Configurar TLS-RPT: guía paso a paso para Microsoft 365, Google Workspace y OVHcloud
Por CaptainDNS
Publicado el 13 de febrero de 2026
- TLS-RPT se configura en 5 minutos: un solo registro DNS TXT a publicar en
_smtp._tls.captaindns.com - El procedimiento es idéntico en Microsoft 365, Google Workspace y OVHcloud: solo cambia la interfaz de gestión DNS
- Usa una dirección de correo dedicada (ej.
tlsrpt@captaindns.com) para aislar los informes del tráfico habitual - Combina TLS-RPT con MTA-STS para una seguridad de correo completa: los informes te guían antes de pasar al modo
enforce
Sin TLS-RPT, un fallo de cifrado TLS entre dos servidores de correo pasa completamente desapercibido. Ya comprendes el protocolo y su importancia. Queda la pregunta práctica: ¿cómo configurarlo concretamente en tu proveedor de correo?
La configuración de TLS-RPT sigue siempre el mismo principio, sin importar el proveedor: publicar un registro DNS TXT en _smtp._tls.captaindns.com. Lo que cambia entre Microsoft 365, Google Workspace y OVHcloud es únicamente la interfaz de gestión DNS. Este tutorial te guía paso a paso en cada uno de los tres, con los valores exactos a introducir y los comandos de verificación.
Si acabas de descubrir TLS-RPT, empieza por la guía completa al final de este artículo (consulta la sección Guías de TLS-RPT relacionadas) que explica el funcionamiento del protocolo, la sintaxis del registro y la lectura de los informes JSON.
Requisitos previos para configurar TLS-RPT
Antes de modificar tu zona DNS, verifica estos tres puntos:
Acceso a la zona DNS de tu dominio
Debes poder crear un registro TXT en la zona DNS de tu dominio. Según tu configuración:
- Microsoft 365: la zona DNS se gestiona en el Centro de administración de Microsoft o en tu registrador (OVH, Cloudflare, Gandi, etc.)
- Google Workspace: misma lógica, la zona DNS está en tu registrador o en Google Domains
- OVHcloud: la zona DNS se encuentra en el Manager de OVHcloud
Una dirección de correo dedicada a los informes
Crea un buzón dedicado como tlsrpt@captaindns.com o tls-reports@captaindns.com. Los informes TLS-RPT llegan diariamente en forma de archivos JSON comprimidos (.json.gz). Una dirección dedicada evita que se mezclen con tu correo profesional.
Comprender la sintaxis básica
El registro TLS-RPT es sencillo: v=TLSRPTv1; rua=mailto:tlsrpt@captaindns.com. Solo dos etiquetas: la versión (v=TLSRPTv1, siempre idéntica) y la dirección de recepción de los informes (rua=mailto:...). Para más detalles, consulta la sección de sintaxis de nuestra guía completa.
El registro TLS-RPT en 30 segundos
Independientemente de tu proveedor, el registro a crear es siempre el mismo:
| Campo | Valor |
|---|---|
| Host / Nombre | _smtp._tls |
| Tipo | TXT |
| Valor | v=TLSRPTv1; rua=mailto:tlsrpt@captaindns.com |
| TTL | 3600 (1 hora) |
El nombre completo del registro será _smtp._tls.captaindns.com. Algunas interfaces DNS añaden automáticamente el dominio: en ese caso, introduce únicamente _smtp._tls en el campo host.
mailto: o https:
TLS-RPT admite dos tipos de destinos para los informes:
mailto:: los informes llegan por correo como archivo adjunto JSON comprimido. Lo más sencillo de configurar.https:: los informes se envían mediante una solicitud HTTP POST hacia un endpoint. Adecuado para dominios con alto volumen.
Para la mayoría de los dominios, mailto: es suficiente. También puedes combinar ambos: rua=mailto:tlsrpt@captaindns.com,https://report.captaindns.com/tlsrpt.
Configurar TLS-RPT en Microsoft 365
Microsoft 365 (anteriormente Office 365) utiliza servidores MX de la forma *.mail.protection.outlook.com. La configuración de TLS-RPT no depende del tipo de MX: se realiza en tu zona DNS.
Paso 1: acceder a tu zona DNS
Si tu DNS lo gestiona Microsoft: conéctate al Centro de administración de Microsoft 365, luego ve a Configuración > Dominios > selecciona tu dominio > Registros DNS.
Si tu DNS lo gestiona un registrador externo (OVH, Cloudflare, Gandi, etc.): conéctate directamente a la interfaz de tu registrador. Microsoft no gestiona tu zona DNS en ese caso.
Paso 2: crear el registro TXT
Añade un nuevo registro con estos valores:
| Campo | Valor a introducir |
|---|---|
| Tipo | TXT |
| Host / Nombre | _smtp._tls |
| Valor / Contenido | v=TLSRPTv1; rua=mailto:tlsrpt@captaindns.com |
| TTL | 3600 |
En el Centro de administración de Microsoft, el campo host se llama «Nombre de host o alias». Introduce _smtp._tls sin el dominio (Microsoft lo añade automáticamente).
Paso 3: verificar la configuración
Tras la propagación DNS (de unos minutos a unas horas), verifica tu registro con nuestro verificador TLS-RPT. Introduce tu dominio y confirma que el estado es «Válido».
También puedes verificarlo por línea de comandos:
dig TXT _smtp._tls.captaindns.com +short
Resultado esperado:
"v=TLSRPTv1; rua=mailto:tlsrpt@captaindns.com"
Configurar TLS-RPT en Google Workspace
Google Workspace gestiona los correos a través de los MX *.google.com y *.googlemail.com. Al igual que con Microsoft, la configuración de TLS-RPT se realiza en tu zona DNS, no en la consola de Google Admin.
Paso 1: acceder a tu zona DNS
Si tu DNS lo gestiona Google Domains: conéctate a Google Domains, selecciona tu dominio y luego DNS > Registros personalizados.
Si tu DNS está en un registrador externo: conéctate a la interfaz de tu registrador. La consola de Google Admin no permite gestionar registros DNS directamente.
Paso 2: crear el registro TXT
Añade un nuevo registro:
| Campo | Valor a introducir |
|---|---|
| Nombre de host | _smtp._tls |
| Tipo | TXT |
| Datos | v=TLSRPTv1; rua=mailto:tlsrpt@captaindns.com |
| TTL | 3600 |
En Google Domains, el campo host se llama «Nombre de host». Introduce _smtp._tls sin el dominio.
Paso 3: verificar la configuración
Usa el mismo comando de verificación:
dig TXT _smtp._tls.captaindns.com +short
Google suele ser el primer proveedor en enviar informes TLS-RPT. Espera de 24 a 48 horas tras la publicación del registro para recibir el primer informe desde noreply-smtp-tls-reporting@google.com.
Configurar TLS-RPT en OVHcloud
OVHcloud es uno de los mayores proveedores de hosting europeos. Si tus MX apuntan a OVHcloud (mx1.mail.ovh.net, etc.) o si OVHcloud simplemente gestiona tu zona DNS, el procedimiento es el mismo.
Paso 1: acceder al Manager de OVHcloud
Conéctate al Manager de OVHcloud y luego navega a Nombres de dominio > selecciona tu dominio > pestaña Zona DNS.
Paso 2: crear el registro TXT
Haz clic en Añadir una entrada y selecciona el tipo TXT:
| Campo | Valor a introducir |
|---|---|
| Subdominio | _smtp._tls |
| TTL | 3600 |
| Valor | v=TLSRPTv1; rua=mailto:tlsrpt@captaindns.com |
OVHcloud añade automáticamente el dominio principal después del subdominio. El registro final será _smtp._tls.captaindns.com.
Paso 3: verificar la configuración
La propagación DNS en OVHcloud suele tardar entre 4 y 24 horas. Después, verifica:
dig TXT _smtp._tls.captaindns.com +short
Errores comunes y solución de problemas
¿Tu registro está publicado pero algo no funciona? Aquí tienes los errores más frecuentes y cómo corregirlos.
Nombre de subdominio incorrecto
El error más frecuente: usar _smtp-tls (con guion) en lugar de _smtp._tls (con punto). El subdominio correcto contiene dos niveles separados por un punto: _smtp y _tls.
| Incorrecto | Correcto |
|---|---|
_smtp-tls.captaindns.com | _smtp._tls.captaindns.com |
_smtptls.captaindns.com | _smtp._tls.captaindns.com |
smtp._tls.captaindns.com | _smtp._tls.captaindns.com |
Versión incorrecta
La única versión válida es TLSRPTv1. Cualquier otro valor invalida el registro:
| Incorrecto | Correcto |
|---|---|
v=TLSRPTv2 | v=TLSRPTv1 |
v=TLSRPT1 | v=TLSRPTv1 |
v=tlsrptv1 | v=TLSRPTv1 |
Dirección de recepción inexistente
Si la dirección de correo en rua=mailto: no existe o rechaza los correos, los proveedores dejarán de enviar informes tras varios intentos. Verifica que el buzón tlsrpt@captaindns.com:
- Existe y acepta correos
- Acepta archivos adjuntos
.json.gz(sin filtro por extensión) - Dispone de espacio suficiente (los informes de Google pueden ocupar de 10 a 50 KB por día)
TTL demasiado alto
Un TTL de 86400 (24 horas) significa que cualquier corrección tardará un día en propagarse. Empieza con un TTL de 3600 (1 hora) durante la fase de implementación y después auméntalo una vez validada la configuración.
Sin informes después de 48 horas
Si no llega ningún informe después de 2 días:
- Verifica que el registro esté publicado con
dig TXT _smtp._tls.captaindns.com +short - Comprueba la sintaxis con nuestro generador TLS-RPT en modo verificación
- Asegúrate de que tu dominio recibe correos de proveedores compatibles (Google, Microsoft, Yahoo)
- Revisa la carpeta de spam de la dirección de recepción
Activar MTA-STS como complemento de TLS-RPT
TLS-RPT por sí solo te da visibilidad, pero no fuerza el cifrado. MTA-STS (Mail Transfer Agent Strict Transport Security, RFC 8461) cubre esa carencia. Juntos, ambos protocolos forman un dúo completo:
- TLS-RPT: recibes informes sobre los fallos TLS
- MTA-STS: impones el cifrado TLS a los servidores que te envían correos
El despliegue recomendado sigue este orden:
- Publica TLS-RPT (lo que acabas de hacer)
- Activa MTA-STS en modo
testing - Analiza los informes TLS-RPT durante 2 semanas
- Pasa MTA-STS al modo
enforceuna vez que los informes estén limpios
Si usas Microsoft 365 o Google Workspace, consulta nuestra guía de configuración MTA-STS por proveedor que cubre los mismos entornos.
🎯 Plan de acción recomendado
- Crea una dirección dedicada: configura
tlsrpt@captaindns.como un alias dedicado a los informes - Publica el registro DNS: añade el TXT
_smtp._tlsen tu proveedor (5 minutos) - Verifica la propagación: usa
digo el verificador TLS-RPT para confirmar la publicación - Espera los primeros informes: de 24 a 48 horas para recibir los informes de Google y Microsoft
- Activa MTA-STS: una vez que TLS-RPT esté en marcha, despliega MTA-STS en modo testing para una protección completa
FAQ
¿Cómo configurar TLS-RPT en Microsoft 365?
Añade un registro DNS TXT con el nombre _smtp._tls y el valor v=TLSRPTv1; rua=mailto:tlsrpt@captaindns.com en tu zona DNS. Si Microsoft gestiona tu DNS, hazlo en el Centro de administración de Microsoft 365 en Configuración > Dominios. De lo contrario, conéctate a tu registrador.
¿Cómo configurar TLS-RPT en Google Workspace?
La configuración es idéntica a la de cualquier otro proveedor: publica un registro TXT en _smtp._tls.captaindns.com en tu zona DNS. Google Workspace no gestiona TLS-RPT desde la consola Admin: el registro se crea en tu registrador DNS.
¿Qué dirección de correo usar para los informes TLS-RPT?
Usa una dirección dedicada como tlsrpt@captaindns.com o tls-reports@captaindns.com. Evita usar tu dirección personal o un buzón compartido: los informes llegan diariamente y pueden saturar un buzón no dedicado.
¿Hay que configurar MTA-STS antes de TLS-RPT?
No, se recomienda el orden inverso. Publica TLS-RPT primero para empezar a recibir informes, luego activa MTA-STS en modo testing. Los informes TLS-RPT te permitirán detectar posibles problemas TLS antes de pasar MTA-STS al modo enforce.
¿Cuánto tiempo se tarda en recibir los primeros informes TLS-RPT?
En general, de 24 a 48 horas tras la publicación del registro DNS. Google suele ser el primero en enviar un informe. Después, la frecuencia es diaria: cada proveedor compatible envía un informe por periodo de 24 horas.
¿Se puede usar el mismo registro TLS-RPT para varios dominios?
No, cada dominio necesita su propio registro TLS-RPT. Si gestionas captaindns.com y captaindns.fr, debes publicar un registro _smtp._tls en la zona de cada dominio. Sin embargo, puedes dirigir todos los informes a la misma dirección de correo.
¿Microsoft 365 envía automáticamente informes TLS-RPT?
Sí. Microsoft es uno de los principales proveedores que soportan TLS-RPT. Si un dominio que te envía correos usa Microsoft 365 y has publicado un registro TLS-RPT, Microsoft enviará un informe diario a tu dirección rua.
¿Cómo verificar que mi registro TLS-RPT es correcto?
Usa el comando dig TXT _smtp._tls.captaindns.com +short para comprobar la publicación DNS. Para una validación completa de la sintaxis, utiliza un validador TLS-RPT en línea que verifique la versión, los URIs de informes y los posibles errores de formato.
📖 Glosario
- TLS-RPT: SMTP TLS Reporting (RFC 8460), mecanismo que permite recibir informes diarios sobre los fallos de negociación TLS durante la entrega de correos.
- MTA-STS: Mail Transfer Agent Strict Transport Security (RFC 8461), política que impone el cifrado TLS para la recepción de correos.
_smtp._tls: subdominio DNS donde se publica el registro TXT TLS-RPT. El nombre completo es_smtp._tls.captaindns.com.rua: Reporting URI for Aggregated reports, directiva TLS-RPT que especifica la dirección de recepción de los informes (mailto: o https:).- STARTTLS: extensión SMTP que permite iniciar el cifrado TLS en una conexión inicialmente en texto claro.
- DANE: DNS-Based Authentication of Named Entities (RFC 7672), mecanismo alternativo a MTA-STS que utiliza DNSSEC para validar los certificados TLS.
Valida tu configuración ahora: Usa nuestro validador de sintaxis TLS-RPT para verificar que tu registro _smtp._tls tiene el formato correcto.
📚 Guías de TLS-RPT relacionadas
- TLS-RPT: la guía completa para monitorear la seguridad TLS de tus correos: funcionamiento del protocolo, sintaxis del registro, lectura de los informes JSON
- Analizar y aprovechar tus informes TLS-RPT (próximamente)
