Stand: Juli 2026
Zusammenfassung: Nach dieser Anleitung veröffentlicht deine Domain einen TLS-RPT-Record, sodass empfangende Server dir täglich über Erfolg oder Fehler der TLS-Zustellung an deine Domain berichten.
Voraussetzungen
- Eine Domain, die Microsoft 365 / Exchange Online als Mailsystem nutzt
- Zugriff auf die DNS-Verwaltung deiner Domain (beim Domainhost)
Was ist TLS-RPT?
TLS-RPT (SMTP TLS Reporting, RFC 8460) ist ein DNS-TXT-Record unter _smtp._tls.deine-domain. Er nennt eine Adresse, an die empfangende Mailserver tägliche Sammelberichte über die TLS-Zustellung an deine Domain schicken. TLS-RPT erzwingt selbst nichts — es ist die Sichtbarkeit, die dir zeigt, ob deine MTA-STS-Absicherung in der Praxis hält.
Die Ausgangslage bei Microsoft 365
Wie bei SPF und DKIM wird der Record nicht im Microsoft-365-Admin-Center, sondern beim Domainhost angelegt. Microsoft macht dabei etwas Interessantes vor: Statt einer mailto:-Adresse nutzt die Microsoft-Infrastruktur einen HTTPS-Berichtsendpunkt:
v=TLSRPTv1;rua=https://tlsrpt.azurewebsites.net/report
Denselben Record findest du unter outlook.com. Beide rua-Varianten — mailto: und https: — sind laut Standard zulässig; für die meisten Domains ist mailto: an einen Auswertungsdienst der einfachere Weg.
Schritt-für-Schritt-Anleitung
1. Berichtsadresse festlegen
Wähle ein Ziel für die Berichte — idealerweise einen TLS-RPT-Auswertungsdienst, der die JSON-Reports aufbereitet, statt eines normalen Postfachs.
2. TXT-Record beim Domainhost anlegen
- Hostname:
_smtp._tls - Wert:
v=TLSRPTv1; rua=mailto:tlsrpt@beispiel.de
Wo du TXT-Records anlegst, zeigen unsere Hoster-Anleitungen, etwa IONOS oder Hetzner DNS.
3. Zusammen mit MTA-STS
Kombiniere TLS-RPT mit MTA-STS für Microsoft 365: MTA-STS erzwingt verschlüsselte Zustellung, TLS-RPT meldet dir, ob sie gelingt.
4. Warten, bis die Änderung aktiv ist
DNS-Änderungen brauchen je nach TTL einige Stunden.
Die Bestandteile im Detail
| Bestandteil | Bedeutung |
|---|---|
v=TLSRPTv1 | Versionskennung, steht immer am Anfang |
rua=mailto:... | E-Mail-Ziel für die täglichen Berichte |
rua=https://... | alternativ ein HTTPS-Endpunkt (so macht es Microsoft selbst) |
Ergebnis prüfen
Prüfe deine Konfiguration mit dem kostenlosen MXAudit-Scanner — er zeigt TLS-RPT im Zusammenspiel mit MTA-STS und der Transportverschlüsselung.
Oder im Terminal:
dig TXT _smtp._tls.beispiel.de +short
Häufige Fehler
rua auf ein normales Postfach. Die Berichte sind maschinenlesbar — nutze einen Auswertungsdienst.
TLS-RPT ohne MTA-STS. TLS-RPT berichtet nur. Ohne MTA-STS fehlt die Durchsetzung, über die berichtet werden könnte.
Falscher Hostname. _smtp._tls, nicht _mta-sts.
