DNS Konfigurationsprofile

Es hat lange gedauert, doch nachdem die Privatsphäre in den Fokus der Nutzer*innen gerückt ist, hat Apple eine Möglichkeit bereitgestellt, mithilfe von DNS Konfigurationsprofilen dafür zu sorgen, dass DNS-Server unter iOS und MacOS sehr leicht verändert werden können. Diese Profile werden per Klick installiert sind somit eine besonders einfache Lösung, um verschlüsselte DNS-Server in iOS und MacOS zu nutzen.

Für mich war dies ein Anlass, vier verschiedene Konfigurationsprofile zu erstellen, die den derzeitigen DNS-Server unter iOS und MacOS entsprechend austauschen. Mit diesen Profilen ist es für Nutzer*innen von 1.1.1.1 beispielsweise nicht länger notwendig, die App zu verwenden, weil die DNS-Server von Cloudflare nun auch via DNS Konfigurationsprofil hinzugefügt werden können. Die App, die als als Akkufresser bekannt ist, braucht es also gar nicht mehr.

Besonders interessant ist dabei die Möglichkeit, mit dem DNS Konfigurationsprofil einen DNS-Server auszuwählen, der verschiedene Blocklisten enthält und somit auch als AdBlocker fungiert. Aktuell gibt es drei große DNS Services mit Fiterlisten, zwei davon stammen aus Deutschland. Wer unter iOS und MacOS ein Konfigurationsprofil verwendet, benötigt dann keinen AdBlocker mehr, weil via DNS-Server bereits nahezu alle Werbenetzwerke herausgefiltert werden.

Doch schauen wir uns das Ganze ein wenig genauer an. Gerne erkläre ich euch hier noch einmal ausführlich, was es mit den Profilen für iOS und MacOS auf sich hat. Blicken wir dabei zunächst auf den DNS-Server selbst und wie er funktioniert. Wer daran kein Interesse hat, klickt den Button unten, um direkt zum Download zu gelangen. Wer sich lieber einen persönlichen einrichtet, findet weiter unten noch eine persönliche Empfehlung von mir.

Was sind DNS Konfigurationsprofile und wie funktionieren sie? Ein kurzes Erklärvideo.
Zu den DNS Profilen

Was ist ein DNS Konfigurationsprofil?

Ein DNS Konfigurationsprofil (oft auch als iOS Profil oder DNS Profil bezeichnet) ist eine .mobileconfig Datei, die Einstellungen an der Netzwerkverbindung innerhalb von MacOS und iOS vornimmt. In diesem Fall geht es darum, die DNS-Server zu wechseln, die sonst automatisch vom Provider zur Verfügung gestellt werden. Was ein DNS-Server ist und warum ein Wechsel auf einen verschlüsselten DNS-Server klug ist, erkläre ich euch weiter unten noch genauer.

Durch die Änderung der DNS-Server wird die Verbindung zum einen sicherer, zum anderen aber auch deutlich schneller. Cloudflare bietet mit seinem Service 1.1.1.1 beispielsweise den wohl schnellsten DNS-Server überhaupt an. Das wiederum führt dazu, dass Verbindungen deutlich beschleunigt werden können. Gerade dann, wenn das Internet bei euch eh schon recht langsam ist, kann der DNS-Server für den entscheidenden Unterschied sorgen.

Ein anderer Vorteil ist das Blockieren von Werbung auf DNS-Ebene. Bereits die DNS-Abfrage verbietet auf diese Weise Verbindungen zu den unterschiedlichen Werbe- und Tracking-Netzwerken. Allein durch das DNS Konfigurationsprofil kann also die Werbung auf Websites vollständig blockiert werden, wenn ein entsprechender DNS-Server im Einsatz ist.

In diesem Fall braucht es weder für iOS noch für MacOS einen AdBlocker im Browser. Viel besser noch ist, dass ein DNS-Server mit AdBlocker gleichzeitig die Privatsphäre schützt. Das funktioniert dabei nicht nur im Browser (wie bei einem AdBlocker), sondern eben auch in sämtlichen Apps, da der gesamte Netzwerkverkehr über den DNS-Server gefiltert wird. Effektiveres AdBlocking ist kaum möglich.

iOS und MacOS .mobileconfig für DNS Profile
Mithilfe der .mobileconfig für MacOS und iOS lassen sich DNS-Server einfach einbinden und Netzwerkübergreifend nutzen.

Was ist ein DNS-Server?

Ein DNS-Server (Domain Name System) ist eine Art Adressbuch für das Internet. Ohne dieses Buch wüsstet ihr nicht, wo genau sich die jeweilige Internetseite befindet. Auch wenn die Domain für euch nämlich Sinn ergibt, versteht der Browser nur die IP-Adresse, die sich dahinter verbirgt. Diese ist sein eigentliches Ziel.

Gebt ihr nun also eine Domain in die Adressleiste ein, prüft der Browser über das Domain Name System (DNS), zu welcher IP-Adresse er euch weiterleiten muss bzw. wo sich die Zielseite wirklich befindet. Bei der Eingabe stellt ihr dann automatisch eine Anfrage an den jeweiligen DNS-Server, der euch die Website übermittelt. Wie eine Art von Adressbuch oder Navigationssystem für das Internet.

Nun gibt es allerdings das Problem, dass DNS-Daten vermeintlich wertvoll sind. Provider stellen automatisch die DNS-Server zur Verfügung und wissen somit sehr genau (via Logging) wo ihre Kundschaft unterwegs ist und welche Websites sie besucht. Unter Umständen wird mit diesen Daten sogar gehandelt.

Damit all das privater und auch sicherer wird, ist also definitiv ein anderer DNS-Server notwendig als den, den euer Provider euch als Standard zur Verfügung stellt. Hier solltet ihr zudem darauf achten, dass selbiger DNSSEC unterstützt und entsprechend vertrauenswürdig erscheint, denn sonst entstehen nur neue potenzielle Sicherheitslücken. Ein DNS-Server mit gefälschten Einträgen könnte euch nämlich jederzeit auf Phishing Websites weiterleiten.

DNSSEC einfach erklärt

Damit die Daten, die vom DNS-Server stammen, auch wirklich korrekt sind, gibt es die DNSSEC-Technologie. Ohne diese wäre es möglich, dass Betrüger*innen euch auf eine Fake Website umleiten, die wie die echte aussieht. Schließlich fungiert ein DNS-Server als Adressbuch und deshalb kann er euch ebenso gut zu einer falschen Adresse schicken. Selbst dann, wenn die den Anschein erweckt, die echte zu sein.

Um solche Dinge zu verhindern, gibt es die DNSSEC-Technologie. Diese sorgt dafür, dass eine Authentifizierung der Quellen stattfindet. Im Grunde gleicht der DNS-Server dann die DNS-Daten mit den öffentlich einsehbaren Informationen aller Websites ab. Sind die Werte des DNS-Servers korrekt, gibt es eine erfolgreiche Validierung via DNSSEC.

Wer also sein Online-Banking aufruft, kann dank DNSSEC nicht mehr ohne Weiteres eine Phishing Website angezeigt bekommen, weil DNSSEC zuvor validiert hat, dass die Daten der Website korrekt sind. Durch diese Überprüfung wird ein Risikofaktor entfernt, der vor allem bei fremden DNS-Servern entsteht. DNSSEC ist deshalb auch wichtig und ein Server ohne DNSSEC sollte gänzlich gemieden werden.

DNS-Server Infografik
Vom Computer über den DNS-Server bis hin zur IP-Adresse und wieder zurück. Bevor euch eine Website angezeigt wird, sind viele Schritte notwendig.

DNS-Server mit AdBlocker?

DNS-Server sorgen auf mehreren Ebenen für eine erhöhte Privatsphäre. Der erste Schritt ist, dass DNS-Server in der Regel die Techniken DNS-over-HTTPS (DoH) oder DNS-over-TLS (DoT) unterstützen. Beide verschlüsseln die Anfragen der DNS-Server entsprechend, sodass niemand mehr weiß, welche Anfrage ihr überhaupt gestellt habt. Die Verbindung zum DNS-Server ist also nicht länger einsehbar und findet nur noch verschlüsselt statt.

Zusätzlich kann ein DNS-Server dafür sorgen, dass bestimmte Websites blockiert werden. Das wiederum führt dazu, dass DNS-Server mit Blocklisten gar keine Verbindung mehr zu Werbenetzwerken und Trackern herstellen können. Noch lange bevor euer AdBlocker im Browser eingreifen würde, wird hier bereits auf DNS-Ebene blockiert.

DNS-Server mit AdBlocker funktionieren dabei auch außerhalb des Browsers. Das liegt daran, dass ein DNS-Server den gesamten Traffic im Netzwerk filtert und nicht nur innerhalb eines Browsers. Auch in Apps auf dem iPhone oder unter MacOS werden also sämtliche Verbindungen blockiert, die Werbung enthalten oder die Privatsphäre betreffen.

Google Analytics ist hier ein schönes Beispiel, genau wie andere Analysedienste, die gerne in Apps zum Einsatz kommen. Da der DNS-Server die Verbindung vollständig blockiert, kann diese gar nicht erst stattfinden. Somit werden keinerlei Daten mehr übertragen. Der DNS-Server antwortet bei einer Anfrage, dass es die URL nicht gibt und diese daher nicht aufgerufen werden kann.

Ein DNS-Server mit AdBlocker sorgt also für mehr Sicherheit, Privatsphäre und macht unter Umständen den AdBlocker im Browser komplett überflüssig. Einzige Ausnahme ist faire Werbung, die von derselben Domain stammt und dynamische Werbung wie auf YouTube oder Twitch. Um die zu blocken, gibt es Addons wie Vinegar (findet ihr unter meine Tools). Das nur als persönliche Empfehlung nebenbei.

Das Blockieren über einen DNS-Server beschleunigt übrigens auch den Browser selbst, weil selbiger keine Erweiterungen mehr laden muss. Gerade AdBlocker sind sehr rechenintensiv und je größer die Blockliste ist, desto stärker verlangsamen sie den Websiteaufbau. Das ist bei einem DNS-Server mit AdBlocker ganz anders. Hier liegt der Vorteil darin, dass geblockt wird, noch bevor die Domain aufgerufen wird. Sie kommt also gar nicht erst im Browser an.

NextDNS Erfahrungen

Empfehlen kann ich euch diesen DNS-Server mit AdBlocker von NextDNS. Der Service ist nicht nur bei mir persönlich im Einsatz, sondern gehört für mich auch mit zu den besten überhaupt, wenn es um AdBlocking auf DNS-Ebene geht.

Das liegt unter anderem an der enormen Leistung und in gleicherweise an den vielfältigen Einstellungsmöglichkeiten, die NextDNS zu bieten hat. Nicht nur, dass ich performancerelevante Optionen selbst wählen kann, auch die Blocklisten suche ich mir frei aus. Eine persönliche Blacklist sorgt zudem dafür, dass ich ganz individuell Domains blockieren darf.

Auf diese Weise wird NextDNS zur Wunderwaffe in Sachen DNS-Server. Das wiederum führt dazu, dass das Internet allgemein schneller wird und ich mobil jede Menge Datenvolumen einsparen kann. Selbst systeminternes Tracking von Apple, Microsoft, Samsung und Co kann blockiert werden. Wer Interesse hat, klickt auf den Link oben und gelangt so zu meinem Testbericht.

DNS-Server mit AdBlocker
NextDNS ist ein DNS-Server mit AdBlocker, der Tracker und Werbung auf DNS-Ebene blockiert. Außerdem gibt es eine Filterliste, mit der ihr zusätzliche Domains blockieren könnt.

Konfigurationsprofil für iOS und MacOS

Das Geniale ist nun, dass Apple durch seine Bemühungen in Bezug auf die Privatsphäre DNS Konfigurationsprofile für iOS und MacOS eingeführt hat. Damit lassen sich, ohne in irgendwelchen Einstellungen herumzufummeln, eigene DNS-Server in das System integrieren.

Vorher bestand dass Problem, dass DNS-Server nur in den Netzwerkeinstellungen verändert werden konnten. Wer dann das WLAN gewechselt hat oder mit mobilem Internet surfte, durfte die zuvor eingestellten DNS-Server nicht mehr verwenden. Stattdessen musste er sie händisch erneut eingeben und zwar für jedes Netzwerk einzeln.

Auch deshalb waren Apps wie 1.1.1.1 oder DNSCloak so beliebt, weil sie die DNS-Server über virtuelle VPN-Netzwerke hinzufügten. Mit dieser Methode waren DNS-Server dann zwar netzwerkübergreifend nutzbar, doch die entsprechenden Apps wurden schnell als Akkufresser gebrandmarkt. Wer auf diese Weise einen DNS-Server hinzufügte, riskierte also kurze Akkulaufzeiten am iPhone und MacBook.

Mit einem Konfigurationsprofil ist das nun anders. Diese Profile für iOS und MacOS gelten für sämtliche Verbindungen auf iPhone und Mac, sodass keine spezifischen Einstellungen pro Netzwerk mehr notwendig sind. Einmal konfiguriert, wird somit beständig der entsprechende DNS-Server genutzt und zwar für alle Verbindungen auf dem jeweiligen Gerät.

DNS Profile downloaden

Die Konfigurationsprofile für iOS funktionieren auch unter MacOS problemlos. Der Grund, warum ich sie hier dennoch oft als iOS Profile bezeichne, ist vor allem der, dass die Profile als sogenannte .mobileconfig abgespeichert werden. Es liegt also vom Namen her sehr nahe, sie einfach iOS Profil zu nennen.

Im Grunde ist der Name aber auch egal, denn es handelt sich immer um Konfigurationsprofile für iOS und MacOS. Diese Profile tragen automatisch entsprechende DNS-Server ein, die dann für alle Verbindungen auf dem jeweiligen Gerät verwendet werden.

Weil ich ein Freund von Performance, Minimalismus und kleinen Dateien bin, habe ich vier Profile erstellt, die komprimiert sind und keine unnötigen Zeilen oder Beschreibungen mehr beinhalten. In ihnen ist also nur das Nötigste zu finden.

NextDNS

NextDNS

Meine persönliche Empfehlung ist inzwischen ganz klar NextDNS. Hier wird ein eigener DNS-Server mit individuellen Optionen und Blocklisten generiert. Das ist grundsätzlich erst einmal kostenlos und noch dazu rasend schnell. Weiter oben hatte ich meinen Testbericht zu NextDNS bereits verlinkt. Über den Button unten gehts nun direkt zum DNS Service selbst. Der punktet erst einmal damit, dass er für die normale Nutzung kostenlos ist und es euch erlaubt, allerlei Blocklisten und Einstellungen zu wählen. Ziemlich praktisch und sehr performant.

NextDNS*

DNS Forge

DNS Forge

DNS Forge ist ein DNS-Server aus Deutschland ohne Logging und Zensur, dafür aber mit Werbeblocker. Die Blocklisten gegen Werbung und Malware werden wöchentlich aktualisiert und sind somit stets auf dem neusten Stand. Es kommen tatsächlich auch recht viele Filterlisten auf einmal zum Einsatz, sodass wirklich eine ganze Menge blockiert wird. Eine Whitelist wird ebenfalls gepflegt, um eventuelle Fehler zu beheben. Alles sehr sauber und funktionell gestaltet. Der schnellste DNS-Server ist DNS Forge meiner Meinung nach nicht, er ist aber mit den umfangreichsten Blocklisten ausgestattet und stammt von einem deutschen Anbieter. Das ist auch schon viel wert.

Download

Dismail

Dismail DNS

Wer den AdBlocker gleich im DNS-Server haben möchte, dem kann ich den DNS Service von Dismail empfehlen. Das Konfigurationsprofil fügt den DNS-Server von Dismail hinzu, der verschiedene Blocklisten verwendet, um Tracker und Werbung direkt auf DNS-Ebene zu blockieren. Die Server von Dismail stehen in Deutschland und werden auch hier verwaltet. Das funktioniert so weit ganz gut und es werden gleich mehrere Blocklisten kombiniert, was die Blockrate anhebt. Als deutschen Anbieter würde ich persönlich DNS Forge vorziehen.

Download

AhaDNS Blitz

AhaDNS Blitz

Der Ansatz von AhaDNS Blitz ist äußerst interessant, denn hier kann jeder ohne Registrierung oder Ähnliches die gewünschten Blocklisten aktivieren. Diese werden aktiv angewendet, wobei ein DNS-Server in eurer Nähe gewählt wird, um möglichst schnelle DNS-Auflösungen zu garantieren. Die DNS-Server waren bei mir stets sehr flott und bei den Blocklisten sind Klassiker wie OISD dabei. AhaDNS ist zudem kostenlos nutzbar und eine entsprechende .mobileconfig kann ebenfalls direkt auf der Website heruntergeladen werden, um den DNS-Server in iOS und MacOS zu integrieren. Toller Service.

AhaDNS Blitz

Mullvad DNS

Mullvad DNS

Mullvad ist eigentlich ein sehr bekannter VPN-Anbieter, stellst die eigenen DNS-Server aber auch kostenlos zur Verfügung. Die dazugehörigen .mobileconfig-Profile sind zwar ein wenig im GitHub Repository versteckt, lassen sich, einmal entdeckt, aber problemlos via HTTPS oder TLS nutzen. Frei nach dem Motto: Verschlüsseltes DNS sollte für jeden kostenlos sein. Mullvad DNS gibt es dabei in fünf Stufen. »Vanilla« (filtert nichts), »Adblock« (blockiert Werbung), »Base« (blockiert ein wenig mehr), »Extended« (blockiert auch Social Media) sowie »All« (blockiert auch Erwachseneninhalte). Fünf starke Profile also, die für meinen Geschmack aber entweder zu wenig oder zu viel blockieren, jedoch nie das, was ich wirklich blockieren möchte. Interessant ist Mullvad DNS trotzdem, weil die Server schnell laufen und wenig Probleme verursachen.

Mullvad DNS

BlahDNS

BlahDNS

BlahDNS ist ein weiteres Hobby-Projekt einer Privatperson, bei der unter anderem mit AdBlock und fehlenden Logs geworben wird. Auch BlahDNS hat zudem einen deutschen Server im Angebot, der sehr schnell antwortet und eine tolle Performance liefert. Als DNS-Server ist BlahDNS wirklich äußerst flott. Persönlich stört mich jedoch, dass die Blocklisten nicht klar kommuniziert werden. Natürlich sind diese via GitHub einsehbar, werden aber eben nicht direkt auf der Website genannt. Genutzt werden für BlahDNS eine Vielzahl von kleinen und eher unbekannten Listen, was aber nichts heißen muss. Allgemein funktioniert BlahDNS gut und blockt die meisten ungewünschten Inhalte. Für mich aber, aufgrund mangelnder Transparenz, nicht die erste Wahl. Da gibt es hier in der Liste viele DNS-Server mit AdBlocker, die besser funktionieren.

BlahDNS

LibreDNS

LibreDNS

LibreDNS wird von LibreOps angeboten, einer Website für dezentrale Dienste und Tools, die standardmäßig die Privatsphäre der Nutzer respektieren. Statt also im großen Stil Tracking und Data Farming zu betreiben, geht es hier darum, freie Alternativen ohne lästige Nachteile zu schaffen. Unter anderem eben mit LibreDNS, einem offenen und frei verfügbaren DNS-Server mit AdBlocker. LibreDNS setzt dabei auf die Steven Black Unified Hosts Blockliste, die seit Ewigkeiten existiert und für die meisten bereits vollkommen ausreicht. Sie blockiert Werbung und Tracker sehr zuverlässig. LibreDNS kann zudem über DoH und DoT eingesetzt werden, je nachdem, was euch lieber ist.

LibreDNS

Control D

Control D

Control D ist ein DNS-Dienst, der neben mehr Privatsphäre und AdBlocking auch zielgenaues Blocken von bestimmten Services verspricht. Wenn Eltern etwa Videospielplattformen wie Steam oder den Epic Games Launcher blockieren möchten, damit ihr Kind nur zu bestimmten Zeiten spielen kann, ist Control D nützlicher als viele vergleichbare Anbieter. Weiterhin erlaubt es einen Standortwechsel per IP, ganz ohne VPN oder installierte App und hat auch sonst noch ein paar interessante Optionen integriert, die ein Alleinstellungsmerkmal sind. Die Einrichtung ist leider etwas kompliziert, weil die Website etwas überdesignt wurde, aber im kurzen Test fand ich Control D tatsächlich empfehlenswert und wollte es daher in meine Liste mit aufnehmen.

Control D

RethinkDNS

RethinkDNS

RethinkDNS ist ein Cloud DNS Service, bei dem verschiedene Blocklisten angewendet werden, dann aber zu DNS-Servern von Google und Cloudflare weitergeleitet wird. Das macht die DNS-Server zwar besonders schnell, doch ob es so im Interesse der Nutzer*innen liegt, am Ende wieder bei Google und Cloudflare zu landen, steht auf einem anderen Blatt Papier. Meins ist das nicht. Wenn ihr RethinkDNS dennoch ausprobieren wollt, könnt ihr das gerne tun. Der Service ist kostenlos, es gibt jedoch auch ein kostenpflichtiges Upgrade.

RethinkDNS

Cloudflare

Cloudflare 1.1.1.1 DNS

Wer die App 1.1.1.1 von Cloudflare verwendet, der weiß bestimmt, wie gerne selbige den Akku vom iPhone entleert. Statt die App zu installieren, kann Cloudflare 1.1.1.1 allerdings ebenso gut via DNS Konfigurationsprofil hinzugefügt werden. Egal ob unter iOS oder unter MacOS, die schnellen DNS-Server von Cloudflare machen sich durchaus bezahlt. Auf einen Adblocker auf DNS-Ebene müsst ihr hier allerdings verzichten, Cloudflare löst die Anfragen nur ohne Blockierung auf. Dafür aber besonders schnell.

Zum Download

AdGuard DNS

AdGuard DNS

AdGuard ist ein bekannter und beliebter AdBlocker für iOS und MacOS. Die wenigsten wissen allerdings, dass AdGuard auch einen kostenlosen DNS-Server anbietet, welcher eine starke Filterliste enthält. Diese wird von AdGuard regelmäßig aktualisiert. Der DNS-Server blockt zwar weniger als Dismail oder DNS Forge, doch dafür blockiert er auch nicht zu viel, sodass alle Websites weiterhin ordnungsgemäß funktionieren. Inzwischen bietet AdGuard einen Service ähnlich NextDNS an, bei dem ihr euren eigenen DNS-Server konfigurieren könnt. Einfach mal anschauen und testen, wäre meine Empfehlung. Ich fand AdGuard als AdBlocker immer zu langsam und bei den DNS-Servern fehlt mir auch einiges. Aber das könnt ihr natürlich anders sehen.

AdGuard DNS

Profil unter iOS und MacOS installieren

Die Konfigurationsprofile funktionieren sowohl unter iOS als auch unter MacOS. Wichtig ist, dass es sich mindestens um iOS 14 oder MacOS 11 (Big Sur) handelt. Davor sind leider keine Konfigurationsprofile zugelassen.

Um ein entsprechendes Konfigurationsprofil unter iOS oder MacOS zu installieren, ladet ihr es in die iCloud und öffnet es über die Dateien App. Folgende Schritte verdeutlichen den Vorgang noch einmal.

Anleitung für iOS

  1. Konfigurationsprofil in iCloud herunterladen und öffnen.
  2. Geht dann in die Einstellungen. Ganz oben, direkt unter eurem Namen und der Apple-ID, wird nun »Profil geladen« angezeigt. Diesen Punkt auswählen. Dann oben rechts noch auf »Installieren« und mit dem Code verifizieren.
  3. Ist das Konfigurationsprofil installiert worden, wird der dort eingestellte DNS-Server oder Dienst automatisch für alle Netzwerkverbindungen verwendet.

Anleitung für MacOS

  1. Profil herunterladen und per Doppelklick öffnen.
  2. Einstellungen öffnen und unten rechts auf »Profile« klicken.
  3. Dort den Button »Installieren« anklicken und im sich öffnenden Fenster ebenfalls »installieren« auswählen. Dann nur noch via Touch-ID verifizieren, um die Installation abzuschließen.
  4. Fertig. Der DNS-Server wird nun für alle Verbindungen genutzt.

Profil unter iOS und MacOS löschen

Wenn das hinzugefügte Profil nicht korrekt funktioniert, sollte es gelöscht und noch einmal installiert werden. Manchmal kommt auch ein Wechsel infrage, sodass das alte Profil entfernt werden sollte.

Im Grunde ist das Löschen von Konfigurationsprofilen ganz einfach und keine große Sache. Eine Anleitung mit mehreren Schritten ist hier gar nicht notwendig. Trotzdem habe ich versucht, es euch besonders einfach zu machen.

Anleitung für iOS

  1. Öffnet die Einstellungen und wählt »Allgemein«.
  2. Scrollt nach ganz unten zum Menüpunkt »Profil«.
  3. Klickt auf das aktuell installierte Konfigurationsprofil und dann auf den Punkt »Profil entfernen«.
  4. Bestätigt das mit der Verifizierung via Code und geht noch einmal auf »Entfernen«. Damit ist das Profil gelöscht.

Anleitung für MacOS

  1. Geht in die Einstellungen von MacOS.
  2. Ganz unten rechts befindet sich das Icon mit dem Titel »Profile«. Öffnet den Menüpunkt mit einem Klick.
  3. Wählt das entsprechende Profil aus und klickt unten links auf das Minuszeichen, um es vollständig zu entfernen.
  4. Bestätigt den Vorgang der Löschung und verifiziert euch mittels Touch-ID. Anschließend verschwindet das Profil automatisch.
DNS Profil in MacOS installieren
Nach dem Klick auf ein DNS Profil erscheint in den Einstellungen von MacOS ein zusätzlicher Menüpunkt mit dem Titel Profile.

Test der DNS-Einstellungen

Das Konfigurationsprofil habt ihr unter iOS bzw. MacOS erfolgreich eingerichtet und nun fragt ihr euch, ob es auch korrekt funktioniert? Um genau das zu überprüfen, könnt ihr verschiedene Online-Tools nutzen. Einige davon stelle ich euch hier genauer vor.

Wichtig: Wenn ihr auf euren Apple-Geräten das iCloud Privat-Relay aktiviert habt, funktioniert der eigene DNS-Server zwar, wird danach aber noch einmal zum Privat-Relay weitergeleitet. Im Test erscheinen daher immer die Server von Apple. Nutzt ihr einen DNS-Server mit AdBlocker, merkt ihr jedoch, dass Ads korrekt geblockt werden.

Der Browsing Experience Security Check von Cloudflare beispielsweise überprüft, ob ihr Cloudflare 1.1.1.1 verwendet, DNSSEC validiert werden kann und eine saubere Verschlüsselung stattfindet. Nicht wundern, denn DNSSEC funktioniert im Test hin und wieder nicht richtig. Versucht es also mehrmals oder nach einiger Zeit erneut, sollte die Prüfung fehlschlagen. Folgender Test prüft DNSSEC ebenfalls und funktioniert ein wenig zuverlässiger.

Auch der DNS Leaktest offenbart, welche DNS-Server tatsächlich zum Einsatz kommen. Wählt dort den »Standard Test« aus und achtet auf ISP und Hostname. Dieser sollte zum jeweiligen DNS-Server bzw. Profil von iOS oder MacOS passen. Wenn nicht, löscht das Konfigurationsprofil und installiert es noch einmal.

Im Browser können erfahrene Nutzer, die einen DNS-Server mit Filterliste verwenden, zudem die Konsole aufrufen. Beim verbinden mit den verschiedenen Websites erscheinen dort immer wieder Warnungen, dass bestimmte Verbindungen zum Server nicht hergestellt werden konnten. Unter anderem zu »google-analytics.com« und Adressen ähnlicher Systeme. Das ist ein Zeichen dafür, dass die Blockliste des DNS-Servers ordnungsgemäß arbeitet.

Eigenes Konfigurationsprofil erstellen

Wer selbst ein Konfigurationsprofil für iOS oder MacOS einrichten möchte, kann dies tun, indem er meine Profile als Vorlage verwendet. Im Grunde erklärt sich die kleine Datei dabei auch gleich von allein. Da ich bei meinen Konfigurationsprofilen nämlich auf sämtliche nicht notwendigen Angaben verzichtet habe, gibt es nur sehr wenige Einträge.

Außerdem sind mit Dismail (DoT) und Cloudflare (DoH) zwei Profile mit unterschiedlichen Verschlüsselungstechniken verfügbar. Ihr braucht also selbst gar nicht mehr über die notwendigen Einträge nachdenken, sondern könnt sie innerhalb der .mobileconfig verändern. Im Grunde müsst ihr dabei nur die Daten des gewünschten DNS-Servers übertragen und die Dateien entsprechend umbenennen. So schnell habt ihr ein eigenes Konfigurationsprofil für iOS oder MacOS erstellt.

Auf der Website zur Encrypted DNS Party findet ihr zusätzliche DNS-Server und entsprechende Konfigurationsprofile für iOS und MacOS. Es gibt auch einen Generator, mit dem ihr solche Konfigurationsprofile relativ frei erstellen könnt. Beides lohnt sich natürlich eher für erfahrene Anwender*innen, die wissen, was sie tun.

Konfigurationsprofile sind, wie schon erwähnt, sowohl unter iOS (ab Version 14) und MacOS (ab Version 11) installierbar. Wer ein altes iPhone oder ein veraltetes MacBook verwendet, kann diese unter Umständen also nicht nutzen und muss DNS-Server weiterhin von Hand eintragen.