Stand: Juli 2026
Zusammenfassung: Nach dieser Anleitung veröffentlicht deine Domain einen TLS-RPT-Record. Empfangende Server schicken dir dann täglich Berichte darüber, ob die TLS-verschlüsselte Zustellung zu deiner Domain funktioniert hat.
Voraussetzungen
- Eine Domain, die Google Workspace als Mailsystem nutzt
- Zugriff auf die DNS-Verwaltung deiner Domain (beim Domainhost)
Was ist TLS-RPT?
TLS-RPT (SMTP TLS Reporting, RFC 8460) ist ein DNS-TXT-Record unter dem Hostnamen _smtp._tls.deine-domain. Er nennt eine Adresse, an die empfangende Mailserver tägliche Sammelberichte schicken: Hat die TLS-Aushandlung beim Zustellen an deine Domain geklappt, oder gab es Zertifikats- bzw. Verschlüsselungsfehler? TLS-RPT erzwingt selbst nichts — es ist das Auge, das dir zeigt, ob deine MTA-STS- oder DANE-Absicherung in der Praxis greift.
Die Ausgangslage bei Google Workspace
Wie bei SPF und DKIM gilt: Der Record wird nicht in der Admin-Konsole, sondern beim Domainhost angelegt. Google selbst macht vor, wie ein solcher Record aussieht — die Google-Infrastruktur publiziert:
v=TLSRPTv1;rua=mailto:sts-reports@google.com
Denselben Record findest du auch unter gmail.com. Für deine eigene Domain trägst du analog deine eigene Berichtsadresse ein.
Schritt-für-Schritt-Anleitung
1. Eine Berichtsadresse festlegen
Lege fest, wohin die TLS-Berichte gehen sollen — ein Postfach oder, besser, ein TLS-RPT-Auswertungsdienst, der die JSON-Berichte lesbar aufbereitet. Ein reines Postfach füllt sich sonst mit maschinenlesbaren Reports.
2. Den TXT-Record beim Domainhost anlegen
Erstelle bei deinem DNS-Anbieter einen TXT-Record:
- Hostname:
_smtp._tls - Wert:
v=TLSRPTv1; rua=mailto:tlsrpt@beispiel.de
Wo genau du TXT-Records anlegst, zeigen unsere Hoster-Anleitungen — z. B. IONOS, Strato oder Hetzner DNS.
3. Am besten zusammen mit MTA-STS
TLS-RPT entfaltet seinen Wert erst neben einer aktiven TLS-Durchsetzung. Richte parallel MTA-STS für Google Workspace ein — dann sagt MTA-STS „verschlüssele verbindlich” und TLS-RPT meldet dir, ob das klappt.
4. Warten, bis die Änderung aktiv ist
DNS-Änderungen brauchen je nach TTL einige Stunden, bis sie weltweit sichtbar sind.
Die Bestandteile im Detail
| Bestandteil | Bedeutung |
|---|---|
v=TLSRPTv1 | Versionskennung, steht immer am Anfang |
rua=mailto:... | Zieladresse für die täglichen TLS-Berichte |
rua=https://... | alternativ ein HTTPS-Endpunkt, der die Berichte annimmt |
Ergebnis prüfen
Prüfe deine Konfiguration mit dem kostenlosen MXAudit-Scanner — er zeigt dir TLS-RPT im Zusammenspiel mit MTA-STS und der Transportverschlüsselung deiner MX-Server.
Oder direkt im Terminal:
dig TXT _smtp._tls.beispiel.de +short
Häufige Fehler
rua zeigt auf ein normales Postfach. Die Berichte sind maschinenlesbares JSON. Nutze einen Auswertungsdienst, sonst siehst du vor lauter Rohdaten nichts.
TLS-RPT ohne MTA-STS. TLS-RPT berichtet nur — es erzwingt keine Verschlüsselung. Ohne MTA-STS oder DANE fehlt die Durchsetzung, die die Berichte überhaupt erst aussagekräftig macht.
Falscher Hostname. Der Record gehört an _smtp._tls, nicht an _mta-sts. Die beiden werden leicht verwechselt.
