Dernière mise à jour : juillet 2026

En bref : après ce guide, ta zone hébergée chez Cloudflare publie un enregistrement TLS-RPT et reçoit des rapports quotidiens sur la distribution chiffrée.

Prérequis

  • Un domaine dont le DNS est géré chez Cloudflare (DNS > Records)
  • Une destination pour les rapports (service d’analyse ou boîte mail)

Qu’est-ce que TLS-RPT ?

TLS-RPT (SMTP TLS Reporting, RFC 8460) est un enregistrement TXT DNS sous _smtp._tls.ton-domaine. Les serveurs destinataires envoient des rapports agrégés quotidiens sur la distribution TLS à l’adresse qui y est nommée. Il n’applique rien — il te montre si ta protection du transport fonctionne. Cette protection, c’est MTA-STS, que Cloudflare décrit comme un moyen de se protéger des attaques par déclassement et de l’homme du milieu dans les sessions SMTP. TLS-RPT en est les yeux.

Cloudflare n’a pas de page dédiée à TLS-RPT — mais y renvoie directement : pour déployer MTA-STS, Cloudflare recommande de commencer avec mode: testing et de surveiller les rapports TLS-RPT pendant quelques semaines avant de passer à enforce. Ce guide met en place exactement cet enregistrement de reporting. La valeur suit le standard RFC 8460.

Guide étape par étape

1. Définir l’adresse de rapport

Un service d’analyse TLS-RPT traite les rapports JSON.

2. Créer l’enregistrement TXT dans le dashboard Cloudflare

Va dans DNS > Records, choisis Add record, sélectionne le Type et remplis les champs requis :

ChampValeur
TypeTXT
Name_smtp._tls
Contentv=TLSRPTv1; rua=mailto:tlsrpt@beispiel.de
TTLAuto

Cloudflare utilise un simple champ Content — pas de guillemets. Le champ TTL (Time to Live) contrôle la durée de validité de chaque enregistrement ; Auto convient.

Clique sur Save.

3. En même temps que MTA-STS

Combine TLS-RPT avec MTA-STS. Chez Cloudflare, MTA-STS se met en place avec un CNAME _mta-sts plus un fichier de politique servi en HTTPS — voir le guide MTA-STS de Cloudflare. Déploie MTA-STS d’abord en mode testing et observe les rapports TLS-RPT avant de passer à enforce.

4. Attendre que la modification soit en ligne

Les modifications DNS prennent un moment selon le TTL.

Vérifier le résultat

Vérifie ta configuration avec le scanner MXAudit gratuit.

dig TXT _smtp._tls.example.com +short

Erreurs fréquentes

rua vers une boîte mail normale. Les rapports sont du JSON — utilise un service d’analyse, pas ta boîte de réception.

TLS-RPT seul. Il ne fait que rapporter ; l’application est assurée par MTA-STS. Mets les deux en place.

Passer MTA-STS directement en enforce. Cloudflare avertit de commencer en testing et de surveiller d’abord les rapports TLS-RPT, sous peine de rejeter du courrier entrant légitime.

Pour aller plus loin