![]()
Machen Sie sich Sorgen um Ihre Privatsphäre? Machen Sie sich Sorgen, dass Ihr ISP Ihre Daten sammelt? DNS-Abfragen sind eine Möglichkeit für Schnüffler, Sie zu profilieren, und verschlüsseltes DNS ist die Antwort. Allerdings sind nicht alle gleich, aber ich habe eine Lösung, die Ihre Anonymität wirklich schützen kann.
Das Problem und die Lösung
Ihre DNS-Abfragen verlieren jede Webanfrage, die Sie stellen
DNS (Domain Name System) ist ein Mittel, um Domänennamen (wie example.com) IP-Adressen zuzuordnen. Wenn Sie eine Webanfrage stellen, sendet Ihr System ein DNS-Paket ins Internet an einen DNS-Server (einen sogenannten rekursiven Resolver). Dieses System stellt dann eine Reihe nachfolgender Anfragen zur Lösung Ihrer Anfrage. Der gesamte Vorgang erfolgt über ein Klartextprotokoll, was bedeutet, dass jeder Schnüffler im Netzwerk (wie Ihr ISP) ein detailliertes Profil Ihrer Surfgewohnheiten erstellen kann. Ich habe dies ausführlich in einem anderen Artikel behandelt, den ich geschrieben habe. Ich empfehle Ihnen, das zuerst zu lesen.
Was können wir also dagegen tun? Die bisherige Schlussfolgerung bestand darin, die DNS-Anfragen zu verschlüsseln. Obwohl es keine perfekte Lösung ist, bietet es den besten Schutz, den wir haben, und erschwert die Profilerstellung sicherlich erheblich.
DNSCrypt Proxy ist eine solche Option. Es handelt sich um ein Softwareprogramm (Dienst), das auf jedem Computer ausgeführt wird, beispielsweise auf Ihrem Desktop oder Laptop. Anschließend aktualisieren Sie die DNS-Konfiguration Ihres Betriebssystems, um Abfragen darüber weiterzuleiten – dazu später mehr.
Installieren Sie den DNSCrypt-Proxy
Ein lokaler Dienst, der DNS-Anfragen akzeptiert und verschlüsselt
Dies ist das Softwareprogramm, das Sie auf Ihrem Computer ausführen und das DNS-Anfragen akzeptiert und verschlüsselt. In der Konfigurationsdatei teilen wir ihr mit, wohin sie gesendet werden sollen.
Der Rest des Handbuchs konzentriert sich auf Linux, Sie können jedoch auch auf die offiziellen Handbücher für Linux, Windows, macOS oder mehrere andere Plattformen zurückgreifen. Der folgende Konfigurationsabschnitt ist für alle universell, ebenso wie die Erläuterungen. Daher ist es nützlich, ihm zu folgen, unabhängig davon, was Sie verwenden.
Jede dieser genannten Methoden hilft Ihnen bei der Installation und Einrichtung des Dienstes.
Konfigurieren Sie den DNSCrypt-Proxy
A universal configuration format across all platforms
Die Konfiguration ist der schwierige Teil, und ich werde meine Erfahrungen darüber, was funktioniert, mit Ihnen teilen.
Informationen zum Auffinden der Konfigurationsdatei für Ihre Plattform finden Sie in den offiziellen Handbüchern. Unter Linux lautet der Speicherort jedoch: „/etc/dnscrypt-proxy/dnscrypt-proxy.toml“.
Wir werden die Konfigurationsdatei (TOML) bearbeiten, damit DNS-Abfragen über ein Relay weitergeleitet werden.
Legen Sie zunächst die Abhöradresse fest, damit der Dienst Ihren lokalen Computer über den typischen DNS-Port (53) abhört:
listen_addresses = "127.0.0.1:53", "[::1:53" ]
Dadurch können Programme den DNSCrypt-Proxy leicht finden und verwenden. „127.0.0.1“ und „::1“ sind der lokale Computer (auch bekannt als „localhost“) für IPv4 bzw. IPv6.
Als nächstes folgen die Servernamen. DNSCrypt Proxy lädt Resolver-Listen herunter, die Remote-Konfigurationen, sogenannte Stempel, enthalten. Die Namen dieser Stempel geben wir wie folgt an:
server_names = "server-name-1", "server-name-2"
Ein Stempel ist eine verschlüsselte, öffentliche Konfigurationszeichenfolge – er enthält eine öffentliche Adresse und Verschlüsselungsinformationen. Dies ist beispielsweise einer der Stempel von Quad9 für den Server mit dem Namen „quad9-dnscrypt-ip4-filter-ecs-pri“:
sdns://AQMAAAAAAAAADTkuOS45LjExOjg0NDMgZ8hHuMh1jNEgJFVDvnVnRt803x2EwAuMRwNo34Idhj4ZMi5kbnNjcnlwdC1jZXJ0LnF1YWQ5Lm5ldA
So sieht es entschlüsselt aus:

Dies zeigt lediglich den Zweck und die Funktion von Stempeln.
Als Randbemerkung: In der ersten Hälfte dieses Videos wird Quad9 vorgestellt. Es ist von DNSCrypt getrennt, also verwechseln Sie sie nicht. Sie können Quad9 ohne DNSCrypt verwenden, was in der zweiten Hälfte des Videos erklärt wird. Allerdings erhalten Sie auf diese Weise keine verschlüsselten Abfragen, seien Sie also vorsichtig. Am besten nutzen Sie sie gemeinsam über den DNSCrypt-Dienst von Quad9.
Back to DNSCrypt. Wenn Sie einen Servernamen festlegen, teilen Sie DNSCrypt Proxy mit, welche öffentlichen Server (Stempel) verwendet werden sollen. Um den oben genannten Stempel zu verwenden, legen Sie Folgendes fest:
server_names = "quad9-dnscrypt-ip4-filter-ecs-pri"
Sie wählen Server aus der Liste der öffentlichen DNSCrypt-Server aus.
Um einen geeigneten Server auszuwählen, ordnen Sie die Liste („1“) zuerst nach dem „DNSCrypt“-Protokoll („2“) und verwenden Sie dann den Namen auf der linken Seite („3“). Das zweite Bild zeigt zusätzliche Serverinformationen, einschließlich des Stempels – diesen lädt DNSCrypt Proxy herunter, wenn Sie ihm einen Servernamen geben.
Nun zu Relays, bei denen es sich um datenschutzfreundliche Zwischenserver handelt, die Ihre Anfragen anonymisieren. Wenn Sie sie verwenden möchten (und das sollten Sie auch), müssen Sie die Option „Routen“ im Abschnitt „anonymisierte_dns“ festlegen. Der einfachste Ansatz besteht darin, DNSCrypt Proxy alle Anfragen weiterleiten zu lassen und dabei diese Hops nach dem Zufallsprinzip auszuwählen:
anonymized_dnsroutes =
{ server_name = "*", via = ["*" }]
Außerdem kann es zunächst eine Weile dauern, bis der obige Ansatz funktioniert, da ein funktionierendes Relais gefunden werden muss.
Sie können jedoch bestimmte Relais wie folgt auswählen:
anonymized_dnsroutes =
{ server_name = "*", via = [ "relay-example-1", "relay-example-2" },]
Dadurch werden alle für einen beliebigen Server bestimmten Abfragen über die Relays „relay-example-1“ und „relay-example-2“ gesendet. Eine vollständige Liste der Relays finden Sie in der öffentlichen Serverliste von DNSCrypt.
Wenn Sie auf die Überschrift (Anmerkung „1“) klicken, können Sie die Liste nach Relais („2“) sortieren. Der Name des Relay-Servers steht links („3“).
Viele dieser Relay-Server befinden sich im Besitz der Community. Seien Sie daher bei Ihrer Wahl vorsichtig. Bedenken Sie jedoch, dass Ihre Anfrage nicht gelesen werden kann. Um Ihre Anonymität zu schützen, stellen Sie schließlich sicher, dass Ihre Relays und Server nicht denselben Personen gehören.
Sie können Server außerdem so konfigurieren, dass sie bestimmte Relays verwenden:
anonymized_dnsroutes =
{ server_name = "example-server-1", via = [ "relay-example-1", "relay-example-2" },
{ server_name = "example-server-2", via = "relay-example-1", "relay-example-2" },]
Jetzt müssen Sie Ihre DNS-Einstellungen ändern. Wir haben Anleitungen dafür unter Windows 10, Windows 11 und macOS. Unter Linux müssen Sie nur eine einzige Datei aktualisieren:
su
# Requires root first.echo "nameserver 127.0.0.1\nnameserver ::1" > /etc/resolv.confchattr +i /etc/resolv.conf # Make the file immutable.
Eine Datei unveränderlich zu machen bedeutet, dass selbst Root sie nicht ändern kann. Sie können es jedoch mit sudo chattr-i/etc/resolv.conf wieder veränderbar machen. Verwenden Sie lsattr/etc/resolv.conf, um den aktuellen Dateiattributstatus anzuzeigen.
Manchmal ist es notwendig, die Datei „resolv.conf“ unter Linux unveränderlich zu machen, da einige Programme (wie NetworkManager) sie gerne zurücksetzen, wenn sie aktiviert werden. Sie sollten dies als nukleare Option in Betracht ziehen und diese bevorzugen, wenn dies mit einer anderen Methode möglich ist.
Es gibt einige zusätzliche Einstellungen, die eine reine, anonymisierte DNSCrypt-Protokollverbindung ermöglichen. Einige fungieren als Filter für die heruntergeladene Serverliste.
# Cache queries makes them faster.cache = truecache_size = 4_096# Use servers reachable over IPv4.ipv4_servers = true# Use servers reachable over IPv6.ipv6_servers = true# Use servers implementing the DNSCrypt protocol.dnscrypt_servers = true# We do not want to use DNS over HTTPS.doh_servers = false# We do not want to use servers implementing the Oblivious DNS over HTTPS protocol.odoh_servers = false# DNSSEC is optional here, but it limits your options.require_dnssec = false# Include only servers that do not log queries.require_nolog = true# Include servers that filter (for example, malware filters.)require_nofilter = false
Legen Sie außerdem im Abschnitt „anonymized_dns“ Folgendes fest:
anonymized_dns# Skip resolvers incompatible with anonymization (relays).skip_incompatible = true
Wenn Sie feststellen, dass ein Server keine Verbindung herstellt, liegt das wahrscheinlich daran, dass einer dieser Filter ihn aus der endgültigen gefilterten Auswahlliste ausschließt. Überprüfen Sie Ihren Zielserver und Ihre Einstellungen noch einmal.
Starten und testen Sie den Dienst
Es ist für jede Plattform anders
Nach der Konfiguration müssen Sie den Dienst aufrufen und testen. Informationen zu anderen Plattformen als Linux finden Sie in der entsprechenden, zuvor verlinkten Anleitung.
Unter Linux heißt der Dienst normalerweise „dnscrypt-proxy“:
sudo systemctl enable dnscrypt-proxysudo systemctl start dnscrypt-proxy
To test it:
cd /etc/dnscrypt-proxydnscrypt-proxy -resolve example.com
Wenn Sie dig verwenden, können Sie alternativ Folgendes ausführen:
dig example.com
Sie sollten sehen, wie es mithilfe des lokalen Servers aufgelöst wird:

Verwandte
So wissen sie, dass Sie ein VPN verwenden
Es ist kein Unsichtbarkeitsumhang.
Ich habe eine vollständige, funktionierende Konfigurationsdatei für Sie zusammengestellt. Es nutzt den gefilterten DNSCrypt-Dienst von Quad9, der Malware-Domänen filtert. Darüber hinaus werden Verbindungen über Österreich und Schweden vermittelt. Sie können nach Bedarf Relais hinzufügen oder entfernen oder die behandelten Informationen verwenden, um Ihr Setup anzupassen.
Die Optionen, die wir heute behandelt haben, habe ich mit „BENUTZERDEFINIERT“ gekennzeichnet. Alles andere finden Sie in der Beispielkonfigurationsdatei.
####################################################################### GLOBAL SETTINGS (WITHOUT SECTIONS)
######################################################################## CUSTOM!listen_addresses = "127.0.0.1:53", "[::1:53" ]# CUSTOM!server_names = "quad9-dnscrypt-ip4-filter-pri" # CUSTOM! These options are either changed from their defaults or significant# for the proper functioning of a pure DNSCrypt connection.# I explained these previously.cache = truecache_size = 4_096dnscrypt_servers = truedoh_servers = falseipv4_servers = trueipv6_servers = trueodoh_servers = falserequire_dnssec = falserequire_nofilter = false
# quad9-dnscrypt-ip4-filter-pri filters malware domains.require_nolog = true####################################################################### SECTIONED SETTINGS
#######################################################################anonymized_dnsskip_incompatible = true
# Only use servers that support relays.# CUSTOM!routes =
{ server_name = "*", via = [ "anon-cs-austria", "anon-cs-swe" },]sources.public-resolvers# This is where DNSCrypt resolves server names to stamps.# They're authenticated using cryptography.urls =
"https://raw.githubusercontent.com/DNSCrypt/dnscrypt-resolvers/master/v3/public-resolvers.md",
"https://download.dnscrypt.info/resolvers-list/v3/public-resolvers.md"cache_file = "public-resolvers.md"minisign_key = "RWQf6LRCGA9i53mlYecO4IzT51TGPpvWucNSCh1CBM0QTaLn73Y7GFO3"refresh_delay = 73prefix = ""sources.relays# A list of relays.urls =
"https://raw.githubusercontent.com/DNSCrypt/dnscrypt-resolvers/master/v3/relays.md",
"https://download.dnscrypt.info/resolvers-list/v3/relays.md"cache_file = "relays.md"minisign_key = "RWQf6LRCGA9i53mlYecO4IzT51TGPpvWucNSCh1CBM0QTaLn73Y7GFO3"refresh_delay = 73prefix = ""broken_implementations# These are lists of server names with problematic implementations.fragments_blocked =
"cisco",
"cisco-ipv6",
"cisco-familyshield",
"cisco-familyshield-ipv6",
"cisco-sandbox",
"cleanbrowsing-adult",
"cleanbrowsing-adult-ipv6",
"cleanbrowsing-family",
"cleanbrowsing-family-ipv6",
"cleanbrowsing-security",
"cleanbrowsing-security-ipv6"
Sie können dnscrypt-proxy-check ausführen (im selben Verzeichnis wie die Konfigurationsdatei), um sicherzustellen, dass Ihre Anfragen über Österreich oder Schweden weitergeleitet werden. Sobald Sie dies getan haben, müssen Sie nur noch den Dienst starten und DNS-Abfragen durchführen.
Während verschlüsseltes DNS viel zum Schutz Ihrer Privatsphäre beiträgt, leistet ein VPN noch mehr. Mit verschlüsseltem DNS ist es so, als würden Sie Ihre Vorhänge schließen, aber mit einem VPN ist es auch so, als würden Sie alle Türen verschließen. Wenn Ihnen der Datenschutz am Herzen liegt, empfehle ich ProtonVPN, das ich persönlich nutze und liebe.

ProtonVPN
Logging policy
No-Logs Policy
Mobile App
Android and iOS
Number Of Servers
13,000+
Free Trial
Kostenlose Version mit eingeschränkten Funktionen
![]()
Verwandte
Macht ein VPN Ihren PC tatsächlich sicherer?
Denken Sie, dass ein VPN Ihren PC unbesiegbar macht? Denken Sie noch einmal darüber nach.
*️⃣ Quelllink:
Domain Name System, ein weiterer Artikel, den ich geschrieben habe, DNSCrypt Proxy , Linux , Windows , macOS , mehrere andere Plattformen , TOML , IPv4 und IPv6, Stempel , Quad9’s , Liste öffentlicher DNSCrypt-Server , Relays, Windows 10, Windows 11, macOS, dig, So wissen sie, dass Sie ein VPN verwenden , Macht ein VPN Ihren PC tatsächlich sicherer? ,