Qu'est-ce que TLS-RPT et pourquoi valider la syntaxe ?
TLS-RPT (SMTP TLS Reporting) est défini dans RFC 8460 et offre une visibilité sur les échecs de chiffrement TLS pour votre domaine email. Quand les serveurs mail échouent à établir des connexions sécurisées avec votre domaine, TLS-RPT garantit que vous recevez des rapports détaillés.
La validation de syntaxe est importante car :
- Les enregistrements invalides sont silencieusement ignorés par les serveurs
- Vous ne recevez aucun rapport si la syntaxe est incorrecte
- Les fautes de frappe dans les URIs de reporting signifient des données perdues
- La non-conformité RFC cause des comportements imprévisibles
Format d'enregistrement TLS-RPT expliqué
Structure de base
v=TLSRPTv1; rua=mailto:tlsrpt@captaindns.com
| Composant | Requis | Description |
|---|---|---|
v=TLSRPTv1 | Oui | Identifiant de version, doit être exactement "TLSRPTv1" |
rua= | Oui | URI(s) de reporting pour les rapports agrégés |
Formats d'URI de reporting
Email (mailto:)
rua=mailto:tlsrpt@captaindns.com
Webhook HTTPS
rua=https://tlsrpt.captaindns.com/v1/report
Plusieurs URIs
rua=mailto:tlsrpt@captaindns.com,https://api.captaindns.com/tlsrpt
Erreurs de syntaxe courantes
Tag de version manquant
# Incorrect - v=TLSRPTv1 manquant
rua=mailto:tlsrpt@captaindns.com
# Correct
v=TLSRPTv1; rua=mailto:tlsrpt@captaindns.com
Chaîne de version invalide
# Incorrect - version incorrecte
v=TLSRPT1; rua=mailto:tlsrpt@captaindns.com
# Correct
v=TLSRPTv1; rua=mailto:tlsrpt@captaindns.com
URI malformée
# Incorrect - schéma mailto: manquant
v=TLSRPTv1; rua=tlsrpt@captaindns.com
# Correct
v=TLSRPTv1; rua=mailto:tlsrpt@captaindns.com
Email invalide dans URI mailto
# Incorrect - format email invalide
v=TLSRPTv1; rua=mailto:tlsrpt@
# Correct
v=TLSRPTv1; rua=mailto:tlsrpt@captaindns.com
Configuration de TLS-RPT
Étape 1 : Choisir la destination des rapports
Décidez où recevoir les rapports :
- Adresse email : Configuration simple, revue manuelle
- Endpoint HTTPS : Traitement automatisé, nécessite du développement
- Service tiers : Solution gérée avec tableaux de bord
Étape 2 : Générer l'enregistrement
Utilisez notre Générateur TLS-RPT pour créer un enregistrement correctement formaté.
Étape 3 : Valider la syntaxe
Collez l'enregistrement généré dans ce validateur avant publication. Corrigez les erreurs signalées.
Étape 4 : Publier dans le DNS
Ajoutez un enregistrement TXT à _smtp._tls.captaindns.com avec la valeur de votre enregistrement validé.
Étape 5 : Vérifier la publication
Utilisez notre Inspecteur TLS-RPT pour confirmer que l'enregistrement est en ligne et correctement configuré.
Intégration TLS-RPT et MTA-STS
TLS-RPT est conçu pour fonctionner avec MTA-STS (Mail Transfer Agent Strict Transport Security). Ensemble, ils fournissent :
| Protocole | Objectif |
|---|---|
| MTA-STS | Applique le chiffrement TLS pour le courrier entrant |
| TLS-RPT | Rapporte les échecs de connexion TLS |
Configuration recommandée :
- Déployer MTA-STS avec
mode: testingd'abord - Configurer TLS-RPT pour recevoir les rapports d'échec
- Surveiller les rapports pour détecter les problèmes
- Passer MTA-STS à
mode: enforcequand prêt
FAQ - Questions fréquentes
Q : Qu'est-ce qu'un enregistrement TLS-RPT ?
R : Un enregistrement TLS-RPT (SMTP TLS Reporting) est un enregistrement DNS TXT qui indique aux serveurs mail où envoyer les rapports d'échecs de connexion TLS. Défini dans RFC 8460, il fonctionne avec MTA-STS pour surveiller les problèmes de chiffrement email. L'enregistrement spécifie une ou plusieurs URIs de reporting recevant des rapports agrégés quotidiens.
Q : Quelle est la syntaxe correcte TLS-RPT ?
R : Un enregistrement TLS-RPT valide commence par v=TLSRPTv1; suivi de rua= et une ou plusieurs URIs de reporting. Exemple : v=TLSRPTv1; rua=mailto:tlsrpt@captaindns.com. Vous pouvez spécifier plusieurs URIs séparées par des virgules. Chaque URI doit utiliser le schéma mailto: ou https:.
Q : Quelles erreurs cet outil détecte-t-il ?
R : Le validateur détecte : tag de version manquant ou incorrect (doit être TLSRPTv1), URIs de reporting invalides, adresses email malformées dans les URIs mailto:, tag rua= manquant, erreurs de syntaxe dans le format, et tags inconnus pouvant causer des problèmes.
Q : Puis-je utiliser plusieurs adresses de reporting ?
R : Oui, TLS-RPT supporte plusieurs URIs de reporting. Séparez-les par des virgules dans le tag rua=. Exemple : v=TLSRPTv1; rua=mailto:reports@captaindns.com,https://tlsrpt.captaindns.com/report. Chaque URI reçoit les mêmes rapports agrégés.
Q : Quelle différence entre URIs mailto et https ?
R : Les URIs mailto: envoient les rapports en pièces jointes email compressées gzip. Les URIs https: POSTent les rapports vers un endpoint webhook. L'email est plus simple à configurer, tandis que HTTPS permet un traitement automatisé. La plupart des organisations commencent par mailto: et ajoutent HTTPS plus tard.
Q : Ai-je besoin de TLS-RPT si j'ai MTA-STS ?
R : TLS-RPT est fortement recommandé avec MTA-STS. MTA-STS applique le chiffrement TLS, tandis que TLS-RPT vous informe quand l'application échoue. Sans TLS-RPT, vous ne saurez pas si les serveurs mail échouent à se connecter sécurisément. Les deux fonctionnent ensemble pour une visibilité complète.
Outils complémentaires
| Outil | Utilité |
|---|---|
| Inspecteur TLS-RPT | Valider la configuration DNS en production |
| Générateur TLS-RPT | Créer des enregistrements conformes RFC 8460 |
| Inspecteur MTA-STS | Vérifier le déploiement de la politique MTA-STS |
| Générateur MTA-STS | Créer la politique MTA-STS et les enregistrements DNS |
| Audit domaine email | Audit complet de l'authentification email |
Ressources utiles
- RFC 8460 - SMTP TLS Reporting (spécification officielle)
- RFC 8461 - MTA-STS (protocole compagnon)
- Google Postmaster - TLS Reporting (guide d'implémentation)