Stand: Juli 2026
Zusammenfassung: Nach dieser Anleitung veröffentlicht deine bei Gandi gehostete Zone einen TLS-RPT-Record und erhält tägliche Berichte über die verschlüsselte Zustellung.
Voraussetzungen
- Eine Domain bei Gandi mit Gandi LiveDNS
- Ein Ziel für die Berichte (Analysedienst oder Postfach)
Was ist TLS-RPT?
TLS-RPT (SMTP TLS Reporting, RFC 8460) ist ein DNS-TXT-Record unter _smtp._tls.deine-domain. Empfangende Server schicken tägliche Sammelberichte über die TLS-Zustellung an die dort genannte Adresse. Es erzwingt nichts — es zeigt dir, ob dein MTA-STS- oder DANE-Schutz funktioniert. Da Gandi LiveDNS für dich betreibt, ist das Veröffentlichen nur ein weiterer TXT-Eintrag.
Hinweis: Gandis eigene Doku behandelt SPF, DKIM und DMARC, aber nicht TLS-RPT. Der Record selbst ist ein Standard aus RFC 8460 und anbieterunabhängig — du veröffentlichst ihn in Gandis LiveDNS wie jeden anderen TXT-Record.
Schritt-für-Schritt-Anleitung
1. Berichtsadresse festlegen
Ein TLS-RPT-Analysedienst verarbeitet die JSON-Berichte. Richte rua darauf aus (oder für den schnellen Start auf ein Postfach, das du wirklich liest).
2. Den TXT-Record in LiveDNS anlegen
Öffne den Reiter DNS Records deiner Domain und klicke auf den grünen Add-Button über der Tabelle, um einen neuen Record anzulegen. TLS-RPT liegt auf einem Subhost — wie Gandi es für TXT-Records zeigt, trägst du den Namen eines Subhosts ins Name-Feld ein, hier _smtp._tls:
| Feld | Wert |
|---|---|
| Typ | TXT |
| Name | _smtp._tls |
| Wert | v=TLSRPTv1; rua=mailto:tlsrpt@beispiel.de |
Gandis LiveDNS erzwingt eine Mindest-TTL von 300 Sekunden — der Standard passt hier.
3. Zusammen mit MTA-STS oder DANE
TLS-RPT berichtet nur; die Durchsetzung kommt von MTA-STS oder — bei einer DNSSEC-signierten Zone — DANE. Richte TLS-RPT zusammen mit einem davon ein, damit die Berichte dir wirklich etwas sagen.
4. Warten, bis die Änderung aktiv ist
DNS-Änderungen brauchen je nach TTL ein paar Stunden; laut Gandi bis zu 72 Stunden für die vollständige Verbreitung.
Ergebnis prüfen
Prüfe deine Konfiguration mit dem kostenlosen MXAudit-Scanner.
dig TXT _smtp._tls.beispiel.de +short
Häufige Fehler
Falscher Name. Der Record gehört an _smtp._tls, nicht an die nackte Domain.
rua auf ein normales Postfach. Die Berichte sind JSON; nutze einen Analysedienst, um sie auszuwerten.
TLS-RPT allein. Es berichtet nur; die eigentliche Durchsetzung liefert MTA-STS oder DANE.
Weiterführende Links
- Gandi Docs: What Are TXT Records? (abgerufen: 10. Juli 2026)
- Gandi Docs: How do I Update My DNS Records? (abgerufen: 10. Juli 2026)
- RFC 8460 — SMTP TLS Reporting
