Stand: Juli 2026

Zusammenfassung: TLS-RPT (SMTP TLS Reporting) liefert dir automatisierte Diagnoseberichte über fehlgeschlagene TLS-Verschlüsselungen bei eingehenden E-Mails. Du aktivierst das Reporting, indem du einen TXT-Record auf der Subdomain _smtp._tls in der DNS-Verwaltung von webgo veröffentlichst.

Voraussetzungen

  • Ein Webhosting-, Server- oder E-Mail-Tarif bei webgo
  • Zugang zum webgo Kundenportal (https://login.webgo.de) oder zum webgo Webspace-Admin
  • Eine E-Mail-Adresse oder ein spezialisiertes Dashboard für den Empfang von täglichen JSON-Berichten

Was ist TLS-RPT?

TLS-RPT (SMTP TLS Reporting, definiert nach RFC 8460) ist ein Überwachungsstandard für die transportverschlüsselte E-Mail-Einlieferung. Wenn externe Mailserver (wie Microsoft 365, Gmail oder GMX) E-Mails an deinen webgo Mailserver senden, versuchen sie eine sichere TLS-Verbindung aufzubauen. Schlägt diese Verschlüsselung fehl — etwa wegen abgelaufener Zertifikate oder aktiver Netzangriffe —, generiert der absendende Server mittels TLS-RPT einen detaillierten Fehlerbericht und sendet ihn an deine konfigurierte Zieladresse.

Wie die webgo Hilfe zu den DNS-Record-Typen allgemein erklärt: Der TXT-Eintrag erlaubt das Speichern von beliebigen Textinformationen. Häufig wird er verwendet, um Domains bei Diensten zu verifizieren oder das E-Mail-Verhalten zu verbessern (SPF, DKIM, DMARC).

Insbesondere beim Einsatz von strengen Protokollen wie MTA-STS oder DANE ist TLS-RPT unverzichtbar, um Verbindungsabbrüche und Zustellprobleme frühzeitig zu erkennen.

Die Ausgangslage bei webgo

Du legst den erforderlichen Eintrag in den DNS-Einstellungen deiner Domain im webgo Kundenportal oder direkt im Webspace-Admin an (Der TXT-Eintrag erlaubt das Speichern von beliebigen Textinformationen. Häufig wird er verwendet, um Domains bei Diensten zu verifizieren oder das E-Mail-Verhalten zu verbessern (SPF, DKIM, DMARC).).

Der Eintrag wird als TXT-Record unter der technischen Subdomain _smtp._tls hinterlegt. Der kanonische Aufbau lautet:

v=TLSRPTv1; rua=mailto:tls-reports@example.com

Schritt-für-Schritt-Anleitung

1. Prüfen, ob bereits ein TLS-RPT-Record vorhanden ist

Prüfe im Terminal, ob deine Domain bereits eine TLS-Reporting-Policy ausliefert:

dig TXT _smtp._tls.beispiel.de +short

Beginnt die Rückgabe mit v=TLSRPTv1;, existiert bereits ein Eintrag. Wenn die Antwort leer ist, lege den Record neu an.

2. DNS-Verwaltung bei webgo öffnen

Logge dich ins webgo Kundenportal (login.webgo.de) ein. Wähle deinen Vertrag aus und rufe die DNS-Verwaltung auf (im Kundenportal oder im webgo Webspace-Admin unter Domain / DNS).

3. TXT-Record für _smtp._tls erstellen

Erstelle in deiner DNS-Tabelle einen neuen Eintrag mit folgenden Eigenschaften:

  • Typ: TXT
  • Subdomain / Host: _smtp._tls
  • Textfeld / Wert:
    v=TLSRPTv1; rua=mailto:tls-reports@example.com

(Ersetze tls-reports@example.com durch deine gewünschte E-Mail-Adresse für den Empfang der Diagnosedaten).

Speichere die neuen DNS-Einstellungen.

Die Bestandteile des TLS-RPT-Records

BestandteilBedeutung
_smtp._tlsReservierte Subdomain, unter der externe Mailserver nach der TLS-Reporting-Policy suchen
v=TLSRPTv1Kennzeichnet die Protokollversion (muss zwingend am Anfang des TXT-Strings stehen)
rua=mailto:...Zieladresse für die täglichen Diagnoseberichte als komprimiertes JSON-File (.json.gz)

Verifikation

Prüfe direkt nach dem Speichern in der webgo DNS-Verwaltung mit dem kostenlosen MXAudit-Scanner, ob dein neuer TLS-RPT-Record fehlerfrei auflöst und syntaktisch korrekt ist.

Zusätzlich kannst du über das Terminal abfragen, ob die DNS-Server den Eintrag bereitstellen:

dig TXT _smtp._tls.beispiel.de +short

Die Antwort muss genau "v=TLSRPTv1; rua=mailto:tls-reports@example.com" (bzw. mit deiner konfigurierten Adresse) lauten.

Häufige Fehler

  • Eintrag auf der Hauptdomain (@) platzieren: Wird der TXT-Record nicht unter der Subdomain _smtp._tls veröffentlicht, können absendende Mailserver die Policy nicht finden (Der TXT-Eintrag erlaubt das Speichern von beliebigen Textinformationen. Häufig wird er verwendet, um Domains bei Diensten zu verifizieren oder das E-Mail-Verhalten zu verbessern (SPF, DKIM, DMARC).).
  • Fehlendes mailto: bei der Zieladresse: Der Parameter rua= erfordert vor der E-Mail-Adresse zwingend das URI-Schema mailto:. Fehlt das Präfix, ist der Record ungültig.
  • Berichte ans Hauptpostfach leiten: Da die Diagnoseberichte täglich als komprimierte GZIP-Anhänge ankommen, empfiehlt es sich, ein separates Postfach oder ein automatisiertes Auswertungstool zu verwenden, um dein normales Postfach nicht zu überfluten.