Stand: Juli 2026
Zusammenfassung: Nach dieser Anleitung publiziert deine Domain bei OVHcloud einen TLS-RPT-Record und erhält tägliche Berichte über die verschlüsselte Zustellung.
Voraussetzungen
- Eine Domain, deren DNS-Zone bei OVHcloud liegt („OVHcloud DNS servers in use for the domain name concerned“)
- Ein Ziel für die Reports (ein Analysedienst oder ein dediziertes Postfach)
- Zugang zum OVHcloud Control Panel
Was ist TLS-RPT?
TLS-RPT (SMTP TLS Reporting, RFC 8460) ist ein DNS-TXT-Record unter _smtp._tls.deine-domain. Empfangende Mailserver schicken an die dort genannte Adresse tägliche Sammelberichte über die TLS-Zustellung. TLS-RPT erzwingt nichts — es ist eine Diagnose, die dir zeigt, ob die TLS-Zustellung an deine Domain funktioniert und ob eine MTA-STS-Policy beachtet wird. Es ist die Ergänzung zu MTA-STS bei Shared-Hosting.
Die Ausgangslage bei OVHcloud
OVHcloud hat keinen eigenen TLS-RPT-Assistenten — braucht aber auch keinen. TLS-RPT ist ein simpler TXT-Record, den du über denselben DNS-Zonen-Assistenten anlegst wie jeden anderen Record. OVHclouds Bearbeitungs-Guide beschreibt es: auf Add an entry klicken und den Schritten folgen.
Schritt-für-Schritt-Anleitung
1. Report-Adresse festlegen
Die rua-Adresse empfängt JSON-Reports. Richte sie auf einen TLS-RPT-Analysedienst oder auf ein dediziertes Postfach, das du auch wirklich liest.
2. TXT-Record anlegen
Öffne im OVHcloud Control Panel für deine Domain Web Cloud → DNS zone und klicke auf Add an entry. Wähle den Record-Typ TXT und trage ein:
| Feld | Wert |
|---|---|
| Typ | TXT |
| Sub-domain | _smtp._tls |
| Wert | v=TLSRPTv1; rua=mailto:tlsrpt@beispiel.de |
3. Zusammen mit MTA-STS
TLS-RPT berichtet nur; die eigentliche Durchsetzung der verschlüsselten Zustellung liefert MTA-STS. Kombiniere beides — siehe MTA-STS bei Shared-Hosting.
4. Warten, bis die Änderung aktiv ist
OVHcloud gibt „maximum of 24 hours for the changes to propagate“ an. Gib der Änderung also Zeit, bevor du das Ergebnis beurteilst.
Ergebnis prüfen
Prüfe deine Konfiguration mit dem kostenlosen MXAudit-Scanner.
dig TXT _smtp._tls.beispiel.de +short
Die Ausgabe muss genau einen Record mit v=TLSRPTv1 enthalten.
Häufige Fehler
Falsche Sub-domain. Der Record gehört unter _smtp._tls, nicht auf die nackte Domain. Beachte auch OVHclouds Eigenheit bei der Ziel-Punktierung: Bei URL-artigen Zielen gilt „your domain name will be automatically added to the end of your target“, wenn du den abschließenden Punkt vergisst — für einen TXT-Wert ist das kein Problem, trage nur nicht den vollen Hostnamen ins Sub-domain-Feld ein.
rua auf ein normales Postfach. Die Reports sind JSON und kommen täglich. Nutze einen Analysedienst oder ein Postfach, das dafür reserviert ist.
TLS-RPT ohne MTA-STS. TLS-RPT berichtet nur; es erzwingt nichts. Die Durchsetzung liefert MTA-STS.
Weiterführende Links
- OVHcloud: Editing an OVHcloud DNS zone (englisch; abgerufen: 10. Juli 2026)
- RFC 8460 — SMTP TLS Reporting
