dig — DNS-Einträge gezielt abfragen

dig ist das Standardwerkzeug für DNS-Diagnosen auf der Kommandozeile: Mit einem Befehl fragst du einzelne Einträge ab, prüfst Mail-Server-Konfigurationen, verfolgst die Delegationskette bis zum autoritativen Nameserver oder verifizierst DNSSEC-Signaturen. Das Tool stammt aus dem BIND-Paket und ist auf nahezu jedem Unix-System vorinstalliert. Dieser Guide zeigt dir die wichtigsten Optionen – vom schnellen A-Record-Lookup bis zum vollständigen Zonentransfer.

Grundlegende Abfragen

dig DOMAIN — Fragt den A-Eintrag (IPv4-Adresse) einer Domain über den Standard-DNS-Server ab.

dig example.com

dig DOMAIN TYPE — Fragt einen bestimmten Eintragstyp ab (A, AAAA, MX, NS, TXT, CNAME, SOA, SRV, CAA, PTR usw.).

dig example.com MX

dig @SERVER DOMAIN — Fragt einen bestimmten DNS-Server ab.

dig @8.8.8.8 example.com

dig @SERVER DOMAIN TYPE — Fragt einen bestimmten Eintragstyp bei einem bestimmten Server ab.

dig @1.1.1.1 example.com AAAA

dig DOMAIN ANY — Fragt alle verfügbaren Eintragstypen ab. Hinweis: Viele Server schränken ANY-Abfragen ein.

dig example.com ANY

Häufige Eintragstypen

dig DOMAIN A — IPv4-Adresseintrag.

dig example.com A

dig DOMAIN AAAA — IPv6-Adresseintrag.

dig example.com AAAA

dig DOMAIN MX — Mail-Exchange-Einträge. Zeigt Mailserver und ihre Prioritäten.

dig example.com MX

dig DOMAIN NS — Nameserver-Einträge. Zeigt die autoritativen DNS-Server.

dig example.com NS

dig DOMAIN TXT — Text-Einträge. Enthält oft SPF-, DKIM-, DMARC- und Verifikations-Records.

dig example.com TXT

dig DOMAIN SOA — Start of Authority. Zeigt primären Nameserver, Admin-E-Mail, Seriennummer und Timer.

dig example.com SOA

dig DOMAIN CNAME — Kanonischer Namenseintrag (Alias).

dig www.example.com CNAME

dig DOMAIN SRV — Diensteintrag. Wird für Service-Discovery verwendet (z. B. SIP, XMPP, LDAP).

dig _sip._tcp.example.com SRV

dig DOMAIN CAA — Certificate Authority Authorization. Zeigt, welche CAs Zertifikate ausstellen dürfen.

dig example.com CAA

Ausgabe steuern

dig +short DOMAIN — Kurze Ausgabe – nur die Antwort, ohne Header oder Metadaten.

dig +short example.com

dig +short DOMAIN TYPE — Kurze Ausgabe für einen bestimmten Eintragstyp.

dig +short example.com MX

dig +noall +answer DOMAIN — Zeigt nur den Antwortbereich. Kompakt, aber mit Felddetails.

dig +noall +answer example.com

dig +noall +answer +authority DOMAIN — Zeigt Antwort- und Autoritätsbereich.

dig +noall +answer +authority example.com NS

dig +nocomments +noquestion +noauthority +noadditional +nostats DOMAIN — Unterdrückt alle Bereiche außer der Antwort.

dig +nocomments +noquestion +noauthority +noadditional +nostats example.com

dig +multiline DOMAIN SOA — Mehrzeilige Ausgabe mit Kommentaren. Nützlich für SOA- und DNSSEC-Einträge.

dig +multiline example.com SOA

dig +yaml DOMAIN — Ausgabe im YAML-Format (dig 9.18+).

dig +yaml example.com

dig +json DOMAIN — Ausgabe im JSON-Format (dig 9.18+).

dig +json example.com

Reverse-DNS-Lookup

dig -x IP — Reverse-DNS-Lookup – findet den Hostnamen zu einer IP-Adresse.

dig -x 8.8.8.8

dig -x IP +short — Kurzer Reverse-Lookup – nur der Hostname.

dig -x 8.8.8.8 +short

dig -x IPV6 — Reverse-Lookup für eine IPv6-Adresse.

dig -x 2001:4860:4860::8888

Ablaufverfolgung & Diagnose

dig +trace DOMAIN — Verfolgt den vollständigen Delegationspfad von den Root-Servern bis zum autoritativen Server.

dig +trace example.com

dig +trace +nodnssec DOMAIN — Tracing ohne DNSSEC-Einträge für eine übersichtlichere Ausgabe.

dig +trace +nodnssec example.com

dig +stats DOMAIN — Zeigt Abfragestatistiken (Zeit, Server, Nachrichtengröße).

dig +stats example.com

dig +qr DOMAIN — Zeigt die ausgehende Anfrage neben der Antwort.

dig +qr example.com

dig +identify DOMAIN — Zeigt den antwortenden Server bei +short-Abfragen.

dig +short +identify example.com

DNSSEC

dig +dnssec DOMAIN — Fordert DNSSEC-Einträge an (RRSIG, DNSKEY, DS, NSEC).

dig +dnssec example.com

dig DOMAIN DNSKEY — Fragt die öffentlichen DNSSEC-Schlüssel einer Domain ab.

dig example.com DNSKEY

dig DOMAIN DS — Fragt Delegation-Signer-Einträge ab (verknüpft untergeordnete mit übergeordneter Zone).

dig example.com DS

dig +dnssec +multiline DOMAIN DNSKEY — Zeigt DNSSEC-Schlüssel mit mehrzeiliger Formatierung und Schlüssel-IDs.

dig +dnssec +multiline example.com DNSKEY

dig +cd DOMAIN — Deaktiviert die DNSSEC-Prüfung (CD-Flag). Liefert auch bei fehlgeschlagener Validierung eine Antwort.

dig +cd example.com

dig +sigchase DOMAIN — Verfolgt die DNSSEC-Signaturkette (sofern von deiner dig-Version unterstützt).

dig +sigchase example.com

Netzwerkoptionen

dig +tcp DOMAIN — Verwendet TCP statt UDP für die Abfrage.

dig +tcp example.com

dig +notcp DOMAIN — Erzwingt UDP (Standard).

dig +notcp example.com

dig -4 DOMAIN — Erzwingt ausschließlich IPv4-Transport.

dig -4 example.com

dig -6 DOMAIN — Erzwingt ausschließlich IPv6-Transport.

dig -6 example.com

dig -p PORT @SERVER DOMAIN — Verwendet einen nicht standardmäßigen DNS-Port.

dig -p 5353 @127.0.0.1 example.com

dig +time=SECONDS DOMAIN — Setzt den Abfrage-Timeout in Sekunden (Standard: 5).

dig +time=10 example.com

dig +retry=N DOMAIN — Legt die Anzahl der Wiederholungsversuche fest (Standard: 2).

dig +retry=5 example.com

dig +bufsize=N DOMAIN — Setzt die EDNS-UDP-Puffergröße (für große Antworten).

dig +bufsize=4096 example.com

Batch- und Mehrfachabfragen

dig DOMAIN1 DOMAIN2 DOMAIN3 — Fragt mehrere Domains in einem einzigen Aufruf ab.

dig google.com github.com example.com

dig -f FILE — Liest Domains aus einer Datei (eine pro Zeile) und fragt jede ab.

dig -f domains.txt

dig +short DOMAIN A DOMAIN AAAA DOMAIN MX — Fragt mehrere Eintragstypen für eine Domain ab.

dig +short example.com A example.com AAAA example.com MX

Zonentransfer

dig @NS DOMAIN AXFR — Fordert einen vollständigen Zonentransfer an (erfordert Autorisierung).

dig @ns1.example.com example.com AXFR

dig @NS DOMAIN IXFR=SERIAL — Fordert einen inkrementellen Zonentransfer ab einer bestimmten Seriennummer an.

dig @ns1.example.com example.com IXFR=2024010101

Typische Einsatzmuster

dig +short DOMAIN NS | while read ns; do echo "$ns:"; dig +short @$ns DOMAIN; done — Prüft, ob alle Nameserver dieselbe Antwort liefern.

dig +short example.com NS | while read ns; do echo "$ns:"; dig +short @$ns example.com; done

dig +short DOMAIN TXT | grep 'v=spf' — Prüft den SPF-Eintrag einer Domain.

dig +short example.com TXT | grep 'v=spf'

dig +short _dmarc.DOMAIN TXT — Prüft die DMARC-Richtlinie einer Domain.

dig +short _dmarc.example.com TXT

dig +short SELECTOR._domainkey.DOMAIN TXT — Prüft einen DKIM-Eintrag.

dig +short google._domainkey.example.com TXT

dig +noall +answer +ttlid DOMAIN — Prüft die verbleibende TTL eines gecachten Eintrags.

dig +noall +answer example.com

dig @ns1.DOMAIN DOMAIN SOA +short — Liest die Zonen-Seriennummer direkt vom autoritativen Server.

dig @ns1.example.com example.com SOA +short

Fazit

dig ist unverzichtbar für jeden, der DNS-Probleme schnell diagnostizieren oder Konfigurationen verifizieren muss. Kombiniert mit +short für Skripte und +trace für die vollständige Delegationskette deckt das Tool praktisch jeden DNS-Diagnosefall ab – ohne grafische Oberfläche, ohne unnötige Abhängigkeiten.

Weiterführende Links

• dig – BIND 9 Dokumentation – offizielle Referenz (englisch)
• dig(1) – Manpage – alle Optionen im Überblick (englisch)
• Domain Name System – Wikipedia – Hintergrund und Funktionsweise

Verwandte Kommandos

• nslookup – einfache DNS-Abfragen, interaktiv oder als Einzeiler
• host – kompaktes DNS-Lookup-Tool für schnelle Antworten
• ping – Erreichbarkeit prüfen, nachdem DNS aufgelöst ist