Gefiltert oder gefährdet? DNS-Dienste im Malware-Test
Immer mehr Nutzer verlassen sich auf DNS-Dienste, die gefährliche Domains automatisch blockieren sollen. Doch wie zuverlässig funktionieren diese Schutzmechanismen im Alltag? Ein aktueller Vergleichstest hat acht öffentliche DNS-Filter analysiert und ihre Wirksamkeit gegenüber über 80.000 bekannten Malware-Domains geprüft. Mit dabei ist erstmals auch DNS4EU, ein von der EU initiierter Resolver.
Für den Test von Nexxwave kam – wie auch in den vorherigen Tests 2023 und 2024 – eine Liste potenziell schädlicher Domains vom polnischen CERT und von URLhaus zum Einsatz. Von den insgesamt 80.762 Einträgen wurden 39.160 Hosts als aktiv eingestuft und auf ihre Erreichbarkeit über das ungefilterte Cloudflare DNS überprüft. Anhand der Nichtauflösungen wurde anschließend ermittelt, welche Anbieter besonders effektiv blockieren.
ControlD top, Cloudflare holt auf
Das beste Ergebnis erzielte der Dienst ControlD Malware, der 99,98 Prozent der Malware-Domains erfolgreich blockierte. Ebenfalls stark schnitten dns0.eu (99,23 Prozent), CleanBrowsing (96,49 Prozent) und Quad9 (96,66 Prozent) ab. Eine positive Überraschung lieferte Cloudflare for Families, das nach mehreren Durchhängern mit nur einstelligen Prozentzahlen nun deutlich besser filterte (95,82 Prozent) und zu den anderen Anbietern aufschloss.
UltraDNS (65,47 Prozent) hinkte zwar hinterher, zeigte aber ebenfalls eine klare Verbesserung gegenüber dem Vorjahr (1,69 Prozent). Das neu ins Leben gerufene DNS4EU überzeugte in seinem ersten Testdurchlauf mit soliden 95,08 Prozent. Um zu prüfen, ob die Anbieter in Sachen Domain-Blockaden über das Ziel hinausschießen, fragten die Tester auch 1000 legitime Webseiten ab. Alle Dienste überzeugten dabei durch sehr wenige False Positives (zwischen null und drei).
Besonders kurze Antwortzeiten in Europa
Doch nicht nur die Filterleistung ist wichtig, auch die Performance spielt für Nutzer im Alltag eine große Rolle. Bauen sich Webseiten nur träge auf, liegt das nicht selten am DNS. So wurde die weltweite Erreichbarkeit der sieben Testkandidaten mittels RIPE Atlas überprüft. Dazu führten 1000 weltweit verteilte Messpunkte Ping-Tests auf die Resolver durch.
Während Anbieter wie Cloudflare und Quad9 mit niedrigen Latenzen global glänzen konnten, zeigen Dienste wie dns0.eu und DNS4EU eine klare Fokussierung auf europäische Nutzer. Wer also außerhalb Europas unterwegs ist, muss je nach DNS-Dienst mit längeren Antwortzeiten rechnen. Im Zweifelsfall hilft hier, einfach auszuprobieren.