Stand: Juli 2026
Zusammenfassung: Nach dieser Anleitung veröffentlicht deine Domain bei checkdomain einen TLS-RPT-Record und empfängt tägliche Berichte über die verschlüsselte Zustellung.
Voraussetzungen
- Eine Domain bei checkdomain mit aktiven checkdomain-Nameservern
- Ein Ziel für die Berichte (Auswertungsdienst oder Postfach)
Was ist TLS-RPT?
TLS-RPT (SMTP TLS Reporting, RFC 8460) ist ein DNS-TXT-Record unter _smtp._tls.deine-domain. Empfangende Mailserver schicken an die dort genannte rua-Adresse tägliche Sammelberichte über die TLS-Zustellung — als JSON. TLS-RPT erzwingt nichts; es ist das Auge, das dir zeigt, ob deine Verschlüsselung (und eine spätere MTA-STS-Absicherung) in der Praxis greift.
Die Ausgangslage bei checkdomain
TLS-RPT ist ein ganz normaler TXT-Record. Du trägst ihn selbst in den Profi-Einstellungen der Nameserver-Verwaltung ein — dieselbe Stelle wie beim SPF- und DMARC-Record. Wie bei checkdomain üblich: den Wert ohne Anführungszeichen eintragen.
Schritt-für-Schritt-Anleitung
1. Berichtsadresse festlegen
Lege fest, wohin die Berichte gehen — idealerweise an einen TLS-RPT-Auswertungsdienst, der die JSON-Berichte aufbereitet, oder an ein dediziertes Postfach.
2. TXT-Record in den Profi-Einstellungen anlegen
Öffne den Kundenbereich, klicke bei deiner Domain auf Konfiguration, dann auf Checkdomain Nameserver und öffne den Bereich Profi-Einstellungen. Lege einen TXT-Eintrag an:
- Name:
_smtp._tls - Typ:
TXT - Wert (ohne Anführungszeichen):
v=TLSRPTv1; rua=mailto:tlsrpt@beispiel.de
checkdomain rät generell: „Verwenden Sie immer den TXT-Wert, den Ihnen der jeweilige Anbieter vorgibt” — bei TLS-RPT ist das schlicht deine eigene Berichtsadresse.
3. Warten, bis die Änderung aktiv ist
DNS-Änderungen werden bei checkdomain in Sekunden gespeichert; weltweit sichtbar kann es bis zu 48 Stunden dauern.
Die Bestandteile im Detail
| Bestandteil | Bedeutung |
|---|---|
v=TLSRPTv1 | Versionskennung, steht immer am Anfang |
rua=mailto: | Adresse, an die die täglichen TLS-Berichte gehen |
Mehrere Empfänger trennst du mit Komma; alternativ zu mailto: ist auch ein https:-Endpunkt möglich.
Ergebnis prüfen
Prüfe deine Konfiguration mit dem kostenlosen MXAudit-Scanner — er zeigt dir TLS-RPT zusammen mit deiner TLS- und MTA-STS-Absicherung.
Häufige Fehler
Anführungszeichen mitkopiert. Bei checkdomain gehört der Wert ohne Anführungszeichen ins Feld.
Falscher Hostname. Der Record gehört exakt an _smtp._tls — nicht an _tls oder die nackte Domain.
TLS-RPT für Durchsetzung gehalten. TLS-RPT berichtet nur. Erzwingen tut die Verschlüsselung MTA-STS — TLS-RPT zeigt dir, ob es funktioniert.
Weiterführende Links
- checkdomain Support: Wie setze ich einen TXT-Eintrag? (abgerufen: 10. Juli 2026)
- RFC 8460 — SMTP TLS Reporting
