Connettiti a un server di posta e verifica STARTTLS
DNS e record
Lookup DNS Tutti i record DNS per qualsiasi dominio Lookup record A Indirizzi IPv4 di un dominio Lookup record AAAA Indirizzi IPv6 di un dominio Lookup MX Server di posta di un dominio Lookup NS Name server autoritativi Lookup TXT Record TXT, SPF, verifica Lookup CNAME Record di nome canonico (alias) Lookup SOA Record Start of Authority Lookup SRV Record di localizzazione dei servizi Lookup CAA Quali CA possono emettere certificati DNS inverso (PTR) Da indirizzo IP a hostname Verifica DNSSEC Il dominio è firmato e validato? Diagnostica DNS Un report completo di delega e DNSRecapitabilità email
Verifica SPF Valida il tuo record Sender Policy Framework Verifica DMARC Esamina e valuta la tua policy DMARC Verifica DKIM Trova e valida la tua chiave pubblica DKIM Verifica blacklist Verifica un IP rispetto alle blocklist email (DNSBL) Test SMTP Connettiti a un server di posta e verifica STARTTLS Verifica MTA-STS Policy TLS forzata per la posta in entrata Verifica BIMI Record del logo del brand per l'email Verifica TLS-RPT Policy di reportistica SMTP TLSRete e web
Verifica certificato SSL Esamina il certificato TLS e la scadenza di un sito Verifica header HTTP Esamina header di risposta, redirect e sicurezza Ping (TCP) Raggiungibilità e latenza su TCP Verifica porte Quali porte comuni sono aperteDominio
Lookup WHOIS Dati di registrazione per domini, IP e ASNQuesto test SMTP risolve l'MX primario di un dominio, apre una connessione sulla porta 25, legge il banner di saluto e l'elenco di capacità EHLO, e segnala se il server offre STARTTLS per la consegna cifrata. È un modo rapido per confermare che un server di posta sia raggiungibile e in grado di usare TLS.
Quando invii un dominio, IPeek consulta i suoi record MX, sceglie l'host a priorità più alta e apre una connessione TCP sulla porta 25. Il server risponde con un banner di saluto 220 che nomina il software, di solito Postfix, Exim o Microsoft. IPeek invia poi EHLO e analizza la risposta multi-riga 250 che elenca le estensioni supportate. Cerca STARTTLS in quell'elenco: segnala che il server può aggiornare la sessione in chiaro a un canale TLS cifrato prima che vengano scambiati dati di posta. SIZE, PIPELINING e 8BITMIME compaiono comunemente al suo fianco.
Parti dal banner. Una risposta 220 significa che il server ha accettato la connessione ed è pronto. Se STARTTLS compare nell'elenco di capacità EHLO, il server può cifrare la consegna in entrata; la sua assenza significa che la posta potrebbe essere ritrasmessa in chiaro. Un timeout o una connessione rifiutata indicano di solito un firewall, un target MX errato o un host non attivo. Nota che la porta 25 è per la consegna server-to-server, non per l'invio dei client, che usa 587 o 465. L'hostname del banner dovrebbe corrispondere al tuo record PTR per soddisfare i destinatari che lo verificano.
La connessione rifiutata o in timeout è il guasto più frequente, tipicamente un firewall che blocca la porta 25 o un record MX che punta all'host sbagliato. Una riga STARTTLS mancante significa che il server ricevente non può negoziare TLS, quindi aggiungi un certificato e abilitalo nel tuo MTA. Un certificato autofirmato o scaduto pubblicizza comunque STARTTLS ma viola le policy TLS rigorose come MTA-STS e DANE. Se il banner riporta un hostname generico diverso dal tuo DNS inverso, correggi il record PTR, perché molti destinatari rifiutano la posta quando il banner e il PTR non concordano.
La consegna server-to-server della posta usa la porta 25, ed è quella a cui si connette questo test. Le porte 587 e 465 sono riservate all'invio della posta da client e applicazioni, con 587 che usa STARTTLS e 465 che usa il TLS implicito. IPeek controlla la porta 25 perché è lì che i server MX riceventi accettano la posta in entrata da internet.
STARTTLS aggiorna una sessione SMTP in chiaro a una connessione TLS cifrata. Il server pubblicizza STARTTLS nella sua risposta EHLO, e il server mittente emette il comando per negoziare TLS prima di trasmettere qualsiasi dato del messaggio. Senza di esso, la posta attraversa la rete in chiaro e può essere letta o alterata in transito. STARTTLS è opportunistico a meno che non sia imposto da MTA-STS o DANE.
Un timeout significa quasi sempre che un firewall sta bloccando la porta 25 o che il record MX punta a un host non attivo o irraggiungibile. Molte reti residenziali e cloud bloccano la porta 25 in uscita per impostazione predefinita. Conferma che il target MX si risolva correttamente, verifica che il server di posta sia in ascolto e controlla che nessuna regola di security group o firewall stia scartando la connessione.
Significa che la posta in entrata verso quel server può essere consegnata senza cifratura, esponendola all'intercettazione sulla rete. La maggior parte dei destinatari moderni accetta comunque la posta, ma non può cifrare la sessione. Per risolvere, installa un certificato TLS valido e abilita STARTTLS nella configurazione del tuo MTA, poi riesegui il test per confermare che la capacità ora compaia.
Il banner di saluto è la prima riga che un server di posta invia dopo che ti sei connesso, che inizia con il codice di risposta 220. Identifica il software e l'hostname del server e conferma che il server è pronto ad accettare comandi. I destinatari spesso confrontano l'hostname del banner con il record PTR dell'IP che si connette, quindi una mancata corrispondenza può far scattare il filtro antispam o il rifiuto totale.