Stand: Juli 2026
Zusammenfassung: Nach dieser Anleitung veröffentlicht deine Mailcow-Domain einen TLS-RPT-Record. Empfangende Server berichten dir dann täglich, ob die TLS-Zustellung an deinen Server funktioniert hat.
Voraussetzungen
- Ein laufender Mailcow-Server
- Zugriff auf die DNS-Verwaltung deiner Domain
- Ein Ziel für die Berichte (Auswertungsdienst oder Postfach)
Was ist TLS-RPT?
TLS-RPT (SMTP TLS Reporting, RFC 8460) ist ein DNS-TXT-Record unter _smtp._tls.deine-domain. Er nennt eine Adresse, an die empfangende Server tägliche Sammelberichte über die TLS-Zustellung schicken. Beim Selbsthosten ist das besonders wertvoll: Du erfährst früh, wenn ein abgelaufenes Zertifikat oder eine kaputte MTA-STS-Policy Zustellungen an deinen Server verschlüsselt scheitern lässt.
Die Ausgangslage bei Mailcow
Mailcow setzt den Record nicht selbst — deine DNS-Zone liegt bei deinem DNS-Anbieter. Du legst dort einen TXT-Record an. Dass das in der Praxis Standard ist, zeigen große deutsche Self-Hoster: posteo.de publiziert
v=TLSRPTv1; rua=mailto:tlsrpt@posteo.de
und mailbox.org (Heinlein) nutzt
v=TLSRPTv1;rua=mailto:abuse@heinlein-support.de
Genau so einen Record baust du für deine eigene Domain.
Schritt-für-Schritt-Anleitung
1. Berichtsziel festlegen
Ein TLS-RPT-Auswertungsdienst bereitet die JSON-Berichte lesbar auf. Ein normales Postfach tut es zum Start auch, wird aber schnell unübersichtlich.
2. TXT-Record in der DNS-Zone anlegen
- Hostname:
_smtp._tls - Wert:
v=TLSRPTv1; rua=mailto:tlsrpt@beispiel.de
Wo du TXT-Records anlegst, hängt vom DNS-Anbieter ab — siehe z. B. Hetzner DNS oder Netcup.
3. Zusammen mit MTA-STS und DANE
TLS-RPT ist das Auge, MTA-STS und DANE sind die Fäuste. Beim Selbsthosten kannst du alle drei sauber aufsetzen — TLS-RPT meldet dir dann, ob die Durchsetzung greift.
4. Warten, bis die Änderung aktiv ist
DNS-Änderungen brauchen je nach TTL einige Stunden.
Die Bestandteile im Detail
| Bestandteil | Bedeutung |
|---|---|
v=TLSRPTv1 | Versionskennung, steht immer am Anfang |
rua=mailto:... | E-Mail-Ziel für die täglichen Berichte |
rua=https://... | alternativ ein HTTPS-Endpunkt |
Ergebnis prüfen
Prüfe deine Konfiguration mit dem kostenlosen MXAudit-Scanner — er zeigt TLS-RPT zusammen mit MTA-STS, DANE und der Transportverschlüsselung deines MX.
Oder im Terminal:
dig TXT _smtp._tls.beispiel.de +short
Häufige Fehler
rua auf ein normales Postfach. Nutze einen Auswertungsdienst für die maschinenlesbaren Berichte.
TLS-RPT allein. Es berichtet nur — die Durchsetzung liefern MTA-STS und DANE. Ohne sie hast du Berichte, aber keinen Schutz.
Falscher Hostname. _smtp._tls, nicht _mta-sts.
