Stand: Juli 2026

Zusammenfassung: TLS-RPT (SMTP TLS Reporting) liefert dir strukturierte Diagnoseberichte über fehlgeschlagene TLS-Verbindungen bei eingehenden E-Mails. Du aktivierst das Reporting, indem du einen TXT-Record auf der Subdomain _smtp._tls in der DNS-Verwaltung bei dogado veröffentlichst.

Voraussetzungen

  • Ein aktives dogado-Webhosting oder E-Mail-Hosting
  • Zugang zur DNS-Verwaltung (im CloudPit oder oneHome Kundenportal)
  • Eine E-Mail-Adresse oder ein spezialisiertes Monitoring für den Empfang von JSON-Berichten (.json.gz)

Was ist TLS-RPT?

TLS-RPT (SMTP TLS Reporting, RFC 8460) ist ein Protokoll zur Überwachung der transportverschlüsselten Zustellung von E-Mails. Wenn externe Mailserver (wie Gmail oder Microsoft 365) Nachrichten an deinen dogado-Mailserver übertragen, bauen sie eine geschützte TLS-Verbindung auf. Schlägt dieser Verbindungsaufbau fehl — beispielsweise wegen technischer Störungen oder aktiver Angriffe —, erzeugt der absendende Server einen detaillierten Fehlerbericht und schickt ihn an deine konfigurierte Adresse.

Wie dogado in der Hilfe zur DNS-Verwaltung erklärt: Ein TXT-Eintrag speichert Textinformationen, häufig zur Domain-Verifizierung (z. B. Google, Microsoft) oder für Sicherheitsrichtlinien wie SPF, DKIM und DMARC. Über denselben flexiblen TXT-Record-Mechanismus lässt sich auch TLS-RPT reibungslos abbilden.

Insbesondere im Zusammenspiel mit MTA-STS oder DANE ist TLS-RPT ein unverzichtbares Werkzeug, um Zustellabbruche sofort zu erkennen.

Die Ausgangslage bei dogado

Du erstellst den Eintrag direkt in der DNS-Tabelle deiner Domain. Der Record muss auf der technischen Subdomain _smtp._tls platziert werden.

Der empfohlene Aufbau lautet:

v=TLSRPTv1; rua=mailto:tls-reports@example.com

Schritt-für-Schritt-Anleitung

1. Prüfen, ob bereits ein TLS-RPT-Record existiert

Prüfe im Terminal, ob deine Domain bereits eine TLS-Reporting-Policy ausliefert:

dig TXT _smtp._tls.beispiel.de +short

Gibt der Befehl einen String zurück, der mit v=TLSRPTv1; beginnt, existiert bereits ein Eintrag. Wenn die Antwort leer bleibt, kannst du den neuen Record anlegen.

2. DNS-Verwaltung in CloudPit oder oneHome öffnen

Logge dich in dein dogado-Kundenbereich ein und rufe die DNS-Einstellungen deiner Domain auf.

3. TXT-Record für _smtp._tls erstellen

Erstelle über die Schaltfläche im Portal einen neuen Eintrag: Mit dem Button + Record erstellen(7) haben Sie die Möglichkeit, einen neuen DNS-Eintrag hinzuzufügen.

Trage folgende Werte ein:

  • Name / Hostname: _smtp._tls (achte darauf, dass du nur die Subdomain eingibst, da der Rest der Domain vom System ergänzt wird: der Name der Hauptdomain nicht in das Feld Name eingetragen werden sollte. Dieser wird automatisch hinzugefügt.)
  • Typ: TXT
  • Wert / Text:
    v=TLSRPTv1; rua=mailto:tls-reports@example.com

(Ersetze tls-reports@example.com durch deine gewünschte E-Mail-Adresse für den Empfang der Diagnosedaten).

  • TTL: Standardwert (z. B. 600 Sekunden) belassen

Um die Änderung zu aktivieren, musst du den Vorgang explizit bestätigen: klicken Sie bitte abschließend auf Speichern (8), um diese zu bestätigen und wirksam zu machen.

Die Bestandteile des TLS-RPT-Records

BestandteilBedeutung
_smtp._tlsTechnischer Selektor im DNS, unter dem absendende Mailserver nach der TLS-Reporting-Policy suchen
v=TLSRPTv1Protokollversion des Standards (muss zwingend am Anfang des TXT-Strings stehen)
rua=mailto:...Ziel-URI für die täglichen aggregierten Diagnoseberichte (.json.gz)

Verifikation

Prüfe nach dem Speichern mit dem kostenlosen MXAudit-Scanner, ob dein neuer TLS-RPT-Record fehlerfrei auflöst und syntaktisch korrekt aufgebaut ist.

Alternativ kannst du über das Terminal abfragen, ob die dogado-Nameserver den neuen Eintrag ausliefern:

dig TXT _smtp._tls.beispiel.de +short

Die Antwort muss genau "v=TLSRPTv1; rua=mailto:tls-reports@example.com" (bzw. mit deiner konfigurierten Adresse) lauten.

Häufige Fehler

Auf der Hauptdomain (@) statt unter _smtp._tls platziert. Wenn du das Name-Feld leer lässt, wird der Record auf der Root-Domain angelegt (der Name der Hauptdomain nicht in das Feld Name eingetragen werden sollte. Dieser wird automatisch hinzugefügt.). Dort können externe Mailserver deine TLS-RPT-Vorgaben nicht abrufen. Trage immer _smtp._tls in das Name-Feld ein.

Fehlendes mailto:-Schema. Der Parameter rua= erfordert zwingend das URI-Präfix mailto: direkt vor der E-Mail-Adresse. Fehlt dieses Schema, ist der Eintrag ungültig.

Berichte ans persönliche Hauptpostfach leiten. Da die täglichen Berichte als komprimierte GZIP-Anhänge zugestellt werden, empfiehlt es sich, eine separate E-Mail-Adresse oder ein spezialisiertes Monitoring-Tool einzusetzen, um deine reguläre Mailbox zu entlasten.