Dernière mise à jour : juillet 2026
En bref : TLS-RPT (TLS Reporting) te permet de recevoir des rapports de diagnostic quotidiens en cas d’échec de chiffrement lors de la livraison d’e-mails vers ton domaine. Chez Infomaniak, la configuration s’effectue simplement en ajoutant un enregistrement TXT sur le sous-domaine
_smtp._tlsdans le Manager.
Prérequis
- Un nom de domaine géré chez Infomaniak ou dont la zone DNS est sur le Manager
- Accès au Manager Infomaniak (
https://manager.infomaniak.com) - Une adresse e-mail dédiée (ou un service de traitement automatisé) pour collecter les rapports JSON compressés
Qu’est-ce que TLS-RPT ?
TLS-RPT (SMTP TLS Reporting, standardisé sous le RFC 8460) est un protocole d’alerte et de diagnostic pour les connexions e-mail entrantes. Lorsqu’un serveur expéditeur (comme Gmail ou Microsoft 365) contacte les serveurs de messagerie d’Infomaniak pour te livrer un message, il tente d’établir une connexion chiffrée TLS.
Si cette négociation échoue — en raison d’une interception réseau, d’un problème d’authentification de certificat ou d’une incompatibilité technique — TLS-RPT ordonne au serveur expéditeur de générer un rapport technique et de te l’envoyer au format JSON/GZIP.
Cette surveillance est indispensable lorsque tu sécurises ton infrastructure e-mail avec MTA-STS ou DANE, afin de vérifier que les politiques strictes ne perturbent pas la réception de tes e-mails légitimes.
Le point de départ chez Infomaniak
Dans le Manager Infomaniak, l’activation du reporting TLS nécessite d’ajouter une entrée textuelle spécifique dans ton gestionnaire de zone DNS. La documentation générale dédiée à la gestion des enregistrements TXT décrit le chemin de navigation dans l’interface :
Cliquez sur Zone DNS dans le menu latéral gauche. Cliquez le bouton pour ajouter un enregistrement: Cliquez sur le bouton radio TXT pour ajouter un enregistrement.
Ensuite, concernant le paramétrage technique du formulaire de saisie, le support donne une règle simple :
Entrez les valeurs du TXT nécessaire à votre zone DNS. Laissez la valeur par défaut au niveau du TTL.
Tu y publieras un enregistrement sur le sous-domaine technique standardisé _smtp._tls.
Guide étape par étape
1. Vérifier si un enregistrement TLS-RPT est déjà actif
Avant de modifier ta zone DNS, contrôle depuis ton terminal si une politique est déjà publiée pour ton nom de domaine :
dig TXT _smtp._tls.example.com +short
Si une chaîne commençant par v=TLSRPTv1; apparaît, le reporting est déjà en place. Dans le cas contraire, suis les étapes ci-dessous pour le créer.
2. Accéder à la zone DNS dans le Manager Infomaniak
Connecte-toi à ton Manager Infomaniak. Dans le menu latéral de gauche, clique sur Domaines puis sélectionne le domaine concerné. Rends-toi ensuite sur l’onglet Zone DNS.
3. Créer l’enregistrement TXT _smtp._tls
Suis la procédure indiquée par la documentation :
- Dans la vue de ta zone, clique pour ajouter un enregistrement puis sélectionne le type TXT (
Cliquez le bouton radio TXT pour ajouter un enregistrement). - Renseigne les paramètres suivants :
- Source / Hôte :
_smtp._tls - Type : TXT
- TTL : Par défaut (la valeur suggérée par Infomaniak)
- Cible / Valeur :
v=TLSRPTv1; rua=mailto:tls-reports@example.com
- Source / Hôte :
(Remplace tls-reports@example.com par l’adresse e-mail où tu souhaites réceptionner les rapports quotidiens).
Valide la création pour activer la surveillance.
Les composants en détail
| Composant | Signification |
|---|---|
_smtp._tls | Le sous-domaine technique universel où les serveurs expéditeurs vont chercher les consignes TLS-RPT |
v=TLSRPTv1 | Identifiant de la version du protocole (doit obligatoirement figurer au tout début de la chaîne) |
rua=mailto:... | L’URI de destination (mailto:) sur laquelle les rapports agrégés de diagnostic sont envoyés par e-mail |
Vérifier le résultat
Après avoir enregistré ta configuration dans le Manager Infomaniak, vérifie immédiatement sa validité avec le scanner MXAudit gratuit — il contrôle la syntaxe de ta règle TLS-RPT et vérifie sa conformité dans ta chaîne de sécurité.
Tu peux aussi vérifier en ligne de commande que l’enregistrement est parfaitement accessible :
dig TXT _smtp._tls.example.com +short
La sortie doit retourner exactement "v=TLSRPTv1; rua=mailto:tls-reports@example.com".
Erreurs fréquentes
- Oublier le protocole
mailto:: La syntaxe de l’URI dans le paramètreruaexige impérativement la présence du préfixemailto:. Indiquer directement l’adresse e-mail rendra l’enregistrement invalide. - Créer l’enregistrement sur la racine (
@) : Le reporting TLS recherche exclusivement le sous-domaine_smtp._tls. Publier la règle sur un autre emplacement empêchera la collecte des rapports. - Utiliser son adresse e-mail quotidienne : Les rapports TLS-RPT sont des fichiers techniques bruts (au format JSON compressé). Utilise une adresse e-mail dédiée ou un service spécialisé afin de ne pas encombrer ta boîte aux lettres principale.
Pour aller plus loin
- FAQ Infomaniak — Gérer les enregistrements TXT de la zone DNS (consulté le 17 juillet 2026)
- RFC 8460 — SMTP TLS Reporting (TLS-RPT)
