Dernière mise à jour : juillet 2026

En bref : après ce guide, ton domaine publie un enregistrement TLS-RPT, pour que les serveurs destinataires te fassent quotidiennement un rapport sur le succès ou l’échec de la distribution TLS vers ton domaine.

Prérequis

  • Un domaine qui utilise Microsoft 365 / Exchange Online comme système de messagerie
  • L’accès à la gestion DNS de ton domaine (chez l’hébergeur du domaine)

Qu’est-ce que TLS-RPT ?

TLS-RPT (SMTP TLS Reporting, RFC 8460) est un enregistrement TXT DNS sous _smtp._tls.ton-domaine. Il nomme une adresse à laquelle les serveurs de messagerie destinataires envoient des rapports agrégés quotidiens sur la distribution TLS vers ton domaine. TLS-RPT lui-même n’applique rien — c’est la visibilité qui te montre si ta protection MTA-STS tient en pratique.

Le point de départ chez Microsoft 365

Comme pour SPF et DKIM, l’enregistrement se crée non pas dans le centre d’administration Microsoft 365, mais chez l’hébergeur du domaine. Microsoft fait ici quelque chose d’intéressant : au lieu d’une adresse mailto:, l’infrastructure Microsoft utilise un point de terminaison de rapport HTTPS :

v=TLSRPTv1;rua=https://tlsrpt.azurewebsites.net/report

Tu trouves le même enregistrement sous outlook.com. Les deux variantes de ruamailto: et https: — sont autorisées par la norme ; pour la plupart des domaines, mailto: vers un service d’analyse est la voie la plus simple.

Guide étape par étape

1. Définir l’adresse de rapport

Choisis une destination pour les rapports — idéalement un service d’analyse TLS-RPT qui traite les rapports JSON, plutôt qu’une boîte mail normale.

2. Créer l’enregistrement TXT chez l’hébergeur du domaine

  • Nom d’hôte : _smtp._tls
  • Valeur : v=TLSRPTv1; rua=mailto:tlsrpt@beispiel.de

L’endroit où créer les enregistrements TXT est montré dans nos guides d’hébergeurs, par ex. IONOS ou Hetzner DNS.

3. En même temps que MTA-STS

Combine TLS-RPT avec MTA-STS pour Microsoft 365 : MTA-STS applique la distribution chiffrée, TLS-RPT te fait un rapport pour dire si elle réussit.

4. Attendre que la modification soit en ligne

Les modifications DNS prennent quelques heures selon le TTL.

Les composants en détail

ComposantSignification
v=TLSRPTv1identifiant de version, toujours au début
rua=mailto:...destination e-mail pour les rapports quotidiens
rua=https://...comme alternative, un point de terminaison HTTPS (la manière dont Microsoft procède lui-même)

Vérifier le résultat

Vérifie ta configuration avec le scanner MXAudit gratuit — il montre TLS-RPT en interaction avec MTA-STS et le chiffrement du transport.

Ou dans le terminal :

dig TXT _smtp._tls.example.com +short

Erreurs fréquentes

rua vers une boîte mail normale. Les rapports sont lisibles par machine — utilise un service d’analyse.

TLS-RPT sans MTA-STS. TLS-RPT ne fait que rapporter. Sans MTA-STS, il n’y a aucune application à rapporter.

Mauvais nom d’hôte. _smtp._tls, pas _mta-sts.

Pour aller plus loin