CERTANIA DRP

Appearance

Runbook: DNS / MX / DKIM Failover

Dieses Runbook beschreibt die Wiederherstellungsschritte für DNS-, MX- und DKIM-Konfigurationen der CERTANIA Holding GmbH bei einem Ausfall oder einer Kompromittierung.

1. Zweck und Geltungsbereich

Dieses Runbook gilt für Ausfälle oder Fehlkonfigurationen der:

  • DNS-Einträge der primären Domain(s) der CERTANIA Holding GmbH
  • MX-Records (E-Mail-Routing über Hornet Security)
  • DKIM-Signaturen (E-Mail-Authentifizierung)
  • SPF/DMARC-Einträge (E-Mail-Schutz)

2. Verantwortliche Rolle(n)

RollePerson
Primäre AusführungIT-Leitung (Alexander Schedler)
EskalationDisaster Recovery Manager (Tina Turner)
Externe UnterstützungDNS-Registrar-Support / Hornet Security Support

3. Voraussetzungen und benötigte Zugänge

  • DNS-Registrar-Zugangsdaten: United Domains – im Passwort-Manager
  • DNS-Provider-Zugangsdaten: Cloudflare / Bunny.net – im Passwort-Manager
  • DNS-Konfigurationsdokumentation (aktueller Ist-Zustand aller Records):
;;
;; Domain:     certania.com.
;; Exported:   2026-02-24 14:52:27
;;
;; This file is intended for use for informational and archival
;; purposes ONLY and MUST be edited before use on a production
;; DNS server.  In particular, you must:
;;   -- update the SOA record with the correct authoritative name server
;;   -- update the SOA record with the contact e-mail address information
;;   -- update the NS record(s) with the authoritative name servers for this domain.
;;
;; For further information, please consult the BIND documentation
;; located on the following website:
;;
;; http://www.isc.org/
;;
;; And RFC 1035:
;;
;; http://www.ietf.org/rfc/rfc1035.txt
;;
;; Please note that we do NOT offer technical support for any use
;; of this zone data, the BIND name server, or any other third-party
;; DNS software.
;;
;; Use at your own risk.
;; SOA Record
certania.com	3600	IN	SOA	malavika.ns.cloudflare.com. dns.cloudflare.com. 2052361134 10000 2400 604800 3600

;; NS Records
certania.com.	86400	IN	NS	malavika.ns.cloudflare.com.
certania.com.	86400	IN	NS	margo.ns.cloudflare.com.

;; A Records
ia.certania.com.	1	IN	A	51.15.124.208 ; cf_tags=cf-proxied:false

;; CNAME Records
autodiscover.certania.com.	1	IN	CNAME	autodiscover.outlook.com. ; cf_tags=cf-proxied:false
autodiscover.ia.certania.com.	3600	IN	CNAME	autodiscover.outlook.com. ; cf_tags=cf-proxied:false
autodiscover.partners.certania.com.	3600	IN	CNAME	autodiscover.outlook.com. ; cf_tags=cf-proxied:false
brevo1._domainkey.certania.com.	3600	IN	CNAME	b1.certania-com.dkim.brevo.com. ; cf_tags=cf-proxied:false
brevo2._domainkey.certania.com.	3600	IN	CNAME	b2.certania-com.dkim.brevo.com. ; cf_tags=cf-proxied:false
certania.com.	1	IN	CNAME	main-bvxea6i-ro5ylhetinyxc.eu.platformsh.site. ; cf_tags=cf-proxied:false
_dmarc.certania.com.	3600	IN	CNAME	certania.com.dmarc.hornetdmarc.com. ; DMARC cf_tags=cf-proxied:false
enterpriseenrollment.certania.com.	1	IN	CNAME	enterpriseenrollment-s.manage.microsoft.com. ; cf_tags=cf-proxied:false
enterpriseenrollment.ia.certania.com.	3600	IN	CNAME	enterpriseenrollment-s.manage.microsoft.com. ; cf_tags=cf-proxied:false
enterpriseregistration.certania.com.	1	IN	CNAME	enterpriseregistration.windows.net. ; cf_tags=cf-proxied:false
enterpriseregistration.ia.certania.com.	3600	IN	CNAME	enterpriseregistration.windows.net. ; cf_tags=cf-proxied:false
hse1._domainkey.certania.com.	1	IN	CNAME	hse1._domainkey.hornetsecurity.com. ; cf_tags=cf-proxied:false
hse2._domainkey.certania.com.	1	IN	CNAME	hse2._domainkey.hornetsecurity.com. ; cf_tags=cf-proxied:false
lyncdiscover.ia.certania.com.	3600	IN	CNAME	webdir.online.lync.com. ; cf_tags=cf-proxied:false
mta.ms.certania.com.	1	IN	CNAME	mailersend.net. ; cf_tags=cf-proxied:true
one.certania.com.	1	IN	CNAME	certania.sharepoint.com. ; cf_tags=cf-proxied:true
selector1._domainkey.ia.certania.com.	3600	IN	CNAME	selector1-ia-certania-com._domainkey.gwpeu.p-v1.dkim.mail.microsoft. ; cf_tags=cf-proxied:false
selector2._domainkey.ia.certania.com.	3600	IN	CNAME	selector2-ia-certania-com._domainkey.gwpeu.p-v1.dkim.mail.microsoft. ; cf_tags=cf-proxied:false
sip.ia.certania.com.	3600	IN	CNAME	sipdir.online.lync.com. ; cf_tags=cf-proxied:false
trust-center.certania.com.	1	IN	CNAME	3a69a5bb27875189.vercel-dns-016.com. ; cf_tags=cf-proxied:false
trust.certania.com.	1	IN	CNAME	3a69a5bb27875189.vercel-dns-016.com. ; cf_tags=cf-proxied:false
www.certania.com.	1	IN	CNAME	main-bvxea6i-ro5ylhetinyxc.eu.platformsh.site. ; cf_tags=cf-proxied:false

;; MX Records
certania.com.	3600	IN	MX	10 mx01.hornetsecurity.com.
certania.com.	3600	IN	MX	20 mx02.hornetsecurity.com.
certania.com.	3600	IN	MX	30 mx03.hornetsecurity.com.
certania.com.	3600	IN	MX	40 mx04.hornetsecurity.com.
ia.certania.com.	3600	IN	MX	0 ia-certania-com.mail.protection.outlook.com.
partners.certania.com.	3600	IN	MX	0 partners-certania-com.mail.protection.outlook.com.
send.certania.com.	1	IN	MX	10 feedback-smtp.us-east-1.amazonses.com. ; Resend
send.resend.certania.com.	1	IN	MX	10 feedback-smtp.us-east-1.amazonses.com.

;; SRV Records
_sipfederationtls._tcp.ia.certania.com.	3600	IN	SRV	100 1 5061 sipfed.online.lync.com.
_sip._tls.ia.certania.com.	3600	IN	SRV	100 1 443 sipdir.online.lync.com.

;; TXT Records
certania.com.	1	IN	TXT	"compai-domain-verification=org_6980b22f35939cab1f33f691"
certania.com.	1	IN	TXT	"perplexity-ai-domain-verification-gfqexx=YAsLx0KoeZC8IA6TPCocejymm"
certania.com.	3600	IN	TXT	"brevo-code:fafcb14eb013a73461a7eaf839ce09ce"
certania.com.	1	IN	TXT	"nocodb-verification-26b8fa15466f6ba369243705d096651d"
certania.com.	1	IN	TXT	"v=spf1 redirect=certania.com.spf.hornetdmarc.com"
certania.com.	1	IN	TXT	"mistral-domain-verification=578d95e0ede2c90e2e7a7cffddc8f8c14056ac81"
certania.com.	1	IN	TXT	"airtable-verification=7f0953ab5c279f7894fc7fba1294fa75"
certania.com.	1	IN	TXT	"have-i-been-pwned-verification=dweb_i7knh4ph5kji8ogdpa3vtv74"
certania.com.	1	IN	TXT	"MS=ms53327001"
certania.com.	3600	IN	TXT	"google-site-verification=JQ4EP2NPU3tqfAiqAHAM9j9r06PFoZYD6WMTlOGPDfs"
certania.com.	1	IN	TXT	"openai-domain-verification=dv-a0DMbOUfhQ2kwrrxCbGhwsjl"
certania.com.	1	IN	TXT	"atlassian-domain-verification=Yi5X4TM5tY5am15pv/yH1C2ZSPmG/oYhOkbM4Kuj4aOTNLvOaNxhLmwLRP4SZTJb"
ia.certania.com.	3600	IN	TXT	"v=spf1 include:spf.protection.outlook.com ~all"
ia.certania.com.	3600	IN	TXT	"MS=ms81564519"
ms.certania.com.	1	IN	TXT	"v=spf1 include:_spf.mailersend.net ~all"
partners.certania.com.	3600	IN	TXT	"v=spf1 include:spf.protection.outlook.com -all"
resend._domainkey.certania.com.	1	IN	TXT	"p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC14pmPbq2ZKVVgKnpUgbDrWNFrPjuHUtTi3wE0mTrb5T8ziose8u8WfakmuoG+1efAqOG9bma9lUn01vvzw+UdF85DnRfLuaxxGLBTHbhDO6sZKG5cPnnUX5JiIfRSENsBZEQaOK71PY1y7OgLb6iaFMMWDAno4fThOOcdMHbLNQIDAQAB" ; Resend
resend._domainkey.resend.certania.com.	1	IN	TXT	"p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCz83HzNCqZN+KLBn0sL2fLH8yb6ebSFQlzsxYMyUoyA3tpZa9as1YhuZP5mkJGj1LUs55VyRDOjv4GeAGvU0dGf3yaSIDXa/7ND3W1kPkvvvPffZ7s6mQaFy0b7jSkmVVHUfJDFrawnvWBqHZEiSIpW1/PY01tvlr+b2swuLiKHQIDAQAB"
send.certania.com.	1	IN	TXT	"v=spf1 include:amazonses.com ~all" ; Resend
send.resend.certania.com.	1	IN	TXT	"v=spf1 include:amazonses.com ~all"

4. Schritt-für-Schritt Wiederherstellungsanleitung

Szenario A: Ausgefallene/fehlerhafte DNS-Einträge (E-Mail nicht zustellbar)

  1. DNS-Status prüfen mit externem Tool (z. B. https://mxtoolbox.com):
    • MX-Record korrekt? Zeigt auf Hornet Security?
    • SPF-Record korrekt?
    • DKIM-Record vorhanden und gültig?
  2. DNS-Provider-Konsole aufrufen: https://dash.cloudflare.com/
  3. Fehlerhaften Eintrag identifizieren und korrigieren:
    • MX-Record auf Hornet Security setzen
    • SPF-Record wiederherstellen
    • DKIM-Record wiederherstellen
  4. TTL-Wert prüfen – bei niedrigem TTL (<300s) sind Änderungen schnell wirksam
  5. Propagation abwarten (typisch 5–30 Minuten bei niedrigem TTL)
  6. Validierung mit MXToolbox: https://mxtoolbox.com
  7. Test-E-Mail senden und empfangen

Szenario B: Kompromittierter DNS-Account / Domain Hijacking

  1. DNS-Registrar sofort kontaktieren – Zugang sperren lassen: https://www.united-domains.de
  2. Passwort des DNS-Registrar-Accounts sofort zurücksetzen
  3. MFA für DNS-Registrar-Account aktivieren / prüfen
  4. Alle DNS-Einträge auf Korrektheit prüfen und ggf. korrigieren
  5. Registry-Lock für Domain aktivieren (falls unterstützt)
  6. Sicherheitsvorfall dem DRM melden und ggf. Behörden informieren

Szenario C: DKIM-Schlüssel ungültig / E-Mail-Authentifizierung fehlgeschlagen

  1. Hornet Security Admin-Portal aufrufen und DKIM-Konfiguration prüfen
  2. Microsoft 365 Admin Center → SettingsDomains → DKIM-Tab prüfen
  3. Neuen DKIM-Schlüssel in M365 oder Hornet generieren
  4. DKIM-TXT-Record im DNS aktualisieren
  5. DKIM-Aktivierung in M365/Hornet bestätigen
  6. Validierung: Test-E-Mail mit DKIM-Prüfung senden

5. Erfolgskriterien und Validierungsprüfungen

Die Wiederherstellung gilt als erfolgreich, wenn:

  • [ ] MXToolbox zeigt alle Records korrekt und keine Fehler
  • [ ] Test-E-Mail erfolgreich zugestellt (extern und intern)
  • [ ] DKIM-Signatur gültig (prüfbar mit E-Mail-Header-Analyse)
  • [ ] SPF-Check: pass für ausgehende E-Mails
  • [ ] DMARC: keine Fehlberichte

6. Fallback bei gescheiterter Wiederherstellung

Falls MX-Records nicht korrigiert werden können:

  1. Notfall-E-Mail-Routing: direkte Exchange Online MX-Records temporär setzen
  2. Mitarbeitende auf alternative Kommunikationswege hinweisen (Mobil, Privat-Mail)
  3. DNS-Registrar für Eskalation kontaktieren: https://www.united-domains.de

7. Geschätzte Wiederherstellungszeit (RTO)

SzenarioGeschätzter RTO
Fehlerhafte DNS-Einträge korrigieren30–60 Minuten (inkl. Propagation)
Domain Hijacking – Notfallmaßnahmen2–4 Stunden
DKIM-Schlüssel erneuern30–60 Minuten

Ziel-RTO gemäß BIA: 1 Stunde

Änderungshistorie

VersionDatumAutorÄnderung
0.12026-02-24Alexander SchedlerInitiale Erstellung

Dokumentensteuerung

FeldWert
Dokumentenname07_06_Runbook-DNS-MX-DKIM-Failover.md
Version0.1
StatusEntwurf
Erstellt vonAlexander Schedler
Freigegeben von
Datum2026-02-24
Nächste Überprüfung2027-02-24