Dernière mise à jour : juillet 2026
En bref : TLS-RPT (TLS Reporting) permet de recevoir des rapports de diagnostic lorsque le chiffrement TLS échoue lors de la réception d’e-mails sur ton serveur o2switch. Tu peux facilement activer cette surveillance en créant un enregistrement TXT spécifique dans l’éditeur de zone DNS de ton cPanel.
Prérequis
- Un nom de domaine géré dans l’interface ou la zone DNS o2switch
- Accès à cPanel (module Zone Editor)
- Une adresse e-mail ou une boîte de monitoring prête à recevoir les rapports quotidiens au format JSON/GZIP
Qu’est-ce que TLS-RPT ?
TLS-RPT (SMTP TLS Reporting, défini par la norme RFC 8460) fonctionne de manière similaire à DMARC, mais pour la couche de chiffrement des communications entre serveurs de messagerie.
Lorsqu’un serveur externe (comme Gmail, Outlook ou Yahoo) tente de livrer un message à ton hébergement o2switch, il établit une connexion chiffrée TLS. Si cette négociation échoue — à cause d’un problème de certificat, d’une attaque de type downgrade ou d’une incompatibilité de protocole — TLS-RPT demande au serveur expéditeur de t’envoyer un rapport technique expliquant exactement la raison de l’échec.
TLS-RPT est particulièrement indispensable en complément de MTA-STS et DANE, afin de surveiller que le chiffrement strict ne bloque pas de messages légitimes.
Le point de départ chez o2switch
La publication de l’enregistrement TLS-RPT s’effectue directement au niveau de la zone DNS de ton nom de domaine dans cPanel. L’interface officielle, via le module Zone Editor, permet de créer facilement des entrées personnalisées.
Comme le rappelle la documentation d’o2switch lors de l’ajout d’une entrée dans l’interface :
Un clic sur Ajouter un enregistrement déclenche l'ajout d'une entrée DNS, le type d'enregistrement ne sera pas
Et concernant les types disponibles dans l’outil, la documentation précise :
Le menu déroulant affichera les choix suivants : A , AAAA , CAA , CNAME , DMARC , MX , SRV , TXT
Pour TLS-RPT, tu utiliseras un enregistrement de type TXT placé sur le sous-domaine technique dédié _smtp._tls.
Guide étape par étape
1. Vérifier si TLS-RPT est déjà actif
Avant d’ajouter l’enregistrement, interroge ton domaine dans le terminal pour t’assurer qu’aucune politique n’est déjà en cours :
dig TXT _smtp._tls.example.com +short
Si la commande renvoie une chaîne commençant par v=TLSRPTv1;, ton domaine dispose déjà d’un reporting TLS. Si le résultat est vide, passe à l’étape suivante.
2. Ouvrir le Zone Editor dans cPanel
Connecte-toi à ton espace client o2switch et ouvre le tableau de bord cPanel. Dans la section Domaines, clique sur Zone Editor (Éditeur de zone DNS). Clique ensuite sur le bouton Gérer (ou Manage) à côté de ton nom de domaine.
3. Ajouter l’enregistrement TXT TLS-RPT
Dans la liste des enregistrements de ta zone, clique sur Ajouter un enregistrement (ou + Add Record) et sélectionne TXT dans le menu déroulant du type. Renseigne les champs suivants :
- Nom / Hôte :
_smtp._tls(le cPanel ajoutera automatiquement le nom de ton domaine à la fin pour former_smtp._tls.tondomaine.com.) - TTL : Laisse la valeur par défaut (par exemple
3600ou14400) - Type : TXT
- Valeur / Enregistrement :
v=TLSRPTv1; rua=mailto:tls-reports@example.com
(Remplace tls-reports@example.com par l’adresse e-mail où tu souhaites recevoir les rapports d’échec de chiffrement).
Clique sur Enregistrer l’enregistrement (ou Save Record) pour publier ta politique.
Les composants en détail
| Composant | Signification |
|---|---|
_smtp._tls | Le sous-domaine technique normalisé où les serveurs expéditeurs vont chercher l’enregistrement TLS-RPT |
v=TLSRPTv1 | Identifiant de la version du protocole (doit impérativement être en première position) |
rua=mailto:... | L’URI de destination des rapports de diagnostic (généralement envoyés une fois par jour au format JSON compressé) |
Vérifier le résultat
Après avoir enregistré ton entrée TXT, patiente quelques minutes pour la propagation locale, puis contrôle la conformité de ton installation avec le scanner MXAudit gratuit — il vérifie instantanément l’accessibilité et la syntaxe de ta politique TLS-RPT en même temps que tes autres sécurités DNS.
Tu peux aussi valider le résultat directement en ligne de commande :
dig TXT _smtp._tls.example.com +short
La sortie doit retourner exactement : "v=TLSRPTv1; rua=mailto:tls-reports@example.com".
Erreurs fréquentes
- Publier sur
@ou_tlsau lieu de_smtp._tls: Les serveurs de messagerie recherchent exclusivement le sous-domaine_smtp._tls. Tout autre emplacement sera ignoré. - Oublier le préfixe
mailto:: Comme pour DMARC, le paramètreruaexige l’indication du protocolemailto:devant ton adresse e-mail. - Adresse e-mail saturée : Si tu reçois un fort volume de messages ou en cas d’attaque réseau sur ton MX, le nombre de rapports quotidiens peut rapidement devenir important. Prévois une adresse dédiée ou un service d’analyse spécialisé pour traiter ces rapports JSON.
Pour aller plus loin
- FAQ o2switch — Éditeur de zone DNS dans cPanel (consulté le 17 juillet 2026)
- RFC 8460 — SMTP TLS Reporting (TLS-RPT)
