Última actualización: julio de 2026

En resumen: Al terminar esta guía tu zona alojada en Cloudflare publicará un registro TLS-RPT y recibirá informes diarios sobre la entrega cifrada.

Requisitos previos

  • Un dominio cuyo DNS se gestiona en Cloudflare (DNS > Records)
  • Un destino para los informes (servicio de análisis o buzón)

¿Qué es TLS-RPT?

TLS-RPT (SMTP TLS Reporting, RFC 8460) es un registro TXT de DNS bajo _smtp._tls.tu-dominio. Los servidores receptores envían informes agregados diarios sobre la entrega TLS a la dirección allí indicada. No aplica nada — te muestra si tu protección del transporte funciona. Esa protección la aporta MTA-STS, que Cloudflare describe como una forma de protegerse de ataques de degradación y de intermediario en las sesiones SMTP. TLS-RPT son sus ojos.

Cloudflare no tiene una página dedicada a TLS-RPT — pero remite directamente a él: al desplegar MTA-STS, Cloudflare recomienda empezar con mode: testing y monitorizar los informes TLS-RPT durante unas semanas antes de pasar a enforce. Esta guía configura exactamente ese registro de informes. El valor sigue el estándar RFC 8460.

Guía paso a paso

1. Define la dirección de informes

Un servicio de análisis TLS-RPT procesa los informes JSON.

2. Crea el registro TXT en el dashboard de Cloudflare

Ve a DNS > Records, elige Add record, selecciona el Type y rellena los campos requeridos:

CampoValor
TypeTXT
Name_smtp._tls
Contentv=TLSRPTv1; rua=mailto:tlsrpt@beispiel.de
TTLAuto

Cloudflare usa un campo Content normal — sin comillas. El campo TTL (Time to Live) controla cuánto tiempo es válido cada registro; Auto está bien.

Pulsa Save.

3. Junto con MTA-STS

Combina TLS-RPT con MTA-STS. En Cloudflare, MTA-STS se configura con un CNAME _mta-sts más un archivo de política servido por HTTPS — consulta la guía MTA-STS de Cloudflare. Despliega MTA-STS primero en modo testing y observa los informes TLS-RPT antes de pasar a enforce.

4. Espera hasta que el cambio esté activo

Los cambios de DNS tardan un rato según el TTL.

Verifica el resultado

Comprueba tu configuración con el escáner MXAudit gratuito.

dig TXT _smtp._tls.example.com +short

Errores habituales

rua hacia un buzón normal. Los informes son JSON — usa un servicio de análisis, no tu bandeja de entrada.

TLS-RPT solo. Únicamente informa; la aplicación la aporta MTA-STS. Configura ambos.

Pasar MTA-STS directamente a enforce. Cloudflare advierte de empezar en testing y monitorizar primero los informes TLS-RPT, o podría rechazarse correo entrante legítimo.

Más información