Herzlichen Dank für das Update, hast mir gerade die Entscheidung erleichtert. Ich war sehr zufrieden mit Q-X (siehe Kommentare oben). Es scheint, als ob einige (z.B. Novatrend, die DNSSEC-Einträge aber outsourcen) auch beim externen Nameserver keinen eigenen DS-Record übernehmen können, sondern sich selbst aus dem nackten Public-Key im DNSKEY etwas aus den Fingern saugen. Dabei gehen dann natürlich die Algorithmen- und NSEC3-Einstellungen flöten, was auf einen Denial of Service hinausläuft.