Dernière mise à jour : juillet 2026
En bref : après ce guide, ton domaine publie un enregistrement TLS-RPT. Les serveurs destinataires t’envoient alors des rapports quotidiens indiquant si la distribution chiffrée en TLS vers ton domaine a fonctionné.
Prérequis
- Un domaine qui utilise Google Workspace comme système de messagerie
- L’accès à la gestion DNS de ton domaine (chez l’hébergeur du domaine)
Qu’est-ce que TLS-RPT ?
TLS-RPT (SMTP TLS Reporting, RFC 8460) est un enregistrement TXT DNS sous le nom d’hôte _smtp._tls.ton-domaine. Il nomme une adresse à laquelle les serveurs de messagerie destinataires envoient des rapports agrégés quotidiens : la négociation TLS lors de la distribution vers ton domaine a-t-elle réussi, ou y a-t-il eu des erreurs de certificat ou de chiffrement ? TLS-RPT lui-même n’applique rien — c’est l’œil qui te montre si ta protection MTA-STS ou DANE fonctionne en pratique.
Le point de départ chez Google Workspace
Comme pour SPF et DKIM : l’enregistrement se crée non pas dans la console d’administration, mais chez l’hébergeur du domaine. Google montre lui-même à quoi ressemble un tel enregistrement — l’infrastructure Google publie :
v=TLSRPTv1;rua=mailto:sts-reports@google.com
Tu trouves le même enregistrement sous gmail.com. Pour ton propre domaine, tu saisis ta propre adresse de rapport de manière analogue.
Guide étape par étape
1. Définir une adresse de rapport
Décide où doivent aller les rapports TLS — une boîte mail ou, mieux, un service d’analyse TLS-RPT qui présente les rapports JSON de façon lisible. Une simple boîte mail se remplit sinon de rapports lisibles par machine.
2. Créer l’enregistrement TXT chez l’hébergeur du domaine
Chez ton fournisseur DNS, crée un enregistrement TXT :
- Nom d’hôte :
_smtp._tls - Valeur :
v=TLSRPTv1; rua=mailto:tlsrpt@beispiel.de
L’endroit exact où créer les enregistrements TXT est montré dans nos guides d’hébergeurs — par ex. IONOS, Strato ou Hetzner DNS.
3. De préférence avec MTA-STS
TLS-RPT ne déploie sa valeur qu’aux côtés d’une application TLS active. Configure MTA-STS pour Google Workspace en parallèle — MTA-STS dit alors « chiffre obligatoirement » et TLS-RPT te fait un rapport pour dire si cela fonctionne.
4. Attendre que la modification soit en ligne
Les modifications DNS prennent quelques heures selon le TTL avant d’être visibles dans le monde entier.
Les composants en détail
| Composant | Signification |
|---|---|
v=TLSRPTv1 | identifiant de version, toujours au début |
rua=mailto:... | adresse de destination pour les rapports TLS quotidiens |
rua=https://... | comme alternative, un point de terminaison HTTPS qui accepte les rapports |
Vérifier le résultat
Vérifie ta configuration avec le scanner MXAudit gratuit — il te montre TLS-RPT en interaction avec MTA-STS et le chiffrement du transport de tes serveurs MX.
Ou directement dans le terminal :
dig TXT _smtp._tls.example.com +short
Erreurs fréquentes
rua pointe vers une boîte mail normale. Les rapports sont du JSON lisible par machine. Utilise un service d’analyse, sinon tu ne vois rien au milieu des données brutes.
TLS-RPT sans MTA-STS. TLS-RPT ne fait que rapporter — il n’applique aucun chiffrement. Sans MTA-STS ou DANE, il manque l’application qui rend les rapports pertinents.
Mauvais nom d’hôte. L’enregistrement doit se trouver à _smtp._tls, pas à _mta-sts. Les deux se confondent facilement.
