Dernière mise à jour : juillet 2026

En bref : après ce guide, ta zone hébergée chez Gandi publie un enregistrement TLS-RPT et reçoit des rapports quotidiens sur la distribution chiffrée.

Prérequis

  • Un domaine chez Gandi utilisant Gandi LiveDNS
  • Une destination pour les rapports (service d’analyse ou boîte mail)

Qu’est-ce que TLS-RPT ?

TLS-RPT (SMTP TLS Reporting, RFC 8460) est un enregistrement TXT DNS sous _smtp._tls.ton-domaine. Les serveurs destinataires envoient des rapports agrégés quotidiens sur la distribution TLS à l’adresse qui y est nommée. Il n’applique rien — il te montre si ta protection MTA-STS ou DANE fonctionne. Comme Gandi gère LiveDNS pour toi, publier l’enregistrement n’est qu’une entrée TXT de plus.

Note : la doc de Gandi couvre SPF, DKIM et DMARC, mais pas TLS-RPT. L’enregistrement lui-même est un standard défini par la RFC 8460, indépendant du fournisseur — tu le publies dans le LiveDNS de Gandi comme n’importe quel TXT.

Guide étape par étape

1. Définir l’adresse de rapport

Un service d’analyse TLS-RPT traite les rapports JSON. Fais pointer rua dessus (ou, pour démarrer vite, sur une boîte que tu lis vraiment).

2. Créer l’enregistrement TXT dans LiveDNS

Ouvre l’onglet DNS Records de ton domaine et clique sur le bouton vert Add au-dessus du tableau. TLS-RPT vit sur un sous-hôte, donc — comme Gandi le montre pour les TXT — tu utilises un nom de sous-domaine dans le champ nom, ici _smtp._tls :

ChampValeur
TypeTXT
Name_smtp._tls
Valuev=TLSRPTv1; rua=mailto:tlsrpt@beispiel.de

Le LiveDNS de Gandi impose un TTL minimal de 300 secondes — la valeur par défaut convient ici.

3. En même temps que MTA-STS ou DANE

TLS-RPT ne fait que rapporter ; l’application vient de MTA-STS ou — avec une zone signée DNSSEC — de DANE. Mets TLS-RPT en place à côté de l’un des deux pour que les rapports te disent vraiment quelque chose.

4. Attendre que la modification soit en ligne

Les modifications DNS prennent quelques heures selon le TTL ; Gandi indique jusqu’à 72 heures pour une propagation complète.

Vérifier le résultat

Vérifie ta configuration avec le scanner MXAudit gratuit.

dig TXT _smtp._tls.example.com +short

Erreurs fréquentes

Mauvais nom. L’enregistrement va sur _smtp._tls, pas sur le domaine nu.

rua vers une boîte mail normale. Les rapports sont du JSON ; utilise un service d’analyse pour en tirer quelque chose.

TLS-RPT seul. Il ne fait que rapporter ; l’application réelle est assurée par MTA-STS ou DANE.

Pour aller plus loin