Wie das Peppol-Netzwerk technisch funktioniert (mit DNS-Logik)
Beim Versuch, Peppol zu verstehen, können Begriffe wie SML, SMP, Access Point und Participant ID zunächst wie eine lange Liste erscheinen, die man auswendig lernen muss. Im Kern läuft jedoch alles auf eine grundlegende Frage hinaus:
„Wie liefere ich ein elektronisches Dokument sicher an die richtige Organisation und den richtigen technischen Endpunkt?“
Genau dieses Problem löst das Internet seit Jahren mithilfe von DNS.
Die Peppol-Architektur bildet die aus DNS bekannte Delegations- und Auflösungskette für Organisationen und elektronische Dokumente nach.
Was ist das Peppol-Netzwerk?
Peppol ist weder eine zentrale Plattform noch ein einzelnes Softwareprodukt.
Man kann es mit dem Internet vergleichen: Regeln, Rollen, technische Standards und ein Vertrauensrahmen sind definiert; jeder baut sein eigenes System so, dass es diesen Regeln entspricht.
Niemand „betreibt“ Peppol – und dennoch können alle Dokumente im selben Netzwerk austauschen, solange sie Peppol-konform sind.
Die zentrale Idee, die direkt auf DNS abbildbar ist
Bei DNS lautet die Kernfrage:
„Wo befindet sich dieses benannte Objekt im Netzwerk?“
Bei Peppol ist die Frage identisch:
„Wo befindet sich der Dokumenten-Empfangsendpunkt für diese Participant ID?“
Eine Participant ID – z. B. 0088:5790000435968 – entspricht dabei einem Domainnamen wie example.com im DNS. Niemand denkt an IP-Adressen; man sagt lediglich:
„Sende es an diesen Teilnehmer“ – alles Weitere wird durch die Auflösungskette geregelt.
SML: Das Root-Verzeichnis (wie DNS-Root-Server)
Wenn eine Participant ID bekannt ist, lautet die erste Frage:
„Welches SMP enthält die technischen Datensätze dieser Organisation?“
Genau diese Verzeichnisinformation hält das SML vor. Es kennt weder Dokumente noch Access Points oder Formate – es sagt lediglich:
„Die Datensätze dieses Teilnehmers befinden sich in diesem SMP.“
Das entspricht exakt der DNS-Logik von Root-Zone → TLD-Delegation.
SMP: Der autoritative technische Datensatz (wie autoritative DNS-Server)
Im SMP befinden sich die autoritativen Datensätze eines bestimmten Teilnehmers. Dort sind unter anderem hinterlegt:
- Unterstützte Dokumenttypen und Prozesse
- Unterstützte Formate (z. B. UBL)
- Welcher Access Point verwendet wird
- Technische Endpunkte und Protokolldetails
So wie DNS IP-, MX- oder SRV-Records kennt, enthält das SMP diese technischen Informationen.
Das SMP muss dabei nicht zentral betrieben werden – jede Organisation oder jeder Service Provider kann ein eigenes SMP hosten.
Endpunkt und Access Point
Das finale Ergebnis der Auflösung lautet für den Absender:
„Dieser Teilnehmer akzeptiert Dokumente über diesen Access Point mit diesem AS4-Endpunkt.“
Bevor diese Auflösung abgeschlossen ist, wird kein einziges Dokument übertragen.
Die Access-Point-Schicht übernimmt die eigentliche Kommunikation:
- AS4-Nachrichtenübertragung
- Zertifikatsvalidierung
- Signierung und Verschlüsselung
- Wiederholungsversuche und Empfangsbestätigungen
Sender- und Empfängersysteme kommunizieren niemals direkt miteinander – genau wie bei E-Mail-Servern erfolgt die Kommunikation immer Access Point → Access Point.
Peppol-Ablauf (analog zur DNS-Auflösungskette)
Das System sagt: „Dieses Dokument geht an diesen Teilnehmer.“
Der Access Point des Absenders fragt das SML ab.
Das SML liefert das zuständige SMP zurück.
Das SMP stellt Access-Point- und Endpunktinformationen bereit.
Der Access Point des Absenders verbindet sich mit dem Access Point des Empfängers und übermittelt das Dokument.
Dieser Ablauf entspricht exakt dem DNS-Prinzip – keine Übertragung erfolgt, bevor die Auflösung abgeschlossen ist.
Mehrere Access Points & verteilte SMPs
So wie DNS mehrere IP-Adressen (für Lastverteilung oder Ausfallsicherheit) für dieselbe Domain unterstützen kann, erlaubt Peppol mehrere Access Points oder regionale Deployments für denselben Teilnehmer.
Außerdem müssen SMP und Access Point nicht vom selben Anbieter betrieben werden.
Im DNS kann ein Unternehmen autoritative DNS-Server betreiben, während ein anderes den Webserver hostet – bei Peppol ist diese Trennung ebenfalls üblich.
Warum ist Peppol so aufgebaut?
Ziel ist es sicherzustellen, dass das Netzwerk nicht ausfällt, wenn ein Land, ein Unternehmen oder eine Plattform Probleme hat.
Es gibt kein zentrales System und keinen Single Point of Failure – jeder übernimmt Verantwortung für seinen eigenen Teil.
Auch wenn diese Architektur zunächst komplex wirkt und mehr Initialaufwand erfordert, bietet sie langfristig eine äußerst zuverlässige, verteilte Infrastruktur.
Kurze technische Zusammenfassung
- Peppol = DNS-ähnliche Auflösung + sicherer Transport für E-Dokumente
- Participant ID = Domainname
- SML = Root-Verzeichnis
- SMP = autoritativer technischer Datensatz
- Access Point = tatsächlicher Kommunikationsserver
- Es werden niemals Daten übertragen, bevor die Lookup-Kette abgeschlossen ist
Aus dieser Perspektive wird deutlich, warum Peppol so stark geschichtet und strukturiert ist:
Ziel ist der Aufbau eines zuverlässigen, verteilten Dokumentenübertragungsnetzwerks im globalen Maßstab.
— F.M. Arslan
