Dernière mise à jour : juillet 2026
En bref : après ce guide, ta zone hébergée chez Cloudflare publie un enregistrement TLS-RPT et reçoit des rapports quotidiens sur la distribution chiffrée.
Prérequis
- Un domaine dont le DNS est géré chez Cloudflare (DNS > Records)
- Une destination pour les rapports (service d’analyse ou boîte mail)
Qu’est-ce que TLS-RPT ?
TLS-RPT (SMTP TLS Reporting, RFC 8460) est un enregistrement TXT DNS sous _smtp._tls.ton-domaine. Les serveurs destinataires envoient des rapports agrégés quotidiens sur la distribution TLS à l’adresse qui y est nommée. Il n’applique rien — il te montre si ta protection du transport fonctionne. Cette protection, c’est MTA-STS, que Cloudflare décrit comme un moyen de se protéger des attaques par déclassement et de l’homme du milieu dans les sessions SMTP. TLS-RPT en est les yeux.
Cloudflare n’a pas de page dédiée à TLS-RPT — mais y renvoie directement : pour déployer MTA-STS, Cloudflare recommande de commencer avec mode: testing et de surveiller les rapports TLS-RPT pendant quelques semaines avant de passer à enforce. Ce guide met en place exactement cet enregistrement de reporting. La valeur suit le standard RFC 8460.
Guide étape par étape
1. Définir l’adresse de rapport
Un service d’analyse TLS-RPT traite les rapports JSON.
2. Créer l’enregistrement TXT dans le dashboard Cloudflare
Va dans DNS > Records, choisis Add record, sélectionne le Type et remplis les champs requis :
| Champ | Valeur |
|---|---|
| Type | TXT |
| Name | _smtp._tls |
| Content | v=TLSRPTv1; rua=mailto:tlsrpt@beispiel.de |
| TTL | Auto |
Cloudflare utilise un simple champ Content — pas de guillemets. Le champ TTL (Time to Live) contrôle la durée de validité de chaque enregistrement ; Auto convient.
Clique sur Save.
3. En même temps que MTA-STS
Combine TLS-RPT avec MTA-STS. Chez Cloudflare, MTA-STS se met en place avec un CNAME _mta-sts plus un fichier de politique servi en HTTPS — voir le guide MTA-STS de Cloudflare. Déploie MTA-STS d’abord en mode testing et observe les rapports TLS-RPT avant de passer à enforce.
4. Attendre que la modification soit en ligne
Les modifications DNS prennent un moment selon le TTL.
Vérifier le résultat
Vérifie ta configuration avec le scanner MXAudit gratuit.
dig TXT _smtp._tls.example.com +short
Erreurs fréquentes
rua vers une boîte mail normale. Les rapports sont du JSON — utilise un service d’analyse, pas ta boîte de réception.
TLS-RPT seul. Il ne fait que rapporter ; l’application est assurée par MTA-STS. Mets les deux en place.
Passer MTA-STS directement en enforce. Cloudflare avertit de commencer en testing et de surveiller d’abord les rapports TLS-RPT, sous peine de rejeter du courrier entrant légitime.
Pour aller plus loin
- Docs Cloudflare : Configure MTA-STS (consulté le 10 juillet 2026)
- Docs Cloudflare : Manage DNS records (consulté le 10 juillet 2026)
- RFC 8460 — SMTP TLS Reporting
