Última actualización: julio de 2026

En resumen: Al terminar esta guía tu dominio publicará un registro TLS-RPT, para que los servidores receptores te informen a diario del éxito o el fracaso de la entrega TLS a tu dominio.

Requisitos previos

  • Un dominio que usa Microsoft 365 / Exchange Online como sistema de correo
  • Acceso a la gestión de DNS de tu dominio (en el proveedor de dominio)

¿Qué es TLS-RPT?

TLS-RPT (SMTP TLS Reporting, RFC 8460) es un registro TXT de DNS bajo _smtp._tls.tu-dominio. Nombra una dirección a la que los servidores de correo receptores envían informes agregados diarios sobre la entrega TLS a tu dominio. TLS-RPT en sí mismo no aplica nada — es la visibilidad que te muestra si tu protección MTA-STS aguanta en la práctica.

El punto de partida en Microsoft 365

Como con SPF y DKIM, el registro se crea no en el centro de administración de Microsoft 365, sino en el proveedor de dominio. Microsoft hace algo interesante aquí: en lugar de una dirección mailto:, la infraestructura de Microsoft usa un endpoint de informe HTTPS:

v=TLSRPTv1;rua=https://tlsrpt.azurewebsites.net/report

Encontrarás el mismo registro bajo outlook.com. Ambas variantes de ruamailto: y https: — están permitidas por el estándar; para la mayoría de los dominios, mailto: a un servicio de análisis es la vía más fácil.

Guía paso a paso

1. Define la dirección de informe

Elige un destino para los informes — idealmente un servicio de análisis de TLS-RPT que procese los informes JSON, en vez de un buzón normal.

2. Crea el registro TXT en el proveedor de dominio

  • Nombre de host: _smtp._tls
  • Valor: v=TLSRPTv1; rua=mailto:tlsrpt@beispiel.de

Dónde crear registros TXT lo muestran nuestras guías de proveedores, p. ej. IONOS o Hetzner DNS.

3. Junto con MTA-STS

Combina TLS-RPT con MTA-STS para Microsoft 365: MTA-STS aplica la entrega cifrada, TLS-RPT te informa de si tiene éxito.

4. Espera hasta que el cambio esté activo

Los cambios de DNS tardan unas horas según el TTL.

Los componentes en detalle

ComponenteSignificado
v=TLSRPTv1identificador de versión, siempre al principio
rua=mailto:...destino de email para los informes diarios
rua=https://...alternativamente un endpoint HTTPS (como lo hace el propio Microsoft)

Verifica el resultado

Comprueba tu configuración con el escáner MXAudit gratuito — te muestra TLS-RPT en interacción con MTA-STS y el cifrado de transporte.

O en el terminal:

dig TXT _smtp._tls.example.com +short

Errores habituales

rua a un buzón normal. Los informes son legibles por máquina — usa un servicio de análisis.

TLS-RPT sin MTA-STS. TLS-RPT solo informa. Sin MTA-STS no hay ninguna aplicación sobre la que informar.

Nombre de host incorrecto. _smtp._tls, no _mta-sts.

Más información