TLS-RPT
TLS-RPT (SMTP TLS Reporting) meldet Domain-Inhabern TLS-Probleme bei der Mailzustellung und ergänzt MTA-STS um die nötige Transparenz.
Was ist TLS-RPT?
TLS-RPT (SMTP TLS Reporting) ist ein E-Mail-Sicherheitsstandard, mit dem Domain-Inhaber Berichte über Probleme mit Transport Layer Security (TLS) erhalten, die bei der Mailzustellung auftreten.
TLS-RPT ist in RFC 8460 definiert und arbeitet mit MTA-STS (Mail Transfer Agent Strict Transport Security) zusammen, damit Organisationen verschlüsselte E-Mail-Verbindungen überwachen und Fehler beheben können. Während MTA-STS die TLS-Verschlüsselung zwischen Mailservern erzwingt, liefert TLS-RPT die Transparenz dazu und berichtet, ob diese Verbindungen erfolgreich waren, fehlgeschlagen sind oder herabgestuft wurden.
Ein typischer TLS-RPT-DNS-Eintrag sieht so aus:
_smtp._tls.example.com. IN TXT "v=TLSRPTv1; rua=mailto:tlsrpt@example.com"Dieser Eintrag teilt empfangenden Mailservern mit, wohin sie die täglichen Berichte über die TLS-Verbindungsergebnisse für Ihre Domain senden sollen.
So funktioniert TLS-RPT
Versucht ein Mailserver, eine Nachricht an Ihre Domain zuzustellen, baut er zunächst eine sichere TLS-Verbindung auf. Der sendende Server prüft Ihre MTA-STS-Richtlinie und meldet anschließend zurück, ob die verschlüsselte Verbindung erfolgreich war oder fehlgeschlagen ist.
TLS-RPT sammelt diese Daten und sendet aggregierte Berichte im JSON-Format (in der Regel täglich) an die Adresse, die über das rua-Tag in Ihrem DNS-Eintrag angegeben ist.
Ein Bericht enthält typischerweise:
- Die Domain und Organisation des berichtenden Servers
- Die Anzahl erfolgreicher und fehlgeschlagener Verbindungen
- Fehlertypen (z. B. nicht übereinstimmende Zertifikate, nicht unterstützte TLS-Version, STARTTLS-Downgrade)
- Den Zeitraum der gemeldeten Ereignisse
Mit diesen Berichten erkennen Administratoren Verschlüsselungsprobleme, Fehlkonfigurationen und bösartige Aktivitäten, die eine sichere Mailzustellung verhindern könnten.
Warum TLS-RPT für den sicheren Mailtransport wichtig ist
Ohne TLS-RPT würde eine Organisation womöglich nie erfahren, ob Nachrichten unverschlüsselt übertragen, abgefangen oder wegen Zertifikatsproblemen abgewiesen werden.
Die Implementierung von TLS-RPT hilft Ihnen:
- Die Verschlüsselungsabdeckung für alle ein- und ausgehenden E-Mails zu überprüfen.
- Konfigurationsfehler in MTA-STS oder bei Mailserver-Zertifikaten zu identifizieren.
- Downgrade-Angriffe zu erkennen, bei denen Angreifer versuchen, TLS aus SMTP-Verbindungen zu entfernen.
- Datenschutzvorgaben einzuhalten, die verschlüsselte Kommunikation verlangen.
In Kombination mit MTA-STS bietet TLS-RPT sowohl Richtliniendurchsetzung als auch Transparenz und trägt dazu bei, dass sensible Daten auf dem Transportweg geschützt bleiben.
TLS-RPT und DMARCeye
DMARCeye erweitert die Transparenz über die Authentifizierung hinaus auf die Transportsicherheit, indem es zugehörige DNS-Einträge wie TLS-RPT und MTA-STS überwacht.
Über die Domain-Berichtsoberfläche hilft DMARCeye Ihnen zu bestätigen, dass Ihre TLS-RPT-Konfiguration gültig ist, Ihre Berichte ankommen und keine systematischen TLS-Probleme Ihre E-Mail-Infrastruktur beeinträchtigen.
Durch die Kombination von Authentifizierungs-Einblicken (aus DMARC) und Transport-Reporting (aus TLS-RPT) erhalten Organisationen mit DMARCeye den vollständigen Überblick darüber, wer in ihrem Namen E-Mails versendet und wie sicher diese Nachrichten zugestellt werden.
Registrieren Sie sich für die kostenlose Testversion von DMARCeye und schützen Sie Ihre E-Mail-Domain.
Um mehr über DMARC und verwandte Begriffe zu erfahren, besuchen Sie das DMARCeye-Glossar.