DNS-Verwaltung¶
enconf integriert PowerDNS als autoritativen DNS-Server. Die DNS-Verwaltung ermöglicht das Erstellen und Bearbeiten von Zonen und Records direkt im Panel.
Übersicht¶
Die DNS-Verwaltung ist in zwei Bereiche gegliedert:
- Zonen — Liste aller DNS-Zonen
- Records — Detailansicht einer Zone mit allen DNS-Einträgen
DNS-Zonen-Tabelle¶
| Spalte | Beschreibung |
|---|---|
| Zone | Name der DNS-Zone (z. B. beispiel.de.) |
| Typ | Zone-Typ (Native, Master, Slave) |
| Serial | SOA-Seriennummer |
| Kunde | Zugeordneter Kunde |
| Erstellt | Erstellungsdatum |
Zone erstellen¶
Neue DNS-Zonen werden automatisch beim Hinzufügen einer Domain erstellt. Manuelles Erstellen ist ebenfalls möglich:
- Klicken Sie auf Zone erstellen
- Füllen Sie das Formular aus:
| Feld | Pflicht | Beschreibung |
|---|---|---|
| Zone-Name | Ja | Domain-Name (z. B. beispiel.de) |
| Kunde | Ja (Admin) | Zuordnung zu einem Kunden |
| Typ | Ja | Native (Standard), Master oder Slave |
- Klicken Sie auf Erstellen
Das System erstellt automatisch die Standard-Records:
- SOA — Start of Authority
- NS — Nameserver-Einträge
- A — IPv4-Adresse des Servers
- AAAA — IPv6-Adresse (falls konfiguriert)
- MX — Mail-Exchanger (falls E-Mail aktiviert)
Records verwalten¶
Klicken Sie auf eine Zone, um die Record-Detailansicht zu öffnen.
Unterstützte Record-Typen¶
| Typ | Beschreibung | Beispiel |
|---|---|---|
| A | IPv4-Adresse | 93.184.216.34 |
| AAAA | IPv6-Adresse | 2606:2800:220:1:248:1893:25c8:1946 |
| CNAME | Alias auf anderen Hostnamen | www.beispiel.de → beispiel.de |
| MX | Mail-Server | 10 mail.beispiel.de |
| TXT | Textrecord (SPF, DKIM, DMARC) | v=spf1 ip4:93.184.216.34 -all |
| SRV | Service-Record | _sip._tcp 0 5 5060 sip.beispiel.de |
| NS | Nameserver | ns1.beispiel.de |
| CAA | Certificate Authority Authorization | 0 issue "letsencrypt.org" |
| PTR | Reverse DNS | 34.216.184.93.in-addr.arpa |
| SOA | Start of Authority | Automatisch verwaltet |
Record hinzufügen¶
- Klicken Sie auf Record hinzufügen
- Füllen Sie das Formular aus:
| Feld | Pflicht | Beschreibung |
|---|---|---|
| Name | Ja | Hostname (z. B. www, mail, @ für Zone-Root) |
| Typ | Ja | Record-Typ auswählen |
| Inhalt | Ja | Wert des Records |
| TTL | Ja | Time to Live in Sekunden (Standard: 3600) |
| Priorität | Nur MX/SRV | Prioritätswert |
- Klicken Sie auf Hinzufügen
TTL-Empfehlungen
- Standard: 3600 (1 Stunde)
- Häufig geändert: 300 (5 Minuten)
- Selten geändert: 86400 (24 Stunden)
Record bearbeiten¶
- Klicken Sie auf das Bearbeiten-Symbol neben einem Record
- Ändern Sie Name, Typ, Inhalt oder TTL
- Klicken Sie auf Speichern
Record löschen¶
- Klicken Sie auf das Löschen-Symbol
- Bestätigen Sie die Löschung
Systemkritische Records
Löschen Sie keine SOA- oder NS-Records, da dies die DNS-Auflösung der gesamten Zone beeinträchtigt.
E-Mail-Sicherheit (DNS)¶
Der Tab E-Mail-Sicherheit in der DNS-Verwaltung bietet eine Übersicht über E-Mail-bezogene DNS-Records:
SPF (Sender Policy Framework)¶
- Definiert, welche Server E-Mails für die Domain senden dürfen
- Wird als TXT-Record angelegt
- Beispiel:
v=spf1 ip4:SERVER_IP mx -all
DKIM (DomainKeys Identified Mail)¶
- Digitale Signatur für ausgehende E-Mails
- Wird automatisch als TXT-Record angelegt
- Schlüsselgenerierung über die Domain-Verwaltung
DMARC (Domain-based Message Authentication)¶
- Richtlinie für den Umgang mit fehlgeschlagener SPF/DKIM-Prüfung
- Wird als TXT-Record unter
_dmarc.domain.deangelegt - Beispiel:
v=DMARC1; p=quarantine; rua=mailto:postmaster@domain.de
E-Mail-Zustellbarkeit maximieren
Konfigurieren Sie immer alle drei Mechanismen (SPF + DKIM + DMARC) für maximale E-Mail-Zustellbarkeit.
DNSSEC¶
DNSSEC (DNS Security Extensions) schützt DNS-Antworten durch digitale Signaturen vor Manipulation und Spoofing.
DNSSEC aktivieren¶
- Öffnen Sie eine DNS-Zone
- Navigieren Sie zum Tab DNSSEC
- Klicken Sie auf DNSSEC aktivieren
Das System führt automatisch aus:
- pdnsutil secure-zone <zone> zur Schlüsselerzeugung
- Generierung der KSK (Key Signing Key) und ZSK (Zone Signing Key)
DS-Records beim Registrar hinterlegen¶
Nach der Aktivierung werden die DS-Records angezeigt, die Sie beim Domain-Registrar hinterlegen müssen:
| Feld | Beschreibung |
|---|---|
| Key-Tag | Identifikationsnummer des Schlüssels |
| Algorithmus | Kryptografischer Algorithmus (z. B. ECDSA 256) |
| Digest-Typ | Hash-Algorithmus (SHA-256, SHA-384) |
| Digest | Hash-Wert des KSK |
DS-Records beim Registrar
DNSSEC ist erst vollständig aktiv, wenn die DS-Records im Parent-Nameserver (Registrar) hinterlegt sind. Ohne DS-Records wird DNSSEC nicht validiert.
DNSSEC deaktivieren¶
- Öffnen Sie die DNS-Zone
- Navigieren Sie zum Tab DNSSEC
- Klicken Sie auf DNSSEC deaktivieren
DS-Records entfernen
Entfernen Sie zuerst die DS-Records beim Registrar, bevor Sie DNSSEC deaktivieren. Sonst ist die Domain nicht mehr erreichbar.
Voraussetzungen¶
- PowerDNS muss mit
gsqlite3-dnssec=yes(SQLite) odergpgsql-dnssec=yes(PostgreSQL) konfiguriert sein - Bei Neuinstallationen wird diese Einstellung automatisch gesetzt
Zone synchronisieren¶
Klicken Sie auf Synchronisieren, um die Zone-Daten mit PowerDNS abzugleichen. Dies ist nützlich, wenn Records direkt in PowerDNS geändert wurden.
Zone löschen¶
- Klicken Sie auf das Löschen-Symbol in der Zonenliste
- Bestätigen Sie die Löschung
Alle Records werden gelöscht
Beim Löschen einer Zone werden alle zugehörigen DNS-Records unwiderruflich entfernt.