# Welche DNS-Validierungstests führt der Enginsight Observer durch?

Ein Observer ist eine Enginsight Komponente, die auf Systemen an unterschiedlichen Standorten installiert werden kann, um Endpunkte – dies sind bei Enginsight interne und externe Webseiten – von außen zu überwachen.

Dazu gehört auch die Überprüfung des Endpunkts auf das Vorhandensein sicherheitsrelevanter DNS-Einträge (DNS-Records). Dies sind Anweisungen auf DNS-Servern, die Domain-Namen mit IP-Adressen und anderen Diensten verbinden. 

***

## Überprüfte DNS-Einträge

Generell überprüft der Enginsight Observer, ob folgende DNS-Einträge vorhanden sind und korrekt funktionieren:

<table><thead><tr><th width="146.54296875">DNS-Eintrag</th><th>Beschreibung</th></tr></thead><tbody><tr><td>A</td><td>Der DNS-Eintragstyp A (Address) verknüpft einen menschenlesbaren Domain-Namen wie <em>beispiel.com</em> mit einer maschinenlesbaren IPv4-Adresse.</td></tr><tr><td>AAAA</td><td>Der DNS-Eintragstyp AAAA (Quad-A) verknüpft einen menschenlesbaren Domain-Namen wie <em>beispiel.com</em> mit einer maschinenlesbaren IPv6-Adresse.</td></tr><tr><td><a href="#caa-record-certification-authority-authorization">CAA</a></td><td>Der DNS-Eintragstyp CAA (Certification Authority Authorization) legt fest, welche Zertifizierungsstelle (Certificate Authority; CA) SSL/TLS-Zertifikate für eine bestimmte Domain ausstellen darf. Dies dient dazu, Missbrauch zu verhindern. </td></tr><tr><td>CNAME</td><td>Der DNS-Eintragstyp CNAME (Canonical Name) verweist einen Domain- oder Subdomain-Namen als Alias auf einen anderen Domain-Namen. Zum Beispiel kann damit <em>www.beispiel.com</em> über einen CNAME auf <em>anderesbeispiel.beispiel.com</em> zeigen.</td></tr><tr><td><a href="#dmarc-record">DMARC</a></td><td>Der DNS-Eintragstyp DMARC (Domain-Based Message Authentication, Reporting and Conformance) legt fest, wie E-Mail-Server mit Nachrichten umgehen sollen, die die Authentifizierung nicht bestehen. Dies kann verhindern, dass Betrüger eine Domain für gefälschte E-Mails nutzen und hilft seriösen E-Mails, nicht fälschlicherweise als Spam erkannt zu werden.</td></tr><tr><td>MX</td><td>Der DNS-Eintragstyp MX (Mail Exchange) teilt dem Internet mit, welche E-Mail-Server für den Empfang von E-Mails für eine bestimmte Domain zuständig sind und in welcher Reihenfolge diese angefragt werden sollen.</td></tr><tr><td>NS</td><td>Der DNS-Eintragstyp NS (Name Server) gibt an, welcher Name-Server für eine bestimmte Domain oder Subdomain autoritativ ist, also die eigentlichen DNS-Einträge verwaltet, und dient als Wegweiser, damit Websites gefunden werden können.</td></tr><tr><td>PTR</td><td>Der DNS-Eintragstyp PTR (Pointer) ordnet eine IP-Adresse einem Domain-Namen zu. Er wird für Reverse-DNS-Lookups (rDNS) verwendet, um zu überprüfen, ob eine IP-Adresse tatsächlich zu dem Domain-Namen gehört, der sie vorgibt zu sein.</td></tr><tr><td>SOA</td><td>Der DNS-Eintragstyp SOA (Start of Authority) enthält administrative Metadaten wie den primären Name-Server, die E-Mail-Adresse des Administrators, eine Serien- bzw. Versionsnummer und mehr. Er steht am Anfang einer Datei und ist obligatorisch.</td></tr><tr><td><a href="#spf-record-sender-policy-framework">SPF</a></td><td>Der DNS-Eintragstyp SPF (Sender Policy Framework) legt fest, welche E-Mail-Server autorisiert sind, E-Mails im Namen einer Domain zu versenden. Dies verhindert, dass Betrüger eine Domain missbräuchlich zum Versenden von E-Mails verwenden.</td></tr></tbody></table>

***

## Spezifische DNS-Validierungstests

Um den Missbrauch einer Domain zu verhindern, führt der Observer für die DNS-Einträge CAA, DMARC und SPF spezifische Validierungstests durch, die wir im Folgenden näher erläutern.

<div data-with-frame="true"><figure><img src="/files/ViIdlKCVNCoBzfpsZmdH" alt=""><figcaption></figcaption></figure></div>

### CAA-Record <a href="#caa-record-certification-authority-authorization" id="caa-record-certification-authority-authorization"></a>

Der DNS-Eintragstyp CAA (Certification Authority Authorization) legt fest, welche Zertifizierungsstelle (Certificate Authority; CA) SSL/TLS-Zertifikate für eine bestimmte Domain ausstellen darf.&#x20;

Der Observer prüft auf folgendes:

<table><thead><tr><th width="217.234375">Validierungstest</th><th>Beschreibung</th></tr></thead><tbody><tr><td>Fehlender DNS-Eintrag</td><td>Der DNS Record ist nicht vorhanden. Das widerspricht den Empfehlungen einer korrekten DNS-Konfiguration.</td></tr><tr><td>Fehlende Kontaktadresse für DNS CAA</td><td>Es ist keine Kontaktadresse vergeben (iodef).</td></tr><tr><td>Ungültige Kontaktadresse für DNS CAA</td><td>Die Kontaktadresse (iodef) enthält für E-Mails ungültige Zeichen und/oder ein ungültiges E-Mail-Format (nicht <em>abc@def.com</em>).</td></tr><tr><td>Unkonventionelle Zertifizierungsstelle</td><td>Die verwendete Zertifizierungsstelle (issue, wildissue) befindet sich nicht auf unserer Whitelist. Diese umfasst: letsencrypt.org, globalsign.com, sectigo.com, camerfirma.com, accv.es, actalis.it, amazon.com, pki.apple.com, atos.net, buypass.com, aoc.cat, certigna.fr, www.certinomis.com, ecert.gov.hk, certsign.ro, certum.pl</td></tr></tbody></table>

### DMARC-Record

Der DNS-Eintragstyp DMARC (Domain-Based Message Authentication, Reporting and Conformance) legt fest, wie E-Mail-Server mit Nachrichten umgehen sollen, die die Authentifizierung nicht bestehen, zum Beispiel, wenn die Domain von einer nicht berechtigten IP-Adresse zum Versenden einer E-Mail verwendet wird.&#x20;

Der Observer überprüft auf folgendes:

<table><thead><tr><th width="257.85546875">Validierungstest</th><th>Beschreibung</th></tr></thead><tbody><tr><td>Fehlender DNS-Eintrag</td><td>Der DNS Record ist nicht vorhanden. Das widerspricht den Empfehlungen einer korrekten DNS-Konfiguration.</td></tr><tr><td>Ungültige DMARC Policy</td><td><p>Die DMARC Policy (p) hat keinen gewöhnlichen Wert. Gewöhnliche Werte sind: </p><ul><li><strong>none</strong><em>:</em> Das Versenden der E-Mails wird nicht beeinträchtigt. Du erhältst lediglich eine Benachrichtigung. </li><li><strong>quarantine</strong><em>:</em> E-Mails, die die DMARC-Überprüfung nicht bestehen, landen beim Empfänger im Spam-Ordner. </li><li><strong>reject</strong><em>:</em> E-Mails, die die DMARC-Überprüfung nicht bestehen, sollen vom Empfänger zurückgewiesen werden.</li></ul></td></tr><tr><td>Ungültige DMARC Subdomain Policy</td><td><p>Die DMARC Subdomain Policy (sp) hat keinen gewöhnlichen Wert. Gewöhnliche Werte sind: </p><ul><li><strong>none</strong><em>:</em> Das Versenden der E-Mails wird nicht beeinträchtigt. Du erhältst lediglich eine Benachrichtigung. </li><li><strong>quarantine</strong><em>:</em> E-Mails, die die DMARC-Überprüfung nicht bestehen, landen beim Empfänger im Spam-Ordner. </li><li><strong>reject</strong><em>:</em> E-Mails, die die DMARC-Überprüfung nicht bestehen, sollen vom Empfänger zurückgewiesen werden.</li></ul></td></tr><tr><td>Ungültige DMARC prozentuale Filterangabe</td><td>Mit der optionalen prozentualen Filterangabe (pct) kann festgelegt werden, wieviel Prozent der Nachrichten einer Filterung unterzogen werden. Der Wert muss daher zwischen 1 und 100 liegen.</td></tr><tr><td>Ungültige DMARC Adresse für Report-Emails </td><td>Die Report-E-Mailadresse enthält ungültige Zeichen oder ein ungültiges E-Mail-Format (nicht <em>abc@def.com</em>).</td></tr><tr><td>Ungültige DMARC Protokollversion</td><td>Die DMARC-Version (v) muss DMARC1 lauten.</td></tr></tbody></table>

### SPF-Record <a href="#spf-record-sender-policy-framework" id="spf-record-sender-policy-framework"></a>

Der DNS-Eintragstyp SPF (Sender Policy Framework) legt fest, welche E-Mail-Server autorisiert sind, E-Mails im Namen einer Domain zu versenden.&#x20;

Der Observer überprüft auf folgendes:

<table><thead><tr><th width="265.84765625">Validierungstest</th><th>Beschreibung</th></tr></thead><tbody><tr><td>Fehlender DNS-Eintrag</td><td>Der DNS Record ist nicht vorhanden. Das widerspricht den Empfehlungen einer korrekten DNS-Konfiguration.</td></tr><tr><td>Veraltete SPF-Version</td><td>Die SPF-Version (v) muss SPF1 lauten.</td></tr><tr><td>Mehrere SPF-Einträge vorhanden</td><td>Es werden mehrere SPF-Einträge verwendet, was nicht den Vorgaben einer korrekten DNS-Konfiguration entspricht. Mehrere SPF-Einträge müssen daher in einem einzigen Eintrag zusammengefasst werden.</td></tr><tr><td>SPF-Eintrag enthält Zeichen nach ALL</td><td>Nach dem ALL-Eintrag stehen noch weitere Zeichen, was nicht den Vorgaben einer korrekten DNS-Konfiguration entspricht. Nach dem fakultativen ALL-Eintrag dürfen keine weiteren Einträge folgen.</td></tr><tr><td>Fehlerhafte SPF Syntax</td><td>Der SPF-Eintrag enthält unbekannte Einträge (bekannt sind: spf1, mx, ip4, ip6, exists, include, all, a, redirect, exp, ptr) und/oder unerlaubte Zeichen.</td></tr></tbody></table>


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.enginsight.com/docs/knowledge-base/observer/welche-dns-validierungstests-fuhrt-der-enginsight-observer-durch.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.