Die meisten DNS-Server der Zugangsprovider verwenden kein DNSSEC zur Validierung. Das könnte ein Grund (Sicherheit) für einen anderen, selbst ausgewählten DNS-Server sein.

Einige deutsche Kabelnetzprovider betreiben keine eigenen DNS-Server mehr sondern schicken ihre Kunden einfach zu Google-DNS (8.8.8.8) oder Cloudflare (1.1.1.1). Wenn man mit der Datensch(m)utz Policy der Default DNS-Server der Provider nicht einverstanden ist, muss man sich auch selbst kümmern und die DNS-Server auf dem Router anpassen.

Das Sammeln, Auswerten und Verkaufen von DNS Daten der Kunden durch den Zugangsprovider ist in angelsächsischen Ländern üblich (USA, GB) aber in Deutschland nicht.

Zensur durch manipulierte DNS-Server spielte nach der Abwehr des ZugErschwG zeitweise keine Rolle in Deutschland , wurde 2022 von der EU unter Führung von Ursula v.d.L. zur moralischen Reinhaltung und Abwehr russischer Propaganda aber wieder eingeführt (beispw. bei Telekom und T-Mobile). Wer sich bei FEINDSENDERN informieren will, braucht unzensierte DNS-Server.

Die Nachdenkseiten berichteten im Dez. 2022, dass sie bei einigen Zugangsprovider zeitweise gesperrt wurden, unter Hinweis auf das Zensurverodnung der EU. Wenn man nicht eines Tages feststellen möchte, dass interessante Seiten im Netz nicht mehr erreichbar sind, sollte man rechtzeitig über unzensierte DNS Alternativen nachdenken. Die Bemühungen zur Einführung von mehr Zensur werden auch in der EU stärker - das ist 2022 kein Alleinstellungsmerkmal von Diktaturen.

---

Hinweis: Eine Trackingdienst könnte ermittlen, welcher DNS-Server vom Browser verwendet wird, und diese Information als Parameter für das Fingerprinting des Browser verwenden:

1. Der Webserver sendet im HTML Code ein kleines, überflüssiges Element, dass von einer zufällig generierten Subdomain des Trackingservice geladen werden soll.
2. Der Browser versucht die IP-Adresse für diese Subdomain zu ermitteln. Der konfigurierte Upstream DNS-Server hat die Information nicht im Cache und muss deshalb den authorativen Server des Trackingdienstes anfragen.
3. Der authorative DNS-Server des Trackingdienstes registriert die DNS Anfrage und die IP-Adresse des anfragenden DNS-Servers und sendet beides an den Trackingservice, wo die Information mit dem Aufruf der Webseite korrelliert werden kann.

Es gibt bisher noch keine empirischen Studien, die untersucht haben, ob dieses Verfahren "in the wild" genutzt wird. Aber es ist prinzipiell möglich. Deshalb sollte man kurz nachdenken, ob es Gründe gibt, einen selbst ausgewählten DNS-Server zu nutzen, ob der Vorteil an Sicherheit und Schutz gegen Zensur evtl. unerwünschte Nebeneffekte kompensiert.

---

Folgende zensur-freien und vertrauenswürdigen DNS-Server mit No-Logging Policy, DNSSEC Validierung und Anti-Spoofing Schutz (Testseite) kann man als Alternative zu den Default DNS-Servern der Provider für diejenigen empfehlen, die wechseln möchten: 

• Freifunk München (normales DNS, DNS-over-TLS und DNS-over-HTTPS)
  • IPv4: 5.1.66.255
    IPv6: 2001:678:e68:f000::
    Servername für DNS-over-TLS: dot.ffmuc.net
  • IPv4: 185.150.99.255
    IPv6: 2001:678:ed0:f000::
    Servername für DNS-over-TLS: dot.ffmuc.net
  • für iOS 14+: DoT-Server-Konfiguration (unsigniert, vom PrHdb)
• Digitale Gesellschaft (CH) (DNS-over-TLS und DNS-over-HTTPS!)
  • IPv4: 185.95.218.42
    IPv6: 2a05:fc84::42
    Servername für DNS-over-TLS: dns.digitale-gesellschaft.ch
  • IPv4: 185.95.218.43
    IPv6: 2a05:fc84::43
    Servername für DNS-over-TLS: dns.digitale-gesellschaft.ch
  • für iOS 14+: DoT-Server-Konfiguration (unsigniert, vom PrHdb)
• Censurfridns Denmark (aka. UncensoredDNS)
  • IPv4: 91.239.100.100
    IPv6: 2001:67c:28a4::
    Servername für DNS-over-TLS: anycast.uncensoreddns.org
  • IPv4: 89.233.43.71
    IPv6: 2a01:3a0:53:53::
    Servername für DNS-over-TLS: unicast.uncensoreddns.org
  • für iOS 14+: DoT-Server-Konfiguration (unsigniert, vom PrHdb)

Die folgenden DNS-Server filtern Werbung, Tracking und Malware Domains auf DNS Ebene. Alle drei Projekte werden von unabhägigen Einzelpersonen betrieben: 

• dismail.de (mit DNS-over-TLS)
  • IPv4: 116.203.32.217
    IPv6: 2a01:4f8:1c1b:44aa::1
    Servername für DNS-over-TLS: fdns1.dismail.de
  • IPv4: 159.69.114.157
    IPv6: 2a01:4f8:c17:739a::2
    Servername für DNS-over-TLS: fdns2.dismail.de
  • für iOS 14+: Server1-Konf und Server2-Konf (unsigniert, von Dismail)
• dnsforge.de (DNS-over-TLS, DNS-over-HTTPS)
  • IPv4: 176.9.93.198
    IPv6: 2a01:4f8:151:34aa::198
    Servername für DNS-over-TLS: dnsforge.de
  • IPv4: 176.9.1.117
    IPv6: 2a01:4f8:141:316d::117
    Servername für DNS-over-TLS: dnsforge.de
  • für iOS 14+: DoT-Server-Konf und DoH-Server-Konf (signiert vom Betreiber)
• BlahDNS.com (DNS-over-TLS, DNS-over-HTTPS, DNScrypt)
  • IPv4: 78.46.244.143
    IPv6: 2a01:4f8:c17:ec67::1
    Servername für DNS-over-TLS: dot-de.blahdns.com
  • IPv4: 45.91.92.121
    IPv6: 2a0e:dc0:6:23::2
    Servername für DNS-over-TLS: dot-ch.blahdns.com
  • für iOS 14+: DoT-DE-Server-Konfiguration (unsigniert, vom PrHdb)
  • (Außerdem gibt es weitere Server in Japan und Sigapure.)

Beim Filtern von Tracking und Malware Domains ist die Grenze zur Zensur schmal und hängt davon ab, welche Filterlisten eingebunden werden. Die Fake News Blackliste von StevenBlack, enthält beispielsweise 56.000+ Einträge, die von irgendwem irgendwie als "Fake News" deklariert wurden.

Unabhängig von den Diskussionen um "Fake News", die wesentlich vom politischen Weltbild des Betrachters abhängt, ist die Sperrung von Informationen Zensur. Und ein unzensierter Zugang zu Informationen ist ein wichtiger Grund für die Konfiguration eigener DNS-Server. Bei DNS Servern mit Filterung muss man prüfen, welche Blocklisten verwendet werden.

Professionell betreute, unzensierte DNS-Server von VPN-Providern

Der DNS- und VPN-Provider AdGuard stellt seine DNS-Server zur kosten­freien Nutzung bereit und finanziert sich mit zusätzlichen Premium Features. Die Server stehen in Westeuropa.

• AdGuard DNS-Server mit Werbe- und Trackingfilter:
  • IPv4: 94.140.14.14
    IPv6: 2a10:50c0::ad1:ff
    Servername für DNS-over-TLS: dns.adguard-dns.com
  • IPv4: 94.140.15.15
    IPv6: 2a10:50c0::ad2:ff
    Servername für DNS-over-TLS: dns.adguard-dns.com
  • für iOS 14+: DoH-Server-Konfiguration (signiert von AdGuard)
• AdGuard DNS-Server ohne Werbe- und Trackingfilter:
  • IPv4: 94.140.14.140
    IPv6: 2a10:50c0::1:ff
    Servername für DNS-over-TLS: unfiltered.adguard-dns.com
  • IPv4: 94.140.14.141
    IPv6: 2a10:50c0::2:ff
    Servername für DNS-over-TLS: unfiltered.adguard-dns.com
  • für iOS 14+: DoH-Server-Konfiguration (signiert von AdGuard) 

Der schwedische VPN-Provider Mullvad stellt DNS-over-TLS und DNS-over-HTTPS Server ebenfalls kostenlos zur Verfügung (kein Plain-DNS). Die Server stehen in Deutschland, Schweiz, Schweden, Großbritannien, Singapur, Australien sowie USA und sind unter einer einheitlichen IP erreichbar.

• Mullvad DoT- und DoH-Server mit Werbe- und Trackingfilter:
  • IPv4: 194.242.2.3, 193.19.108.3
    IPv6: 2a07:e340::3
    Servername für DNS-over-TLS: adblock.doh.mullvad.net
  • für iOS 14+: DoT-Server-Konfiguration (unsigniert, von Mullvad)
• Mullvad DoT und DoH-Server ohne Werbe- und Trackingfilter:
  • IPv4: 194.242.2.2, 193.19.108.2
    IPv6: 2a07:e340::2
    Servername für DNS-over-TLS: doh.mullvad.net
  • für iOS 14+: DoT-Server-Konfiguration (unsigniert, von Mullvad)

Njalla ist ein privacy-fokusierter, schwedischer Domain-, Hosting- und VPN-Provider, der seinen unzensierten DNS-Server kostenlos zur Verfügung stellt:

• Njalla DoT- und DoH-Server OHNE Werbe- und Trackingfilter:
  • IPv4: 95.215.19.53
    IPv6: 2001:67c:2354:2::53
    Servername für DNS-over-TLS: dns.njal.la
  • für iOS 14+: DoT-Server-Konfiguration (unsigniert, vom PrHdb)

DNS-Server der Big Player der IT Branche

Es gibt einige DNS-Dienste von den Big Playern der IT-Branche, die damit werben, die länder­spezifische Zensur von Zugangsprovider zu umgehen, wie es in der Türkei u.a. üblich ist. Ein paar kleine Kommentare zu diesen Angeboten:

• Der Klassiker ist Google DNS. Google verspricht, dass die DNS-Server unter den IP-Adressen 8.8.8.8 und 8.8.4.4 nicht zensiert werden und bemüht sich um schnelle DNS-Antworten. Dabei gilt die Datensch(m)utz Policy von Google.

  Natürlich werden alle Anfragen gespeichert und ausgewertet. Ziel ist, die besuchten Webdienste zu erfassen und in das Monitoring des Web besser einzubeziehen. Positiv an dieser Initiative ist, dass es sich kaum jemand leisten kann, die Wirtschaftsmacht Google zu blockieren. Damit wird auch die Sperrung alternativer DNS-Server, wie es in Deutschland im Rahmen des ZugErschwG geplant war, etwas erschwert.

• Quad9 mit dem Hauptsitz in der Schweiz ist technisch mit Google-DNS vergleichbar. Unter einheitlichen IP-Adressen stehen 100-200 DNS-Server weltweit zur Verfügung:

  Primary DNS:	IPv4: 9.9.9.9	IPv6: 2620:fe::fe	dns.quad9.net
  Secondary DNS:	IPv4: 149.112.112.112	IPv6: 2620:fe::9	dns.quad9.net
  für iOS 14+:	DoT-Server-Konfiguration		(unsigniert, vom PrHdb)

  Das Projekt verfolgt aber andere Ziele. Quad9 ist für die Anforderungen von Unter­nehmen optimiert. Im Vordergrund steht IT-Sicherheit. Durch die Verwendung von zeitnah aktualisierten Blocklisten sollen die Auswirkungen von Malware- und Phishing Kampagnen minimiert werden. Ein (temporäres) Overblocking ist nicht gewünscht, wird aber zugunsten der Sicherheit von Quad9 nicht ausgeschlossen.

  Dafür arbeitet Quad9 mit 18+ Cyber Threat Intelligence Providern zusammen. Deren Erkenntnisse über Cyber-Angriffe werden gesammelt, um die Abwehr von kriminellen Angriffen und Wirtschafts­spionage auf DNS-Ebene zu konsolidieren. Im Gegenzug erhalten die Threat Intelligence Provider Zugriff auf den (anonymisierten) DNS-Traffic bei einem Angriff, um die Analyse zu beschleunigen.

  Die Anforderungen privater Anwender an Privatsphäre und Zensurfreiheit spielen nur eine unter­geordnete Rolle. Trotzdem sind auch private Anwender eingeladen, den Dienst zu nutzen. DNSSEC ist Standard, außerdem sind DNS-over-TLS, DNS-over-HTTPS und DNScrypt mit diesen Servern nutzbar. Quad9 kann man verwenden.

• Am 01. April 2018 hat Cloudflare einen ähnlichen DNS Dienst gestartet wie Google DNS oder Quad9. Unter der IP-Adresse 1.1.1.1 stehen in 31 Datacentern schnelle DNS-Server bereit, die bei Geschwindigkeit Google DNS und Quad9 übertreffen.

  Privacy ist ein wichtiges Verkaufsargument und deshalb schwört auch Cloudflare, die Privatsphäre der Nutzer zu respektieren. Das Privacy Statement klingt sehr über­spezifisch: Man wird keine Daten verkaufen, die IP-Adressen der Nutzer nicht auf die Festplatte schreiben und Logdaten max. 24h behalten. Cloudflare wird aber aus­­werten, welche Domains gesucht wurden und darauf aufbauend Analysen durchführen, die viel Geld wert sind, wenn große Mengen an Daten einfließen, die für die weltweite Internet­nutzung repräsentativ sind.

  Cloudflare behauptet nicht, dass der DNS Service zensurfrei ist. Im Blog Artikel wird zwar darauf hingewiesen, dass man mit den DNS-Servern 1.1.1.1 die länderspezifischen Sperren der Zugangsprovider umgehen kann (Beispiel: Türkei), aber man kann davon ausgehen, das Cloudflare die Anforderungen der US-Administration umsetzten wird.

  DNSSEC ist Standard, außerdem gibt es DNS-over-TLS und DNS-over-HTTPS.

Einleitung…
Surfen… PW/2FA… E-Mails… Chatten…
Tor… I2P… VPN…

---

DNS & DNSSEC

• DNS-Server
• Konfiguration
• Verschl. DNS
• DNScrypt (Win)
• Unbound (Linux)

---

Daten schützen PC/Laptop OS Smartphones

---