Hey,
ich bin durch verschiedene Empfehlungen auf
https://github.com/hagezi/dns-blocklists
gestoßen.
Frage: hat jemand von euch die Liste im Einsatz? Ich tu mich aktuell sehr schwer die richtige auszuwählen, die ich mit NextDNS nutzen soll. Welche von denen habt ihr genommen und wieso?
So ein Zufall! 
Ich bin heute auch darüber gestolpert, da ich mit HaGeZi schon ein paar Mal „was zu tun“ hatte und die „Enyrypted DNS/VPN/TOR/Proxy Bypass DNS Blocklist“ im Einsatz hatte, die er aber auf das „Adblock“ Format umgestellt und damit auch den Pfadnamen geändert hat und daher mein alter Link ins Nirwana zeigte.
Ich habe mir heute mal in meinen Pi-hole in meine „test-group“ folgende Listen gezogen:
HaGeZi’s Badware Hoster DNS Blocklist
HaGeZi’s Anti-Piracy DNS Blocklist
HaGeZi’s Apple Tracker DNS Blocklist
HaGeZi’s Windows/Office Tracker DNS Blocklist
HaGeZi’s TikTok Fingerprinting DNS Blocklist
Als Upstream-DNS-Resolver verwende ich:
PIHOLE_DNS_1=45.90.28.39
PIHOLE_DNS_2=45.90.30.39
PIHOLE_DNS_3=94.140.14.14
PIHOLE_DNS_4=94.140.15.15
PIHOLE_DNS_5=193.110.81.9
PIHOLE_DNS_6=185.253.5.9
NextDNS, AdGuard mit Werbe- und Trackingfilter und DNS.EU-Zero - wobei ich von letzterem nicht sooooo angetan bin, weil die zum einen blind alle DynDNS blocken und ich meine Nextcloud über einen DynDNS laufen habe, aber mit (m)einem Workaround leben kann. Ausgesucht habe ich meine Resolver nach:
Hat AdGuard eigentlich eigene Filterlisten?
Ja: https://github.com/AdguardTeam/AdguardFilters - aber das sind sicher nicht alle. Oder doch?! 
Bzw. kann man deren Public-DNS auch ohne Kunde-sein kostenlos nutzen (ob dann auch ein 300k Query-Limit greift? mir ist das bisher nicht aufgefallen bei täglich 80k lokalen Anfrage zuhause, von denen ja widerum nur ein Bruchteil tatsächlich rausgeht…)
3 Beiträge wurden in ein existierendes Thema verschoben: Best-Practice: mehrere Services auf einem Server
Ich nutze die ultimate Liste mit über 2 Millionen Einträgen auf dem Router (einer Ipfire mit dem dns_blockliste.sh Script aus dem blog) und auf dem Smartphone in Adaway.
Ich sprach eigentlich von den gängigen, wie:
Light, normal, pro, pro++ und ultimate.
Nutzt ihr eine von denen oder mehrere? Was hat euch bewegt die von euch genannte zu nutzen?
Meine Motive:
Ich will mich und meine Familie vor absichtlichem und unabsichtlichem Anklicken vor bösartiger Software/Raubkopien und Trackern, die für Apple-Geräte sowie Microsoft-Windows und -Office typisch sind, sowie TikTok „schützen“.
Kurz: alles was man im Normalfall wirklich nicht braucht oder gar haben will, soll weg bleiben!
Ich verstehe die Formatierung von Filter- bzw. Blocklisten nicht. Wann muss man denn bspw. 0.0.0.0 davor setzen und wann nicht. Welche Formate gibt es denn und welches Format müssen die Listen für welche Geräte (Browser, Fritzbox, NetGuard usw.) haben? Kann da vielleicht jemand etwas Erhellendes dazu sagen?
Das kommt drauf an, welche Lösung du nutzt und was diese Lösung unterstützt. Pi-hole kann z.B. sowohl mit „0.0.0.0“ als auch ohne umgehen und obendrein wird seit einiger Zeit das Adblock-Format unterstützt, das wieder etwas anders aussieht.
Genügt, es die Domain zu blocken oder muss man sämtliche Subdomains eintragen?
Ich kenne nur den Pi-hole gut genug, um dir zu antworten, dass dort entweder ganz genau „host.domain.com“ im Hostformat oder „Domain“ im Adblockformat angegeben werden muss.
Welche Formate bzw. Filterregeln gibt es denn?
Ich habe schon die folgenden gesehen:
domain.de
sub.domain.de
https://domain.de
https://sub.domain.de
0.0.0.0 domain.de
0.0.0.0 sub.domain.de
Leider weiss ich nicht, welche wo richtig ist.
In der Fritzbox gelten (glaube ich) domain.de und sub.domain.de
Pi-hole hat bis vor einiger Zeit ausschliesslich das Host- oder Domain-Format genutzt:
domain.de
sub.domain.de
bzw.
0.0.0.0 domain.de
0.0.0.0 sub.domain.de
Beides funktioniert - aber falls du warum auch immer auf die Idee kommst in deiner /etc/hosts etwas einzutragen: das geht nur so:
0.0.0.0 trackingsite.com
0.0.0.0 evil.trackingsite.com
Das Adblock-Format ist etwas anders und mächtiger und kann auch ganze Domains ohne Angabe von Subdomains blocken:
||youtubez.com^
Wenn du z.B. einige Subdomains, aber nicht alle blocken willst, dann musst du weiterhin jede Subdomain einzeln angeben:
…
||d135re68iqn9un.cloudfront.net^
||d1ai2z1erj0mzw.cloudfront.net^
||d1bshntecis4nt.cloudfront.net^
||d1cu1v8rtmkdap.cloudfront.net^
…
Schau mal hier!
https://www.reddit.com/r/nextdns/comments/13vroxd/hagezis_lists_dns_blocking_analysis/
Kurzfassung:
Light ist das beste, wenn du einfach „set & forget“ haben willst.
Bei normal macht es keinen Unterschied, nur 0.2% „mehr“ Blocking, bei normal ist wohl nur noch zustätzlich (zu dem von Light) die „oisd“ (https://oisd.nl/) Liste drin, die dafür bekannt ist, mehr auf Funktionalität zu setzen, als auf Blocking.
Also, falls eine Website kaputt ist und eine Domain dafür zuständig ist, die aber auch eigentlich Tracking verursacht, wird sie trotzdem aus der Liste genommen.
Und bei dem Rest steigt das Risiko false-positive zu haben und meiner Meinung nach lohnt sich der Aufwand auch nicht, ständig zu whitelisten, vor allem, wenn man es manchmal eilig hat und dann funktioniert irgendwas nicht.
Was ich benutze, ist Light & Thread Intelligence Feeds (TIF), beides von Hagezi (beide deinem Link findest du TIF.
Also, du hast dann ein rundum Schutz vor Malware (Phishing… und dergleichen) und Blockierung der Werbung, und das Risiko für false-positive ist gefühlt gar nicht vorhanden bzw. würde ich sogar so gehen, dass es gar nicht vorkommt.
(Also, das ist bis jetzt bei mir so, bzw. mein Gefühl und Einschätzung.)