Dernière mise à jour : juillet 2026
En bref : après ce guide, ton domaine Mailcow publie un enregistrement TLS-RPT. Les serveurs destinataires te font alors un rapport quotidien pour dire si la distribution TLS vers ton serveur a fonctionné.
Prérequis
- Un serveur Mailcow en fonctionnement
- L’accès à la gestion DNS de ton domaine
- Une destination pour les rapports (service d’analyse ou boîte mail)
Qu’est-ce que TLS-RPT ?
TLS-RPT (SMTP TLS Reporting, RFC 8460) est un enregistrement TXT DNS sous _smtp._tls.ton-domaine. Il nomme une adresse à laquelle les serveurs destinataires envoient des rapports agrégés quotidiens sur la distribution TLS. En auto-hébergement, c’est particulièrement précieux : tu apprends tôt si un certificat expiré ou une politique MTA-STS cassée fait échouer les distributions chiffrées vers ton serveur.
Le point de départ chez Mailcow
Mailcow ne définit pas lui-même l’enregistrement — ta zone DNS est chez ton fournisseur DNS. Tu y crées un enregistrement TXT. Que ce soit une pratique standard, les grands auto-hébergeurs allemands le montrent : posteo.de publie
v=TLSRPTv1; rua=mailto:tlsrpt@posteo.de
et mailbox.org (Heinlein) utilise
v=TLSRPTv1;rua=mailto:abuse@heinlein-support.de
Tu construis exactement un tel enregistrement pour ton propre domaine.
Guide étape par étape
1. Définir la destination du rapport
Un service d’analyse TLS-RPT présente les rapports JSON de façon lisible. Une boîte mail normale fonctionne aussi pour commencer, mais devient vite ingérable.
2. Créer l’enregistrement TXT dans la zone DNS
- Nom d’hôte :
_smtp._tls - Valeur :
v=TLSRPTv1; rua=mailto:tlsrpt@beispiel.de
L’endroit où créer les enregistrements TXT dépend du fournisseur DNS — voir par ex. Hetzner DNS ou Netcup.
3. En même temps que MTA-STS et DANE
TLS-RPT est l’œil, MTA-STS et DANE sont les poings. En auto-hébergement, tu peux configurer les trois proprement — TLS-RPT te fait alors un rapport pour dire si l’application fonctionne.
4. Attendre que la modification soit en ligne
Les modifications DNS prennent quelques heures selon le TTL.
Les composants en détail
| Composant | Signification |
|---|---|
v=TLSRPTv1 | identifiant de version, toujours au début |
rua=mailto:... | destination e-mail pour les rapports quotidiens |
rua=https://... | comme alternative, un point de terminaison HTTPS |
Vérifier le résultat
Vérifie ta configuration avec le scanner MXAudit gratuit — il montre TLS-RPT avec MTA-STS, DANE et le chiffrement du transport de tes MX.
Ou dans le terminal :
dig TXT _smtp._tls.example.com +short
Erreurs fréquentes
rua vers une boîte mail normale. Utilise un service d’analyse pour les rapports lisibles par machine.
TLS-RPT seul. Il ne fait que rapporter — l’application est assurée par MTA-STS et DANE. Sans eux, tu as des rapports, mais aucune protection.
Mauvais nom d’hôte. _smtp._tls, pas _mta-sts.
