Stand: Juli 2026

Zusammenfassung: TLS-RPT (SMTP TLS Reporting) liefert dir automatische Diagnoseberichte zu fehlgeschlagenen Verschlüsselungsversuchen beim E-Mail-Empfang. Du richtest den Dienst im hPanel unter Domains im Bereich der DNS Zone als TXT-Record auf der Subdomain _smtp._tls ein.

Voraussetzungen

  • Eine bei Hostinger gehostete Domain
  • Zugriff auf dein Hostinger-Konto und das hPanel (https://hpanel.hostinger.com)
  • Eine E-Mail-Adresse oder ein Reporting-Tool zum Empfangen der täglichen JSON-Berichte

Was ist TLS-RPT?

TLS-RPT (SMTP TLS Reporting, definiert in RFC 8460) ist ein Überwachungsstandard für die verschlüsselte E-Mail-Übertragung zwischen Servern. Wenn externe Anbieter (wie Gmail oder Microsoft 365) E-Mails bei deinem Mailserver einliefern wollen, bauen sie eine TLS-Verbindung auf. Schlägt dieser Verbindungsaufbau fehl — zum Beispiel durch abgelaufene Zertifikate oder gezielte Downgrade-Angriffe —, sendet der absendende Server dank TLS-RPT einen detaillierten Fehlerbericht an dich.

Das Reporting ist besonders hilfreich in Kombination mit strengen Protokollen wie MTA-STS oder DANE, da es dir die nötige Sichtbarkeit über Verbindungsprobleme gibt.

Die Ausgangslage bei Hostinger

Die Verwaltung der DNS-Einträge erfolgt direkt im hPanel von Hostinger (Go to Domains in hPanel. Select your domain and open DNS Zone.).

Um TLS-RPT zu aktivieren, erstellst du einen TXT-Record unter der reservierten Subdomain _smtp._tls. Der Standardaufbau dieses Records lautet:

v=TLSRPTv1; rua=mailto:tls-reports@example.com

Schritt-für-Schritt-Anleitung

1. Prüfen, ob bereits ein TLS-RPT-Record existiert

Frage zunächst über dein Terminal ab, ob deine Domain bereits eine TLS-Reporting-Policy ausliefert:

dig TXT _smtp._tls.beispiel.de +short

Beginnt die Antwort mit v=TLSRPTv1;, ist bereits ein Record aktiv. Wenn die Rückgabe leer ist, musst du den Eintrag neu anlegen.

2. DNS Zone im hPanel öffnen

Melde dich in deinem Hostinger-Konto an (Go to Domains in hPanel. Select your domain and open DNS Zone.). Wähle deine Domain aus und klicke im Menü auf DNS Zone.

3. TXT-Record für _smtp._tls anlegen

Füge in der DNS Zone einen neuen Eintrag mit folgenden Eigenschaften hinzu:

  • Typ: TXT
  • Name / Host: _smtp._tls
  • Wert / Inhalt:
    v=TLSRPTv1; rua=mailto:tls-reports@example.com

(Ersetze tls-reports@example.com durch deine gewünschte Zieladresse für die Diagnosedaten).

Speichere den neuen Eintrag.

Die Bestandteile des TLS-RPT-Records

BestandteilBedeutung
_smtp._tlsReservierte Subdomain, unter der Mailserver nach der TLS-Reporting-Policy suchen
v=TLSRPTv1Protokollversion (muss zwingend am Anfang des TXT-Records stehen)
rua=mailto:...Zieladresse für die täglichen Diagnoseberichte im komprimierten JSON-Format

Verifikation

Prüfe nach dem Speichern im hPanel sofort mit dem kostenlosen MXAudit-Scanner, ob dein neuer TLS-RPT-Record syntaktisch korrekt ist und sauber auflöst.

Alternativ kannst du über das Terminal kontrollieren, ob die DNS-Server den Eintrag bereitstellen:

dig TXT _smtp._tls.beispiel.de +short

Die Antwort muss genau "v=TLSRPTv1; rua=mailto:tls-reports@example.com" lauten.

Häufige Fehler

  • Record auf der Hauptdomain (@) eintragen: Wenn der TXT-Record nicht auf der Subdomain _smtp._tls liegt, suchen externe Mailserver an der falschen Stelle und senden keine Berichte.
  • Fehlendes mailto:-Präfix: Im Parameter rua= muss zwingend das Protokoll mailto: vor der E-Mail-Adresse stehen. Ohne dieses Präfix ist der Eintrag ungültig.
  • Berichte an das private Postfach senden: Die Berichte kommen täglich als komprimierte JSON/GZIP-Dateien an. Nutze am besten eine separate E-Mail-Adresse oder ein spezialisiertes Analysewerkzeug, um dein Hauptpostfach freizuhalten (Go to Domains in hPanel. Select your domain and open DNS Zone.).