Stand: Juli 2026
Zusammenfassung: Nach dieser Anleitung veröffentlicht deine bei Hetzner gehostete Zone einen TLS-RPT-Record und empfängt tägliche Berichte über die verschlüsselte Zustellung.
Voraussetzungen
- Eine DNS-Zone bei Hetzner (Hetzner Console)
- Ein Ziel für die Berichte (Auswertungsdienst oder Postfach)
Was ist TLS-RPT?
TLS-RPT (SMTP TLS Reporting, RFC 8460) ist ein DNS-TXT-Record unter _smtp._tls.deine-domain. Empfangende Server schicken an die dort genannte Adresse tägliche Sammelberichte über die TLS-Zustellung. Es erzwingt nichts — es zeigt dir, ob deine MTA-STS- oder DANE-Absicherung greift. Als reiner DNS-Dienst ist Hetzner dafür ideal.
Schritt-für-Schritt-Anleitung
1. Berichtsadresse festlegen
Ein TLS-RPT-Auswertungsdienst bereitet die JSON-Berichte auf.
2. TXT-Record in der Hetzner Console anlegen
Öffne deine DNS-Zone und lege einen Record an:
| Feld | Wert |
|---|---|
| Type | TXT |
| Name | _smtp._tls |
| Value | "v=TLSRPTv1; rua=mailto:tlsrpt@beispiel.de" |
Beachte die Hetzner-Eigenheit: Der TXT-Wert muss in Anführungszeichen stehen (bei Hetzner gilt „the value has to be quoted”). Für die Root-Domain nutzt Hetzner @ im Name-Feld; hier steht stattdessen der Subhost _smtp._tls.
3. Zusammen mit MTA-STS oder DANE
Kombiniere TLS-RPT mit MTA-STS oder — bei DNSSEC-signierter Zone — DANE.
4. Warten, bis die Änderung aktiv ist
DNS-Änderungen brauchen je nach TTL einige Stunden.
Ergebnis prüfen
Prüfe deine Konfiguration mit dem kostenlosen MXAudit-Scanner.
dig TXT _smtp._tls.beispiel.de +short
Häufige Fehler
Anführungszeichen vergessen. In der Hetzner Console gehört der TXT-Wert in Anführungszeichen.
rua auf ein normales Postfach. Nutze einen Auswertungsdienst.
TLS-RPT allein. Es berichtet nur; die Durchsetzung liefern MTA-STS oder DANE.
Weiterführende Links
- Hetzner Docs: TXT records (abgerufen: 10. Juli 2026)
- RFC 8460 — SMTP TLS Reporting
