im Sinne der Verringerung der Abhängigkeit von amerikanischen Services kann man statt google-DNS servers auch einen EU Service nutzen

https://www.joindns4.eu/for-public



Ein DNS-Server (Domain Name System Server) ist wie das Telefonbuch des Internets.

Kurz erklärt:
Wenn du z. B. openai.com in deinen Browser eingibst, weiß dein Computer nicht automatisch, wo das ist.
Der DNS-Server übersetzt diesen Namen (openai.com) in eine IP-Adresse (z. B. 104.22.3.123), die Computer verstehen.
Dann kann dein Gerät eine Verbindung zu diesem Server aufbauen.
Ohne DNS:
Du müsstest dir jede IP-Adresse von Webseiten merken – was extrem unpraktisch wäre.

Danke. Ich habe mal Quad9 durch DNS4EU ersetzt. Es läuft dem ersten Anschein nach flott.
Sogar die eine Synology, die partout (aus unerfindlichen Gründen) nur Quad9, Google und Cloudflare aktzeptiert hat, nimmt es an.
DNS4EU wurde offenbar erst vor einer Woche aktiv.

funktioniert hier auch recht flott .. gefühlt etwas schneller als mit den defaults des Telekom-Routers

Danke für den Tipp - versteh nicht wie man dafür ein Daumen runter bekommen kann.... von mir gibts einen nach oben

Danke auch von mir und Daumen hoch.
Verbindung gefühlt schnell(er als vorher)...

ich geb mir persönlich einen kleinen Daumen halb runter, da ich die Erläuterung , für die die nicht wissen was ein DNS Server macht, von chatGpt übernommen hab .. das ist nicht direkt im Einklang mit Unabhängigkeit von amerikanischen Services.

geschenkt

Das Problem stellt sich nur normalerweise überhaupt nicht, da der oft gelesene Tipp "stell doch Google als DNS ein" immer schon problematisch war.

• Auf den Endgeräten sollte per DHCP immer der hauseigene DNS-Server eingestellt sein, ansonsten macht man die Namensauflösung für sein eigenes Netz kaputt. Wenn man keinen eigenen Server aufgesetzt hat, ist das normalerweise der Standard-Server im Router.
• Falls man einen eigenen DNS-Server hat, sollte dort der DNS-Server im Router als nächsthöherer Server eingestellt sein.
• Im Router sollte per DHCP der Server des eigenen Internet-Providers eingestellt sein.

Wenn man das nicht so macht, verhindert man ansonsten die automatische Verkehrsoptimierung für Content-Delivery-Netze.

Kannst Du bitte einmal erläutern, welche Nachteile sich daraus ergeben könnten? Danke vorab!

Das kann man so allgemein nicht sagen. Wenn man eine FRITZ!Box benutzt (und das tun in Deutschland ja sehr viele), macht man sich umgekehrt sein eigenes Netzt kaputt, wenn man per DHCP deren DNS-Server benutzt, da FRITZ!Boxen, statt auf mDNS zu setzen, entgegen aller Normen an alle lokale Adressen ein .fritz.box anhängt; aus localhost wird dann localhost.fritz.box. Je nachdem, welche Dienste man lokal betreibt, kann das fatale Folgen haben, z.B. bei einem Mailserver, alle lokalen Mails als unzustellbar zu behandeln:

Pro-Tipp: Unbound, welches in der Regel zusammen mit PiHole eingesetzt wird.
Damit ist man dann sein eigener, rekursiver DNS-Server.

Bitte auch einmal für mich erklären. Ist doch irrelevant ob ein Client DNS-Anfragen jetzt über den Router schickt oder ob er selber die DNS-Server im Internet anfragt.

Wenn so etwas passiert, ist der Resolver des entsprechenden Dienstrechners falsch konfiguriert. Ich habe viele Jahre ohne Probleme eigene Server (auch Mail-Server) an einer Fritzbox betrieben. Wer in der Lage ist, einen Mail-Server einzurichten, sollte auch einen lokalen DNS-Server einrichten können.

So kurz wie möglich: Ganz große Internet-Dienste sind so ausgelegt, dass sie in jedem Kontinent, bzw. jedem Land eigene Server für Ihre Dienste verwenden. Auf diese Server werden die Kunden in der jeweiligen Region dann bevorzugt geleitet, um möglichst schnelle Netzverbindungen ohne Umwege anbieten zu können. Eine der möglichen Techniken, das zu machen, ist, dass die DNS-Server in den jeweiligen Gebieten unterschiedliche Antworten liefern. Wenn Du beispielsweise Google USA nach der Adresse von "youtube.com" fragst, wirst Du eine andere Antwort erhalten, als wenn Du einen deutschen Provider fragst.

„ DNS4EU Public Service is backed by the European Union and operated under EU jurisdiction, designed to fully comply with EU laws like the GDPR, and emphasises digital sovereignty by keeping DNS resolution within the EU under EU oversight.

It is an official service supported by the European Commission, and it combines leading features from available DNS solutions:

Data Privacy: User data is fully anonymised directly on our servers before backend processing. It cannot be used for advertising or other purposes. Our anonymisation process is transparent, and details are publicly available.
Advanced Protection: Our security systems integrate Whalebone’s threat detection capabilities and cooperation with national cybersecurity centres, providing proactive regional threat protection.
Filtering Capabilities: Users can benefit from built-in child protection and ad-filtering functionality.“

Aber warum sollte er das tun müssen? Wenn die FRITZ!Box sich normkonform verhalten würde, wäre das schlicht nicht nötig. Mit einem anderen DNS-Server als dem von der FRITZ!Box funktioniert ein lokaler Mail-Server wunderbar ohne lokalen DNS-Server, nur mit mDNS.

DNS4EU soll mit Ablauf der Förderung Ende 2025 kommerzialisiert werden. Also der Betrieb an ein gewinnorientiertes Unternehmen übergeben werden.
Sieh die Meldung bei Heise dazu

Ein weiteres Argument dagegen ist, dass man jedenfalls als Telekom-Kunde dann bei einem Telekom-DNS-Server landet, der für mich prinzipiell nicht infrage käme, weil er mehr als einmal die Auflösung von Domains blockiert hat, die irgendwelche Behörden nicht mochten. Bei den anderen großen DSL-Anbietern in Deutschland ist das vermutlich ähnlich. Darauf kann ich dankend verzichten.

Bei Quad9 kann man sich entscheiden, ob ein Teil der IP-Adresse mitgesendet wird, um das Routing zu verbessern (EDNS Client-Subnet sent ) oder nicht. Ich nehme an hierauf bezog sich die obige Empfehlung für einen DNS-Server vom ISP im Router wg. "Verkehrsoptimierung".
Wie DNS4EU das handhabt, habe ich nicht gefunden, aber grundsätzlich sind die Server zumindest in Europa.

Für die meisten Nutzer, die nicht großartig im eigenen Netzwerk Server betreiben, trägt man einfach den gewünschten, freien und unzensierten DNS in der Fritz!Box (unter Internet Zugangsdaten DNS-Server) ein. Das hat auch den Vorteil, dass du das nur 1x eintragen musst und nicht bei jedem Gerät im Netz. Jedenfalls solange du die IPs usw. per DHCP verteilst.

Dann bist du unabhängig von den Filterungen und "Bevormundungen" deines Providers …
Läuft hier seit vielen Jahren einwandfrei. Auch beim letzten Wechsel zum neuen Provider gab es keine Probleme.

Ja, klar. So mache ich das auch seit langem. Nur widerspricht das eben der Aussage von Marcel Bresink, dass auf den Endgeräten immer der hauseigene DNS-Server per DHCP eingestellt sein sollte, da man sich ansonsten die Namensauflösung für sein eigenes Netz kaputtmachen würde.

Nein, da widerspricht sich nichts. Vielleicht bemühst Du Dich mal, den Beitrag zu lesen und zu verstehen, anstatt hier schon wieder mal einen Thread mit Off-Topic-Themen kaputtzumachen.

OK, ich habe den falschen Deiner 3 Punkte zitiert. Der richtige wäre gewesen:Und das widerspricht sich natürlich.

Damit ist aber nur das Zensurproblem gelöst, das andere war das .fritz.box-Problem. Um das zu verhindern, muss man den freien und unzensierten DNS, von dem heiko.w sprach, eben direkt in den Systemeinstellungen von macOS eintragen und nicht in der FRITZ!Box, und das widerspricht dann dem ersten (dem fälschlich zitierten) Deiner 3 Punkte. Da ich das zusammendenke, habe ich aus Versehen den falschen Deiner 3 Punkte zitiert; sorry für die Verwirrung. Von dem 2. Punkt, der die meisten Nutzer nicht betreffen wird, abgesehen, stehen unter dem Strich eben alle Deine Punkte im Widerspruch zu meiner Erfahrung.
Darum bemühe ich mich immer; diese Ermahnung ist unnötig. Manchmal mache ich dennoch Fehler, wie in diesem Fall, den falschen Deiner 3 Punkte zu zitieren; das kann Menschen halt passieren.
Ich wüsste nicht, was in einem Thread über DNS-Server mehr on topic sein könnte als die Frage, welchen man warum wo eintragen sollte. Wenn Du freilich meinst, der Thread ginge ausschließlich um speziell den EU-DNS-Server, dann bist Du derjenige, der in seinem ersten Beitrag mit dem Off-Topic begonnen hat. Ich habe ja nur auf Deine Aussage reagiert, da ich der Auffassung bin, dass man die in ihrer Allgemeinheit nicht stehen lassen kann.

okay erste Probleme:
Disney+ scheint das gar nicht zu mögen .. nach reset auf default Telekom settings ging es sofort wieder

freenet email akzeptiert zugriff auf Postausgangs server nicht, auch nach dns reset

vielleicht lag es auch hieran… und der Freenet smtp lies sich auch übers handy nicht auf Port 587 erreichen

https://www.heise.de/news/Massive-Cloud-Ausfaelle-bei-Google-und-Cloudflare-legen-US-Dienste-lahm-10443529.html

Nein, das war in einem Kontext, in dem Leute freiwillig einen Google-DNS-Server einstellen und bereit sind, sich so überwachen zu lassen. In dem Fall ist der Server des eigenen Internet-Providers das kleinere Übel. Und wenn das ein Provider sein sollte, mit dessen DNS-Zensur man nicht einverstanden ist, kann man an der Stelle natürlich einen anderen DNS-Server "in der Nähe" einstellen.

Nein, auf gar keinen Fall. Du zerstörst damit die komplette Namensauflösung für Dein eigenes Netz. Nur weil Du Apple-Produkte verwendest, bei denen ab Werk bereits mDNS ("Bonjour") mitgeliefert und aktiviert ist, wird dieser Konfigurationsfehler nur für diese Geräte wieder geheilt, solange Du .local-Domainnamen verwendest. Alle anderen Geräte im Netz können Probleme kriegen.

Man sollte keinen Google-DNS-Server einstellen und Man sollte den DNS-Server des eigenen Internet-Providers einstellen sind zwei sehr unterschiedliche Aussagen.
Wenn man das auf gar keinen Fall darf, warum gibt es denn dann diese Einstellung in den Systemeinstellungen überhaupt?
Natürlich müssen die Geräte im Netz mDNS-fähig sein, das ist heute doch aber nicht mehr auf Apple-Geräte begrenzt, sondern Standard – bis auf die FRITZ!Box, die ich ja genau deshalb kritisiere.

Ich habe auch diverse Streaminganbieter hier in Betrieb.
Alle laufen einwandfrei mit einem freien unzensierten DNS aus Deutschland.
Auch diverse Mail-Anbieter haben keinerlei Probleme mit dem DNS.

Wie "gut" der telekomeigene Router mit "fremden" Nameservern umgeht, kann ich nicht sagen. Nutze eine Fritze. Könnte mir aber bei den Telekometen vorstellen, dass die sowas nicht unbedingt gerne sehen und dir hier und da ein paar Steine in den Weg legen.

Ich würde nicht gleich aufgeben. Trage den gewünschten DNS (z.B.: ) im Router ein und starte den Router neu. Danach würde ich auch alle Geräte einmal Neustarten, schadet ja nicht.

bitte eins weiter lesen...
es war wohl blöder Zufall das genau gestern Abend es zu großen cloud- Ausfällen kam


ich probiere es später nochmal

Ging es nicht darum, den DNS Server im Client statt im Router einzutragen? Darauf wollte ich ja hinaus, das wäre in dem Fall nämlich irrelevant, würde sich komplett gleich verhalten.
Ansonsten: Ich weiß natürlich nicht wie Googles DNS Dienst genau seine Anfragen beantwortet, aber möglicherweise machen deren DNS-Server genau das gleiche wie die "ganz großen Internet-Dienste" und du bekommst bei einer Anfrage aus Deutschland eine andere Adresse mitgeteilt, als wenn du den Server aus einem anderen Land befragst.

DNS4EU kann man auch mit iOS bzw iPadOS verwenden mithilfe der kostenlosen App DNSecure. Damit funktioniert das nicht nur im WLAN, sondern auch unterwegs mit mobilen Daten.

So richtig "100% EU" ist DNS4EU nicht. Sämtlicher Traffic wird über UK geroutet.

Details hat Jens Link zusammengestellt:

Eines der Probleme dabei ist, daß grundsätzlich alle Anfragen (und Antworten) über GB (Teil der "five eyes") geroutet werden. Aber selbst wenn man damit kein Problem hat, bleibt der Nachteil, daß alle Server im gleichen AS stehen, was einen single point of failure darstellt.

Das wirkt jetzt nicht so richtig überzeugend auf mich.

tatsächlich etwas ernüchternd.

Weiß jemand etwas hierüber?

https://www.dns0.eu/de

Das nächste mal einfach LeChat von Mistral nutzen und Problem gelöst.

DNS4EU ist dann eigentlich raus, wenn es über GB läuft…

Was haltet ihr von NextDNS?
Serverstandort u.a. in Berlin (der bei Abfragen hoffentlich auch genutzt wird), Protokolle können explizit auf Schweizer Servern gespeichert werden (so man sie überhaupt benötigt, man kann das Speichern der Protokolle auch untersagen).
Oder ist das auch Augenwischerei, weil die Firma zwar von Franzosen gegründet wurde, der Firmensitz aber in den USA ist?

Ich nutze NextDNS.
Bei mir ist der Serverstandort Frankfurt. Das sind aber keine eigenen Server. Die mieten sich bei Serviceprovider ein.

NextDNS läßt sich kostenlos testen.

Hier sind eine Reihe von vertrauenswürdigen DNS-Servern genannt .
dnsforge ist beispielsweise beliebt. Ich habe jedoch die Erfahrung gemacht, dass die Performance von diesen alternativen Providern oft schwacht ist.
Quad9 ist meines Erachtens eine gute Alternative, der die Leistungsfähigkeit der großen Anbieter hat, aber seinen Sitz von Kalifornien in die Schweiz verlegt hat . Als unternehmensorientierter Dienst steht eher die IT-Sicherheit im Vordergrund als Privacy oder "Zensurfreiheit".

Mein oben genannter Link schreibt dazu Folgendes. Die Bewertung dieser Aussage überlasse ich Euch. Ich nutze NextDNS für das iPhone, weil es bequem ist und ich eine Domain umleiten kann.

Wo irgend möglich würde ich immer meine eigenen DNS-Resolver betreiben und mich überhaupt nicht mit irgendwelchen zentralen Resolver-Infrastrukturen abgeben. Wer ohnehin schon ein Pi-Hole betreibt kann das z.B. sehr einfach erreichen, indem er zusätzlich einen Unbound-Resolver auf dem Pi installiert und das Pi-Hole so konfiguriert, daß es den als Upstream nutzt. Aus meiner Sicht ist das die ideale Lösung.

Wenn das nicht möglich ist, ist Quad 9 derzeit meine erste Wahl, wenn es um Privatsphäre und DSGVO-Kompatibilität geht.

Aus naheliegenden Gründen rate ich von Google DNS (8.8.8.8), Cloudflare (1.1.1.1) und der Nutzung von DoH/DoT dringend ab. DoH und DoT sind zwar prinzipiell (Verschlüsselung der Queries und Antworten) eine gute Idee, dem gegenüber steht aber der erhebliche Nachteil, daß bei Einsatz der "üblichen verdächtigen" DoX-Provider wieder Großunternehmen, z.B. Cloudflare, deren Interesse in der Auwertung der Daten besteht, ins Spiel kommen, und - schlimmer - eine dezentrale Infrastruktur, nämlich DNS, durch eine zentrale ersetzt wird. Wenn DoX, dann wieder auf eigenen Resolvern (und die dann möglichst redundant auslegen).

Peter Eckel

Ist der letzte Absatz nicht irgendwie sinnlos?

Zunächst mal: DoX ist ja insbesondere auf Client-Seite relevant (z.B. wenn man in einem offenen oder nicht vertrauenswürdigen (öffentlichen) WLAN ist), einfach um zu verhindern, dass die eigenen DNS-Anfragen umgebogen werden (Stichwort Fishing).

Zum Zweiten: Deine Argumentation spricht diesbezüglich nicht gegen die Verwendung von DoX, sondern gegen die Verwendung von großen DNS-Providern. Das ist aber eben was völlig anderes und macht aus DoX deswegen keine schlechte Idee. Ganz im Gegenteil, deshalb von DoX abzuraten halte ich für eine sehr schlechte Idee.

Nein
Genau, das sind die Argumente für DoX. Wobei man das (und mehr) auch mit DNSSEC erreichen kann. Hier ist das Problem eher die geringe Verbreitung signierter Domains.
Ein Problem ist, daß DoX meist (z.B. in der Defaulteinstellung von Firefox) eben auf die großen Provider eingestellt ist. In der Liste von sudoRinger sind einige andere aufgeführt.

Das behebt aber leider immer noch nicht das Problem, daß man damit von einem zentralen Provider abhängt. Es ist schön, wenn man dem vertrauen kann (oder glaubt, das zu können), aber es ist eben nicht optimal.

Das Szenario ist ja hinlänglich bekannt: Irgendeine Firma aus der Copyright-Mafia (nennen wir sie z.B. "S*ny") kommt zu dem Schluß, daß der Betreiber eines DNS-Resolvers (nennen wir ihn "Qu*d 9") dafür verantwortlich ist, bestimmte Seiten aus der Welt zu schaffen, und verklagt besagten Betreiber deswegen. Dann hat man sehr schnell Zensur, ob der Provider jetzt will oder nicht. Zentrale Infrastrukturen sind für solche Dinge anfällig, dezentrale eher nicht.

Was das mehr oder weniger vertrauenswürdige öffentliche WLAN betrifft, so bin ich in WLANs grundsätzlich nur per VPN auf meine eigenen Infrastruktur unterwegs. Genau aus den von Dir genannten Gründen.

Naja, DNSSEC und DoX haben ja schon unterschiedliche Einsatzbereiche. Und nein, DNSSEC reicht nicht unbedingt, denn ein Angreifer könnte weiterhin den DNS-Traffic mitlesen. Bereits mit den hierbei gewonnenen Informationen kann man viel anfangen.
Das ist aber einfach eine Einstellungssache. Man kann DoX mit jedem (auch eigenem) Anbieter sprechen, der das Protokoll beherrscht. Das ist kein Grund gegen DoX. Es gibt ja z.B. auch durchaus viele Gründe Google zu vermeiden, aber das es in praktisch allen großen Browsern die Defaultsuchmaschine ist, ist wohl eher keiner.
Richtig, aber dieses Problem wird ja von DoX auch gar nicht addressiert. DNS selbst ist eben eine zentralisierte Infrastruktur und es ist diesbezüglich völlig unerheblich ob der Traffic jetzt verschlüsselt ist oder nicht. Aber das ist ja kein Grund auf Verschlüsselung zu verzichten. Sonst müsstest Du ja z.B. auch https ablehnen.
Ja klar, aber noch mal: Das hat überhaupt nichts mit DoX zu tun. Es spielt diesbezüglich doch überhaupt keine Rolle, ob die Contentmafia einen DNS-Anbieter verklagt der DoX anbietet oder einen der das nicht tut. Auch bei unverschlüsselten Anfragen würde ja die entsprechende Adresse aus dem Cache genommen. Warum also von DoX abraten? Den entsprechenden Anbieter kann man ja genauso schnell wechseln, wenn man DoX verwendet, wie wenn man es nicht tut.
Siehst Du, und wenn Du dir hier Dein eigenes DoX einrichten würdest (brauchst Du natürlich nicht, wegen VPN - aber Du verwendest eben doch auch eine Verschlüsselung) wäre das 'dezentral' und problemlos. D.h. das was Du aufzählst ist eben kein Problem von DoX sondern lediglich das Problem zentralisierter Infrastruktur - das von DoX natürlich nicht gelöst werden kann. Aber das ist ja auch gar nicht dessen Ziel. Und vor allem: Überhaupt kein Grund von DoX abzuraten. Das bewirkt ja nur, dass die DNS-Anfragen unverschlüsselt bleiben (also schlechter für den Nutzer) hat aber sonst gar keine Auswirkungen auf die von Dir angesprochenen Punkte.

Peter Eckel

Von DoX abzuraten, weil DNS ein zentralisiertes Protokoll ist, ist ungefähr das Gleiche wie:
Du rätst von der Nutzung von Autos ab, um zum lokalen Supermarkt zu fahren (und empfiehlst statt dessen den Bus), weil der dieser Supermarkt per Straße leicht erreichbar ist und Dein jeweiliges Lieblingsprodukt jederzeit aus dem Angebot nehmen könnte.

Wenn es Dich glücklicher macht und bevor Du noch mehr Autovergleiche bringst: Ich rate von nicht selbstgehostetem DoT/DoH ab.

In Anbetracht der Tatsache, daß die meisten Leute schon mit dem Aufsetzen eines eigenen DNS-Resolvers an ihren Grenzen sind, dürfte sich an der Aussage gegenüber meiner ursprünglichen Version nicht viel ändern.

Was faktisch heißt: Du rätst von nicht selbstgehostetem DNS ab, denn die Verwendung von Verschlüsselung hat ja auf die Funktionsweise von DNS überhaupt keinen Einfluss. Und wie Du selbst schreibst ist das Hosten eines eigenen DNS-Servers keine Alternative für Leute, die bereits mit dem Aufsetzen eines eigenen DNS-Resolvers überfordert sind.

Das Abraten von DoX macht also einfach nur die DNS-Kommunkation von Otto-Normalverbraucher unsicherer, ohne irgendeinen Vorteil für diesen.

Ist schon gut. Mach einfach, was Du willst.

Letzten Endes rät Peter Eckel grundsätzlich von zentalen Diensten, in dem Fall nicht selbstgehostetem DNS ab, egal ob verschlüsselt oder unverschlüsselt.
Am Ende muss man immer dem Anbieter dahinter vertrauen, die Verschlüsselung bietet dahingehend keinen Mehrwert.
Allerdings kann der verschlüsselte Traffic erstmal nicht von Dritten mitgelesen werden. Für mich ein Vorteil, deshalb nutze ich DoT.

Das ist auch wieder eine Prinzipfrage ... ja, DoX schützt Dich davor, daß z.B. der Betreiber eines WLANs, in dem Du Dich bewegst, Deine DNS-Anfragen mitlesen kann. Dafür kann sie dann der Betreiber des DoX-Services mitlesen. Der Unterschied ist: Der kann sie dann immer alle mitlesen, der Betreiber des WLANs nur solange Du da bist.

Der daraus entstehende Vorteil erschließt sich mir nicht.

Anders ist das, wie schon erwähnt, wenn man seinen eigenen Resolver betreibt. Da bringt DoX dann den Vorteil, daß die DNS-Anfragen von niemandem mehr mitgelesen werden können. Ohne VPN kann aber der gesamte Traffic analysiert werden, unter anderem die Metadaten, mit welchen Servern man Verbindung aufgenommen hat. Wenn ich die habe, brauche ich die DNS-Anfragen nicht mehr mitzulesen, also geht am VPN ohnehin kein Weg vorbei, wenn man das verhindern möchte.

Damit ist der DoX-Vorteil dann auch in diesem Szenario wieder verschwunden.

Nichts anderes habe ich beschrieben: Wenn ich einen Dienst nutze, muss ich dem Anbieter vertrauen.
Das ist bei allen Anbietern und Diensten so.
HTTPS schützt mich nicht davor, dass Facebook meine Daten auswertet und verkauft.
Nur mein Traffic kann eben nicht zufällig mitgelesen werden.
Das was du beschreibst, ist dann das nächste Level, abseits von Zufall.

Du weisst ja auch nicht, ob Mactechnews dich trackt.
Dann betreibst du halt deine eigene Plattform, deinen eigenen Dienst.
Dort bist du dann zwar relativ einsam, aber keiner trackt dich.

Woran sich Wauzeschnuff - zurecht - stört, ist, dass du DoX grundsätzlich keine Chance gibst. Dabei gilt dein Urteil für sämtliche öffentliche DNS.
Wenn ich die Wahl zwischen verschlüsselt und unverschlüsselt habe, ist für mich die Entscheidung klar.

Das ist eine andere Baustelle und hat nichts mit dem DNS-Thema zu tun. Bitte laß uns doch fokussiert bleiben.
Traffic wird nicht "zufällig" mitgelesen. Wer DNS-Queries aus dem Datenstrom fischt, macht das absichtlich und gezielt. Viel eher werden Verbindungsdaten aus Firewall-Logs aufgezeichnet.

Schauen wir uns doch mal in Ruhe das Bedrohungsmodell an, dem DoT entgegentritt:

• Du befindest Dich in einem nicht vertrauenswürdigen Netzwerk (im Extremfall ist das das ganze Internet, aber der Vereinfachung halber nehmen wir mal ein öffentliches WLAN, z.B. in einem Hotel, an).
• Du nutzt kein VPN.
• Du nutzt keinen selbstgehosteten DoX-Resolver.
• Der Betreiber des Netzwerks liest Deine DNS-Queries mit.

Wer DNS-Queries mitliest (die Antworten sind uninteressant, die sind ohnehin öffentlich im DNS), erhält dadurch Informationen, mit welchen Partnern Du kommunizierst. Dagegen hilft es, die Queries zu verschlüsseln. So weit, so gut.

Nun machst Du aber keine DNS-Queries, weil Du DNS so toll findest, sondern weil Du mit den Servern, deren Adressen Du so erhältst, kommunizieren willst. Was Du dann also auch tust, und damit hinterläßt Du Verbindungsdaten beim Router (die im übrigen viel einfacher zu erlangen sind). Das Resultat ist, daß der Betreiber nun doch wieder weiß, mit wem Du kommunizierst.

Ein kleiner Vorteil bei DoX liegt noch darin, daß in den Verbindungsdaten nicht ersichtlich ist, welcher Server im Fall von SNI-basierten virtuellen Hosts angesprochen wird. Dem steht gegenüber, daß die Analyse der Verbindungsdaten mehr zusätzliche Informationen liefert, so z.B. wie groß die übertragene Datenmenge ist.

Vorteile DoX: Gering bis nicht vorhanden.

Dem stehen die schon erwähnten Nachteile von DoX gegenüber:

• Durch zentralisierte Dienste erfolgt eine Konzentration von Daten, die dann auch zusammengeführt werden können (Beispiel: Du greifst über zwei Jahre aus zwanzig verschiedenen WLANs auf eine leicht anrüchige Seite für Leute mit einer Obsession für Modell-Elektroloks zu. Zwanzig WLAN-Betreiber wissen, daß Du das je einmal gemacht hast. Der DoX-Anbieter weiß, daß Du das seit zwei Jahren jeden Tag machst, auch von daheim).
• Durch zentralisierte Dienste ist ein Zugriff von staatlichen oder privaten (siehe Sony gegen Quad9) Zensurinteressenten einfacher bzw. überhaupt erst möglich. Und das betrifft ausdrücklich auch vertrauenswürdige DoX-Anbieter.
• DoX erzeugt Overhead für TLS (im Einzelfall vernachlässigbar, in summa eine nennenswerte Menge an Rechenzeit).
• DoX erzeugt ein falsches Sicherheitsgefühl.

Nachteile DoX: Meiner Meinung nach ausreichend, um davon abzuraten.

Die Situation wird deutlich anders, sobald Du ein eigenes VPN nutzt.

• Mitlesen der DNS-Queries ist dem Netzwerkbetreiber des WLAN nicht mehr möglich (auch nicht ohne DoX).
• Mitlesen der Verbindungsdaten ist ihm auch nicht mehr möglich.

Damit ist das Bedrohungsmodell abgewehrt, und zwar ohne daß DoX erforderlich wäre, also auch ohne die Nachteile von DoX.
Und aus den obigen Ausführungen folgt, daß er sich eben nicht zurecht daran stört. DoX hat erhebliche Nachteile und nur sehr wenige geringe Vorteile. Die Vorteile ohne die Nachteile bekommt man aber auch mit einem VPN, ohne DoX.

Und bevor jetzt wieder jemand mit DNS Spoofing kommt: Dagegen ist DNSSEC viel wirksamer, hier schafft DoX nur eine weitere dünne Ausrede für Firmen, das Thema nicht anzugehen. Meiner Meinung nach ein weiterer Nachteil von DoX.
So sehr ich Dir da generell beipfichte, ist das in diesem Fall eben nicht die ganze Wahrheit. Wenn DoX die dezentrale DNS-Architektur beibehielte und lediglich Verschlüsselung hinzufügte, wäre ich bei Dir. Aber DoX ist eben nicht "DNS + Verschlüsselung", sondern eine ganz andere Infrastruktur, und die stellt in summa eine Verschlechterung des status quo dar, ohne dabei wirklich wirksam zu sein.

Doofe Frage, woher weiß der Anbieter, dass die Person im Hotel, und die Zuhause die selbe Person (bzw. Geräte) sind?

Diese beiden Punkte sind keine Punkte gegen DoX, sondern gegen zentralisierte Dienste (wie eben DNS). Man kann DoX kaum vorwerfen für etwas verantwortlich zu sein, dass es weder verursacht noch addressiert. Und vor allem kann es daher auch kein Grund sein, von DoX abzuraten.
Das gilt für VPNs (der von dir präferierten Lösung genauso).
Das ist wohl eher eine sehr individuelle und subjektive Ansicht.
Meiner Meinung nach nicht. Denn die Alternative für die meisten Anwender ist ja nicht etwa ein selbstgehostetes VPN sondern gar keine Verschlüsselung. Denn die Einrichtung und kompetente Verwendung eine VPNs (insbesondere ohne DNS oder IP-Leak) wird die Netzwerkkenntnisse der meisten Leute massiv überschreiten. Und die Verwendung eines kommerziellen Anbieters (oder z.B. direkt auf einem kommerziellen Router wie bei AVM) bietet in Bezug auf Datensicherheit keinerlei Vorteile gegenüber DoX.
Nachteile, die Du meines Erachtens immer noch nicht ausreichend dargelegt hast. Ein selbstgehostetes VPN entspricht in deinem Szenario einem selbstgehosteten DNS-Server mit DoX. Wo liegen dessen Nachteile im Bezug auf Datensicherheit gegenüber eines selbst gehosteten VPN-Dienstes im gleichen Netzwerk?

Die Frage ist alles andere als doof

Die Antwort ist "DNS Query Fingerprinting". Die Muster Deiner DNS-Queries identifizieren Dich eindeutig. Und ein zentraler Dienst (da ist es wieder, das böse Wort) hat halt bei entsprechender Konfiguration alle Deine Queries, und damit einen sehr guten Datensatz.

Es gibt dazu einige Papers, z.B. , , . Ich gehe stark davon aus, daß die steigende Nutzung von ML insbesondere auch zu Werbezwecken, die "Qualität" dieses Fingerprintings noch deutlich erhöhen kann.

Falsch. DNS ist eben kein zentralisierter Dienst. Manche benutzen ihn wie einen, aber eigentlich ist diese Aussage schon falsch.
DoX hingegen ist zentralisiert.
Oje ...

• Nicht alle VPNs nutzen TLS (Wireguard und IPSec z.B. nicht, OpenVPN schon)
• Es ist ein Unterschied, ob man eine TLS-Session öffnet, Information darüber überträgt, und sie dann wieder schließt, oder ob man sie einmal öffnet und dann Daten darüber überträgt, ohne sie wieder zu schließen (zur Ehrenrettung OpenVPNs)

Du hältst DoX für sicher. Wie oben gezeigt (DNS vs. Verbindungsdatentracking) ist es das nicht. q.e.d.
Vielleicht ist Dir aufgefallen, daß ich davon auch abrate (jedenfalls, wenn Du Dir Gedanken um Vertraulichkeit machst).

Ein privates VPN einzurichten ist inzwischen sehr, sehr einfach. Tailscale (Wireguard mit einfacher Bedienung) ist eine Lösung, und Wireguard ist inzwischen sogar in die Firmware von Fritzboxen eingebaut. Wer den Aufwand auch noch scheut hat halt Pech gehabt, und da als Pflaster dann DoX aufzukleben schafft das bereits erwähnte falsche Sicherheitsgefühl.
Unsinn. Tailscale, Wireguard in der Fritzbox.
Kommerzielle Anbieter ACK.
"Kommerzielle" Router NACK.

Man kann (und ich tue das auch gern) über die Fritzbox viel Schlechtes sagen, aber die Dinger sind halbwegs ordentlich abgesichert und ein VPN zur Fritzbox endet in Deinem Netz und ist so abgesichert wie das dann halt ist. Schlimmstenfalls bist Du dann im nicht vertrauenswürdigen WLAN so sicher oder unsicher unterwegs wie daheim. Das ist schon ein Fortschritt.
... oder die Du immer noch nicht ausreichend verstanden hast. I can explain it to you, but I can't understand it for you.
Nein, eben nicht.

Du vergißt, daß der Traffic auch über das VPN geht und der Betreiber des WLAN damit nicht in der Lage ist, die von Dir besuchten Server zu identifizieren. Das habe ich mehrfach erklärt, aber Du hast es anscheinend überlesen. Und das ist genau der riesige Unterschied zwischen einem selbstgehosteten DoX und einem selbstgehosteten VPN.

Der selbstgehostete DoX schadet nichts bzw. nicht sehr, weil der Datenabfluß der DNS-Queries und die Möglichkeit der Manipulation der Antworten durch Dritte entfällt. Er nützt allein (also ohne VPN) aber genauso wenig wie ein zentraler DoX-Server. Und mit VPN ist er unnötig.
Einfach nochmal lesen. Ich habe fertig.