Stand: Juli 2026

Zusammenfassung: Nach dieser Anleitung veröffentlicht deine bei Hetzner gehostete Zone einen TLS-RPT-Record und empfängt tägliche Berichte über die verschlüsselte Zustellung.

Voraussetzungen

  • Eine DNS-Zone bei Hetzner (Hetzner Console)
  • Ein Ziel für die Berichte (Auswertungsdienst oder Postfach)

Was ist TLS-RPT?

TLS-RPT (SMTP TLS Reporting, RFC 8460) ist ein DNS-TXT-Record unter _smtp._tls.deine-domain. Empfangende Server schicken an die dort genannte Adresse tägliche Sammelberichte über die TLS-Zustellung. Es erzwingt nichts — es zeigt dir, ob deine MTA-STS- oder DANE-Absicherung greift. Als reiner DNS-Dienst ist Hetzner dafür ideal.

Schritt-für-Schritt-Anleitung

1. Berichtsadresse festlegen

Ein TLS-RPT-Auswertungsdienst bereitet die JSON-Berichte auf.

2. TXT-Record in der Hetzner Console anlegen

Öffne deine DNS-Zone und lege einen Record an:

FeldWert
TypeTXT
Name_smtp._tls
Value"v=TLSRPTv1; rua=mailto:tlsrpt@beispiel.de"

Beachte die Hetzner-Eigenheit: Der TXT-Wert muss in Anführungszeichen stehen (bei Hetzner gilt „the value has to be quoted”). Für die Root-Domain nutzt Hetzner @ im Name-Feld; hier steht stattdessen der Subhost _smtp._tls.

3. Zusammen mit MTA-STS oder DANE

Kombiniere TLS-RPT mit MTA-STS oder — bei DNSSEC-signierter Zone — DANE.

4. Warten, bis die Änderung aktiv ist

DNS-Änderungen brauchen je nach TTL einige Stunden.

Ergebnis prüfen

Prüfe deine Konfiguration mit dem kostenlosen MXAudit-Scanner.

dig TXT _smtp._tls.beispiel.de +short

Häufige Fehler

Anführungszeichen vergessen. In der Hetzner Console gehört der TXT-Wert in Anführungszeichen.

rua auf ein normales Postfach. Nutze einen Auswertungsdienst.

TLS-RPT allein. Es berichtet nur; die Durchsetzung liefern MTA-STS oder DANE.