Stand: Juli 2026

Zusammenfassung: Nach dieser Anleitung veröffentlicht deine Mailcow-Domain einen TLS-RPT-Record. Empfangende Server berichten dir dann täglich, ob die TLS-Zustellung an deinen Server funktioniert hat.

Voraussetzungen

  • Ein laufender Mailcow-Server
  • Zugriff auf die DNS-Verwaltung deiner Domain
  • Ein Ziel für die Berichte (Auswertungsdienst oder Postfach)

Was ist TLS-RPT?

TLS-RPT (SMTP TLS Reporting, RFC 8460) ist ein DNS-TXT-Record unter _smtp._tls.deine-domain. Er nennt eine Adresse, an die empfangende Server tägliche Sammelberichte über die TLS-Zustellung schicken. Beim Selbsthosten ist das besonders wertvoll: Du erfährst früh, wenn ein abgelaufenes Zertifikat oder eine kaputte MTA-STS-Policy Zustellungen an deinen Server verschlüsselt scheitern lässt.

Die Ausgangslage bei Mailcow

Mailcow setzt den Record nicht selbst — deine DNS-Zone liegt bei deinem DNS-Anbieter. Du legst dort einen TXT-Record an. Dass das in der Praxis Standard ist, zeigen große deutsche Self-Hoster: posteo.de publiziert

v=TLSRPTv1; rua=mailto:tlsrpt@posteo.de

und mailbox.org (Heinlein) nutzt

v=TLSRPTv1;rua=mailto:abuse@heinlein-support.de

Genau so einen Record baust du für deine eigene Domain.

Schritt-für-Schritt-Anleitung

1. Berichtsziel festlegen

Ein TLS-RPT-Auswertungsdienst bereitet die JSON-Berichte lesbar auf. Ein normales Postfach tut es zum Start auch, wird aber schnell unübersichtlich.

2. TXT-Record in der DNS-Zone anlegen

  • Hostname: _smtp._tls
  • Wert: v=TLSRPTv1; rua=mailto:tlsrpt@beispiel.de

Wo du TXT-Records anlegst, hängt vom DNS-Anbieter ab — siehe z. B. Hetzner DNS oder Netcup.

3. Zusammen mit MTA-STS und DANE

TLS-RPT ist das Auge, MTA-STS und DANE sind die Fäuste. Beim Selbsthosten kannst du alle drei sauber aufsetzen — TLS-RPT meldet dir dann, ob die Durchsetzung greift.

4. Warten, bis die Änderung aktiv ist

DNS-Änderungen brauchen je nach TTL einige Stunden.

Die Bestandteile im Detail

BestandteilBedeutung
v=TLSRPTv1Versionskennung, steht immer am Anfang
rua=mailto:...E-Mail-Ziel für die täglichen Berichte
rua=https://...alternativ ein HTTPS-Endpunkt

Ergebnis prüfen

Prüfe deine Konfiguration mit dem kostenlosen MXAudit-Scanner — er zeigt TLS-RPT zusammen mit MTA-STS, DANE und der Transportverschlüsselung deines MX.

Oder im Terminal:

dig TXT _smtp._tls.beispiel.de +short

Häufige Fehler

rua auf ein normales Postfach. Nutze einen Auswertungsdienst für die maschinenlesbaren Berichte.

TLS-RPT allein. Es berichtet nur — die Durchsetzung liefern MTA-STS und DANE. Ohne sie hast du Berichte, aber keinen Schutz.

Falscher Hostname. _smtp._tls, nicht _mta-sts.