Stand: Juli 2026
Zusammenfassung: TLS-RPT (SMTP TLS Reporting) liefert dir strukturierte Diagnoseberichte über fehlgeschlagene TLS-Verbindungen bei eingehenden E-Mails. Du aktivierst das Reporting, indem du einen TXT-Record auf der Subdomain
_smtp._tlsin der DNS-Verwaltung bei dogado veröffentlichst.
Voraussetzungen
- Ein aktives dogado-Webhosting oder E-Mail-Hosting
- Zugang zur DNS-Verwaltung (im CloudPit oder oneHome Kundenportal)
- Eine E-Mail-Adresse oder ein spezialisiertes Monitoring für den Empfang von JSON-Berichten (
.json.gz)
Was ist TLS-RPT?
TLS-RPT (SMTP TLS Reporting, RFC 8460) ist ein Protokoll zur Überwachung der transportverschlüsselten Zustellung von E-Mails. Wenn externe Mailserver (wie Gmail oder Microsoft 365) Nachrichten an deinen dogado-Mailserver übertragen, bauen sie eine geschützte TLS-Verbindung auf. Schlägt dieser Verbindungsaufbau fehl — beispielsweise wegen technischer Störungen oder aktiver Angriffe —, erzeugt der absendende Server einen detaillierten Fehlerbericht und schickt ihn an deine konfigurierte Adresse.
Wie dogado in der Hilfe zur DNS-Verwaltung erklärt: Ein TXT-Eintrag speichert Textinformationen, häufig zur Domain-Verifizierung (z. B. Google, Microsoft) oder für Sicherheitsrichtlinien wie SPF, DKIM und DMARC. Über denselben flexiblen TXT-Record-Mechanismus lässt sich auch TLS-RPT reibungslos abbilden.
Insbesondere im Zusammenspiel mit MTA-STS oder DANE ist TLS-RPT ein unverzichtbares Werkzeug, um Zustellabbruche sofort zu erkennen.
Die Ausgangslage bei dogado
Du erstellst den Eintrag direkt in der DNS-Tabelle deiner Domain. Der Record muss auf der technischen Subdomain _smtp._tls platziert werden.
Der empfohlene Aufbau lautet:
v=TLSRPTv1; rua=mailto:tls-reports@example.com
Schritt-für-Schritt-Anleitung
1. Prüfen, ob bereits ein TLS-RPT-Record existiert
Prüfe im Terminal, ob deine Domain bereits eine TLS-Reporting-Policy ausliefert:
dig TXT _smtp._tls.beispiel.de +short
Gibt der Befehl einen String zurück, der mit v=TLSRPTv1; beginnt, existiert bereits ein Eintrag. Wenn die Antwort leer bleibt, kannst du den neuen Record anlegen.
2. DNS-Verwaltung in CloudPit oder oneHome öffnen
Logge dich in dein dogado-Kundenbereich ein und rufe die DNS-Einstellungen deiner Domain auf.
3. TXT-Record für _smtp._tls erstellen
Erstelle über die Schaltfläche im Portal einen neuen Eintrag: Mit dem Button + Record erstellen(7) haben Sie die Möglichkeit, einen neuen DNS-Eintrag hinzuzufügen.
Trage folgende Werte ein:
- Name / Hostname:
_smtp._tls(achte darauf, dass du nur die Subdomain eingibst, da der Rest der Domain vom System ergänzt wird:der Name der Hauptdomain nicht in das Feld Name eingetragen werden sollte. Dieser wird automatisch hinzugefügt.) - Typ: TXT
- Wert / Text:
v=TLSRPTv1; rua=mailto:tls-reports@example.com
(Ersetze tls-reports@example.com durch deine gewünschte E-Mail-Adresse für den Empfang der Diagnosedaten).
- TTL: Standardwert (z. B. 600 Sekunden) belassen
Um die Änderung zu aktivieren, musst du den Vorgang explizit bestätigen: klicken Sie bitte abschließend auf Speichern (8), um diese zu bestätigen und wirksam zu machen.
Die Bestandteile des TLS-RPT-Records
| Bestandteil | Bedeutung |
|---|---|
_smtp._tls | Technischer Selektor im DNS, unter dem absendende Mailserver nach der TLS-Reporting-Policy suchen |
v=TLSRPTv1 | Protokollversion des Standards (muss zwingend am Anfang des TXT-Strings stehen) |
rua=mailto:... | Ziel-URI für die täglichen aggregierten Diagnoseberichte (.json.gz) |
Verifikation
Prüfe nach dem Speichern mit dem kostenlosen MXAudit-Scanner, ob dein neuer TLS-RPT-Record fehlerfrei auflöst und syntaktisch korrekt aufgebaut ist.
Alternativ kannst du über das Terminal abfragen, ob die dogado-Nameserver den neuen Eintrag ausliefern:
dig TXT _smtp._tls.beispiel.de +short
Die Antwort muss genau "v=TLSRPTv1; rua=mailto:tls-reports@example.com" (bzw. mit deiner konfigurierten Adresse) lauten.
Häufige Fehler
Auf der Hauptdomain (@) statt unter _smtp._tls platziert. Wenn du das Name-Feld leer lässt, wird der Record auf der Root-Domain angelegt (der Name der Hauptdomain nicht in das Feld Name eingetragen werden sollte. Dieser wird automatisch hinzugefügt.). Dort können externe Mailserver deine TLS-RPT-Vorgaben nicht abrufen. Trage immer _smtp._tls in das Name-Feld ein.
Fehlendes mailto:-Schema. Der Parameter rua= erfordert zwingend das URI-Präfix mailto: direkt vor der E-Mail-Adresse. Fehlt dieses Schema, ist der Eintrag ungültig.
Berichte ans persönliche Hauptpostfach leiten. Da die täglichen Berichte als komprimierte GZIP-Anhänge zugestellt werden, empfiehlt es sich, eine separate E-Mail-Adresse oder ein spezialisiertes Monitoring-Tool einzusetzen, um deine reguläre Mailbox zu entlasten.
Weiterführende Links
- dogado Hilfe — DNS Verwaltung (abgerufen: 17. Juli 2026)
- RFC 8460 — SMTP TLS Reporting (TLS-RPT)
