wirklich klug nur noch bei den Root-Serven anzufragen oder den eigenen DNS-Server monatlich zu wechseln, aber wer macht das schon?