Anmelden
SMTP TLS Reporting

TLS-RPT Transportfehler sichtbar machen

TLS-RPT lässt sendende Mailserver melden, wann eine verschlüsselte Zustellung scheitert. Aus dieser Sicht entsteht das Frühwarnsystem, ohne das MTA-STS und DANE im Blindflug betrieben würden.

Domain kostenlos prüfenMailGuard ansehen
_smtp._tls TXT-Record
_smtp._tls.example.de. IN TXT "v=TLSRPTv1; rua=mailto:tls-rpt@conbool.com"

Ohne TLS-RPT bleibt eine fehlgeschlagene Transportverschlüsselung unsichtbar. Erst die Berichte machen Probleme messbar, bevor Nachrichten verloren gehen.

MTA-STS und DANE können Zustellungen blockieren, wenn etwas nicht stimmt. TLS-RPT beantwortet die entscheidende Frage davor und danach: Wo genau hakt die Verschlüsselung, und welcher Absender meldet ein Problem? Genau diese Sichtbarkeit verhindert, dass eine zu strenge Richtlinie still legitime Post zurückhält.

Was TLS-RPT ist

TLS-RPT steht für SMTP TLS Reporting und ist in RFC 8460 standardisiert. Ein TXT-Eintrag unter _smtp._tls der Domäne benennt eine Adresse, an die sendende Server zusammengefasste Berichte schicken. Diese Berichte zeigen, wie viele Verbindungen verschlüsselt zustande kamen und welche an einem Zertifikats- oder TLS-Problem gescheitert sind.

Warum Berichte unverzichtbar sind

Transportsicherheit ohne Rückmeldung ist ein Risiko. TLS-RPT schließt diese Lücke.

Sicherer Rollout

Im Modus testing von MTA-STS zeigen die Berichte, ob alle Sender sauber verschlüsseln, bevor die Richtlinie scharf gestellt wird.

Frühwarnung

Ein abgelaufenes Zertifikat oder eine kaputte TLS-Konfiguration fällt sofort auf, statt erst durch ausbleibende Nachrichten.

Nachweis

Die Berichte belegen über die Zeit, dass der E-Mail-Transport tatsächlich verschlüsselt erfolgt, und stützen Audits.

Berichte auswerten mit Conbool

Rohberichte im JSON-Format sind unhandlich. Conbool MailGuard macht daraus verwertbare Hinweise.

Empfang und Speicherung

Die Berichte der großen Versender werden zentral entgegengenommen und vorgehalten.

Aufbereitung

Erfolgs- und Fehlerquoten werden je Sender und Zeitraum verständlich dargestellt.

Fehlerursachen

Gescheiterte Verbindungen werden nach Ursache eingeordnet, etwa Zertifikatsfehler oder fehlende TLS-Unterstützung.

Zusammenspiel mit MTA-STS

Die Auswertung fließt direkt in die Entscheidung ein, ob eine Richtlinie verschärft oder zunächst beobachtet wird.

Häufige Fragen zu TLS-RPT

Was bedeutet TLS-RPT?
TLS-RPT steht für SMTP TLS Reporting nach RFC 8460. Es definiert, wie sendende Mailserver Berichte über den Erfolg oder das Scheitern verschlüsselter Zustellungen an die Empfängerdomäne zurückmelden.
Wie wird TLS-RPT eingerichtet?
Es genügt ein TXT-Eintrag unter _smtp._tls der Domäne, der eine Adresse für die Berichte benennt. Wichtig ist die korrekte Schreibweise mit Punkt zwischen _smtp und _tls. Conbool richtet den Eintrag und den Empfang der Berichte ein.
Blockiert TLS-RPT E-Mails?
Nein. TLS-RPT ist rein berichtend und greift nicht in die Zustellung ein. Das Erzwingen übernehmen MTA-STS und DANE. TLS-RPT liefert die Sichtbarkeit, die deren sicheren Betrieb erst möglich macht.
Wer sendet die Berichte?
Große Versender wie Google und Microsoft werten die Empfängerdomäne aus und schicken in der Regel täglich einen zusammengefassten Bericht. Die Berichte enthalten keine Inhalte von Nachrichten, nur Statistiken zum Transport.
Lohnt sich TLS-RPT ohne MTA-STS oder DANE?
Ja, als Diagnose. Schon allein zeigt TLS-RPT, ob der eingehende Transport zuverlässig verschlüsselt ist. Den vollen Nutzen entfaltet es jedoch als Begleiter eines MTA-STS- oder DANE-Rollouts.
Wie lässt sich der TLS-RPT-Eintrag prüfen?
Der kostenlose Mail-Check von Conbool prüft, ob ein gültiger _smtp._tls Eintrag vorhanden ist, und meldet das Ergebnis als Bericht zurück.

Weitere Bausteine der Transportsicherheit

MTA-STS

Erzwungene TLS-Verschlüsselung, deren Rollout TLS-RPT absichert.

DANE und TLSA

Kryptografisch verankerte Zertifikatsbindung, verpflichtend nach BSI TR-03108.

Directory-Harvesting-Schutz

Abwehr von Angriffen, die gültige E-Mail-Adressen am Server abgreifen.

MailGuard

Das E-Mail-Security-Gateway, das alle Transport- und Inhaltsschutzfunktionen bündelt.

Transportfehler nicht länger im Blindflug

Der kostenlose Mail-Check zeigt, ob TLS-RPT und die Transportverschlüsselung der eigenen Domäne korrekt eingerichtet sind.

Domain kostenlos prüfenBeratung anfragen