Dernière mise à jour : juillet 2026
En bref : TLS-RPT (TLS Reporting) te permet d’être alerté en cas d’échec de chiffrement lors de la livraison d’e-mails vers ton serveur LWS. Pour l’activer, il te suffit d’ajouter un enregistrement TXT sur le sous-domaine
_smtp._tlsdepuis ton LWS Panel.
Prérequis
- Un nom de domaine géré chez LWS ou dont la zone DNS y est hébergée
- Accès à l’espace client LWS Panel
- Une adresse e-mail dédiée ou un service d’analyse capable de traiter les rapports quotidiens au format JSON compressé
Qu’est-ce que TLS-RPT ?
TLS-RPT (SMTP TLS Reporting, défini par le RFC 8460) offre une visibilité complète sur la sécurité des connexions entrantes. Lorsqu’un serveur de messagerie externe (comme Gmail, Microsoft 365 ou Yahoo) se connecte à ton hébergement LWS pour te livrer un e-mail, il négocie un canal chiffré TLS.
Si cette négociation échoue — en raison d’un certificat expiré, d’une attaque réseau interceptant la connexion ou d’un paramétrage incompatible — TLS-RPT demande au serveur expéditeur de générer et de t’envoyer un rapport de diagnostic détaillé au format JSON/GZIP.
Cette surveillance est particulièrement cruciale lorsque tu déploies des politiques strictes comme MTA-STS ou DANE, afin de t’assurer que le durcissement du chiffrement ne bloque pas de messages importants.
Le point de départ chez LWS
Sur un compte LWS, l’activation de TLS-RPT se fait par l’ajout d’une entrée textuelle dans la zone DNS de ton domaine. L’interface d’administration indique clairement le menu à utiliser :
Dans le LWS Panel , allez dans la section « Zone DNS > Ajouter un enregistrement TXT ».
Tu y publieras un enregistrement de type TXT sur le sous-domaine technique standardisé _smtp._tls.
Guide étape par étape
1. Vérifier si un enregistrement TLS-RPT existe déjà
Avant de modifier ta zone DNS, contrôle l’état actuel de ton nom de domaine en ouvrant ton terminal :
dig TXT _smtp._tls.example.com +short
Si la commande renvoie une chaîne commençant par v=TLSRPTv1;, une politique de reporting est déjà active. Si la réponse est vide, procède à la configuration.
2. Accéder à la gestion de la zone DNS dans le LWS Panel
Connecte-toi à ton espace LWS Panel. Clique sur le nom de domaine sur lequel tu souhaites activer la surveillance, puis navigue vers l’outil d’édition des enregistrements (Zone DNS > Ajouter un enregistrement TXT).
3. Publier l’enregistrement TXT TLS-RPT
Dans le formulaire d’ajout, configure les champs avec les paramètres suivants :
- Nom / Hôte :
_smtp._tls(ou_smtp._tls.votredomaine.com.selon l’affichage du LWS Panel) - Type : TXT
- TTL : Par défaut (ex.
3600) - Valeur / Contenu :
v=TLSRPTv1; rua=mailto:tls-reports@example.com
(Remplace tls-reports@example.com par l’adresse e-mail où tu souhaites recevoir les rapports techniques).
Clique sur le bouton d’ajout/validation pour enregistrer la règle dans ta zone DNS.
Les composants en détail
| Composant | Signification |
|---|---|
_smtp._tls | Le sous-domaine technique universel où les serveurs expéditeurs vont chercher la politique TLS-RPT |
v=TLSRPTv1 | Identifiant obligatoire du protocole (doit toujours être en toute première position dans la valeur) |
rua=mailto:... | L’URI de destination vers laquelle les rapports de diagnostic quotidiens sont expédiés par e-mail |
Vérifier le résultat
Après avoir ajouté l’enregistrement et patienté quelques minutes, teste immédiatement la conformité et la syntaxe de ta politique avec le scanner MXAudit gratuit — il contrôle la validité de ta chaîne TLS-RPT et vérifie sa cohérence avec tes autres sécurités e-mail.
Tu peux également vérifier en ligne de commande que l’enregistrement est bien accessible :
dig TXT _smtp._tls.example.com +short
La commande doit retourner exactement ta valeur "v=TLSRPTv1; rua=mailto:tls-reports@example.com".
Erreurs fréquentes
- Publier sur
@ou_tls: Les serveurs de messagerie recherchent exclusivement l’enregistrement sous le nom_smtp._tls. Le placer sur la racine ou sur un autre sous-domaine rendra la politique invisible. - Oublier
mailto:: La syntaxe de l’URI de rapport exige obligatoirement le préfixemailto:. Écrire uniquement l’adresse e-mail dans la valeur empêchera les serveurs de t’expédier les rapports. - Utiliser une adresse e-mail personnelle : Les rapports TLS-RPT sont des fichiers techniques bruts (JSON compressé). Pour ne pas polluer ta boîte de réception principale, utilise une adresse e-mail dédiée ou un outil tiers spécialisé.
Pour aller plus loin
- Tutoriels LWS — Comment configurer SPF, DKIM et DMARC sur un nom de domaine (consulté le 17 juillet 2026)
- RFC 8460 — SMTP TLS Reporting (TLS-RPT)
