# HaGeZi DNS: Blocklisten & öffentliche DNS-Server erklärt

> HaGeZi-DNS-Blocklisten erklärt: alle Listen von Light bis Ultimate, die öffentlichen DNS-Server - und warum ich sie in Pi-hole einzeln abonniere.

_Quelle: https://tbsch.de/post/2026-07-03-hagezi-dns-blocklisten-und-server/ · Stand: 2026-07-03_


<div class="tb-lead">DNS Blocklists - For a better internet!</div>


Das Netzteil meines Monitors hatte den Geist aufgegeben. Also graste ich beim Spazierengehen mit Frau und Kind nebenbei ein paar Onlineshops ab, fand auf einer durchaus **vertrauenswürdig wirkenden** Seite ein günstiges Ersatzteil und bestellte für **40 Euro**. Mein Gedanke dabei: Schnapper gemacht :sunglasses:.

Zuhause angekommen wollte ich aus der Bestellbestätigung heraus kurz die Rechnung prüfen. Doch die Shopseite lud nicht. Und lud nicht. Bis es mir dämmerte: **geblockt**. Ich war unterwegs im Mobilfunknetz auf einen **chinesischen Scam-Shop** hereingefallen - einen, den meine Blocklisten zuhause längst kannten und den ich vom heimischen WLAN aus nie zu Gesicht bekommen hätte. Ein schneller Blick auf [Trustpilot](https://de.trustpilot.com) lieferte den Rest: **haarsträubende Geschichten von brennenden Netzteilen**.

![Bild: Comic einer Scam-Bestellung](scam-order.webp "Trifft mehr Leute, als du denkst: Schnapper im Scam-Shop bestellt")

Immerhin bekam ich nach einer kurzen Widerrufs-Nachricht mein Geld zurück; das neue Netzteil kaufte ich dann für **140 Euro** aus einem wirklich vertrauenswürdigen Shop. Die eigentliche Lehre war aber eine andere: Ausgerechnet unterwegs, wo mein Heimnetz mich nicht schützt, hat es mich prompt erwischt. Zuhause hätte eine stille Instanz im Hintergrund den Shop kommentarlos abgeräumt - meine **DNS-Blocklisten**.

Und die kommen von **HaGeZi**: dem Kurator der aus meiner Sicht besten DNS-Blocklisten, die man derzeit abonnieren kann - und zwar völlig **kostenlos**. Hinter dem Pseudonym steckt **Gerd**, der auf [GitHub](https://github.com/hagezi/dns-blocklists) **täglich aktualisierte** Listen gegen *Werbung*, *Tracking*, *Telemetrie*, *Phishing*, *Malware*, *Scam* und *Fake-Shops* veröffentlicht. Es gibt sie in mehreren Abstufungen von :green_book: *Light* bis :closed_book: *Ultimate*, dazu Themen-Listen für spezielle Fälle - und seit einiger Zeit sogar **öffentliche DNS-Server**, mit denen du ganz ohne eigene Hardware in den Genuss des Blockings kommst.

In meinem Heimnetz laufen seine Listen seit Jahren im Dauereinsatz. Warum ich sie nicht mehr hergebe und wie ich sie einsetze, liest du hier.

> [!info]
> Du weißt noch gar nicht, was **DNS-Blocking** überhaupt ist und wie es sich vom klassischen Adblocker unterscheidet? Dann starte am besten mit meinem [Grundlagen-Artikel über DNS-Blocking](/post/2025-09-23-der-wahnsinn-warum-ich-dns-blocking-verwende/) und komm danach hierher zurück :smile:.

## Warum HaGeZi eine gute Sache ist

Blocklisten gibt es im Internet wie Sand am Meer, das Kuratieren ist schließlich keine Raketenwissenschaft. Die wahre Kunst besteht darin, **das Richtige** zu blockieren - und den Rest in Ruhe zu lassen. Genau daran scheitern viele Sammlungen: entweder sie sind **zu lasch** und lassen die Datensammler durch, oder sie sind **zu restriktiv** und plötzlich funktioniert die Lieblings-App nicht mehr. Und selbst wer diese Balance einmal getroffen hat, ist damit noch lange nicht fertig: Blocklisten wollen **laufend gepflegt** werden - denn die Schurken schlafen schließlich auch nicht. Die Tracking-Domain von heute ist morgen längst durch drei neue ersetzt.

HaGeZi trifft diese Balance für mich wie kein zweites Projekt:

- **Täglich aktualisiert**: die Listen bekommen jeden Tag frischen Nachschub - neu entdeckte Werbe-Domains, Tracker und Betrugsseiten landen meist binnen Stunden im Blocking.
- **Kaum False Positives**: was deine Apps und Dienste zum Funktionieren brauchen, bleibt erreichbar. Genau hier trennt sich bei Blocklisten die Spreu vom Weizen - und genau deswegen bin ich bei HaGeZi geblieben.
- **Transparent**: alles liegt offen auf GitHub, jede Domain ist nachvollziehbar. Falsch blockierte Domains kannst du per Issue melden - und sie verschwinden erfahrungsgemäß fix wieder von der Liste.
- **Kostenlos und nicht-kommerziell**: hier will dir niemand ein Abo verkaufen. Die Mission lautet schlicht: *„For a better internet - keep the internet clean!"*
- **Für praktisch jeden DNS-Blocker**: jede Liste erscheint parallel in mehreren Formaten - von *Pi-hole* bis zum klassischen *BIND*-Server ist alles abgedeckt. Details dazu weiter unten.

<div class="tb-gh-card"><div class="tb-gh-og-gate" data-name="consent-gate-github">
      <a class="tb-gh-og-link" href="https://github.com/hagezi/dns-blocklists" target="_blank" rel="noopener noreferrer" aria-label="hagezi/dns-blocklists auf GitHub">
        <img class="tb-gh-og" data-name="consent-gate-github"
          data-src="https://opengraph.githubassets.com/0/hagezi/dns-blocklists"
          alt="hagezi/dns-blocklists auf GitHub" loading="lazy" decoding="async" width="1200" height="600">
      </a>
    </div>
    <a class="tb-gh-link" href="https://github.com/hagezi/dns-blocklists" target="_blank" rel="noopener noreferrer">
      <svg aria-hidden="true"
  xmlns="http://www.w3.org/2000/svg"
 
 
  viewBox="0 0 24 24"
  fill="none"
  stroke="currentColor"
  stroke-width="2"
  stroke-linecap="round"
  stroke-linejoin="round"
 
>
  <path stroke="none" d="M0 0h24v24H0z" fill="none" />
  <path d="M9 19c-4.3 1.4 -4.3 -2.5 -6 -3m12 5v-3.5c0 -1 .1 -1.4 -.5 -2c2.8 -.3 5.5 -1.4 5.5 -6a4.6 4.6 0 0 0 -1.3 -3.2a4.2 4.2 0 0 0 -.1 -3.2s-1.1 -.3 -3.5 1.3a12.3 12.3 0 0 0 -6.2 0c-2.4 -1.6 -3.5 -1.3 -3.5 -1.3a4.2 4.2 0 0 0 -.1 3.2a4.6 4.6 0 0 0 -1.3 3.2c0 4.6 2.7 5.7 5.5 6c-.6 .6 -.6 1.2 -.5 2v3.5" />
</svg><span>Link zum Projekt</span>
    </a>
  </div>

## Welche Blocklisten gibt es?

Du hast die Wahl zwischen zwei Ansätzen, die sich beliebig mischen lassen: dem **Komplettpaket** in fünf Schärfegraden - oder **gezielten Einzellisten** für bestimmte Themen.

### Die Gesamtlisten: von Light bis Ultimate

Die Multi-Listen sind Komplettpakete gegen Werbung, Tracking, Telemetrie und Bedrohungen. Sie unterscheiden sich im Blocking-Level:

| Liste                  | Blocking-Level        | Für wen?                                                                               |
| :--------------------- | :-------------------- | :------------------------------------------------------------------------------------- |
| :green_book: Light     | Entspannt             | Minimal-Blocking, ideal für schwache Hardware oder maximale Kompatibilität.            |
| :blue_book: Normal     | Ausgewogen            | Solider Rundumschutz ohne spürbare Einschränkungen.                                    |
| :ledger: Pro           | Ausgewogen bis streng | **HaGeZis eigene Empfehlung** für problemloses Blocking mit gutem Privatsphäre-Schutz. |
| :orange_book: Pro++    | Streng                | Aggressiver als Pro, vereinzelte False Positives möglich.                              |
| :closed_book: Ultimate | Maximal               | Das schärfste Geschütz - kann einzelne Apps und Dienste einschränken.                  |

Die Farben sind übrigens nicht meine Idee, sondern gelebte Projekt-Systematik: HaGeZi markiert die Abstufungen im Repository mit genau diesem Farbcode - von grün (entspannt) bis rot (maximal). Ich übernehme ihn hier, damit du die Listen sofort wiedererkennst.

Wenn du einfach nur loslegen willst: nimm :ledger: **Pro**. Damit bekommst du starken Schutz und wirst im Alltag praktisch nie über Blockaden stolpern. Bei mir bildet sie übrigens überall die Basis - dazu gleich mehr.

### Die Themen-Listen

Spannend wird es mit den Zusatz-Listen, die jeweils genau ein Problem lösen:

- **TIF (Threat Intelligence Feeds)**: die Sicherheits-Liste gegen *Phishing*, *Malware*, *Scam* und *Botnetze* - für mich Pflichtprogramm in jedem Netzsegment.
- **Fake**: Fake-Shops, Abzocke und Kostenfallen.
- **Pop-Up Ads**: die besonders nervigen Popup-Schleudern.
- **NSFW** und **Gambling**: Inhalte für Erwachsene und Glücksspiel - praktisch für Gäste- und Kinder-Netze.
- **DoH/VPN/TOR-Bypass**: verhindert, dass Geräte deinen DNS-Blocker über eigene verschlüsselte DNS-Wege umgehen.
- **Native Tracker**: gerätespezifische Telemetrie von *Amazon*, *Apple*, *Microsoft*, *Samsung*, *TikTok* und Co. - ein Blick lohnt besonders fürs IoT-Segment.
- Dazu Spezialisten wie **Anti-Piracy**, **URL-Shortener**, **Badware Hoster** oder **Most Abused TLDs**.

### Ein Format für jeden DNS-Blocker

Damit die Listen wirklich überall laufen, veröffentlicht HaGeZi jede einzelne parallel in **mehreren Formaten**. Egal womit du blockst, du bekommst eine passende Fassung:

- **Adblock-Syntax** für [Pi-hole](https://pi-hole.net), [AdGuard Home](https://adguard.com/de/adguard-home/overview.html) und Browser-Erweiterungen wie *uBlock Origin*.
- **Wildcard-Domains** für [Technitium DNS](https://technitium.com/dns/) oder *DNSCrypt*.
- **DNSMasq-Konfiguration** für Router und Systeme, die auf *dnsmasq* aufbauen - etwa *OpenWrt*.
- **RPZ (Response Policy Zones)** für klassische DNS-Server wie *BIND*, *Unbound* oder *Knot Resolver*.
- Das schlichte **Hosts-/Domains-Format** für alles, was einfach nur eine Domain-Liste erwartet.

Du musst dich also nie nach deiner Software richten - HaGeZi hat sich längst nach ihr gerichtet.

## Hat HaGeZi einen eigenen öffentlichen DNS-Server?

**Ja!** Was viele nicht wissen: neben den Blocklisten betreibt HaGeZi mit [hagezi/dns-servers](https://github.com/hagezi/dns-servers) mittlerweile auch **kostenlose, nicht-kommerzielle öffentliche DNS-Resolver** in der EU. Damit bekommst du sein Blocking, **ohne** selbst einen DNS-Blocker betreiben zu müssen - ideal für den Einstieg. Und genau für die Situation vom Anfang: unterwegs im Mobilfunknetz, wo mein heimisches *Pi-hole* nicht mitreist und mich der Fake-Shop deshalb überhaupt erst erwischen konnte.

Auf den Standard-Resolvern ist die Kombination :ledger: **Multi Pro + TIF** aktiv, also Werbe-, Tracking- und Sicherheits-Blocking:

| Resolver           | Standort         | Blocking                 |
| :----------------- | :--------------- | :----------------------- |
| `root.hagezi.org`  | Falkenstein (DE) | :ledger: Multi Pro + TIF |
| `wurzn.hagezi.org` | Nürnberg (DE)    | :ledger: Multi Pro + TIF |
| `juuri.hagezi.org` | Helsinki (FI)    | :ledger: Multi Pro + TIF |
| `ctif.hagezi.org`  | Nürnberg (DE)    | nur TIF                  |

Alle Resolver sind per **DoH** (*DNS over HTTPS*, `https://<hostname>/dns-query`) und **DoT** (*DNS over TLS*, Hostname als *Private DNS*) erreichbar - beide verschlüsseln deine Anfragen, sodass unterwegs niemand mitschneidet, welche Domains du aufrufst. Die zugehörigen IP-Adressen findest du im Repository. Betrieben wird das Ganze DSGVO-konform in EU-Rechenzentren: DNS-Anfragen werden **nicht dauerhaft protokolliert**, Statistiken existieren nur im RAM und landen nie auf einer Festplatte.

> [!tip]
> Auf **Android** brauchst du nicht einmal eine App: trage einfach unter *Einstellungen → Netzwerk → Privates DNS* einen der Hostnamen (z.B. `root.hagezi.org`) ein - und dein Smartphone genießt das Blocking auch im Mobilfunknetz und in fremden WLANs.
>
> **iPhone und iPad** kennen so ein Feld leider nicht - dafür stellt HaGeZi fertige [Konfigurationsprofile](https://github.com/hagezi/dns-servers/tree/main/mobileconfig) für jeden Resolver bereit: Profil herunterladen, unter *Einstellungen → Allgemein → VPN & Geräteverwaltung* installieren, fertig. Danach sind auch Apple-Geräte systemweit und unterwegs geschützt.

## Warum ich die Listen einzeln abonniere

Mein Setup folgt einem einfachen Rezept: eine gemeinsame Basis für alles, darauf segmentweise Extras. Den Realitäts-Check, ob das Ganze wirklich trägt, hast du ja bereits am Anfang gelesen :grin:.

### Eine Basis für alle Geräte

Meine Basis ist die :ledger: **Pro-Liste** - sie ist bei mir überall gesetzt und liefert jedem Gerät im Haus den Grundschutz. Der spannende Teil passiert darüber: mein Netz ist in **mehrere Segmente** unterteilt, und nicht jedes Segment braucht denselben Schutz. Mein **[Pi-hole](https://pi-hole.net)** kann Blocklisten **pro Client oder Subnetz** getrennt zuordnen, und genau diese Fähigkeit nutze ich aus.

### Pro Netzsegment ein eigenes Paket

Im **Home-WLAN** bleibt es bewusst schlank: hier ergänzt nur die **TIF**-Sicherheitsliste die Pro-Basis, damit uns beim Surfen nichts in die Quere kommt. Im **Gäste-Netz** ziehe ich die Schrauben dagegen deutlich an - dort sind obendrein *Gambling* und *NSFW* gesperrt. Was unsere Besucher privat treiben, ist ihre Sache; über mein WLAN läuft es jedenfalls nicht :grin:. Und je restriktiver ein Segment sein darf, desto mehr Themen-Listen dürfen mitspielen.

<div class="tb-gallery" style="--tb-gallery-cols:3"><div class="tb-gallery-col"><figure class="tb-figure"><a class="tb-zoom" href="/post/2026-07-03-hagezi-dns-blocklisten-und-server/pihole-list-groups.webp" data-pswp-width="1330" data-pswp-height="962" data-alt="Bild: Pi-hole ordnet die abonnierten HaGeZi-Blocklisten einzelnen Gruppen zu" data-caption="Listen zu Gruppen zuordnen"><img alt="Bild: Pi-hole ordnet die abonnierten HaGeZi-Blocklisten einzelnen Gruppen zu"
      src="/post/2026-07-03-hagezi-dns-blocklisten-und-server/pihole-list-groups_hu_9ce9d790b634558.webp"
      srcset="/post/2026-07-03-hagezi-dns-blocklisten-und-server/pihole-list-groups_hu_4a0ab61c2a003c33.webp 480w, /post/2026-07-03-hagezi-dns-blocklisten-und-server/pihole-list-groups_hu_80227083b86fcdac.webp 768w, /post/2026-07-03-hagezi-dns-blocklisten-und-server/pihole-list-groups_hu_9ce9d790b634558.webp 1200w"
      sizes="(max-width:480px) 100vw, 33vw"
      width="1200" height="868" loading="lazy" decoding="async"></a><figcaption>Listen zu Gruppen zuordnen</figcaption></figure></div><div class="tb-gallery-col"><figure class="tb-figure"><a class="tb-zoom" href="/post/2026-07-03-hagezi-dns-blocklisten-und-server/pihole-client-groups.webp" data-pswp-width="1330" data-pswp-height="962" data-alt="Bild: Pi-hole ordnet die Clients des Heimnetzes den Gruppen zu" data-caption="Clients zu Gruppen zuordnen"><img alt="Bild: Pi-hole ordnet die Clients des Heimnetzes den Gruppen zu"
      src="/post/2026-07-03-hagezi-dns-blocklisten-und-server/pihole-client-groups_hu_dac9dc24cf4a1559.webp"
      srcset="/post/2026-07-03-hagezi-dns-blocklisten-und-server/pihole-client-groups_hu_30756bce4fe7140d.webp 480w, /post/2026-07-03-hagezi-dns-blocklisten-und-server/pihole-client-groups_hu_732d974c3c3446f0.webp 768w, /post/2026-07-03-hagezi-dns-blocklisten-und-server/pihole-client-groups_hu_dac9dc24cf4a1559.webp 1200w"
      sizes="(max-width:480px) 100vw, 33vw"
      width="1200" height="868" loading="lazy" decoding="async"></a><figcaption>Clients zu Gruppen zuordnen</figcaption></figure></div></div>

Falls du dich fragst, wo das im Vergleich zu den Gesamtlisten landet: unter :ledger: **Pro-Niveau** läuft bei mir nirgendwo etwas - die Liste ist schließlich überall die Basis. Und in den Segmenten, in denen **Sicherheit und Privatsphäre** das letzte Wort haben, stapeln sich darauf so viele Themen-Listen, dass das Blocking sogar **über** :closed_book: **Ultimate hinaus** geht. Die Schärfegrade von oben sind also keine Obergrenze, sondern nur der bequeme Einstieg: wer kombiniert, kann sein Blocking beliebig weit treiben.

Genau darum abonniere ich die Themen-Listen **einzeln**: den Grundschutz liefert überall dieselbe Gesamtliste, doch was darüber hinaus blockiert wird, entscheide ich **pro Netzsegment** - und die mühsame Pflege der Domains übernimmt trotzdem HaGeZi für mich. Wie das große Ganze dahinter aussieht - was DNS-Blocking im Alltag bringt, wie du mit Pi-hole & Co. startest und warum ich das alles überhaupt mache - liest du in meinem [Artikel über DNS-Blocking](/post/2025-09-23-der-wahnsinn-warum-ich-dns-blocking-verwende/).

## Unterm Strich

HaGeZi ist für mich das Paradebeispiel dafür, was ein einzelner Mensch mit Hingabe fürs Gemeinwohl auf die Beine stellen kann: täglich gepflegte Blocklisten in Referenz-Qualität, komplett transparent, komplett kostenlos - und mit den öffentlichen DNS-Servern inzwischen sogar eine Lösung für alle, die keinen eigenen DNS-Blocker betreiben wollen.

Wenn du DNS-Blocking einsetzt und HaGeZis Listen noch nicht kennst, probiere sie aus. Und wenn sie dir so gute Dienste leisten wie mir, lass ein :star: auf [GitHub](https://github.com/hagezi/dns-blocklists) da - verdient hat er es allemal.

---

Das Titel-/Hintergrundbild habe ich mit ChatGPT erstellt.

