Última actualización: julio de 2026
En resumen: Al terminar esta guía tu zona alojada en Cloudflare publicará un registro TLS-RPT y recibirá informes diarios sobre la entrega cifrada.
Requisitos previos
- Un dominio cuyo DNS se gestiona en Cloudflare (DNS > Records)
- Un destino para los informes (servicio de análisis o buzón)
¿Qué es TLS-RPT?
TLS-RPT (SMTP TLS Reporting, RFC 8460) es un registro TXT de DNS bajo _smtp._tls.tu-dominio. Los servidores receptores envían informes agregados diarios sobre la entrega TLS a la dirección allí indicada. No aplica nada — te muestra si tu protección del transporte funciona. Esa protección la aporta MTA-STS, que Cloudflare describe como una forma de protegerse de ataques de degradación y de intermediario en las sesiones SMTP. TLS-RPT son sus ojos.
Cloudflare no tiene una página dedicada a TLS-RPT — pero remite directamente a él: al desplegar MTA-STS, Cloudflare recomienda empezar con mode: testing y monitorizar los informes TLS-RPT durante unas semanas antes de pasar a enforce. Esta guía configura exactamente ese registro de informes. El valor sigue el estándar RFC 8460.
Guía paso a paso
1. Define la dirección de informes
Un servicio de análisis TLS-RPT procesa los informes JSON.
2. Crea el registro TXT en el dashboard de Cloudflare
Ve a DNS > Records, elige Add record, selecciona el Type y rellena los campos requeridos:
| Campo | Valor |
|---|---|
| Type | TXT |
| Name | _smtp._tls |
| Content | v=TLSRPTv1; rua=mailto:tlsrpt@beispiel.de |
| TTL | Auto |
Cloudflare usa un campo Content normal — sin comillas. El campo TTL (Time to Live) controla cuánto tiempo es válido cada registro; Auto está bien.
Pulsa Save.
3. Junto con MTA-STS
Combina TLS-RPT con MTA-STS. En Cloudflare, MTA-STS se configura con un CNAME _mta-sts más un archivo de política servido por HTTPS — consulta la guía MTA-STS de Cloudflare. Despliega MTA-STS primero en modo testing y observa los informes TLS-RPT antes de pasar a enforce.
4. Espera hasta que el cambio esté activo
Los cambios de DNS tardan un rato según el TTL.
Verifica el resultado
Comprueba tu configuración con el escáner MXAudit gratuito.
dig TXT _smtp._tls.example.com +short
Errores habituales
rua hacia un buzón normal. Los informes son JSON — usa un servicio de análisis, no tu bandeja de entrada.
TLS-RPT solo. Únicamente informa; la aplicación la aporta MTA-STS. Configura ambos.
Pasar MTA-STS directamente a enforce. Cloudflare advierte de empezar en testing y monitorizar primero los informes TLS-RPT, o podría rechazarse correo entrante legítimo.
Más información
- Docs de Cloudflare: Configure MTA-STS (consultado el 10 de julio de 2026)
- Docs de Cloudflare: Manage DNS records (consultado el 10 de julio de 2026)
- RFC 8460 — SMTP TLS Reporting
