TLS-Reporting-DNS-Record (RFC 8460) für Reporting von TLS-Fehlern bei eingehender Mail erzeugen.
Was ist das, und wann brauche ich es?
Was ist das?
TLS-RPT (Transport Layer Security Reporting, RFC 8460) ist die Berichts-Seite zu MTA-STS und
DANE. Sendende Mailserver schicken Ihnen täglich eine Zusammenfassung, wie viele
SMTP-Verbindungen zu Ihren Mailservern mit Transport-Verschlüsselung zustande kamen und wie
viele scheiterten.
Ohne TLS-RPT bleiben Verbindungsfehler unsichtbar - eine abgelaufene Cert-Chain auf Ihrem
MX, ein gebrochener MTA-STS-Eintrag, eine veraltete TLS-Version: alles fällt erst auf, wenn
Kunden melden, dass Mails nicht ankommen.
Wann brauche ich das?
Sinnvoll für jeden, der MTA-STS oder DANE einsetzt - dort ist TLS-RPT die einzige Quelle für
Fehlerstatistiken. Aufwand: ein DNS-TXT-Record, dann läuft die Berichts- Pipeline
automatisch.
Empfehlung: die Reports an eine Mailcheck-Adresse senden, dann werden sie geparst
und Sie sehen Drifts (Cert-Wechsel, MX-Änderungen) als Klartext-Alerts statt als XML-Anhänge im
Postfach.
TLS-RPT ist die Beobachtungs-Schicht zu MTA-STS und DANE. Ohne TLS-RPT stellen Sie zwar fest,
dass Mails ankommen oder ausbleiben, sehen aber nicht warum: TLS-Mismatch? Cert abgelaufen?
STARTTLS-Fehler? Die täglichen Berichte enthalten Fehler-Codes pro Empfangs-MTA und pro
fehlgeschlagenem Hop.
Roll-out-Sequenz: TLS-RPT zuerst (im Modus „aufnehmen"), dann MTA-STS Modus testing, dann enforce. So sehen Sie Probleme früher als die Mail-Absender, deren MTAs
reject-Antworten bekommen.
Datenschutz-Hinweis: Aggregat-Berichte enthalten Sender-Domains, MX-Hosts und Fehler-Codes
- keine Mail-Inhalte, keine einzelnen Mail-Adressen. DSGVO-Auswirkung gering, aber prüfenswert vor
der Wahl eines Drittanbieter-Reporting-Endpoints.
Bestehenden TLS-RPT-Record prüfen
Liest <code>_smtp._tls.<domain></code> und prüft <code>v=TLSRPTv1</code> plus rua-Endpoints gegen RFC 8460.
Probieren mit:
Server-Pfad: Diese Inspektion läuft NICHT browser-lokal. Wir holen den DNS-Record bzw. die HTTPS-Antwort über unseren Server. Wir loggen weder die abgefragte Domain noch das Ergebnis. 12 Anfragen pro Minute pro IPv4-Adresse bzw. IPv6-/64-Subnet.
So tragen Sie diesen Record beim DNS-Provider ein
Der oben generierte Eintrag besteht aus drei Teilen: dem Record-Typ (typisch
TXT, manchmal CAA), dem Host (Subdomain wie _dmarc, _smtp._tls oder leer für die Stamm-Domain) und dem Wert (der eigentliche
Inhalt in Anführungszeichen). Diese drei Felder werden bei jedem DNS-Provider genauso abgefragt
- nur das Menü-Wording unterscheidet sich.
Knopf Record hinzufügen → Typ wählen, Name eintragen (für Stamm-Domain @), Wert in das Value-Feld.
Speichern. Propagation typisch unter 5 Minuten.
IONOS (1&1)
Login im IONOS-Kundencenter.
Menü Domains & SSL → Domain anklicken → DNS.
Knopf Eintrag hinzufügen → Typ wählen, Hostname eintragen, Wert in das Inhalt-Feld.
Speichern. Propagation typisch 15-60 Minuten.
Cloudflare
Login bei Cloudflare, Domain auswählen.
Reiter DNS → Records.
Knopf Add record → Typ wählen, Name eintragen (für Stamm-Domain @), Wert einfügen, Proxy-Status für TXT/CAA auf DNS only belassen.
Speichern. Propagation üblich unter 2 Minuten.
Hinweis: Wenn Ihr DNS-Anbieter hier nicht aufgeführt ist, finden Sie die richtige Stelle
typisch unter Begriffen wie „DNS-Verwaltung", „Zone-Editor" oder „Records". Bei Fragen hilft
der Support Ihres Providers; die hier gezeigten Pfade sind plattform-spezifisch und können
sich bei Redesigns leicht verschieben.