TLS-RPT-Generator

Nach RFC 8460

TLS-Reporting-DNS-Record (RFC 8460) für Reporting von TLS-Fehlern bei eingehender Mail erzeugen.

Was ist das, und wann brauche ich es?

Was ist das?

TLS-RPT (Transport Layer Security Reporting, RFC 8460) ist die Berichts-Seite zu MTA-STS und DANE. Sendende Mailserver schicken Ihnen täglich eine Zusammenfassung, wie viele SMTP-Verbindungen zu Ihren Mailservern mit Transport-Verschlüsselung zustande kamen und wie viele scheiterten.

Ohne TLS-RPT bleiben Verbindungsfehler unsichtbar - eine abgelaufene Cert-Chain auf Ihrem MX, ein gebrochener MTA-STS-Eintrag, eine veraltete TLS-Version: alles fällt erst auf, wenn Kunden melden, dass Mails nicht ankommen.

Wann brauche ich das?

Sinnvoll für jeden, der MTA-STS oder DANE einsetzt - dort ist TLS-RPT die einzige Quelle für Fehlerstatistiken. Aufwand: ein DNS-TXT-Record, dann läuft die Berichts- Pipeline automatisch.

Empfehlung: die Reports an eine Mailcheck-Adresse senden, dann werden sie geparst und Sie sehen Drifts (Cert-Wechsel, MX-Änderungen) als Klartext-Alerts statt als XML-Anhänge im Postfach.

Reporting-Endpoints
Empfangs-MTAs (Gmail, Outlook, etc.) senden täglich aggregierte JSON-Berichte über TLS-Erfolge und -Misserfolge an die hier gelisteten Endpoints. Mehrere Endpoints sind erlaubt, der Empfänger wählt einen aus. mailto: reicht für die meisten Setups; https: braucht einen POST-Endpoint, der das RFC-7493-JSON-Format annimmt.
DNS-TXT-Record auf _smtp._tls.<domain> nach RFC 8460
_smtp._tls.example.com.	TXT	"v=TLSRPTv1; rua=mailto:tlsrpt@example.com"

Kostenlos, ohne Gewähr (Best-Effort). Erzeugte wie geprüfte Angaben sind unverbindlich; für fehlerhafte oder unvollständige Ergebnisse und Konfigurationen übernehmen wir keine Haftung. Anwendung und Prüfung erfolgen in eigener Verantwortung, vor dem Produktiveinsatz bitte testen.

Free, no warranty (best effort). Generated and inspected values are non-binding; we accept no liability for erroneous or incomplete results or configurations. Use and verification are your own responsibility; please test before production use.

Zusammenspiel mit MTA-STS und DANE

TLS-RPT ist die Beobachtungs-Schicht zu MTA-STS und DANE. Ohne TLS-RPT stellen Sie zwar fest, dass Mails ankommen oder ausbleiben, sehen aber nicht warum: TLS-Mismatch? Cert abgelaufen? STARTTLS-Fehler? Die täglichen Berichte enthalten Fehler-Codes pro Empfangs-MTA und pro fehlgeschlagenem Hop.

Roll-out-Sequenz: TLS-RPT zuerst (im Modus „aufnehmen"), dann MTA-STS Modus testing, dann enforce. So sehen Sie Probleme früher als die Mail-Absender, deren MTAs reject-Antworten bekommen.

Datenschutz-Hinweis: Aggregat-Berichte enthalten Sender-Domains, MX-Hosts und Fehler-Codes - keine Mail-Inhalte, keine einzelnen Mail-Adressen. DSGVO-Auswirkung gering, aber prüfenswert vor der Wahl eines Drittanbieter-Reporting-Endpoints.

Bestehenden TLS-RPT-Record prüfen

Liest <code>_smtp._tls.&lt;domain&gt;</code> und prüft <code>v=TLSRPTv1</code> plus rua-Endpoints gegen RFC 8460.

Probieren mit:

Server-Pfad: Diese Inspektion läuft NICHT browser-lokal. Wir holen den DNS-Record bzw. die HTTPS-Antwort über unseren Server. Wir loggen weder die abgefragte Domain noch das Ergebnis. 12 Anfragen pro Minute pro IPv4-Adresse bzw. IPv6-/64-Subnet.

So tragen Sie diesen Record beim DNS-Provider ein

Der oben generierte Eintrag besteht aus drei Teilen: dem Record-Typ (typisch TXT, manchmal CAA), dem Host (Subdomain wie _dmarc, _smtp._tls oder leer für die Stamm-Domain) und dem Wert (der eigentliche Inhalt in Anführungszeichen). Diese drei Felder werden bei jedem DNS-Provider genauso abgefragt - nur das Menü-Wording unterscheidet sich.

INWX (Dernium-Standard für Neukunden)
  1. Login bei www.inwx.de.
  2. Reiter Nameserver → Domain auswählen → Nameserver-Sets verwaltenDNS-Einträge.
  3. Knopf Neuen Eintrag anlegen.
  4. Typ wählen (z. B. TXT), Hostname eintragen (für die Stamm-Domain das Feld leer lassen, sonst _dmarc o. Ä.), Wert einfügen, TTL bei 3600 belassen.
  5. Speichern. Propagation üblich innerhalb von 5-15 Minuten.
Strato
  1. Login im Strato-Kundenservicebereich.
  2. Menü Domains → Domain auswählen → Verwalten.
  3. Abschnitt DNS-VerwaltungNameserver/DNS-Einstellungen anpassen.
  4. Bei Eigene DNS-Verwaltung den passenden Record-Typ wählen (TXT-Records sind ein eigener Block), Hostname und Wert einfügen.
  5. Speichern. Strato propagiert typisch innerhalb 30-60 Minuten.
Hetzner DNS-Console
  1. Login bei dns.hetzner.com.
  2. Zone der Domain anklicken.
  3. Knopf Record hinzufügen → Typ wählen, Name eintragen (für Stamm-Domain @), Wert in das Value-Feld.
  4. Speichern. Propagation typisch unter 5 Minuten.
IONOS (1&1)
  1. Login im IONOS-Kundencenter.
  2. Menü Domains & SSL → Domain anklicken → DNS.
  3. Knopf Eintrag hinzufügen → Typ wählen, Hostname eintragen, Wert in das Inhalt-Feld.
  4. Speichern. Propagation typisch 15-60 Minuten.
Cloudflare
  1. Login bei Cloudflare, Domain auswählen.
  2. Reiter DNSRecords.
  3. Knopf Add record → Typ wählen, Name eintragen (für Stamm-Domain @), Wert einfügen, Proxy-Status für TXT/CAA auf DNS only belassen.
  4. Speichern. Propagation üblich unter 2 Minuten.

Hinweis: Wenn Ihr DNS-Anbieter hier nicht aufgeführt ist, finden Sie die richtige Stelle typisch unter Begriffen wie „DNS-Verwaltung", „Zone-Editor" oder „Records". Bei Fragen hilft der Support Ihres Providers; die hier gezeigten Pfade sind plattform-spezifisch und können sich bei Redesigns leicht verschieben.