Stand: Juli 2026
Zusammenfassung: TLS-RPT (SMTP TLS Reporting) liefert dir automatisierte Diagnoseberichte über fehlgeschlagene TLS-Verschlüsselungen bei eingehenden E-Mails. Du aktivierst das Reporting, indem du einen TXT-Record auf der Subdomain
_smtp._tlsim one.com Control Panel veröffentlichst.
Voraussetzungen
- Ein Webhosting- oder E-Mail-Tarif bei one.com mit aktiver Domain
- Zugang zum one.com Control Panel
- Eine E-Mail-Adresse oder ein spezialisiertes Dashboard für den Empfang von täglichen JSON-Berichten
Was ist TLS-RPT?
TLS-RPT (SMTP TLS Reporting, definiert nach RFC 8460) ist ein Überwachungsstandard für die transportverschlüsselte E-Mail-Einlieferung. Wenn externe Mailserver (wie Microsoft 365, Gmail oder GMX) E-Mails an deinen one.com-Mailserver senden, versuchen sie eine sichere TLS-Verbindung aufzubauen. Schlägt diese Verschlüsselung fehl — etwa wegen abgelaufener Zertifikate oder aktiver Netzangriffe —, generiert der absendende Server mittels TLS-RPT einen detaillierten Fehlerbericht und sendet ihn an deine konfigurierte Zieladresse.
Wie one.com in der Hilfe zur DNS-Verwaltung festhält: At one.com you can create the following DNS records. Zu diesen unterstützten Record-Typen gehören insbesondere TXT-Records, die auch für andere Richtlinien eingesetzt werden (Are you looking to create an SPF record? Then you need to use a TXT record for this.).
Insbesondere beim Einsatz von strengen Protokollen wie MTA-STS oder DANE ist TLS-RPT unverzichtbar, um Verbindungsabbrüche und Zustellprobleme frühzeitig zu erkennen.
Die Ausgangslage bei one.com
Du legst den erforderlichen Eintrag in den DNS-Einstellungen deiner Domain im Control Panel an (At one.com you can create the following DNS records).
Der Eintrag wird als TXT-Record unter der technischen Subdomain _smtp._tls hinterlegt. Der kanonische Aufbau lautet:
v=TLSRPTv1; rua=mailto:tls-reports@example.com
Schritt-für-Schritt-Anleitung
1. Prüfen, ob bereits ein TLS-RPT-Record vorhanden ist
Prüfe im Terminal, ob deine Domain bereits eine TLS-Reporting-Policy ausliefert:
dig TXT _smtp._tls.beispiel.de +short
Beginnt die Rückgabe mit v=TLSRPTv1;, existiert bereits ein Eintrag. Wenn die Antwort leer ist, lege den Record neu an.
2. DNS-Einstellungen im Control Panel öffnen
Logge dich ins one.com Control Panel ein und öffne die Kachel für erweiterte Einstellungen, um zu den DNS-Einstellungen zu gelangen.
3. TXT-Record für _smtp._tls erstellen
Erstelle in den DNS-Einstellungen einen neuen Eintrag mit folgenden Eigenschaften:
- Typ: TXT (
Under create new record, click TXT.bzw. TXT auswählen) - Hostname:
_smtp._tls(im Gegensatz zu Root-Einträgen, wo man das Feld leer lassen kann:The @-sign is often used in the hostname field to indicate that the record should be created on the domain root. At one.com you can just leave the field empty.) - Wert / Text:
v=TLSRPTv1; rua=mailto:tls-reports@example.com
(Ersetze tls-reports@example.com durch deine gewünschte E-Mail-Adresse für den Empfang der Diagnosedaten).
- TTL: Standardwert belassen (
Default = 3600 = 1 hour)
Speichere die neuen DNS-Einstellungen.
Die Bestandteile des TLS-RPT-Records
| Bestandteil | Bedeutung |
|---|---|
_smtp._tls | Reservierte Subdomain, unter der externe Mailserver nach der TLS-Reporting-Policy suchen |
v=TLSRPTv1 | Kennzeichnet die Protokollversion (muss zwingend am Anfang des TXT-Strings stehen) |
rua=mailto:... | Zieladresse für die täglichen Diagnoseberichte als komprimiertes JSON-File (.json.gz) |
Verifikation
Prüfe direkt nach dem Speichern im one.com Control Panel mit dem kostenlosen MXAudit-Scanner, ob dein neuer TLS-RPT-Record fehlerfrei auflöst und syntaktisch korrekt ist.
Zusätzlich kannst du über das Terminal abfragen, ob die DNS-Server den Eintrag bereitstellen:
dig TXT _smtp._tls.beispiel.de +short
Die Antwort muss genau "v=TLSRPTv1; rua=mailto:tls-reports@example.com" (bzw. mit deiner konfigurierten Adresse) lauten.
Häufige Fehler
- Eintrag auf der Hauptdomain (
@) platzieren: Wird der TXT-Record nicht unter der Subdomain_smtp._tlsveröffentlicht, sondern das Hostname-Feld leer gelassen (The @-sign is often used in the hostname field to indicate that the record should be created on the domain root. At one.com you can just leave the field empty.), können absendende Mailserver die Policy nicht finden. - Fehlendes
mailto:bei der Zieladresse: Der Parameterrua=erfordert vor der E-Mail-Adresse zwingend das URI-Schemamailto:. Fehlt das Präfix, ist der Record ungültig. - Berichte ans Hauptpostfach leiten: Da die Diagnoseberichte täglich als komprimierte GZIP-Anhänge ankommen, empfiehlt es sich, ein separates Postfach oder ein automatisiertes Auswertungstool zu verwenden, um dein normales Postfach nicht zu überfluten.
Weiterführende Links
- one.com Hilfe — Manage your DNS settings (abgerufen: 17. Juli 2026)
- RFC 8460 — SMTP TLS Reporting (TLS-RPT)
