Stand: Juli 2026

Zusammenfassung: Nach dieser Anleitung veröffentlicht deine bei Gandi gehostete Zone einen TLS-RPT-Record und erhält tägliche Berichte über die verschlüsselte Zustellung.

Voraussetzungen

  • Eine Domain bei Gandi mit Gandi LiveDNS
  • Ein Ziel für die Berichte (Analysedienst oder Postfach)

Was ist TLS-RPT?

TLS-RPT (SMTP TLS Reporting, RFC 8460) ist ein DNS-TXT-Record unter _smtp._tls.deine-domain. Empfangende Server schicken tägliche Sammelberichte über die TLS-Zustellung an die dort genannte Adresse. Es erzwingt nichts — es zeigt dir, ob dein MTA-STS- oder DANE-Schutz funktioniert. Da Gandi LiveDNS für dich betreibt, ist das Veröffentlichen nur ein weiterer TXT-Eintrag.

Hinweis: Gandis eigene Doku behandelt SPF, DKIM und DMARC, aber nicht TLS-RPT. Der Record selbst ist ein Standard aus RFC 8460 und anbieterunabhängig — du veröffentlichst ihn in Gandis LiveDNS wie jeden anderen TXT-Record.

Schritt-für-Schritt-Anleitung

1. Berichtsadresse festlegen

Ein TLS-RPT-Analysedienst verarbeitet die JSON-Berichte. Richte rua darauf aus (oder für den schnellen Start auf ein Postfach, das du wirklich liest).

2. Den TXT-Record in LiveDNS anlegen

Öffne den Reiter DNS Records deiner Domain und klicke auf den grünen Add-Button über der Tabelle, um einen neuen Record anzulegen. TLS-RPT liegt auf einem Subhost — wie Gandi es für TXT-Records zeigt, trägst du den Namen eines Subhosts ins Name-Feld ein, hier _smtp._tls:

FeldWert
TypTXT
Name_smtp._tls
Wertv=TLSRPTv1; rua=mailto:tlsrpt@beispiel.de

Gandis LiveDNS erzwingt eine Mindest-TTL von 300 Sekunden — der Standard passt hier.

3. Zusammen mit MTA-STS oder DANE

TLS-RPT berichtet nur; die Durchsetzung kommt von MTA-STS oder — bei einer DNSSEC-signierten Zone — DANE. Richte TLS-RPT zusammen mit einem davon ein, damit die Berichte dir wirklich etwas sagen.

4. Warten, bis die Änderung aktiv ist

DNS-Änderungen brauchen je nach TTL ein paar Stunden; laut Gandi bis zu 72 Stunden für die vollständige Verbreitung.

Ergebnis prüfen

Prüfe deine Konfiguration mit dem kostenlosen MXAudit-Scanner.

dig TXT _smtp._tls.beispiel.de +short

Häufige Fehler

Falscher Name. Der Record gehört an _smtp._tls, nicht an die nackte Domain.

rua auf ein normales Postfach. Die Berichte sind JSON; nutze einen Analysedienst, um sie auszuwerten.

TLS-RPT allein. Es berichtet nur; die eigentliche Durchsetzung liefert MTA-STS oder DANE.