Última actualización: julio de 2026
En resumen: Al terminar esta guía tu dominio publicará un registro TLS-RPT, para que los servidores receptores te informen a diario del éxito o el fracaso de la entrega TLS a tu dominio.
Requisitos previos
- Un dominio que usa Microsoft 365 / Exchange Online como sistema de correo
- Acceso a la gestión de DNS de tu dominio (en el proveedor de dominio)
¿Qué es TLS-RPT?
TLS-RPT (SMTP TLS Reporting, RFC 8460) es un registro TXT de DNS bajo _smtp._tls.tu-dominio. Nombra una dirección a la que los servidores de correo receptores envían informes agregados diarios sobre la entrega TLS a tu dominio. TLS-RPT en sí mismo no aplica nada — es la visibilidad que te muestra si tu protección MTA-STS aguanta en la práctica.
El punto de partida en Microsoft 365
Como con SPF y DKIM, el registro se crea no en el centro de administración de Microsoft 365, sino en el proveedor de dominio. Microsoft hace algo interesante aquí: en lugar de una dirección mailto:, la infraestructura de Microsoft usa un endpoint de informe HTTPS:
v=TLSRPTv1;rua=https://tlsrpt.azurewebsites.net/report
Encontrarás el mismo registro bajo outlook.com. Ambas variantes de rua — mailto: y https: — están permitidas por el estándar; para la mayoría de los dominios, mailto: a un servicio de análisis es la vía más fácil.
Guía paso a paso
1. Define la dirección de informe
Elige un destino para los informes — idealmente un servicio de análisis de TLS-RPT que procese los informes JSON, en vez de un buzón normal.
2. Crea el registro TXT en el proveedor de dominio
- Nombre de host:
_smtp._tls - Valor:
v=TLSRPTv1; rua=mailto:tlsrpt@beispiel.de
Dónde crear registros TXT lo muestran nuestras guías de proveedores, p. ej. IONOS o Hetzner DNS.
3. Junto con MTA-STS
Combina TLS-RPT con MTA-STS para Microsoft 365: MTA-STS aplica la entrega cifrada, TLS-RPT te informa de si tiene éxito.
4. Espera hasta que el cambio esté activo
Los cambios de DNS tardan unas horas según el TTL.
Los componentes en detalle
| Componente | Significado |
|---|---|
v=TLSRPTv1 | identificador de versión, siempre al principio |
rua=mailto:... | destino de email para los informes diarios |
rua=https://... | alternativamente un endpoint HTTPS (como lo hace el propio Microsoft) |
Verifica el resultado
Comprueba tu configuración con el escáner MXAudit gratuito — te muestra TLS-RPT en interacción con MTA-STS y el cifrado de transporte.
O en el terminal:
dig TXT _smtp._tls.example.com +short
Errores habituales
rua a un buzón normal. Los informes son legibles por máquina — usa un servicio de análisis.
TLS-RPT sin MTA-STS. TLS-RPT solo informa. Sin MTA-STS no hay ninguna aplicación sobre la que informar.
Nombre de host incorrecto. _smtp._tls, no _mta-sts.
