Aller au contenu principal
Se connecter
CaptainDNS

Diagnostic email

Outils pour vérifier et valider vos configurations d'authentification e-mail.

SPF
DKIM
DMARC
DMARCbis
BIMI
MTA-STS
TLS-RPT
DANE / TLSA

Délivrabilité

Audit de délivrabilité emailAnalyseur d'en-têtes emailTesteur d'emailVérificateur blacklist IPVérificateur blacklist domaineSPF FlattenerRecherche de sélecteurs DKIMSMTP/MX Tester

Sécuriser & Surveiller

Générateurs d'enregistrements, hébergement de politiques et surveillance continue.

Réseau & Web

Outils réseau, analyse de pages web et certificats.

Outils IP

Mon adresse IP

Détectez vos adresses IPv4/IPv6 et leur géolocalisation.

Recherche inverse

Résolvez un enregistrement PTR et vérifiez la cohérence DNS.

WhoIs IP

Identifiez le propriétaire d'une plage IP et ses coordonnées.

Masque IPv4

Calculez le réseau, le broadcast et les hôtes utilisables d'un bloc IPv4.

Calculateur sous-réseau IPv6

Calculez les sous-réseaux, plages d'adresses et entrées DNS inversé IPv6.

Certificats & BIMI

Analyseur de logo BIMI

Inspectez l'URL d'un logo BIMI, son format, ses métadonnées et son rendu.

Convertisseur SVG BIMI

Convertissez un SVG au format Tiny-PS compatible BIMI en quelques secondes.

Analyseur de CSR

Décodez un CSR, inspectez le sujet, les empreintes et les SAN demandés.

Inspecteur de VMC

Contrôlez un Verified Mark Certificate : autorité émettrice, validité et SAN avant de publier votre BIMI.

Web

Vérificateur de poids de page

Vérifiez si votre page dépasse la limite de 2 MB de Googlebot.

Vérificateur d'URL de phishing

Vérifiez si une URL est signalée comme phishing ou malware par 4 sources.

Visualiseur de headers HTTP

Inspectez les en-têtes HTTP renvoyés par une URL, avec annotation des headers de sécurité.

Test HSTS

Analysez la politique HSTS d'un domaine et son statut sur la preload list Chromium.

Redirect Checker

Analysez les chaines de redirections HTTP

Redirection de domaine

Redirigez vos domaines avec HTTPS automatique et redirections 301/302.

HTTP Uptime Monitor

Surveillez la disponibilité de vos sites avec des checks programmés et des alertes email.

Pages de statut

Publiez une page publique regroupant l'état de vos monitors HTTP.

Outils développeur

Utilitaires texte et outils pour le quotidien dev.

Texte

Transformez et mesurez vos contenus en un clin d'oeil.

Convertisseur de casse

Passez un bloc de texte en minuscules ou en majuscules en un clic.

Générateur de slug

Transformez un titre en slug optimisé SEO en quelques secondes.

Compteur de mots et caractères

Comptez instantanément le nombre de mots et de caractères d'un texte.

Générateur de mots de passe

Générez des mots de passe aléatoires robustes et des phrases de passe mémorisables.

Developpeur

Encodage, hachage, regex et formatage pour le quotidien dev.

Encodeur / décodeur Base64

Encodez ou décoder un contenu en Base64 sans quitter le navigateur.

Générateur de hash

Calculez les hash MD5, SHA-1, SHA-256 et SHA-512 d'un texte.

Encodeur / décodeur URL

Encodez ou décodez un texte en percent-encoding (RFC 3986) directement dans le navigateur.

Testeur regex

Testez une expression régulière contre un texte et visualisez les correspondances.

Formateur JSON / YAML

Formatez, validez et convertissez du JSON et du YAML en un clic.

Surveillance TLS-RPT gratuite

Détectez les échecs TLS et analysez vos rapports de chiffrement SMTP

Chaque jour, des emails disparaissent silencieusement : certificat TLS expiré, extension STARTTLS supprimée, politique MTA-STS désynchronisée. Aucune alerte, aucune trace. TLS-RPT (RFC 8460) existe pour rendre ces échecs visibles. CaptainDNS surveille vos rapports SMTP TLS automatiquement, les analyse et les rend lisibles. Ajoutez votre domaine et arrêtez de perdre des emails sans le savoir.

Réception automatique

Les rapports sont reçus et analysés automatiquement. Aucun serveur à gérer, aucun JSON à décoder. Ajoutez l'enregistrement DNS et c'est tout.

Vérification de domaine

Un enregistrement TXT de vérification prouve la propriété du domaine. Ajoutez-le à votre DNS et la validation est automatique.

Analyse détaillée

Consultez les compteurs de succès et d'échec TLS, les détails de politique et les adresses IP source pour chaque période de rapport.

Endpoint de reporting dédié

Chaque domaine reçoit un endpoint HTTPS unique. L'enregistrement DNS TLS-RPT est généré automatiquement avec l'URL rua= correcte.

Domaines multiples

Surveillez les rapports TLS-RPT de plusieurs domaines depuis un seul compte. Chaque domaine dispose de son propre collecteur de rapports vérifié.

Pourquoi surveiller les rapports TLS-RPT ?

TLS-RPT (SMTP TLS Reporting, RFC 8460) est le seul standard qui rend visibles les échecs TLS sur votre courrier entrant. Sans lui, les emails refusés ou dégradés en clair ne laissent aucune trace côté destinataire. Votre réputation de domaine se dégrade. Vos utilisateurs ne reçoivent rien. Vous ne voyez rien.

Trois problèmes courants détectés via TLS-RPT :

  • Certificats expirés : Votre serveur MX présente un certificat TLS expiré. Les connexions chiffrées échouent. Les emails n'arrivent pas.
  • MTA-STS mal configuré : Votre politique MTA-STS référence des serveurs MX qui n'existent plus. Les émetteurs stricts rejettent la connexion.
  • Rétrogradation STARTTLS : Des intermédiaires réseau suppriment l'extension STARTTLS. Le courrier transite en clair. Ni vous ni vos utilisateurs n'en êtes informés.

Comment configurer le monitoring TLS-RPT en 3 étapes

Étape 1 : Ajoutez votre domaine

Connectez-vous et enregistrez le domaine à surveiller. CaptainDNS génère un endpoint de reporting HTTPS unique et l'enregistrement DNS TLS-RPT correspondant.

Étape 2 : Vérifiez la propriété du domaine

Ajoutez l'enregistrement TXT de vérification à votre DNS. La validation est automatique une fois l'enregistrement détecté.

Étape 3 : Publiez l'enregistrement TLS-RPT

Ajoutez l'enregistrement TXT _smtp._tls fourni à votre DNS. Les serveurs émetteurs commenceront à envoyer des rapports d'échec TLS à votre endpoint CaptainDNS.

Qu'est-ce que TLS-RPT ?

TLS-RPT (SMTP TLS Reporting) est un standard défini par la RFC 8460. Il permet aux serveurs émetteurs de signaler les échecs de négociation TLS au domaine destinataire. Un seul enregistrement DNS suffit.

Exemple d'enregistrement DNS :

_smtp._tls.captaindns.com.  IN  TXT  "v=TLSRPTv1; rua=https://api.captaindns.com/tls-rpt/ingest/abc123"

L'enregistrement _smtp._tls indique aux émetteurs où envoyer leurs rapports JSON. Toute erreur TLS vers votre domaine déclenche un rapport à l'URL spécifiée dans rua=.

Que contient un rapport TLS-RPT ?

ChampDescription
Organisation émettriceLe fournisseur de messagerie qui a envoyé le rapport
PériodeHorodatages de début et fin de la fenêtre de reporting
Politiques appliquéesPolitiques MTA-STS, DANE ou STARTTLS détectées
Sessions réussiesNombre de connexions TLS établies avec succès
Sessions échouéesNombre d'échecs de négociation TLS avec détails d'erreur

Types d'échecs TLS-RPT (RFC 8460)

Type d'échecDescription
starttls-not-supportedLe serveur destinataire ne supporte pas STARTTLS
certificate-expiredLe certificat TLS présenté par le MX est expiré
certificate-host-mismatchLe certificat ne correspond pas au nom d'hôte du MX
certificate-not-trustedLa chaîne de certificats n'est pas approuvée par l'émetteur
validation-failureÉchec de validation TLS générique
sts-policy-invalidLa politique MTA-STS n'a pas pu être validée
sts-webpki-invalidL'hôte de la politique MTA-STS a un certificat Web PKI invalide
tlsa-invalidL'enregistrement DANE TLSA est invalide ou ne correspond pas
dane-requiredDANE est requis mais n'a pas pu être validé

TLS-RPT vs DMARC

TLS-RPTDMARC
ProtègeLe chiffrement du transport (SMTP TLS)L'authentification de l'expéditeur (SPF/DKIM)
RapporteLes échecs de connexion TLS, les erreurs de certificatLes échecs d'alignement d'authentification
RFCRFC 8460RFC 7489
Enregistrement DNS_smtp._tls TXT_dmarc TXT
Menaces détectéesCertificats expirés, suppression STARTTLS, erreurs DANE/MTA-STSUsurpation, phishing, imitation de domaine

Les deux protocoles sont complémentaires. Déployez le monitoring DMARC en parallèle de TLS-RPT pour une visibilité complète sur la sécurité email.

Qui envoie des rapports TLS-RPT ?

Les principaux fournisseurs de messagerie envoient des rapports TLS-RPT lorsqu'ils détectent des échecs TLS vers votre domaine. Si vous recevez du courrier de l'un d'eux, vous êtes déjà couvert :

  • Google (Gmail, Workspace) : Rapports agrégés quotidiens couvrant toutes les tentatives de connexion
  • Microsoft (Outlook, Exchange Online) : Signale les échecs de négociation TLS pour les tenants Microsoft 365
  • Yahoo : Transmet les données TLS-RPT pour l'infrastructure Yahoo Mail et AOL
  • Apple (iCloud Mail) : Rapporte les échecs TLS pour la livraison iCloud Mail
  • Comcast : L'un des premiers FAI à implémenter le reporting TLS-RPT

Publiez un enregistrement TLS-RPT et ces fournisseurs commencent à rapporter automatiquement. Aucune inscription auprès de chaque fournisseur n'est nécessaire.

Cas d'usage concrets

Incident 1 : Certificat expiré non détecté

Symptôme : Google et Microsoft signalent des échecs certificate-expired. Vos utilisateurs ne reçoivent plus d'emails de ces fournisseurs. Aucune erreur visible de leur côté.

Diagnostic : Le tableau de bord CaptainDNS affiche un pic d'échecs sur 24h. Tous pointent vers un certificat Let's Encrypt expiré sur le MX principal. Les émetteurs stricts ont rejeté les messages silencieusement.

Action : Renouvelez le certificat TLS sur le serveur mail. Les rapports suivants confirment la reprise des connexions chiffrées.

Incident 2 : Politique MTA-STS désynchronisée

Symptôme : Les rapports signalent des échecs sts-policy-invalid. La politique MTA-STS est publiée. Les emails sont quand même rejetés.

Diagnostic : La politique MTA-STS référence un serveur MX supprimé lors d'une migration. Les émetteurs en mode enforce rejettent la connexion. L'email n'arrive jamais. Aucun bounce ne parvient à l'expéditeur.

Action : Mettez à jour la politique MTA-STS avec les MX actuels. Incrémentez le id de version. Les rapports suivants valident la correction.

FAQ - Questions fréquentes

Q : Qu'est-ce qu'un enregistrement TLS-RPT ?

R : Un enregistrement TLS-RPT est un enregistrement DNS TXT placé à _smtp._tls.votredomaine.com. Il contient une directive rua= qui indique aux serveurs émetteurs où envoyer les rapports d'échec TLS (RFC 8460). Sans cet enregistrement, aucun serveur ne vous signale ses erreurs de connexion vers votre domaine.

Q : La surveillance TLS-RPT de CaptainDNS est-elle gratuite ?

R : Oui, le service de surveillance TLS-RPT est entièrement gratuit. Nous pensons que chaque domaine devrait pouvoir surveiller sa sécurité TLS sans contrainte technique.

Q : Comment configurer mon domaine pour envoyer les rapports ici ?

R : Ajoutez un enregistrement TXT à _smtp._tls.votredomaine.com avec la valeur v=TLSRPTv1; rua=https://api.captaindns.com/tls-rpt/ingest/{votre-token}. L'enregistrement exact est fourni quand vous ajoutez votre domaine.

Q : Quels formats de rapports sont supportés ?

R : Nous acceptons les rapports TLS-RPT au format JSON tel que défini par la RFC 8460, compressés (gzip) ou non. Les rapports sont acceptés via HTTPS POST.

Q : Comment fonctionne la vérification de domaine ?

R : Vous ajoutez un enregistrement TXT de vérification fourni par CaptainDNS à votre DNS. Une fois détecté, la propriété du domaine est confirmée et la surveillance des rapports est activée.

Q : Ai-je besoin de MTA-STS pour utiliser TLS-RPT ?

R : Non, TLS-RPT fonctionne indépendamment. Cependant, combiner MTA-STS avec TLS-RPT est recommandé : MTA-STS impose le chiffrement, TLS-RPT vous informe quand les émetteurs ne peuvent pas s'y conformer.

Q : À quelle fréquence les rapports arrivent-ils ?

R : Les rapports sont analysés et disponibles dans votre tableau de bord en quelques secondes après réception. La plupart des fournisseurs de messagerie envoient des rapports quotidiennement.

Q : Quels sont les risques sans TLS-RPT ?

R : Sans TLS-RPT, vous êtes aveugle. Les échecs TLS se produisent silencieusement : aucun bounce, aucune notification, aucun log accessible. Des jours ou des semaines peuvent passer avant que vous réalisiez que des emails de Google, Microsoft ou d'autres fournisseurs majeurs sont rejetés ou transmis en clair.

Q : Quels types d'échecs TLS-RPT signale-t-il ?

R : TLS-RPT couvre tous les types d'échec définis par la RFC 8460 : starttls-not-supported, certificate-expired, certificate-host-mismatch, certificate-not-trusted, validation-failure, sts-policy-invalid, sts-webpki-invalid, tlsa-invalid et dane-required. Chaque type indique un problème spécifique dans la chaîne de négociation TLS ou de validation de politique.

Q : Quelle est la différence entre TLS-RPT et DMARC ?

R : TLS-RPT et DMARC protègent des couches différentes. DMARC (RFC 7489) vérifie l'authentification de l'expéditeur via l'alignement SPF et DKIM, il combat l'usurpation et le phishing. TLS-RPT (RFC 8460) surveille le chiffrement du transport et signale les échecs de connexion TLS, les certificats expirés et les rétrogradations STARTTLS. Les deux sont essentiels.

Outils complémentaires

OutilUtilité
Vérification de syntaxe TLS-RPTValider la syntaxe d'un enregistrement TLS-RPT
Vérification d'enregistrement TLS-RPTVérifier l'enregistrement TLS-RPT DNS de votre domaine
Générateur TLS-RPTGénérer un enregistrement DNS TLS-RPT
Lecteur de rapports TLS-RPTAnalyser manuellement un rapport JSON TLS-RPT
Hébergement MTA-STSHéberger gratuitement votre politique MTA-STS
Monitoring DMARCSurveiller et analyser les rapports agrégés DMARC

Ressources utiles