Stand: Juli 2026

Zusammenfassung: Nach dieser Anleitung publiziert deine Domain bei OVHcloud einen TLS-RPT-Record und erhält tägliche Berichte über die verschlüsselte Zustellung.

Voraussetzungen

  • Eine Domain, deren DNS-Zone bei OVHcloud liegt („OVHcloud DNS servers in use for the domain name concerned“)
  • Ein Ziel für die Reports (ein Analysedienst oder ein dediziertes Postfach)
  • Zugang zum OVHcloud Control Panel

Was ist TLS-RPT?

TLS-RPT (SMTP TLS Reporting, RFC 8460) ist ein DNS-TXT-Record unter _smtp._tls.deine-domain. Empfangende Mailserver schicken an die dort genannte Adresse tägliche Sammelberichte über die TLS-Zustellung. TLS-RPT erzwingt nichts — es ist eine Diagnose, die dir zeigt, ob die TLS-Zustellung an deine Domain funktioniert und ob eine MTA-STS-Policy beachtet wird. Es ist die Ergänzung zu MTA-STS bei Shared-Hosting.

Die Ausgangslage bei OVHcloud

OVHcloud hat keinen eigenen TLS-RPT-Assistenten — braucht aber auch keinen. TLS-RPT ist ein simpler TXT-Record, den du über denselben DNS-Zonen-Assistenten anlegst wie jeden anderen Record. OVHclouds Bearbeitungs-Guide beschreibt es: auf Add an entry klicken und den Schritten folgen.

Schritt-für-Schritt-Anleitung

1. Report-Adresse festlegen

Die rua-Adresse empfängt JSON-Reports. Richte sie auf einen TLS-RPT-Analysedienst oder auf ein dediziertes Postfach, das du auch wirklich liest.

2. TXT-Record anlegen

Öffne im OVHcloud Control Panel für deine Domain Web Cloud → DNS zone und klicke auf Add an entry. Wähle den Record-Typ TXT und trage ein:

FeldWert
TypTXT
Sub-domain_smtp._tls
Wertv=TLSRPTv1; rua=mailto:tlsrpt@beispiel.de

3. Zusammen mit MTA-STS

TLS-RPT berichtet nur; die eigentliche Durchsetzung der verschlüsselten Zustellung liefert MTA-STS. Kombiniere beides — siehe MTA-STS bei Shared-Hosting.

4. Warten, bis die Änderung aktiv ist

OVHcloud gibt „maximum of 24 hours for the changes to propagate“ an. Gib der Änderung also Zeit, bevor du das Ergebnis beurteilst.

Ergebnis prüfen

Prüfe deine Konfiguration mit dem kostenlosen MXAudit-Scanner.

dig TXT _smtp._tls.beispiel.de +short

Die Ausgabe muss genau einen Record mit v=TLSRPTv1 enthalten.

Häufige Fehler

Falsche Sub-domain. Der Record gehört unter _smtp._tls, nicht auf die nackte Domain. Beachte auch OVHclouds Eigenheit bei der Ziel-Punktierung: Bei URL-artigen Zielen gilt „your domain name will be automatically added to the end of your target“, wenn du den abschließenden Punkt vergisst — für einen TXT-Wert ist das kein Problem, trage nur nicht den vollen Hostnamen ins Sub-domain-Feld ein.

rua auf ein normales Postfach. Die Reports sind JSON und kommen täglich. Nutze einen Analysedienst oder ein Postfach, das dafür reserviert ist.

TLS-RPT ohne MTA-STS. TLS-RPT berichtet nur; es erzwingt nichts. Die Durchsetzung liefert MTA-STS.