Dernière mise à jour : juillet 2026

En bref : TLS-RPT (TLS Reporting) permet de recevoir des rapports de diagnostic lorsque le chiffrement TLS échoue lors de la réception d’e-mails sur ton serveur o2switch. Tu peux facilement activer cette surveillance en créant un enregistrement TXT spécifique dans l’éditeur de zone DNS de ton cPanel.

Prérequis

  • Un nom de domaine géré dans l’interface ou la zone DNS o2switch
  • Accès à cPanel (module Zone Editor)
  • Une adresse e-mail ou une boîte de monitoring prête à recevoir les rapports quotidiens au format JSON/GZIP

Qu’est-ce que TLS-RPT ?

TLS-RPT (SMTP TLS Reporting, défini par la norme RFC 8460) fonctionne de manière similaire à DMARC, mais pour la couche de chiffrement des communications entre serveurs de messagerie.

Lorsqu’un serveur externe (comme Gmail, Outlook ou Yahoo) tente de livrer un message à ton hébergement o2switch, il établit une connexion chiffrée TLS. Si cette négociation échoue — à cause d’un problème de certificat, d’une attaque de type downgrade ou d’une incompatibilité de protocole — TLS-RPT demande au serveur expéditeur de t’envoyer un rapport technique expliquant exactement la raison de l’échec.

TLS-RPT est particulièrement indispensable en complément de MTA-STS et DANE, afin de surveiller que le chiffrement strict ne bloque pas de messages légitimes.

Le point de départ chez o2switch

La publication de l’enregistrement TLS-RPT s’effectue directement au niveau de la zone DNS de ton nom de domaine dans cPanel. L’interface officielle, via le module Zone Editor, permet de créer facilement des entrées personnalisées.

Comme le rappelle la documentation d’o2switch lors de l’ajout d’une entrée dans l’interface : Un clic sur Ajouter un enregistrement déclenche l'ajout d'une entrée DNS, le type d'enregistrement ne sera pas

Et concernant les types disponibles dans l’outil, la documentation précise : Le menu déroulant affichera les choix suivants : A , AAAA , CAA , CNAME , DMARC , MX , SRV , TXT

Pour TLS-RPT, tu utiliseras un enregistrement de type TXT placé sur le sous-domaine technique dédié _smtp._tls.

Guide étape par étape

1. Vérifier si TLS-RPT est déjà actif

Avant d’ajouter l’enregistrement, interroge ton domaine dans le terminal pour t’assurer qu’aucune politique n’est déjà en cours :

dig TXT _smtp._tls.example.com +short

Si la commande renvoie une chaîne commençant par v=TLSRPTv1;, ton domaine dispose déjà d’un reporting TLS. Si le résultat est vide, passe à l’étape suivante.

2. Ouvrir le Zone Editor dans cPanel

Connecte-toi à ton espace client o2switch et ouvre le tableau de bord cPanel. Dans la section Domaines, clique sur Zone Editor (Éditeur de zone DNS). Clique ensuite sur le bouton Gérer (ou Manage) à côté de ton nom de domaine.

3. Ajouter l’enregistrement TXT TLS-RPT

Dans la liste des enregistrements de ta zone, clique sur Ajouter un enregistrement (ou + Add Record) et sélectionne TXT dans le menu déroulant du type. Renseigne les champs suivants :

  • Nom / Hôte : _smtp._tls (le cPanel ajoutera automatiquement le nom de ton domaine à la fin pour former _smtp._tls.tondomaine.com.)
  • TTL : Laisse la valeur par défaut (par exemple 3600 ou 14400)
  • Type : TXT
  • Valeur / Enregistrement :
    v=TLSRPTv1; rua=mailto:tls-reports@example.com

(Remplace tls-reports@example.com par l’adresse e-mail où tu souhaites recevoir les rapports d’échec de chiffrement).

Clique sur Enregistrer l’enregistrement (ou Save Record) pour publier ta politique.

Les composants en détail

ComposantSignification
_smtp._tlsLe sous-domaine technique normalisé où les serveurs expéditeurs vont chercher l’enregistrement TLS-RPT
v=TLSRPTv1Identifiant de la version du protocole (doit impérativement être en première position)
rua=mailto:...L’URI de destination des rapports de diagnostic (généralement envoyés une fois par jour au format JSON compressé)

Vérifier le résultat

Après avoir enregistré ton entrée TXT, patiente quelques minutes pour la propagation locale, puis contrôle la conformité de ton installation avec le scanner MXAudit gratuit — il vérifie instantanément l’accessibilité et la syntaxe de ta politique TLS-RPT en même temps que tes autres sécurités DNS.

Tu peux aussi valider le résultat directement en ligne de commande :

dig TXT _smtp._tls.example.com +short

La sortie doit retourner exactement : "v=TLSRPTv1; rua=mailto:tls-reports@example.com".

Erreurs fréquentes

  • Publier sur @ ou _tls au lieu de _smtp._tls : Les serveurs de messagerie recherchent exclusivement le sous-domaine _smtp._tls. Tout autre emplacement sera ignoré.
  • Oublier le préfixe mailto: : Comme pour DMARC, le paramètre rua exige l’indication du protocole mailto: devant ton adresse e-mail.
  • Adresse e-mail saturée : Si tu reçois un fort volume de messages ou en cas d’attaque réseau sur ton MX, le nombre de rapports quotidiens peut rapidement devenir important. Prévois une adresse dédiée ou un service d’analyse spécialisé pour traiter ces rapports JSON.

Pour aller plus loin