Sollte ich mailto oder https für Reporting verwenden?

mailto: ist einfacher - Berichte kommen als komprimierte E-Mail-Anhänge. https: ermöglicht Automatisierung über Webhooks. Für die meisten Organisationen: Beginnen Sie mit mailto: für Sichtbarkeit, fügen Sie dann https: für Überwachungstool-Integration hinzu. Sie können beide gleichzeitig verwenden.

Wie viele Reporting-URIs kann ich einschließen?

Es gibt keine feste Grenze, aber praktische Überlegungen gelten. Jede URI erhält denselben Bericht, was den Traffic erhöht. Die meisten Bereitstellungen verwenden 1-3 Ziele: eine interne E-Mail, optional einen HTTPS-Endpunkt und optional einen Drittanbieter-Analysedienst.

Brauche ich MTA-STS, um TLS-RPT zu verwenden?

Obwohl TLS-RPT eigenständig funktionieren kann, ist es am nützlichsten mit MTA-STS oder DANE. MTA-STS erzwingt TLS-Verschlüsselung, TLS-RPT berichtet über die Durchsetzung. Ohne eine TLS-Policy zur Durchsetzung gibt es weniger Fehler zu berichten. Wir empfehlen, MTA-STS im Testmodus bereitzustellen, TLS-RPT hinzuzufügen, zu überwachen und dann durchzusetzen.

Wie konfiguriere ich TLS-RPT für Microsoft 365 / Exchange Online?

Für Microsoft 365-Domains generieren Sie Ihren TLS-RPT-Eintrag hier, dann fügen Sie ihn als TXT-Eintrag bei _smtp._tls.ihredomain.de über Ihren externen DNS-Anbieter hinzu (nicht Microsoft 365 Admin). Microsoft 365 und Exchange Online beachten TLS-RPT-Policies und senden Fehlerberichte bei Verbindungen zu Domains mit MTA-STS. Für M365-gehostete Domains veröffentlichen Sie den DNS-Eintrag dort, wo die Nameserver Ihrer Domain konfiguriert sind.

TLS-RPT Generator | SMTP TLS Reporting-Einträge erstellen

So verwenden Sie diesen TLS-RPT-Generator

Schritt 1: Reporting-Ziele hinzufügen

Geben Sie ein, wo Sie TLS-Fehlerberichte erhalten möchten:

E-Mail (empfohlen zum Start)

mailto:tlsrpt@captaindns.com

HTTPS-Webhook (für Automatisierung)

https://tlsrpt.captaindns.com/v1/report

Sie können mehrere Ziele hinzufügen - Berichte gehen an alle.

Schritt 2: Generierten Eintrag kopieren

Der Generator erstellt einen gültigen RFC 8460-Eintrag:

v=TLSRPTv1; rua=mailto:tlsrpt@captaindns.com

Schritt 3: Im DNS veröffentlichen

Erstellen Sie einen TXT-Eintrag bei _smtp._tls.captaindns.com mit dem generierten Wert.

Beispiel für captaindns.com:

Typ: TXT
Host: _smtp._tls
Wert: v=TLSRPTv1; rua=mailto:tlsrpt@captaindns.com

Schritt 4: Veröffentlichung verifizieren

Verwenden Sie unseren TLS-RPT Record Checker, um die korrekte Konfiguration zu bestätigen.

TLS-RPT-Eintragsformat

Erforderliche Komponenten

Komponente	Format	Beispiel
Version	`v=TLSRPTv1`	Muss genau dies sein
Reporting-URI	`rua=schema:ziel`	`rua=mailto:reports@captaindns.com`

Unterstützte URI-Schemata

mailto: - E-Mail-Zustellung

rua=mailto:sicherheitsteam@captaindns.com

Berichte kommen als komprimierte JSON-Anhänge.

https: - Webhook-Zustellung

rua=https://api.captaindns.com/tlsrpt/ingest

Berichte werden als JSON mit Content-Type: application/tlsrpt+gzip gepostet

Mehrere Ziele

Mit Kommas trennen:

v=TLSRPTv1; rua=mailto:reports@captaindns.com,https://tlsrpt.captaindns.com/report

Externe Reporting-Autorisierung

Wenn Sie an eine andere Domain berichten, ist eine Autorisierung erforderlich.

Szenario

Ihre Domain: captaindns.com Berichtsziel: mailto:reports@tlsrpt-service.com

Erforderliche Autorisierung

tlsrpt-service.com muss veröffentlichen:

captaindns.com._report._tls.tlsrpt-service.com  TXT  "v=TLSRPTv1"

Same-Domain-Reporting verwenden

Um Autorisierungskomplexität zu vermeiden, verwenden Sie eine Adresse auf Ihrer eigenen Domain:

v=TLSRPTv1; rua=mailto:tlsrpt@captaindns.com

DNS-Anbieter-Beispiele

Cloudflare

Gehen Sie zu DNS-Einstellungen für Ihre Domain
Eintrag hinzufügen:
- Typ: TXT
- Name: _smtp._tls
- Inhalt: Ihr generierter Eintragswert
- TTL: Auto

AWS Route 53

Öffnen Sie die gehostete Zone für Ihre Domain
Eintrag erstellen:
- Eintragsname: _smtp._tls
- Eintragstyp: TXT
- Wert: "v=TLSRPTv1; rua=mailto:tlsrpt@captaindns.com"
- TTL: 3600

IONOS / OVH / Strato

Gehen Sie zu DNS-Einstellungen
Benutzerdefinierten Eintrag hinzufügen:
- Hostname: _smtp._tls
- Typ: TXT
- TTL: 3600
- Daten: Ihr generierter Eintragswert

Vollständige E-Mail-Sicherheitseinrichtung

TLS-RPT ist Teil der umfassenden E-Mail-Transport-Sicherheit:

1. MTA-STS (TLS erzwingen)

Teilt sendenden Servern mit, TLS-Verschlüsselung zu verlangen.

2. TLS-RPT (Fehler berichten)

Berichtet, wenn TLS-Durchsetzung fehlschlägt.

Verwenden Sie diesen Generator
TLS-RPT-Status prüfen

3. Empfohlene Bereitstellung

MTA-STS mit mode: testing bereitstellen
TLS-RPT hinzufügen, um Berichte zu erhalten
Berichte 2-4 Wochen überwachen
MTA-STS auf mode: enforce umstellen
Weiter über TLS-RPT überwachen

TLS-RPT-Berichte verstehen

Berichtsstruktur

{
  "organization-name": "Google Inc.",
  "date-range": {
    "start-datetime": "2024-01-15T00:00:00Z",
    "end-datetime": "2024-01-16T00:00:00Z"
  },
  "contact-info": "postmaster@google.com",
  "report-id": "2024011512345",
  "policies": [{
    "policy": {
      "policy-type": "sts",
      "policy-string": ["version: STSv1", "mode: enforce", "mx: mail.captaindns.com", "max_age: 604800"],
      "policy-domain": "captaindns.com"
    },
    "summary": {
      "total-successful-session-count": 8432,
      "total-failure-session-count": 3
    },
    "failure-details": [{
      "result-type": "certificate-expired",
      "sending-mta-ip": "198.51.100.1",
      "receiving-mx-hostname": "mail.captaindns.com",
      "failed-session-count": 3
    }]
  }]
}

Wichtige Felder erklärt

Feld	Bedeutung
organization-name	Sendende Organisation
date-range	24-Stunden-Berichtszeitraum
total-successful-session-count	TLS-Verbindungen, die funktioniert haben
total-failure-session-count	TLS-Verbindungen, die fehlgeschlagen sind
result-type	Fehlergrund (certificate-expired, sts-policy-invalid usw.)
sending-mta-ip	IP, die keine Verbindung herstellen konnte

FAQ - Häufig gestellte Fragen

F: Was ist TLS-RPT und warum brauche ich es?

A: TLS-RPT (SMTP TLS Reporting) ist ein DNS-Eintrag, der sendenden Mailservern mitteilt, wohin sie Berichte über TLS-Verbindungsfehler senden sollen. Ohne es haben Sie keine Sichtbarkeit über Verschlüsselungsfehler, die die E-Mail-Zustellung beeinträchtigen.

F: Wo veröffentliche ich den generierten Eintrag?

A: Veröffentlichen Sie den generierten Eintrag als TXT-Eintrag bei _smtp._tls.captaindns.com. Dies funktioniert mit jedem DNS-Anbieter einschließlich Cloudflare, Route53, IONOS, Strato, OVH usw.

F: Kann ich eine externe E-Mail für Reporting verwenden?

A: Ja, aber die externe Domain muss es autorisieren. Wenn Sie an reports@analyzer.com für captaindns.com berichten, muss die Analyzer-Domain einen TXT-Eintrag bei captaindns.com._report._tls.analyzer.com mit dem Wert v=TLSRPTv1 veröffentlichen.

F: In welchem Format sind die Berichte?

A: TLS-RPT-Berichte sind JSON-Dokumente, typischerweise gzip-komprimiert. Sie enthalten: Reporting-Organisation, Datumsbereich, Policy-Informationen (MTA-STS/DANE), Sitzungszahlen und Fehlerdetails. Berichte werden etwa alle 24 Stunden gesendet.

Ergänzende Tools

Tool	Zweck
TLS-RPT Syntax Checker	Eintrag vor Veröffentlichung validieren
TLS-RPT Record Checker	Live-DNS-Konfiguration verifizieren
MTA-STS Generator	MTA-STS-Policy erstellen
MTA-STS Record Checker	MTA-STS-Bereitstellung verifizieren
E-Mail-Domain-Check	Vollständiges Authentifizierungs-Audit

Nützliche Ressourcen

RFC 8460 - SMTP TLS Reporting (offizielle Spezifikation)
RFC 8461 - MTA-STS (Begleitprotokoll)
Google - TLS-Reporting konfigurieren
Postfix - TLS-Dokumentation

TLS-RPT Generator

SMTP TLS Reporting-Einträge für DNS-Veröffentlichung erstellen

RFC 8460-konform

Mehrere Reporting-URIs

Zum Kopieren bereit

Echtzeit-Validierung

MTA-STS-Integrationsleitfaden