Última actualización: julio de 2026

En resumen: Al terminar esta guía tu dominio publicará un registro TLS-RPT. Los servidores receptores te enviarán entonces informes diarios sobre si la entrega cifrada con TLS a tu dominio funcionó.

Requisitos previos

  • Un dominio que usa Google Workspace como sistema de correo
  • Acceso a la gestión de DNS de tu dominio (en el proveedor de dominio)

¿Qué es TLS-RPT?

TLS-RPT (SMTP TLS Reporting, RFC 8460) es un registro TXT de DNS bajo el nombre de host _smtp._tls.tu-dominio. Nombra una dirección a la que los servidores de correo receptores envían informes agregados diarios: ¿tuvo éxito la negociación TLS en la entrega a tu dominio, o hubo errores de certificado o de cifrado? TLS-RPT en sí mismo no aplica nada — es el ojo que te muestra si tu protección MTA-STS o DANE funciona en la práctica.

El punto de partida en Google Workspace

Como con SPF y DKIM: el registro se crea no en la consola de administración, sino en el proveedor de dominio. La propia Google demuestra cómo es un registro así — la infraestructura de Google publica:

v=TLSRPTv1;rua=mailto:sts-reports@google.com

Encontrarás el mismo registro bajo gmail.com. Para tu propio dominio introduces tu propia dirección de informe de forma análoga.

Guía paso a paso

1. Define una dirección de informe

Decide a dónde deben ir los informes TLS — un buzón o, mejor, un servicio de análisis de TLS-RPT que presente los informes JSON de forma legible. Un buzón simple, si no, se llena de informes legibles por máquina.

2. Crea el registro TXT en el proveedor de dominio

En tu proveedor de DNS, crea un registro TXT:

  • Nombre de host: _smtp._tls
  • Valor: v=TLSRPTv1; rua=mailto:tlsrpt@beispiel.de

Dónde exactamente creas registros TXT lo muestran nuestras guías de proveedores — p. ej. IONOS, Strato o Hetzner DNS.

3. Mejor junto con MTA-STS

TLS-RPT solo despliega su valor junto a una aplicación TLS activa. Configura MTA-STS para Google Workspace en paralelo — entonces MTA-STS dice “cifra obligatoriamente” y TLS-RPT te informa de si funciona.

4. Espera hasta que el cambio esté activo

Los cambios de DNS tardan unas horas según el TTL hasta que son visibles en todo el mundo.

Los componentes en detalle

ComponenteSignificado
v=TLSRPTv1identificador de versión, siempre al principio
rua=mailto:...dirección de destino para los informes TLS diarios
rua=https://...alternativamente un endpoint HTTPS que acepta los informes

Verifica el resultado

Comprueba tu configuración con el escáner MXAudit gratuito — te muestra TLS-RPT en interacción con MTA-STS y el cifrado de transporte de tus servidores MX.

O directamente en el terminal:

dig TXT _smtp._tls.example.com +short

Errores habituales

rua apunta a un buzón normal. Los informes son JSON legibles por máquina. Usa un servicio de análisis, de lo contrario no ves nada entre los datos en bruto.

TLS-RPT sin MTA-STS. TLS-RPT solo informa — no aplica ningún cifrado. Sin MTA-STS o DANE, falta la aplicación que hace significativos los informes.

Nombre de host incorrecto. El registro va en _smtp._tls, no en _mta-sts. Ambos se confunden fácilmente.

Más información