Zum Hauptinhalt springen

Kostenloses TLS-RPT-Monitoring

Überwachen und analysieren Sie Ihre SMTP-TLS-Berichte automatisch

Täglich gehen E-Mails verloren - still, ohne Fehlermeldung. Ein abgelaufenes Zertifikat, eine falsche MTA-STS-Richtlinie, ein STARTTLS-Downgrade: sendende Server scheitern, und Sie erfahren es nicht. CaptainDNS empfängt Ihre TLS-RPT-Berichte automatisch. Fügen Sie Ihre Domain hinzu - wir kümmern uns um den Rest.

Anmelden, um zu beginnen

Anmelden, um zu beginnen
Automatischer Empfang

Berichte werden automatisch empfangen und analysiert. Kein Server zu verwalten, kein JSON zu dekodieren. Fügen Sie den DNS-Eintrag hinzu und das war's.

Domain-Verifizierung

Ein Verifizierungs-TXT-Eintrag bestätigt die Inhaberschaft der Domain. Fügen Sie ihn Ihrem DNS hinzu und die Validierung erfolgt automatisch.

Detaillierte Analyse

Sehen Sie Erfolgs- und Fehlerzähler für TLS-Verbindungen, Richtliniendetails und Quell-IP-Adressen für jeden Berichtszeitraum ein.

Dedizierter Report-Kollektor

Jede Domain erhält einen eindeutigen HTTPS-Endpunkt. Der TLS-RPT-DNS-Eintrag wird automatisch mit der korrekten rua=-URL generiert.

Mehrere Domains

Überwachen Sie TLS-RPT-Berichte mehrerer Domains von einem einzigen Konto aus. Jede Domain verfügt über einen eigenen verifizierten Report-Kollektor.

Warum TLS-RPT-Berichte überwachen?

TLS-RPT (SMTP TLS Reporting, RFC 8460) meldet TLS-Verbindungsfehler an die Empfängerdomain. Ohne ihn erfahren Sie nie, wenn sendende Server scheitern.

Drei häufige Probleme, die durch TLS-RPT erkannt werden:

  • Abgelaufene Zertifikate : Ihr MX-Server präsentiert ein ungültiges oder abgelaufenes TLS-Zertifikat, was verschlüsselte Verbindungen blockiert. E-Mails werden abgewiesen oder unverschlüsselt zugestellt.
  • Fehlkonfiguriertes MTA-STS : Ihre MTA-STS-Richtlinie stimmt nicht mit Ihren tatsächlichen MX-Servern überein. Sendende Server verweigern die Zustellung.
  • STARTTLS-Downgrade : Netzwerk-Intermediäre entfernen die STARTTLS-Erweiterung und erzwingen unverschlüsselte Übertragung. Nachrichten sind offen lesbar.

TLS-RPT-Monitoring in 3 Schritten einrichten

Schritt 1: Domain hinzufügen

Melden Sie sich an und registrieren Sie die zu überwachende Domain. CaptainDNS generiert einen eindeutigen HTTPS-Report-Kollektor und den zugehörigen TLS-RPT-DNS-Eintrag.

Schritt 2: Domain-Inhaberschaft verifizieren

Fügen Sie den Verifizierungs-TXT-Eintrag Ihrem DNS hinzu. Die Validierung erfolgt automatisch, sobald der Eintrag erkannt wird.

Schritt 3: TLS-RPT-Eintrag veröffentlichen

Fügen Sie den bereitgestellten _smtp._tls-TXT-Eintrag Ihrem DNS hinzu. Sendende Server beginnen dann, TLS-Fehlerberichte an Ihren CaptainDNS-Endpunkt zu übermitteln.

Was ist TLS-RPT?

TLS-RPT (Transport Layer Security Reporting) ist ein Standard gemäß RFC 8460. Er ermöglicht es sendenden Mailservern, TLS-Aushandlungsfehler an die Empfängerdomain zu melden.

Beispiel für einen DNS-Eintrag:

_smtp._tls.captaindns.com.  IN  TXT  "v=TLSRPTv1; rua=https://api.captaindns.com/tls-rpt/ingest/abc123"

Der _smtp._tls-Eintrag teilt sendenden Servern mit, wohin sie ihre JSON-Berichte senden sollen, wenn eine TLS-Verbindung zu Ihrer Domain fehlschlägt.

Was enthält ein TLS-RPT-Bericht?

FeldBeschreibung
Sendende OrganisationDer E-Mail-Anbieter, der den Bericht gesendet hat
ZeitraumStart- und End-Zeitstempel des Berichtszeitraums
Angewandte RichtlinienErkannte MTA-STS-, DANE- oder STARTTLS-Richtlinien
Erfolgreiche SitzungenAnzahl erfolgreich aufgebauter TLS-Verbindungen
Fehlgeschlagene SitzungenAnzahl fehlgeschlagener TLS-Aushandlungen mit Fehlerdetails

Praxisbeispiele

Vorfall 1: Unerkanntes abgelaufenes Zertifikat

Symptom: Große Anbieter (Google, Microsoft) melden certificate-expired-Fehler in ihren TLS-RPT-Berichten.

Diagnose: Das CaptainDNS-Dashboard zeigt einen Anstieg der Fehler in den letzten 24 Stunden, alle auf ein abgelaufenes Let's Encrypt-Zertifikat auf dem Haupt-MX zurückzuführen.

Maßnahme: TLS-Zertifikat des Mailservers erneuern. Die nachfolgenden Berichte bestätigen die Behebung. Ohne TLS-RPT wäre dieser Ausfall womöglich erst durch Nutzerbeschwerden aufgefallen.

Vorfall 2: Desynchronisierte MTA-STS-Richtlinie

Symptom: Berichte melden sts-policy-invalid-Fehler trotz veröffentlichter MTA-STS-Richtlinie.

Diagnose: Die TLS-RPT-Berichte zeigen, dass die MTA-STS-Richtlinie auf einen MX-Server verweist, der nicht mehr existiert.

Maßnahme: MTA-STS-Richtlinie aktualisieren, um die aktuellen MX-Server abzubilden. Jede E-Mail, die in diesem Zeitraum nicht zugestellt wurde, ging ohne Rückmeldung verloren.

FAQ - Häufig gestellte Fragen

F: Was ist ein TLS-RPT-Eintrag?

A: Ein TLS-RPT-Eintrag ist ein DNS-TXT-Eintrag unter _smtp._tls.ihredomain.com. Er enthält eine rua=-Direktive, die sendenden Servern mitteilt, wohin TLS-Fehlerberichte gesendet werden sollen (RFC 8460).

F: Sind TLS-RPT und MTA-STS miteinander verbunden?

A: Sie ergänzen sich, sind aber voneinander unabhängig. MTA-STS erzwingt eine Verschlüsselungsrichtlinie. TLS-RPT informiert Sie, wenn Sender diese Richtlinie nicht einhalten können. Beide zusammen einzusetzen bietet umfassenden Schutz.

F: Welche Risiken bestehen ohne TLS-RPT?

A: Ohne TLS-RPT erfahren Sie nicht, wenn E-Mails an Ihre Domain scheitern. Ein abgelaufenes Zertifikat kann tagelang unbemerkt bleiben. Nachrichten werden still abgewiesen oder, schlimmer, unverschlüsselt übertragen. TLS-RPT macht diese Ausfälle sichtbar, bevor sie sich auf Ihre Kommunikation auswirken.

F: Wie viele Domains kann ich überwachen?

A: Sie können bis zu 10 Domains von einem einzigen Konto aus überwachen. Jede Domain verfügt über einen eigenen verifizierten Report-Kollektor.

Ergänzende Tools

ToolNutzen
TLS-RPT-SyntaxprüfungSyntax eines TLS-RPT-Eintrags validieren
TLS-RPT-EintragsprüfungDen TLS-RPT-DNS-Eintrag Ihrer Domain prüfen
TLS-RPT-GeneratorEinen TLS-RPT-DNS-Eintrag generieren
TLS-RPT-BerichtsleserEinen TLS-RPT-JSON-Bericht manuell analysieren
MTA-STS-HostingIhre MTA-STS-Richtlinie kostenlos hosten

Nützliche Ressourcen