Stand: Juli 2026

Zusammenfassung: Nach dieser Anleitung veröffentlicht deine Domain einen TLS-RPT-Record, sodass empfangende Server dir täglich über Erfolg oder Fehler der TLS-Zustellung an deine Domain berichten.

Voraussetzungen

  • Eine Domain, die Microsoft 365 / Exchange Online als Mailsystem nutzt
  • Zugriff auf die DNS-Verwaltung deiner Domain (beim Domainhost)

Was ist TLS-RPT?

TLS-RPT (SMTP TLS Reporting, RFC 8460) ist ein DNS-TXT-Record unter _smtp._tls.deine-domain. Er nennt eine Adresse, an die empfangende Mailserver tägliche Sammelberichte über die TLS-Zustellung an deine Domain schicken. TLS-RPT erzwingt selbst nichts — es ist die Sichtbarkeit, die dir zeigt, ob deine MTA-STS-Absicherung in der Praxis hält.

Die Ausgangslage bei Microsoft 365

Wie bei SPF und DKIM wird der Record nicht im Microsoft-365-Admin-Center, sondern beim Domainhost angelegt. Microsoft macht dabei etwas Interessantes vor: Statt einer mailto:-Adresse nutzt die Microsoft-Infrastruktur einen HTTPS-Berichtsendpunkt:

v=TLSRPTv1;rua=https://tlsrpt.azurewebsites.net/report

Denselben Record findest du unter outlook.com. Beide rua-Varianten — mailto: und https: — sind laut Standard zulässig; für die meisten Domains ist mailto: an einen Auswertungsdienst der einfachere Weg.

Schritt-für-Schritt-Anleitung

1. Berichtsadresse festlegen

Wähle ein Ziel für die Berichte — idealerweise einen TLS-RPT-Auswertungsdienst, der die JSON-Reports aufbereitet, statt eines normalen Postfachs.

2. TXT-Record beim Domainhost anlegen

  • Hostname: _smtp._tls
  • Wert: v=TLSRPTv1; rua=mailto:tlsrpt@beispiel.de

Wo du TXT-Records anlegst, zeigen unsere Hoster-Anleitungen, etwa IONOS oder Hetzner DNS.

3. Zusammen mit MTA-STS

Kombiniere TLS-RPT mit MTA-STS für Microsoft 365: MTA-STS erzwingt verschlüsselte Zustellung, TLS-RPT meldet dir, ob sie gelingt.

4. Warten, bis die Änderung aktiv ist

DNS-Änderungen brauchen je nach TTL einige Stunden.

Die Bestandteile im Detail

BestandteilBedeutung
v=TLSRPTv1Versionskennung, steht immer am Anfang
rua=mailto:...E-Mail-Ziel für die täglichen Berichte
rua=https://...alternativ ein HTTPS-Endpunkt (so macht es Microsoft selbst)

Ergebnis prüfen

Prüfe deine Konfiguration mit dem kostenlosen MXAudit-Scanner — er zeigt TLS-RPT im Zusammenspiel mit MTA-STS und der Transportverschlüsselung.

Oder im Terminal:

dig TXT _smtp._tls.beispiel.de +short

Häufige Fehler

rua auf ein normales Postfach. Die Berichte sind maschinenlesbar — nutze einen Auswertungsdienst.

TLS-RPT ohne MTA-STS. TLS-RPT berichtet nur. Ohne MTA-STS fehlt die Durchsetzung, über die berichtet werden könnte.

Falscher Hostname. _smtp._tls, nicht _mta-sts.