Dernière mise à jour : juillet 2026

En bref : après ce guide, ta zone hébergée chez Hetzner publie un enregistrement TLS-RPT et reçoit des rapports quotidiens sur la distribution chiffrée.

Prérequis

  • Une zone DNS chez Hetzner (Hetzner Console)
  • Une destination pour les rapports (service d’analyse ou boîte mail)

Qu’est-ce que TLS-RPT ?

TLS-RPT (SMTP TLS Reporting, RFC 8460) est un enregistrement TXT DNS sous _smtp._tls.ton-domaine. Les serveurs destinataires envoient des rapports agrégés quotidiens sur la distribution TLS à l’adresse qui y est nommée. Il n’applique rien — il te montre si ta protection MTA-STS ou DANE fonctionne. En tant que service DNS pur, Hetzner est idéal pour cela.

Guide étape par étape

1. Définir l’adresse de rapport

Un service d’analyse TLS-RPT traite les rapports JSON.

2. Créer l’enregistrement TXT dans la Hetzner Console

Ouvre ta zone DNS et crée un enregistrement :

ChampValeur
TypeTXT
Nom_smtp._tls
Valeur"v=TLSRPTv1; rua=mailto:tlsrpt@beispiel.de"

Note la particularité Hetzner : la valeur TXT doit être entre guillemets (chez Hetzner, « la valeur doit être entre guillemets »). Pour le domaine racine, Hetzner utilise @ dans le champ Nom ; ici, c’est le sous-hôte _smtp._tls qui y va à la place.

3. En même temps que MTA-STS ou DANE

Combine TLS-RPT avec MTA-STS ou — avec une zone signée DNSSEC — DANE.

4. Attendre que la modification soit en ligne

Les modifications DNS prennent quelques heures selon le TTL.

Vérifier le résultat

Vérifie ta configuration avec le scanner MXAudit gratuit.

dig TXT _smtp._tls.example.com +short

Erreurs fréquentes

Guillemets oubliés. Dans la Hetzner Console, la valeur TXT va entre guillemets.

rua vers une boîte mail normale. Utilise un service d’analyse.

TLS-RPT seul. Il ne fait que rapporter ; l’application est assurée par MTA-STS ou DANE.

Pour aller plus loin