Das Netzteil meines Monitors hatte den Geist aufgegeben. Also graste ich beim Spazierengehen mit Frau und Kind nebenbei ein paar Onlineshops ab, fand auf einer durchaus vertrauenswürdig wirkenden Seite ein günstiges Ersatzteil und bestellte für 40 Euro. Mein Gedanke dabei: Schnapper gemacht 😎.
Zuhause angekommen wollte ich aus der Bestellbestätigung heraus kurz die Rechnung prüfen. Doch die Shopseite lud nicht. Und lud nicht. Bis es mir dämmerte: geblockt. Ich war unterwegs im Mobilfunknetz auf einen chinesischen Scam-Shop hereingefallen - einen, den meine Blocklisten zuhause längst kannten und den ich vom heimischen WLAN aus nie zu Gesicht bekommen hätte. Ein schneller Blick auf Trustpilot lieferte den Rest: haarsträubende Geschichten von brennenden Netzteilen.

Immerhin bekam ich nach einer kurzen Widerrufs-Nachricht mein Geld zurück; das neue Netzteil kaufte ich dann für 140 Euro aus einem wirklich vertrauenswürdigen Shop. Die eigentliche Lehre war aber eine andere: Ausgerechnet unterwegs, wo mein Heimnetz mich nicht schützt, hat es mich prompt erwischt. Zuhause hätte eine stille Instanz im Hintergrund den Shop kommentarlos abgeräumt - meine DNS-Blocklisten.
Und die kommen von HaGeZi: dem Kurator der aus meiner Sicht besten DNS-Blocklisten, die man derzeit abonnieren kann - und zwar völlig kostenlos. Hinter dem Pseudonym steckt Gerd, der auf GitHub täglich aktualisierte Listen gegen Werbung, Tracking, Telemetrie, Phishing, Malware, Scam und Fake-Shops veröffentlicht. Es gibt sie in mehreren Abstufungen von 📗 Light bis 📕 Ultimate, dazu Themen-Listen für spezielle Fälle - und seit einiger Zeit sogar öffentliche DNS-Server, mit denen du ganz ohne eigene Hardware in den Genuss des Blockings kommst.
In meinem Heimnetz laufen seine Listen seit Jahren im Dauereinsatz. Warum ich sie nicht mehr hergebe und wie ich sie einsetze, liest du hier.
Du weißt noch gar nicht, was DNS-Blocking überhaupt ist und wie es sich vom klassischen Adblocker unterscheidet? Dann starte am besten mit meinem Grundlagen-Artikel über DNS-Blocking und komm danach hierher zurück 😄.
Warum HaGeZi eine gute Sache ist #
Blocklisten gibt es im Internet wie Sand am Meer, das Kuratieren ist schließlich keine Raketenwissenschaft. Die wahre Kunst besteht darin, das Richtige zu blockieren - und den Rest in Ruhe zu lassen. Genau daran scheitern viele Sammlungen: entweder sie sind zu lasch und lassen die Datensammler durch, oder sie sind zu restriktiv und plötzlich funktioniert die Lieblings-App nicht mehr. Und selbst wer diese Balance einmal getroffen hat, ist damit noch lange nicht fertig: Blocklisten wollen laufend gepflegt werden - denn die Schurken schlafen schließlich auch nicht. Die Tracking-Domain von heute ist morgen längst durch drei neue ersetzt.
HaGeZi trifft diese Balance für mich wie kein zweites Projekt:
- Täglich aktualisiert: die Listen bekommen jeden Tag frischen Nachschub - neu entdeckte Werbe-Domains, Tracker und Betrugsseiten landen meist binnen Stunden im Blocking.
- Kaum False Positives: was deine Apps und Dienste zum Funktionieren brauchen, bleibt erreichbar. Genau hier trennt sich bei Blocklisten die Spreu vom Weizen - und genau deswegen bin ich bei HaGeZi geblieben.
- Transparent: alles liegt offen auf GitHub, jede Domain ist nachvollziehbar. Falsch blockierte Domains kannst du per Issue melden - und sie verschwinden erfahrungsgemäß fix wieder von der Liste.
- Kostenlos und nicht-kommerziell: hier will dir niemand ein Abo verkaufen. Die Mission lautet schlicht: „For a better internet - keep the internet clean!"
- Für praktisch jeden DNS-Blocker: jede Liste erscheint parallel in mehreren Formaten - von Pi-hole bis zum klassischen BIND-Server ist alles abgedeckt. Details dazu weiter unten.
Welche Blocklisten gibt es? #
Du hast die Wahl zwischen zwei Ansätzen, die sich beliebig mischen lassen: dem Komplettpaket in fünf Schärfegraden - oder gezielten Einzellisten für bestimmte Themen.
Die Gesamtlisten: von Light bis Ultimate #
Die Multi-Listen sind Komplettpakete gegen Werbung, Tracking, Telemetrie und Bedrohungen. Sie unterscheiden sich im Blocking-Level:
| Liste | Blocking-Level | Für wen? |
|---|---|---|
| 📗 Light | Entspannt | Minimal-Blocking, ideal für schwache Hardware oder maximale Kompatibilität. |
| 📘 Normal | Ausgewogen | Solider Rundumschutz ohne spürbare Einschränkungen. |
| 📒 Pro | Ausgewogen bis streng | HaGeZis eigene Empfehlung für problemloses Blocking mit gutem Privatsphäre-Schutz. |
| 📙 Pro++ | Streng | Aggressiver als Pro, vereinzelte False Positives möglich. |
| 📕 Ultimate | Maximal | Das schärfste Geschütz - kann einzelne Apps und Dienste einschränken. |
Die Farben sind übrigens nicht meine Idee, sondern gelebte Projekt-Systematik: HaGeZi markiert die Abstufungen im Repository mit genau diesem Farbcode - von grün (entspannt) bis rot (maximal). Ich übernehme ihn hier, damit du die Listen sofort wiedererkennst.
Wenn du einfach nur loslegen willst: nimm 📒 Pro. Damit bekommst du starken Schutz und wirst im Alltag praktisch nie über Blockaden stolpern. Bei mir bildet sie übrigens überall die Basis - dazu gleich mehr.
Die Themen-Listen #
Spannend wird es mit den Zusatz-Listen, die jeweils genau ein Problem lösen:
- TIF (Threat Intelligence Feeds): die Sicherheits-Liste gegen Phishing, Malware, Scam und Botnetze - für mich Pflichtprogramm in jedem Netzsegment.
- Fake: Fake-Shops, Abzocke und Kostenfallen.
- Pop-Up Ads: die besonders nervigen Popup-Schleudern.
- NSFW und Gambling: Inhalte für Erwachsene und Glücksspiel - praktisch für Gäste- und Kinder-Netze.
- DoH/VPN/TOR-Bypass: verhindert, dass Geräte deinen DNS-Blocker über eigene verschlüsselte DNS-Wege umgehen.
- Native Tracker: gerätespezifische Telemetrie von Amazon, Apple, Microsoft, Samsung, TikTok und Co. - ein Blick lohnt besonders fürs IoT-Segment.
- Dazu Spezialisten wie Anti-Piracy, URL-Shortener, Badware Hoster oder Most Abused TLDs.
Ein Format für jeden DNS-Blocker #
Damit die Listen wirklich überall laufen, veröffentlicht HaGeZi jede einzelne parallel in mehreren Formaten. Egal womit du blockst, du bekommst eine passende Fassung:
- Adblock-Syntax für Pi-hole, AdGuard Home und Browser-Erweiterungen wie uBlock Origin.
- Wildcard-Domains für Technitium DNS oder DNSCrypt.
- DNSMasq-Konfiguration für Router und Systeme, die auf dnsmasq aufbauen - etwa OpenWrt.
- RPZ (Response Policy Zones) für klassische DNS-Server wie BIND, Unbound oder Knot Resolver.
- Das schlichte Hosts-/Domains-Format für alles, was einfach nur eine Domain-Liste erwartet.
Du musst dich also nie nach deiner Software richten - HaGeZi hat sich längst nach ihr gerichtet.
Hat HaGeZi einen eigenen öffentlichen DNS-Server? #
Ja! Was viele nicht wissen: neben den Blocklisten betreibt HaGeZi mit hagezi/dns-servers mittlerweile auch kostenlose, nicht-kommerzielle öffentliche DNS-Resolver in der EU. Damit bekommst du sein Blocking, ohne selbst einen DNS-Blocker betreiben zu müssen - ideal für den Einstieg. Und genau für die Situation vom Anfang: unterwegs im Mobilfunknetz, wo mein heimisches Pi-hole nicht mitreist und mich der Fake-Shop deshalb überhaupt erst erwischen konnte.
Auf den Standard-Resolvern ist die Kombination 📒 Multi Pro + TIF aktiv, also Werbe-, Tracking- und Sicherheits-Blocking:
| Resolver | Standort | Blocking |
|---|---|---|
root.hagezi.org | Falkenstein (DE) | 📒 Multi Pro + TIF |
wurzn.hagezi.org | Nürnberg (DE) | 📒 Multi Pro + TIF |
juuri.hagezi.org | Helsinki (FI) | 📒 Multi Pro + TIF |
ctif.hagezi.org | Nürnberg (DE) | nur TIF |
Alle Resolver sind per DoH (DNS over HTTPS, https://<hostname>/dns-query) und DoT (DNS over TLS, Hostname als Private DNS) erreichbar - beide verschlüsseln deine Anfragen, sodass unterwegs niemand mitschneidet, welche Domains du aufrufst. Die zugehörigen IP-Adressen findest du im Repository. Betrieben wird das Ganze DSGVO-konform in EU-Rechenzentren: DNS-Anfragen werden nicht dauerhaft protokolliert, Statistiken existieren nur im RAM und landen nie auf einer Festplatte.
Auf Android brauchst du nicht einmal eine App: trage einfach unter Einstellungen → Netzwerk → Privates DNS einen der Hostnamen (z.B. root.hagezi.org) ein - und dein Smartphone genießt das Blocking auch im Mobilfunknetz und in fremden WLANs.
iPhone und iPad kennen so ein Feld leider nicht - dafür stellt HaGeZi fertige Konfigurationsprofile für jeden Resolver bereit: Profil herunterladen, unter Einstellungen → Allgemein → VPN & Geräteverwaltung installieren, fertig. Danach sind auch Apple-Geräte systemweit und unterwegs geschützt.
Warum ich die Listen einzeln abonniere #
Mein Setup folgt einem einfachen Rezept: eine gemeinsame Basis für alles, darauf segmentweise Extras. Den Realitäts-Check, ob das Ganze wirklich trägt, hast du ja bereits am Anfang gelesen 😁.
Eine Basis für alle Geräte #
Meine Basis ist die 📒 Pro-Liste - sie ist bei mir überall gesetzt und liefert jedem Gerät im Haus den Grundschutz. Der spannende Teil passiert darüber: mein Netz ist in mehrere Segmente unterteilt, und nicht jedes Segment braucht denselben Schutz. Mein Pi-hole kann Blocklisten pro Client oder Subnetz getrennt zuordnen, und genau diese Fähigkeit nutze ich aus.
Pro Netzsegment ein eigenes Paket #
Im Home-WLAN bleibt es bewusst schlank: hier ergänzt nur die TIF-Sicherheitsliste die Pro-Basis, damit uns beim Surfen nichts in die Quere kommt. Im Gäste-Netz ziehe ich die Schrauben dagegen deutlich an - dort sind obendrein Gambling und NSFW gesperrt. Was unsere Besucher privat treiben, ist ihre Sache; über mein WLAN läuft es jedenfalls nicht 😁. Und je restriktiver ein Segment sein darf, desto mehr Themen-Listen dürfen mitspielen.
Falls du dich fragst, wo das im Vergleich zu den Gesamtlisten landet: unter 📒 Pro-Niveau läuft bei mir nirgendwo etwas - die Liste ist schließlich überall die Basis. Und in den Segmenten, in denen Sicherheit und Privatsphäre das letzte Wort haben, stapeln sich darauf so viele Themen-Listen, dass das Blocking sogar über 📕 Ultimate hinaus geht. Die Schärfegrade von oben sind also keine Obergrenze, sondern nur der bequeme Einstieg: wer kombiniert, kann sein Blocking beliebig weit treiben.
Genau darum abonniere ich die Themen-Listen einzeln: den Grundschutz liefert überall dieselbe Gesamtliste, doch was darüber hinaus blockiert wird, entscheide ich pro Netzsegment - und die mühsame Pflege der Domains übernimmt trotzdem HaGeZi für mich. Wie das große Ganze dahinter aussieht - was DNS-Blocking im Alltag bringt, wie du mit Pi-hole & Co. startest und warum ich das alles überhaupt mache - liest du in meinem Artikel über DNS-Blocking.
Unterm Strich #
HaGeZi ist für mich das Paradebeispiel dafür, was ein einzelner Mensch mit Hingabe fürs Gemeinwohl auf die Beine stellen kann: täglich gepflegte Blocklisten in Referenz-Qualität, komplett transparent, komplett kostenlos - und mit den öffentlichen DNS-Servern inzwischen sogar eine Lösung für alle, die keinen eigenen DNS-Blocker betreiben wollen.
Wenn du DNS-Blocking einsetzt und HaGeZis Listen noch nicht kennst, probiere sie aus. Und wenn sie dir so gute Dienste leisten wie mir, lass ein ⭐ auf GitHub da - verdient hat er es allemal.
Das Titel-/Hintergrundbild habe ich mit ChatGPT erstellt.






