Stand: Juli 2026
Zusammenfassung: TLS-RPT (SMTP TLS Reporting) liefert dir automatisierte Diagnoseberichte über fehlgeschlagene TLS-Verschlüsselungen bei eingehenden E-Mails. Du aktivierst das Reporting, indem du einen TXT-Record auf der Subdomain
_smtp._tlsin der DNS-Verwaltung von webgo veröffentlichst.
Voraussetzungen
- Ein Webhosting-, Server- oder E-Mail-Tarif bei webgo
- Zugang zum webgo Kundenportal (
https://login.webgo.de) oder zum webgo Webspace-Admin - Eine E-Mail-Adresse oder ein spezialisiertes Dashboard für den Empfang von täglichen JSON-Berichten
Was ist TLS-RPT?
TLS-RPT (SMTP TLS Reporting, definiert nach RFC 8460) ist ein Überwachungsstandard für die transportverschlüsselte E-Mail-Einlieferung. Wenn externe Mailserver (wie Microsoft 365, Gmail oder GMX) E-Mails an deinen webgo Mailserver senden, versuchen sie eine sichere TLS-Verbindung aufzubauen. Schlägt diese Verschlüsselung fehl — etwa wegen abgelaufener Zertifikate oder aktiver Netzangriffe —, generiert der absendende Server mittels TLS-RPT einen detaillierten Fehlerbericht und sendet ihn an deine konfigurierte Zieladresse.
Wie die webgo Hilfe zu den DNS-Record-Typen allgemein erklärt: Der TXT-Eintrag erlaubt das Speichern von beliebigen Textinformationen. Häufig wird er verwendet, um Domains bei Diensten zu verifizieren oder das E-Mail-Verhalten zu verbessern (SPF, DKIM, DMARC).
Insbesondere beim Einsatz von strengen Protokollen wie MTA-STS oder DANE ist TLS-RPT unverzichtbar, um Verbindungsabbrüche und Zustellprobleme frühzeitig zu erkennen.
Die Ausgangslage bei webgo
Du legst den erforderlichen Eintrag in den DNS-Einstellungen deiner Domain im webgo Kundenportal oder direkt im Webspace-Admin an (Der TXT-Eintrag erlaubt das Speichern von beliebigen Textinformationen. Häufig wird er verwendet, um Domains bei Diensten zu verifizieren oder das E-Mail-Verhalten zu verbessern (SPF, DKIM, DMARC).).
Der Eintrag wird als TXT-Record unter der technischen Subdomain _smtp._tls hinterlegt. Der kanonische Aufbau lautet:
v=TLSRPTv1; rua=mailto:tls-reports@example.com
Schritt-für-Schritt-Anleitung
1. Prüfen, ob bereits ein TLS-RPT-Record vorhanden ist
Prüfe im Terminal, ob deine Domain bereits eine TLS-Reporting-Policy ausliefert:
dig TXT _smtp._tls.beispiel.de +short
Beginnt die Rückgabe mit v=TLSRPTv1;, existiert bereits ein Eintrag. Wenn die Antwort leer ist, lege den Record neu an.
2. DNS-Verwaltung bei webgo öffnen
Logge dich ins webgo Kundenportal (login.webgo.de) ein. Wähle deinen Vertrag aus und rufe die DNS-Verwaltung auf (im Kundenportal oder im webgo Webspace-Admin unter Domain / DNS).
3. TXT-Record für _smtp._tls erstellen
Erstelle in deiner DNS-Tabelle einen neuen Eintrag mit folgenden Eigenschaften:
- Typ: TXT
- Subdomain / Host:
_smtp._tls - Textfeld / Wert:
v=TLSRPTv1; rua=mailto:tls-reports@example.com
(Ersetze tls-reports@example.com durch deine gewünschte E-Mail-Adresse für den Empfang der Diagnosedaten).
Speichere die neuen DNS-Einstellungen.
Die Bestandteile des TLS-RPT-Records
| Bestandteil | Bedeutung |
|---|---|
_smtp._tls | Reservierte Subdomain, unter der externe Mailserver nach der TLS-Reporting-Policy suchen |
v=TLSRPTv1 | Kennzeichnet die Protokollversion (muss zwingend am Anfang des TXT-Strings stehen) |
rua=mailto:... | Zieladresse für die täglichen Diagnoseberichte als komprimiertes JSON-File (.json.gz) |
Verifikation
Prüfe direkt nach dem Speichern in der webgo DNS-Verwaltung mit dem kostenlosen MXAudit-Scanner, ob dein neuer TLS-RPT-Record fehlerfrei auflöst und syntaktisch korrekt ist.
Zusätzlich kannst du über das Terminal abfragen, ob die DNS-Server den Eintrag bereitstellen:
dig TXT _smtp._tls.beispiel.de +short
Die Antwort muss genau "v=TLSRPTv1; rua=mailto:tls-reports@example.com" (bzw. mit deiner konfigurierten Adresse) lauten.
Häufige Fehler
- Eintrag auf der Hauptdomain (
@) platzieren: Wird der TXT-Record nicht unter der Subdomain_smtp._tlsveröffentlicht, können absendende Mailserver die Policy nicht finden (Der TXT-Eintrag erlaubt das Speichern von beliebigen Textinformationen. Häufig wird er verwendet, um Domains bei Diensten zu verifizieren oder das E-Mail-Verhalten zu verbessern (SPF, DKIM, DMARC).). - Fehlendes
mailto:bei der Zieladresse: Der Parameterrua=erfordert vor der E-Mail-Adresse zwingend das URI-Schemamailto:. Fehlt das Präfix, ist der Record ungültig. - Berichte ans Hauptpostfach leiten: Da die Diagnoseberichte täglich als komprimierte GZIP-Anhänge ankommen, empfiehlt es sich, ein separates Postfach oder ein automatisiertes Auswertungstool zu verwenden, um dein normales Postfach nicht zu überfluten.
Weiterführende Links
- webgo Hilfe — Was ist ein Resource Record (RR Typ)? (abgerufen: 17. Juli 2026)
- RFC 8460 — SMTP TLS Reporting (TLS-RPT)
