Comment interpréter les erreurs de validation ?

Erreurs courantes : 'Version invalide' (doit être TLSRPTv1), 'Tag rua manquant' (URI de reporting requise), 'URI mailto invalide' (email malformée), 'Autorisation externe manquante' (le domaine destination n'a pas autorisé). Chaque erreur inclut des instructions de correction spécifiques.

Comment configurer TLS-RPT avec Microsoft 365 / Exchange Online ?

Pour activer TLS-RPT avec Microsoft 365 : 1) Générez votre enregistrement TLS-RPT avec notre générateur, 2) Ajoutez l'enregistrement TXT à _smtp._tls.votredomaine.com chez votre fournisseur DNS (pas dans l'admin Microsoft 365), 3) Les grands expéditeurs comme Google, Yahoo et Microsoft enverront les rapports TLS à votre adresse spécifiée. Microsoft 365 supporte la réception et le traitement des rapports TLS-RPT mais vous gérez l'enregistrement DNS en externe.

TLS-RPT Record Checker gratuit | Email TLS Check et validation DNS

Que vérifie cet inspecteur TLS-RPT ?

Cet outil effectue une analyse complète de la configuration TLS-RPT pour n'importe quel domaine :

Recherche DNS : Interroge _smtp._tls.domain pour les enregistrements TXT
Validation syntaxe : Vérifie la conformité RFC 8460
Vérification URI : Valide toutes les adresses de reporting
Autorisation externe : Vérifie les enregistrements d'autorisation pour les destinations tierces
Bonnes pratiques : Recommande des améliorations

Comprendre les enregistrements TLS-RPT

Emplacement DNS

Les enregistrements TLS-RPT sont publiés comme enregistrements TXT à un sous-domaine spécifique :

_smtp._tls.captaindns.com  TXT  "v=TLSRPTv1; rua=mailto:tlsrpt@captaindns.com"

Structure de l'enregistrement

Champ	Requis	Format	Exemple
Version	Oui	`v=TLSRPTv1`	Toujours "TLSRPTv1"
URIs de reporting	Oui	`rua=URI[,URI]`	`rua=mailto:reports@captaindns.com`

Schémas URI supportés

mailto: - Rapports envoyés par email

rua=mailto:tlsrpt@captaindns.com

https: - Rapports POSTés vers un endpoint

rua=https://tlsrpt.captaindns.com/report

Autorisation de domaine externe

Quand les rapports vont vers un domaine externe, une autorisation est requise.

Scénario

Votre domaine : captaindns.com Destination des rapports : mailto:reports@analyseur.com

Autorisation requise

Le domaine externe (analyseur.com) doit publier :

captaindns.com._report._tls.analyseur.com  TXT  "v=TLSRPTv1"

Ce que cet outil vérifie

Détecte les destinations de reporting externes
Interroge l'enregistrement d'autorisation
Signale les autorisations manquantes comme erreur
Affiche le format correct de l'enregistrement d'autorisation

Problèmes courants détectés

Aucun enregistrement TLS-RPT trouvé

Cause : Le domaine n'a pas configuré TLS-RPT Impact : Aucun rapport d'échec TLS reçu Correction : Générez un enregistrement TLS-RPT et publiez dans le DNS

Tag de version invalide

Cause : Mauvaise chaîne de version (ex: "v=TLSRPT1") Impact : Enregistrement ignoré par les serveurs expéditeurs Correction : Utilisez exactement v=TLSRPTv1 (sensible à la casse)

URI de reporting manquante

Cause : Pas de tag rua= dans l'enregistrement Impact : Enregistrement invalide, aucun rapport envoyé Correction : Ajoutez rua=mailto:adresse@captaindns.com ou rua=https://endpoint

Autorisation externe manquante

Cause : La destination tierce n'a pas autorisé Impact : Les rapports vers cette destination peuvent être rejetés Correction : Demandez l'enregistrement d'autorisation au domaine destination

Relation TLS-RPT et MTA-STS

Ces deux protocoles fonctionnent ensemble :

Protocole	Fonction	Emplacement DNS
MTA-STS	Applique le chiffrement TLS	`_mta-sts.captaindns.com`
TLS-RPT	Rapporte les échecs d'application	`_smtp._tls.captaindns.com`

Ordre de déploiement recommandé

Déployer MTA-STS en mode test
- Politique à https://mta-sts.captaindns.com/.well-known/mta-sts.txt
- Enregistrement DNS à _mta-sts.captaindns.com
Configurer TLS-RPT
- Permet la visibilité avant d'appliquer
- Voir ce qui échouerait
Surveiller les rapports
- Vérifier les échecs inattendus
- Identifier les expéditeurs mal configurés
Appliquer MTA-STS
- Passer de mode: testing à mode: enforce
- Continuer à surveiller via TLS-RPT

Exemple de rapports TLS-RPT

Les rapports sont des documents JSON (souvent compressés gzip). Champs clés :

{
  "organization-name": "Google Inc.",
  "date-range": {
    "start-datetime": "2024-01-15T00:00:00Z",
    "end-datetime": "2024-01-16T00:00:00Z"
  },
  "policies": [{
    "policy": {
      "policy-type": "sts",
      "policy-domain": "captaindns.com"
    },
    "summary": {
      "total-successful-session-count": 1523,
      "total-failure-session-count": 12
    },
    "failure-details": [{
      "result-type": "certificate-expired",
      "sending-mta-ip": "203.0.113.1",
      "failed-session-count": 12
    }]
  }]
}

FAQ - Questions fréquentes

Q : Qu'est-ce que TLS-RPT et que vérifie cet outil ?

R : TLS-RPT (SMTP TLS Reporting) est un mécanisme basé sur DNS pour recevoir des rapports sur les échecs de chiffrement TLS quand des serveurs envoient des emails à votre domaine. Cet outil recherche l'enregistrement TXT _smtp._tls.captaindns.com, valide sa syntaxe selon RFC 8460, vérifie les URIs de reporting, et contrôle l'autorisation de domaine externe si nécessaire.

Q : Où l'enregistrement TLS-RPT doit-il être publié ?

R : L'enregistrement TLS-RPT doit être publié comme enregistrement TXT à _smtp._tls.captaindns.com. La valeur commence par v=TLSRPTv1 et inclut une ou plusieurs URIs de reporting.

Q : Qu'est-ce que l'autorisation de domaine externe ?

R : Quand votre enregistrement TLS-RPT envoie des rapports à une adresse email sur un domaine différent (ex: tlsrpt@tierservice.com), le domaine récepteur doit autoriser ceci. Il publie un enregistrement TXT à captaindns.com._report._tls.tierservice.com avec la valeur v=TLSRPTv1. Sans cela, les rapports peuvent être rejetés.

Q : Pourquoi mon enregistrement TLS-RPT n'est-il pas trouvé ?

R : Si aucun enregistrement n'est trouvé, le domaine n'a pas configuré TLS-RPT. Aucun rapport d'échec TLS ne sera reçu. Pour configurer : 1) Générez un enregistrement avec notre Générateur TLS-RPT, 2) Validez la syntaxe, 3) Publiez comme TXT à _smtp._tls.captaindns.com, 4) Utilisez cet outil pour vérifier.

Q : Dois-je utiliser mailto ou https pour les rapports ?

R : mailto: est plus simple - les rapports arrivent en pièces jointes email. https: permet l'automatisation via webhooks. Commencez par mailto: pour la visibilité, ajoutez https: pour l'intégration avec des outils de monitoring. Vous pouvez spécifier les deux dans le même enregistrement.

Q : Quel est le lien entre TLS-RPT et MTA-STS ?

R : MTA-STS applique le chiffrement TLS pour le courrier entrant. TLS-RPT rapporte quand cette application échoue. Sans TLS-RPT, vous ne saurez pas quand des connexions échouent. Déployez les deux : MTA-STS pour la sécurité, TLS-RPT pour la visibilité.

Outils complémentaires

Outil	Utilité
Validateur syntaxe TLS-RPT	Valider l'enregistrement avant publication
Générateur TLS-RPT	Créer des enregistrements conformes RFC 8460
Inspecteur MTA-STS	Vérifier le déploiement MTA-STS
Générateur MTA-STS	Créer les fichiers de politique MTA-STS
Audit domaine email	Audit complet d'authentification
Inspecteur DMARC	Valider la politique DMARC

Ressources utiles

RFC 8460 - SMTP TLS Reporting (spécification officielle)
RFC 8461 - MTA-STS (protocole compagnon)
Google Workspace - Configurer TLS reporting
Microsoft 365 - SMTP TLS entrant

TLS-RPT Record Checker

Email TLS check : recherche et validation de la configuration SMTP TLS Reporting

Recherche DNS

Vérification autorisation externe

Analyse des URIs de reporting

Analyse complète

Intégration MTA-STS