Stand: Juli 2026

Zusammenfassung: Nach dieser Anleitung veröffentlicht deine bei Cloudflare gehostete Zone einen TLS-RPT-Record und empfängt tägliche Berichte über die verschlüsselte Zustellung.

Voraussetzungen

  • Eine Domain, deren DNS bei Cloudflare verwaltet wird (DNS > Records)
  • Ein Ziel für die Berichte (Auswertungsdienst oder Postfach)

Was ist TLS-RPT?

TLS-RPT (SMTP TLS Reporting, RFC 8460) ist ein DNS-TXT-Record unter _smtp._tls.deine-domain. Empfangende Server schicken an die dort genannte Adresse tägliche Sammelberichte über die TLS-Zustellung. Es erzwingt nichts — es zeigt dir, ob deine Transportverschlüsselung greift. Diese Absicherung liefert MTA-STS, das Cloudflare als Weg beschreibt, um „protect against downgrade and man-in-the-middle attacks in SMTP sessions”. TLS-RPT ist das Auge darauf.

Cloudflare hat keine eigene TLS-RPT-Seite — verweist aber direkt darauf: Beim Ausrollen von MTA-STS empfiehlt Cloudflare, „start with mode: testing” und „monitor TLS-RPT ↗ reports for a few weeks before switching to enforce”. Genau diesen Reporting-Record legt diese Anleitung an. Der Record-Wert selbst folgt dem Standard RFC 8460.

Schritt-für-Schritt-Anleitung

1. Berichtsadresse festlegen

Ein TLS-RPT-Auswertungsdienst bereitet die JSON-Berichte auf.

2. TXT-Record im Cloudflare-Dashboard anlegen

Gehe zu DNS > Records, wähle Add record, dann einen Record-Type, und „Complete the required fields”:

FeldWert
TypeTXT
Name_smtp._tls
Contentv=TLSRPTv1; rua=mailto:tlsrpt@beispiel.de
TTLAuto

Cloudflare nutzt ein schlichtes Content-Feld — keine Anführungszeichen. Das TTL-Feld (Time to Live) steuert „how long each record is valid”; Auto passt.

Klicke auf Save.

3. Zusammen mit MTA-STS

Kombiniere TLS-RPT mit MTA-STS. Bei Cloudflare wird MTA-STS mit einem _mta-sts-CNAME plus einer per HTTPS ausgelieferten Policy-Datei eingerichtet — siehe Cloudflares MTA-STS-Anleitung. Rolle MTA-STS zuerst im testing-Modus aus und beobachte die TLS-RPT-Reports, bevor du auf enforce umstellst.

4. Warten, bis die Änderung aktiv ist

DNS-Änderungen brauchen je nach TTL eine Weile.

Ergebnis prüfen

Prüfe deine Konfiguration mit dem kostenlosen MXAudit-Scanner.

dig TXT _smtp._tls.beispiel.de +short

Häufige Fehler

rua auf ein normales Postfach. Die Berichte sind JSON — nutze einen Auswertungsdienst, nicht dein Postfach.

TLS-RPT allein. Es berichtet nur; die Durchsetzung liefert MTA-STS. Setze beides.

MTA-STS sofort auf enforce. Cloudflare warnt, im testing-Modus zu starten und zuerst die TLS-RPT-Reports zu beobachten, sonst wird legitime eingehende Mail womöglich abgewiesen.