Combien d'URIs de reporting puis-je inclure ?

Il n'y a pas de limite stricte, mais des considérations pratiques s'appliquent. Chaque URI reçoit le même rapport, augmentant le trafic. La plupart des déploiements utilisent 1-3 destinations : un email interne, optionnellement un endpoint HTTPS, et optionnellement un service d'analyse tiers.

Comment configurer TLS-RPT avec Microsoft 365 / Exchange Online ?

Pour les domaines Microsoft 365, générez votre enregistrement TLS-RPT ici, puis ajoutez-le comme enregistrement TXT à _smtp._tls.votredomaine.com via votre fournisseur DNS externe (pas l'admin Microsoft 365). Microsoft 365 et Exchange Online respectent les politiques TLS-RPT et envoient des rapports d'échec lors de la connexion aux domaines avec MTA-STS. Pour les domaines hébergés sur M365, publiez l'enregistrement DNS où les nameservers de votre domaine sont configurés.

TLS-RPT Generator gratuit | Créer des enregistrements SMTP TLS Reporting

Comment utiliser ce générateur TLS-RPT

Étape 1 : Ajouter les destinations de reporting

Entrez où vous voulez recevoir les rapports d'échec TLS :

Email (recommandé pour commencer)

mailto:tlsrpt@captaindns.com

Webhook HTTPS (pour l'automatisation)

https://tlsrpt.captaindns.com/v1/report

Vous pouvez ajouter plusieurs destinations - les rapports vont à toutes.

Étape 2 : Copier l'enregistrement généré

Le générateur crée un enregistrement RFC 8460 valide :

v=TLSRPTv1; rua=mailto:tlsrpt@captaindns.com

Étape 3 : Publier dans le DNS

Créez un enregistrement TXT à _smtp._tls.captaindns.com avec la valeur générée.

Exemple pour captaindns.com :

Type : TXT
Hôte : _smtp._tls
Valeur : v=TLSRPTv1; rua=mailto:tlsrpt@captaindns.com

Étape 4 : Vérifier la publication

Utilisez notre Inspecteur TLS-RPT pour confirmer la configuration correcte.

Format d'enregistrement TLS-RPT

Composants requis

Composant	Format	Exemple
Version	`v=TLSRPTv1`	Doit être exactement ceci
URI de reporting	`rua=schéma:destination`	`rua=mailto:reports@captaindns.com`

Schémas URI supportés

mailto: - Livraison par email

rua=mailto:equipe-securite@captaindns.com

Les rapports arrivent en pièces jointes JSON compressées.

https: - Livraison webhook

rua=https://api.captaindns.com/tlsrpt/ingest

Les rapports sont POSTés en JSON avec Content-Type: application/tlsrpt+gzip

Plusieurs destinations

Séparez avec des virgules :

v=TLSRPTv1; rua=mailto:reports@captaindns.com,https://tlsrpt.captaindns.com/report

Autorisation de reporting externe

Quand vous envoyez des rapports à un domaine différent, une autorisation est requise.

Scénario

Votre domaine : captaindns.com Destination des rapports : mailto:reports@tlsrpt-service.com

Autorisation requise

tlsrpt-service.com doit publier :

captaindns.com._report._tls.service-tlsrpt.com  TXT  "v=TLSRPTv1"

Utiliser un reporting sur le même domaine

Pour éviter la complexité d'autorisation, utilisez une adresse sur votre propre domaine :

v=TLSRPTv1; rua=mailto:tlsrpt@captaindns.com

Exemples par fournisseur DNS

Cloudflare

Allez dans les paramètres DNS de votre domaine
Ajoutez un enregistrement :
- Type : TXT
- Nom : _smtp._tls
- Contenu : Votre valeur d'enregistrement générée
- TTL : Auto

AWS Route 53

Ouvrez la zone hébergée pour votre domaine
Créez un enregistrement :
- Nom de l'enregistrement : _smtp._tls
- Type d'enregistrement : TXT
- Valeur : "v=TLSRPTv1; rua=mailto:tlsrpt@captaindns.com"
- TTL : 3600

OVH / Google Domains

Allez dans la zone DNS
Ajoutez une entrée :
- Sous-domaine : _smtp._tls
- Type : TXT
- Cible : Votre valeur d'enregistrement générée
- TTL : 3600

Configuration complète de sécurité email

TLS-RPT fait partie de la sécurité complète du transport email :

1. MTA-STS (Appliquer TLS)

Indique aux serveurs expéditeurs d'exiger le chiffrement TLS.

2. TLS-RPT (Rapporter les échecs)

Rapporte quand l'application du chiffrement échoue.

Utilisez ce générateur
Vérifier le statut TLS-RPT

3. Déploiement recommandé

Déployer MTA-STS avec mode: testing
Ajouter TLS-RPT pour recevoir les rapports
Surveiller les rapports pendant 2-4 semaines
Passer MTA-STS à mode: enforce
Continuer à surveiller via TLS-RPT

Comprendre les rapports TLS-RPT

Structure du rapport

{
  "organization-name": "Google Inc.",
  "date-range": {
    "start-datetime": "2024-01-15T00:00:00Z",
    "end-datetime": "2024-01-16T00:00:00Z"
  },
  "contact-info": "postmaster@google.com",
  "report-id": "2024011512345",
  "policies": [{
    "policy": {
      "policy-type": "sts",
      "policy-string": ["version: STSv1", "mode: enforce", "mx: mail.captaindns.com", "max_age: 604800"],
      "policy-domain": "captaindns.com"
    },
    "summary": {
      "total-successful-session-count": 8432,
      "total-failure-session-count": 3
    },
    "failure-details": [{
      "result-type": "certificate-expired",
      "sending-mta-ip": "198.51.100.1",
      "receiving-mx-hostname": "mail.captaindns.com",
      "failed-session-count": 3
    }]
  }]
}

Champs clés expliqués

Champ	Signification
organization-name	Organisation expéditrice
date-range	Période de reporting de 24 heures
total-successful-session-count	Connexions TLS réussies
total-failure-session-count	Connexions TLS échouées
result-type	Raison de l'échec (certificate-expired, sts-policy-invalid, etc.)
sending-mta-ip	IP qui a échoué à se connecter

FAQ - Questions fréquentes

Q : Qu'est-ce que TLS-RPT et pourquoi en ai-je besoin ?

R : TLS-RPT (SMTP TLS Reporting) est un enregistrement DNS qui indique aux serveurs mail expéditeurs où envoyer les rapports d'échecs de connexion TLS. Quand les serveurs ne peuvent pas établir une connexion sécurisée avec votre domaine, TLS-RPT garantit que vous recevez des rapports détaillés. Sans lui, vous n'avez aucune visibilité sur les échecs de chiffrement affectant la livraison des emails.

Q : Où publier l'enregistrement généré ?

R : Publiez l'enregistrement généré comme enregistrement TXT à _smtp._tls.captaindns.com. Cela fonctionne avec n'importe quel fournisseur DNS incluant Cloudflare, Route53, OVH, etc.

Q : Puis-je utiliser un email externe pour les rapports ?

R : Oui, mais le domaine externe doit l'autoriser. Si vous envoyez les rapports à reports@analyseur.com pour captaindns.com, le domaine analyseur doit publier un enregistrement TXT à captaindns.com._report._tls.analyseur.com avec la valeur v=TLSRPTv1. Ou utilisez une adresse sur votre propre domaine pour éviter cette complexité.

Q : Dois-je utiliser mailto ou https pour les rapports ?

R : mailto: est plus simple - les rapports arrivent en pièces jointes email compressées. https: permet l'automatisation via webhooks. Commencez par mailto: pour la visibilité, ajoutez https: pour l'intégration avec des outils de monitoring. Vous pouvez utiliser les deux simultanément.

Q : Quel est le format des rapports ?

R : Les rapports TLS-RPT sont des documents JSON, généralement compressés gzip. Ils incluent : organisation expéditrice, période, informations de politique (MTA-STS/DANE), comptages de sessions (succès/échec), et détails des échecs. Les rapports sont envoyés environ toutes les 24 heures.

Q : Ai-je besoin de MTA-STS pour utiliser TLS-RPT ?

R : Bien que TLS-RPT puisse fonctionner seul, il est plus utile avec MTA-STS. MTA-STS applique le chiffrement TLS, TLS-RPT rapporte sur l'application. Nous recommandons de déployer MTA-STS en mode test, ajouter TLS-RPT, surveiller, puis appliquer.

Outils complémentaires

Outil	Utilité
Validateur syntaxe TLS-RPT	Valider l'enregistrement avant publication
Inspecteur TLS-RPT	Vérifier la configuration DNS en production
Générateur MTA-STS	Créer une politique MTA-STS
Inspecteur MTA-STS	Vérifier le déploiement MTA-STS
Audit domaine email	Audit complet d'authentification

Ressources utiles

RFC 8460 - SMTP TLS Reporting (spécification officielle)
RFC 8461 - MTA-STS (protocole compagnon)
Google - Configurer TLS reporting
Postfix - Documentation TLS

TLS-RPT Generator

Créez des enregistrements SMTP TLS Reporting pour publication DNS

Conforme RFC 8460

Plusieurs URIs de reporting

Prêt à copier-coller

Validation en temps réel

Guide d'intégration MTA-STS