Dernière mise à jour : juillet 2026
En bref : après ce guide, ton domaine publie un enregistrement TLS-RPT, pour que les serveurs destinataires te fassent quotidiennement un rapport sur le succès ou l’échec de la distribution TLS vers ton domaine.
Prérequis
- Un domaine qui utilise Microsoft 365 / Exchange Online comme système de messagerie
- L’accès à la gestion DNS de ton domaine (chez l’hébergeur du domaine)
Qu’est-ce que TLS-RPT ?
TLS-RPT (SMTP TLS Reporting, RFC 8460) est un enregistrement TXT DNS sous _smtp._tls.ton-domaine. Il nomme une adresse à laquelle les serveurs de messagerie destinataires envoient des rapports agrégés quotidiens sur la distribution TLS vers ton domaine. TLS-RPT lui-même n’applique rien — c’est la visibilité qui te montre si ta protection MTA-STS tient en pratique.
Le point de départ chez Microsoft 365
Comme pour SPF et DKIM, l’enregistrement se crée non pas dans le centre d’administration Microsoft 365, mais chez l’hébergeur du domaine. Microsoft fait ici quelque chose d’intéressant : au lieu d’une adresse mailto:, l’infrastructure Microsoft utilise un point de terminaison de rapport HTTPS :
v=TLSRPTv1;rua=https://tlsrpt.azurewebsites.net/report
Tu trouves le même enregistrement sous outlook.com. Les deux variantes de rua — mailto: et https: — sont autorisées par la norme ; pour la plupart des domaines, mailto: vers un service d’analyse est la voie la plus simple.
Guide étape par étape
1. Définir l’adresse de rapport
Choisis une destination pour les rapports — idéalement un service d’analyse TLS-RPT qui traite les rapports JSON, plutôt qu’une boîte mail normale.
2. Créer l’enregistrement TXT chez l’hébergeur du domaine
- Nom d’hôte :
_smtp._tls - Valeur :
v=TLSRPTv1; rua=mailto:tlsrpt@beispiel.de
L’endroit où créer les enregistrements TXT est montré dans nos guides d’hébergeurs, par ex. IONOS ou Hetzner DNS.
3. En même temps que MTA-STS
Combine TLS-RPT avec MTA-STS pour Microsoft 365 : MTA-STS applique la distribution chiffrée, TLS-RPT te fait un rapport pour dire si elle réussit.
4. Attendre que la modification soit en ligne
Les modifications DNS prennent quelques heures selon le TTL.
Les composants en détail
| Composant | Signification |
|---|---|
v=TLSRPTv1 | identifiant de version, toujours au début |
rua=mailto:... | destination e-mail pour les rapports quotidiens |
rua=https://... | comme alternative, un point de terminaison HTTPS (la manière dont Microsoft procède lui-même) |
Vérifier le résultat
Vérifie ta configuration avec le scanner MXAudit gratuit — il montre TLS-RPT en interaction avec MTA-STS et le chiffrement du transport.
Ou dans le terminal :
dig TXT _smtp._tls.example.com +short
Erreurs fréquentes
rua vers une boîte mail normale. Les rapports sont lisibles par machine — utilise un service d’analyse.
TLS-RPT sans MTA-STS. TLS-RPT ne fait que rapporter. Sans MTA-STS, il n’y a aucune application à rapporter.
Mauvais nom d’hôte. _smtp._tls, pas _mta-sts.
