Stand: Juli 2026
Zusammenfassung: Nach dieser Anleitung veröffentlicht deine bei Cloudflare gehostete Zone einen TLS-RPT-Record und empfängt tägliche Berichte über die verschlüsselte Zustellung.
Voraussetzungen
- Eine Domain, deren DNS bei Cloudflare verwaltet wird (DNS > Records)
- Ein Ziel für die Berichte (Auswertungsdienst oder Postfach)
Was ist TLS-RPT?
TLS-RPT (SMTP TLS Reporting, RFC 8460) ist ein DNS-TXT-Record unter _smtp._tls.deine-domain. Empfangende Server schicken an die dort genannte Adresse tägliche Sammelberichte über die TLS-Zustellung. Es erzwingt nichts — es zeigt dir, ob deine Transportverschlüsselung greift. Diese Absicherung liefert MTA-STS, das Cloudflare als Weg beschreibt, um „protect against downgrade and man-in-the-middle attacks in SMTP sessions”. TLS-RPT ist das Auge darauf.
Cloudflare hat keine eigene TLS-RPT-Seite — verweist aber direkt darauf: Beim Ausrollen von MTA-STS empfiehlt Cloudflare, „start with mode: testing” und „monitor TLS-RPT ↗ reports for a few weeks before switching to enforce”. Genau diesen Reporting-Record legt diese Anleitung an. Der Record-Wert selbst folgt dem Standard RFC 8460.
Schritt-für-Schritt-Anleitung
1. Berichtsadresse festlegen
Ein TLS-RPT-Auswertungsdienst bereitet die JSON-Berichte auf.
2. TXT-Record im Cloudflare-Dashboard anlegen
Gehe zu DNS > Records, wähle Add record, dann einen Record-Type, und „Complete the required fields”:
| Feld | Wert |
|---|---|
| Type | TXT |
| Name | _smtp._tls |
| Content | v=TLSRPTv1; rua=mailto:tlsrpt@beispiel.de |
| TTL | Auto |
Cloudflare nutzt ein schlichtes Content-Feld — keine Anführungszeichen. Das TTL-Feld (Time to Live) steuert „how long each record is valid”; Auto passt.
Klicke auf Save.
3. Zusammen mit MTA-STS
Kombiniere TLS-RPT mit MTA-STS. Bei Cloudflare wird MTA-STS mit einem _mta-sts-CNAME plus einer per HTTPS ausgelieferten Policy-Datei eingerichtet — siehe Cloudflares MTA-STS-Anleitung. Rolle MTA-STS zuerst im testing-Modus aus und beobachte die TLS-RPT-Reports, bevor du auf enforce umstellst.
4. Warten, bis die Änderung aktiv ist
DNS-Änderungen brauchen je nach TTL eine Weile.
Ergebnis prüfen
Prüfe deine Konfiguration mit dem kostenlosen MXAudit-Scanner.
dig TXT _smtp._tls.beispiel.de +short
Häufige Fehler
rua auf ein normales Postfach. Die Berichte sind JSON — nutze einen Auswertungsdienst, nicht dein Postfach.
TLS-RPT allein. Es berichtet nur; die Durchsetzung liefert MTA-STS. Setze beides.
MTA-STS sofort auf enforce. Cloudflare warnt, im testing-Modus zu starten und zuerst die TLS-RPT-Reports zu beobachten, sonst wird legitime eingehende Mail womöglich abgewiesen.
Weiterführende Links
- Cloudflare Docs: Configure MTA-STS (abgerufen: 10. Juli 2026)
- Cloudflare Docs: Manage DNS records (abgerufen: 10. Juli 2026)
- RFC 8460 — SMTP TLS Reporting
