Stand: Juli 2026

Zusammenfassung: Nach dieser Anleitung veröffentlicht deine Domain einen TLS-RPT-Record. Empfangende Server schicken dir dann täglich Berichte darüber, ob die TLS-verschlüsselte Zustellung zu deiner Domain funktioniert hat.

Voraussetzungen

  • Eine Domain, die Google Workspace als Mailsystem nutzt
  • Zugriff auf die DNS-Verwaltung deiner Domain (beim Domainhost)

Was ist TLS-RPT?

TLS-RPT (SMTP TLS Reporting, RFC 8460) ist ein DNS-TXT-Record unter dem Hostnamen _smtp._tls.deine-domain. Er nennt eine Adresse, an die empfangende Mailserver tägliche Sammelberichte schicken: Hat die TLS-Aushandlung beim Zustellen an deine Domain geklappt, oder gab es Zertifikats- bzw. Verschlüsselungsfehler? TLS-RPT erzwingt selbst nichts — es ist das Auge, das dir zeigt, ob deine MTA-STS- oder DANE-Absicherung in der Praxis greift.

Die Ausgangslage bei Google Workspace

Wie bei SPF und DKIM gilt: Der Record wird nicht in der Admin-Konsole, sondern beim Domainhost angelegt. Google selbst macht vor, wie ein solcher Record aussieht — die Google-Infrastruktur publiziert:

v=TLSRPTv1;rua=mailto:sts-reports@google.com

Denselben Record findest du auch unter gmail.com. Für deine eigene Domain trägst du analog deine eigene Berichtsadresse ein.

Schritt-für-Schritt-Anleitung

1. Eine Berichtsadresse festlegen

Lege fest, wohin die TLS-Berichte gehen sollen — ein Postfach oder, besser, ein TLS-RPT-Auswertungsdienst, der die JSON-Berichte lesbar aufbereitet. Ein reines Postfach füllt sich sonst mit maschinenlesbaren Reports.

2. Den TXT-Record beim Domainhost anlegen

Erstelle bei deinem DNS-Anbieter einen TXT-Record:

  • Hostname: _smtp._tls
  • Wert: v=TLSRPTv1; rua=mailto:tlsrpt@beispiel.de

Wo genau du TXT-Records anlegst, zeigen unsere Hoster-Anleitungen — z. B. IONOS, Strato oder Hetzner DNS.

3. Am besten zusammen mit MTA-STS

TLS-RPT entfaltet seinen Wert erst neben einer aktiven TLS-Durchsetzung. Richte parallel MTA-STS für Google Workspace ein — dann sagt MTA-STS „verschlüssele verbindlich” und TLS-RPT meldet dir, ob das klappt.

4. Warten, bis die Änderung aktiv ist

DNS-Änderungen brauchen je nach TTL einige Stunden, bis sie weltweit sichtbar sind.

Die Bestandteile im Detail

BestandteilBedeutung
v=TLSRPTv1Versionskennung, steht immer am Anfang
rua=mailto:...Zieladresse für die täglichen TLS-Berichte
rua=https://...alternativ ein HTTPS-Endpunkt, der die Berichte annimmt

Ergebnis prüfen

Prüfe deine Konfiguration mit dem kostenlosen MXAudit-Scanner — er zeigt dir TLS-RPT im Zusammenspiel mit MTA-STS und der Transportverschlüsselung deiner MX-Server.

Oder direkt im Terminal:

dig TXT _smtp._tls.beispiel.de +short

Häufige Fehler

rua zeigt auf ein normales Postfach. Die Berichte sind maschinenlesbares JSON. Nutze einen Auswertungsdienst, sonst siehst du vor lauter Rohdaten nichts.

TLS-RPT ohne MTA-STS. TLS-RPT berichtet nur — es erzwingt keine Verschlüsselung. Ohne MTA-STS oder DANE fehlt die Durchsetzung, die die Berichte überhaupt erst aussagekräftig macht.

Falscher Hostname. Der Record gehört an _smtp._tls, nicht an _mta-sts. Die beiden werden leicht verwechselt.