Deine Website ist offline. Die Person, die deine Website gebaut hat, sagt, das sei ein DNS-Problem. Du fragst, was DNS heißt, und dein Hoster schickt dir ein 42-seitiges PDF von jemandem, der das seit 1998 macht. Zwei Tage später läuft die Seite wieder, du weißt immer noch nicht warum, und du hast einem Zusatzpaket für € 15 im Monat zugestimmt, das das eigentliche Problem nicht löst.
Dieser Leitfaden schließt diese Lücke. Er erklärt, was eine Domain, ein Registrar, ein Nameserver, ein DNS-Eintrag und ein E-Mail-Setup tatsächlich sind, wie sie zusammenhängen und warum es die teuerste Entscheidung im ganzen Web-Stack ist, alle vier beim gleichen billigen Hoster zusammenzulegen.
Die vier Dinge, die miteinander reden müssen
Eine Website ist kein einzelnes Produkt. Sie besteht aus vier Produkten, die sich jedes Mal abstimmen müssen, wenn jemand deine Domain aufruft.
Der Registrar hält den Mietvertrag auf deinedomain.com. Die Nameserver sind ein Verweis, den der Registrar im Internet veröffentlicht. Die DNS-Zone ist das Adressbuch, das auf diesen Nameservern liegt und der Welt sagt, was deine Domain bedeutet. Die Hoster sind die Orte, an denen deine Website tatsächlich läuft und an denen deine E-Mails tatsächlich ankommen.
Die meisten günstigen Bündel-Hoster verkaufen dir alle vier zusammen. Am ersten Tag ist das praktisch. An jedem Tag danach wird es zum Problem, denn sobald du eines dieser vier Stücke ändern willst, arbeitet das Bündel gegen dich.
Was ein Domain-Registrar tatsächlich macht
Ein Registrar ist die Firma, der du Geld gibst, damit deine Domain registriert bleibt. Das ist die ganze Aufgabe. Sie betreibt nicht deine Website. Sie hostet nicht dein E-Mail-Postfach. Sie spricht stellvertretend für dich mit der Registry (der Stelle, die .com, .at, .de und so weiter betreibt) und sorgt dafür, dass der WHOIS-Eintrag auf deinen Namen läuft.
Was der Registrar kontrolliert: deine Verlängerung, deine WHOIS-Kontaktdaten, den Auth-Code, mit dem du die Domain zu einem anderen Registrar transferieren kannst, und die Nameserver-Einstellung, die bestimmt, wer dein DNS betreibt. Das war es. Alles darüber hinaus ist Upsell.
Was passiert, wenn du die Verlängerung vergisst: eine Schonfrist von rund 30 Tagen, dann eine Redemption-Phase, in der die Wiederherstellung über € 100 kostet, dann fällt die Domain zurück in den offenen Markt. Wenn dein Geschäft an dieser Domain hängt, ist die Wiederherstellungsgebühr der kleine Teil der Rechnung. Die zwei Wochen, in denen jede E-Mail bounct und deine Startseite eine Parking-Seite anzeigt, sind der teure Teil.
Die richtigen Registrare sind langweilig. Gandi (Frankreich) läuft seit 1999, behandelt europäische TLDs sauber, kostet rund € 18 pro Jahr für eine .com inklusive WHOIS-Privacy und versucht nicht, dir etwas zu verkaufen, das du nicht angefragt hast. Vorsicht bei Firmen, die den Transfer-Code nur per Telefon herausgeben, eine Gebühr für die Freigabe deiner Domain verlangen oder den eigentlichen Verlängerungspreis unter einem niedrigen Lockangebot fürs erste Jahr verstecken.
Nameserver: der eine Schalter
Die Nameserver sind die einzige Information, die der Registrar über deine Domain ins weite Internet veröffentlicht. Sie sehen aus wie ns1.bunny.net und ns2.bunny.net. Sie sind nicht deine DNS-Einträge. Sie sind ein Verweis, der sagt: “Die Einträge zu dieser Domain liegen dort drüben.”
Dieser Verweis ist die mächtigste Einstellung im ganzen Stack. Stell ihn auf die Nameserver deines Registrars, und der Registrar betreibt dein DNS. Stell ihn auf Bunny, und Bunny betreibt dein DNS. Stell ihn auf die Nameserver deines Bündel-Hosters, was die Voreinstellung ist, wenn du dich anmeldest, und der Bündel-Hoster betreibt dein DNS.
Die Nameserver-Einstellung zu ändern ist die billigste, umkehrbarste Entscheidung in diesem ganzen Leitfaden. Sie ist auch die Entscheidung, die günstige Hoster am schwersten machen, denn sobald sie dein DNS betreiben, kontrollieren sie alles, was daran hängt.
DNS-Einträge: das Adressbuch
Sobald ein Nameserver weiß, dass er für deine Domain zuständig ist, liefert er eine Liste an Einträgen aus. Jeder Eintrag verweist auf eine konkrete Sache an deiner Domain und richtet sie auf eine konkrete Adresse.
Die vier Eintragstypen, die wirklich wichtig sind:
A-Eintrag. Verweist deinedomain.com oder www.deinedomain.com auf die IP-Adresse deines Webhosters. Wenn ein Browser fragt “wo ist deinedomain.com”, ist die Antwort die IP aus deinem A-Eintrag. Ohne korrekten A-Eintrag keine Website.
CNAME. Verweist einen Namen auf einen anderen Namen. Wird verwendet, wenn ein Service dir einen Hostnamen statt einer IP gibt. Zum Beispiel shop.deinedomain.com, das auf deinshop.shopify.com zeigt.
MX-Eintrag. Verweist “Mail für diese Domain” auf deinen E-Mail-Hoster. Ohne MX-Eintrag kommt keine Post an. Mit dem falschen MX-Eintrag landet die Post in einem fremden Postfach.
TXT-Eintrag. Freier Text. Wird zum Nachweis verwendet, dass dir die Domain gehört (Verifizierungs-Strings von Google, Microsoft, Stripe), und für die drei E-Mail-Authentifizierungseinträge, die weiter unten erklärt werden.
Die Grafik oben zeigt, was zwischen dem Tippen deiner Domain und dem Laden der Seite passiert. Ein rekursiver Resolver (der ISP oder ein öffentliches DNS wie 1.1.1.1) fragt die Root-Server, dann die TLD-Server (die .com- oder .at-Behörde) und kommt schließlich bei deinem zuständigen Nameserver an. Dein Nameserver gibt den A-Eintrag zurück. Der Browser nimmt die IP und verbindet sich. Die ganze Sequenz dauert rund 20 Millisekunden und wird danach für Stunden gecached.
Du kannst diese Grafik einmal lesen und wieder vergessen. Der praktische Punkt ist: Das einzige Stück der Kette, das du kontrollierst, ist das letzte. Dein zuständiger Nameserver und die Einträge, die er ausliefert. Alles davor wird von ICANN, den Registries und den Resolvern betrieben, die die Welt verwendet. Deshalb ist die Wahl des DNS-Anbieters wichtiger als jede andere Infrastruktur-Entscheidung, die du triffst.
E-Mail ist im Grunde DNS
E-Mail ist der Bereich, in dem die meisten Leute auf die Nase fallen. Fast alle, die das hier lesen, haben schon erlebt, dass Rechnungen im Spam-Ordner der Kundschaft gelandet sind, und der Grund ist fast immer eine fehlerhafte DNS-Konfiguration auf der Absender-Seite.
Eingehende Post ist der einfache Teil. Wenn dir jemand eine E-Mail schickt, fragt der Mailserver der absendenden Seite deinen MX-Eintrag ab und stellt an den E-Mail-Hoster zu, den du dort eingetragen hast.
Ausgehende Post ist der Bereich, in dem die Probleme leben. Der Mailserver der empfangenden Seite macht drei Prüfungen, bevor er etwas zustellt, was du verschickt hast, und alle drei lesen Einträge aus deinem DNS.
SPF ist eine Liste an Servern, die im Namen deiner Domain Post verschicken dürfen. In einem TXT-Eintrag abgelegt. Wenn der absendende Server nicht in deiner SPF-Liste steht, behandelt die empfangende Seite die Nachricht als verdächtig.
DKIM ist eine kryptografische Signatur, die dein E-Mail-Hoster jeder ausgehenden Nachricht hinzufügt. Der öffentliche Schlüssel zur Prüfung dieser Signatur liegt in deinem DNS als TXT-Eintrag. Wenn die Signatur nicht stimmt, behandelt die empfangende Seite die Nachricht als verdächtig.
DMARC ist die Richtlinie, die SPF und DKIM verknüpft. Sie sagt der empfangenden Seite, was zu tun ist, wenn eine der beiden Prüfungen fehlschlägt: Nachricht ablehnen, in den Spam-Ordner verschieben oder nur einen Report schicken. Ebenfalls ein TXT-Eintrag. Ohne DMARC fällt jede empfangende Seite auf ihre eigene Einschätzung zurück.
Eines davon falsch konfigurieren, und deine Nachrichten landen im Spam. Nicht irgendwann. Heute. Und hier ist der Haken, den die meisten erst lernen, wenn etwas schiefgeht: Bündel-Hoster richten DKIM und DMARC oft gar nicht für dich ein. SPF ist manchmal da, oft nicht, und fast nie aktualisiert, wenn du anfängst, von einem zweiten Service wie einem CRM oder einem Newsletter-Tool zu versenden. Du merkst es, wenn dich jemand höflich fragt, warum dein Angebot von letzter Woche nie angekommen ist.
Warum Trennung wichtig ist
Der günstige Hoster verkauft dir eine Domain, eine Website, ein Postfach und DNS für € 6 im Monat in einem einzigen Klick. Das ist das Angebot auf der Landingpage. Das eigentliche Produkt, das, wofür du in den nächsten fünf Jahren zahlst, ist Lock-in.
Sobald alles bei einem Anbieter liegt, sind die Kosten für den Wechsel strukturell, nicht finanziell. Du kannst deine Website nicht verlegen, ohne E-Mail kaputt zu machen. Du kannst E-Mail nicht verlegen, ohne DNS kaputt zu machen. Du kannst DNS nicht verlegen, ohne vorher den exakten Inhalt deiner Zone zu kennen, den manche Anbieter dir nicht zeigen wollen.
So sieht das in der Praxis aus. Stell dir vor, du willst von domainfactory, einem typischen DACH-Bündel-Hoster, zu einem transparenten DNS-Anbieter wechseln. Um die neue Zone aufzusetzen, musst du wissen, worauf jeder Eintrag zeigt. Öffne das domainfactory-Kontrollzentrum: Du siehst, dass ein A-Eintrag existiert, aber nicht die IP-Adresse, auf die er verweist. MX- und CNAME-Werte sind sichtbar. Die IP-Adressen der A-Einträge, also genau die Werte, von denen abhängt, ob deine Website lädt, sind hinter der Oberfläche versteckt. Der einzige Weg, sie zurückzubekommen, ist DNS von außen mit dig oder einem Dienst wie dnschecker.org abzufragen, Eintrag für Eintrag, und bei jeder Subdomain, die das Kontrollzentrum nicht listet, zu raten. Eine Fachperson schafft das in einer Stunde. Ohne technischen Hintergrund schaffst du das gar nicht. World4you und eine Handvoll anderer DACH-Bündel-Hoster fahren Varianten desselben Spielzugs: begrenzte Eintragstypen, die du selbst bearbeiten darfst, kein Zonen-Export, Support-Tickets für Dinge, die ein Ein-Klick-Vorgang sein sollten.
Trennung nimmt die Falle weg. Wenn deine Domain bei einer Firma liegt, dein DNS bei einer zweiten und deine E-Mail bei einer dritten, hat niemand etwas in der Hand, um dich zu halten. Du kannst jeden einzelnen Anbieter verlegen, ohne die anderen beiden anzufassen.
Das Setup, das wir empfehlen
Für eine Firmenwebsite, bei der Ausfallzeit und E-Mail-Zuverlässigkeit direkt in entgangene Arbeit übersetzen, ist der Stack vier getrennte Entscheidungen, bewusst getroffen.
Domain. Gandi. Rund € 18 pro Jahr für eine .com, transparenter Transferprozess, kein Upselling. Behandelt europäische TLDs (.at, .de, .eu) sauber. GDPR-nativ, Sitz in Frankreich, läuft seit 1999.
DNS. Bunny DNS. Rund € 0,40 pro eine Million Anfragen, was für die meisten Firmenwebsites ein paar Cent im Monat sind. Die sauberste Steuerung in der Branche, jeder Eintragswert in Klartext, sauberer Zonen-Export, ordentliche API. Sitz in Slowenien.
E-Mail. Soverin. Rund € 3,25 pro Postfach im Monat, datenschutzorientiert, eigene Domain in jedem Tarif inklusive. Setzt SPF, DKIM und DMARC für deine Domain korrekt auf, läuft in EU-Rechenzentren und gehört keiner Werbeplattform, die deine Post mitlesen will. Sitz in den Niederlanden.
Webhoster. Was zu deiner Seite passt, eigenständig entschieden. Bunny ist auch hier eine starke Option. Webhosting und DNS beim selben transparenten Anbieter zu haben ist kein Problem, weil du sie jederzeit wieder voneinander trennen kannst. Die Falle ist ein Anbieter, der dir Dinge vorenthält, nicht das Bündeln an sich. Das bleibt trotzdem eine eigenständige Entscheidung, kein Standardpaket, dem du nicht entkommen kannst.
Migrieren ohne Ausfallzeit
Wenn du derzeit bei einem Bündel-Hoster bist und die Bereiche trennen willst, versuch nicht, alles in einem Wochenende zu verlegen. Verleg zuerst DNS, dann E-Mail, dann das Webhosting. Jeder Schritt ist unabhängig, sobald dein DNS bei einem transparenten Anbieter liegt.
- Exportiere jeden DNS-Eintrag von deinem aktuellen Anbieter. Wenn er einen Zonen-Datei-Export anbietet, nutz ihn. Wenn er die IPs versteckt (domainfactory und Konsorten), nutz
dig deinedomain.com anyund Lookup-Werkzeuge wie dnschecker.org, um A, MX, TXT und CNAME von der öffentlichen DNS-Seite zu erfassen. Schreib jeden Eintrag auf, bevor du irgendetwas anfasst. - Leg die Zone bei deinem neuen DNS-Anbieter neu an. Trag jeden exportierten Eintrag exakt so ein, wie er vorlag. Ändere noch nichts. Die neue Zone soll die alte bitweise spiegeln.
- Senke die TTL deiner alten Zone auf 300 Sekunden mindestens 24 Stunden vor der Umstellung. TTL ist die Zeit, die Resolver deine Einträge zwischenspeichern. Niedrigere TTL bedeutet schnellere Verbreitung, wenn du den Schalter umlegst.
- Ändere die Nameserver beim Registrar auf den neuen DNS-Anbieter. Das ist die eine Änderung, die DNS tatsächlich verlegt. Die meisten Resolver schnappen es innerhalb einer Stunde auf, der Rest innerhalb eines Tages.
- Prüf mit externen Lookups, dass die neuen Nameserver korrekt antworten. Dann, nach eigenem Zeitplan, transferier die Domain zum neuen Registrar. Dann verleg E-Mail. Dann verleg das Webhosting. Jeder dieser Schritte ist jetzt für sich umkehrbar.
Die Schritte in dieser Reihenfolge zu machen heißt, dass nie zwei Sachen gleichzeitig kaputt sind. E-Mail läuft weiter, während DNS umzieht. Die Website läuft weiter, während E-Mail umzieht. Die Domain-Eigentümerschaft ist das Letzte, was du anfasst, und zu dem Zeitpunkt läuft alles andere schon auf einem Stack, den du kontrollierst.
Der Punkt
Domains, DNS, Nameserver und E-Mail-Authentifizierung sind die Sanitärinstallation. Die meisten denken erst darüber nach, wenn schon etwas kaputt ist, und an dem Punkt hat der Bündel-Hoster sie in der Ecke, mit wenigen Optionen und einem teuren Support-Anruf.
Die Lösung liegt vor dem Problem. Kauf die Domain bei einem echten Registrar. Betreib DNS bei einem Anbieter, der dir jeden Eintrag zeigt. Leg E-Mail dorthin, wo Zustellbarkeit ernst genommen wird. Halte Webhosting davon getrennt. Die Gesamtsumme ist vielleicht € 5 mehr im Monat als das billigste Bündel, und du bekommst die Option zurück, Dinge ohne fremde Erlaubnis zu reparieren.
Mehr dazu, was eine aktive Betreuung Monat für Monat tatsächlich im Auge behält: Was passiert mit deiner Website nach dem Launch.