Última actualización: julio de 2026
En resumen: Al terminar esta guía tu dominio de Mailcow publicará un registro TLS-RPT. Los servidores receptores te informarán entonces a diario de si la entrega TLS a tu servidor funcionó.
Requisitos previos
- Un servidor Mailcow en marcha
- Acceso a la gestión de DNS de tu dominio
- Un destino para los informes (servicio de análisis o buzón)
¿Qué es TLS-RPT?
TLS-RPT (SMTP TLS Reporting, RFC 8460) es un registro TXT de DNS bajo _smtp._tls.tu-dominio. Nombra una dirección a la que los servidores receptores envían informes agregados diarios sobre la entrega TLS. Al autoalojar esto es especialmente valioso: te enteras pronto si un certificado caducado o una política MTA-STS rota hacen fallar las entregas cifradas a tu servidor.
El punto de partida en Mailcow
Mailcow no define el registro por sí mismo — tu zona DNS está en tu proveedor de DNS. Creas ahí un registro TXT. Que esto es práctica estándar lo muestran los grandes autoalojadores alemanes: posteo.de publica
v=TLSRPTv1; rua=mailto:tlsrpt@posteo.de
y mailbox.org (Heinlein) usa
v=TLSRPTv1;rua=mailto:abuse@heinlein-support.de
Construyes exactamente un registro así para tu propio dominio.
Guía paso a paso
1. Define el destino de los informes
Un servicio de análisis de TLS-RPT presenta los informes JSON de forma legible. Un buzón normal también sirve para empezar, pero enseguida se vuelve inmanejable.
2. Crea el registro TXT en la zona DNS
- Nombre de host:
_smtp._tls - Valor:
v=TLSRPTv1; rua=mailto:tlsrpt@beispiel.de
Dónde creas registros TXT depende del proveedor de DNS — consulta p. ej. Hetzner DNS o Netcup.
3. Junto con MTA-STS y DANE
TLS-RPT es el ojo, MTA-STS y DANE son los puños. Al autoalojar puedes configurar los tres limpiamente — TLS-RPT te informa entonces de si la aplicación funciona.
4. Espera hasta que el cambio esté activo
Los cambios de DNS tardan unas horas según el TTL.
Los componentes en detalle
| Componente | Significado |
|---|---|
v=TLSRPTv1 | identificador de versión, siempre al principio |
rua=mailto:... | destino de email para los informes diarios |
rua=https://... | alternativamente un endpoint HTTPS |
Verifica el resultado
Comprueba tu configuración con el escáner MXAudit gratuito — te muestra TLS-RPT junto con MTA-STS, DANE y el cifrado de transporte de tu MX.
O en el terminal:
dig TXT _smtp._tls.example.com +short
Errores habituales
rua a un buzón normal. Usa un servicio de análisis para los informes legibles por máquina.
TLS-RPT solo. Solo informa — la aplicación la entregan MTA-STS y DANE. Sin ellos tienes informes, pero ninguna protección.
Nombre de host incorrecto. _smtp._tls, no _mta-sts.
