Strumenti diagnostici di rete

Verifica TLS-RPT

Policy di reportistica SMTP TLS

Che cos'è TLS-RPT?

TLS-RPT (SMTP TLS Reporting) consente a un dominio di ricevere report giornalieri sui fallimenti di connessione TLS dai server mittenti, così puoi individuare la posta consegnata in modo insicuro. IPeek legge il record TXT _smtp._tls e mostra le destinazioni dei report. Completa MTA-STS e DANE dandoti visibilità su come quelle policy si comportano nel mondo reale.

Come funziona la reportistica TLS-RPT

TLS-RPT è pubblicato come singolo record DNS TXT su _smtp._tls.tuo-dominio. Il record contiene un tag di versione e un tag rua= che elenca dove inviare i report, come indirizzo mailto o endpoint HTTPS. I server mittenti che supportano lo standard aggregano i risultati delle loro negoziazioni TLS con i tuoi host MX nell'arco di una giornata e consegnano un report JSON a quelle destinazioni. Ogni report conta le sessioni riuscite e fallite e categorizza i fallimenti, come errori di convalida del certificato o indisponibilità di STARTTLS, dandoti un feedback sulla consegna reale.

Come interpretare i risultati TLS-RPT

IPeek conferma se il record TXT _smtp._tls esiste e mostra le destinazioni rua che analizza. Verifica che la versione sia TLSRPTv1 e che ogni target rua sia una casella valida o un URL HTTPS che monitori davvero. Il record di per sé non applica nulla; richiede soltanto i report, quindi la sua presenza significa che i mittenti sanno dove inviare i dati sui fallimenti TLS. Una volta arrivati i report, esamina i tipi di fallimento: certificate-expired, fallimenti di convalida e starttls-not-supported indicano ciascuno una correzione specifica sulla tua infrastruttura ricevente prima che causino problemi silenziosi di consegna.

Come TLS-RPT si relaziona a MTA-STS e DANE

MTA-STS e DANE impongono TLS sulla posta in entrata, ma l'applicazione è sicura solo se puoi vedere cosa fa al traffico reale. TLS-RPT fornisce questa visibilità: quando implementi MTA-STS in modalità testing, i report rivelano quali mittenti incontrano fallimenti TLS prima che tu passi a enforce. Lo stesso vale per le mancate corrispondenze TLSA di DANE. Considera TLS-RPT il livello di monitoraggio per la tua postura TLS, implementato insieme ai meccanismi di applicazione e non al loro posto, così individui per tempo problemi di certificato e configurazione.

Domande frequenti

Che cos'è il record DNS TLS-RPT?

È un record TXT pubblicato su _smtp._tls.tuo-dominio che richiede report sui fallimenti TLS. Il record contiene un tag di versione v=TLSRPTv1 e un tag rua= che specifica dove vanno i report, come indirizzo mailto o URL HTTPS. I server mittenti che supportano TLS-RPT lo usano per sapere dove consegnare i loro report aggregati giornalieri sulle connessioni TLS verso il tuo dominio.

Quali informazioni contiene un report TLS-RPT?

Un report TLS-RPT è un documento JSON che riepiloga una giornata di negoziazioni TLS tra un server mittente e i tuoi host MX. Conta le sessioni riuscite e fallite e suddivide i fallimenti per tipo, come certificati scaduti, errori di convalida del certificato o indisponibilità di STARTTLS. Questo ti permette di individuare quali host riceventi o certificati causano consegne insicure o fallite.

TLS-RPT impone TLS sulla posta?

No. TLS-RPT è un meccanismo puramente di reportistica e non impone nulla da solo. L'applicazione proviene da MTA-STS o DANE, che richiedono TLS e possono bloccare la consegna insicura. TLS-RPT affianca quelle policy come livello di monitoraggio, dandoti visibilità su quanto spesso TLS riesce o fallisce così puoi implementare l'applicazione con sicurezza.

Come configuro TLS-RPT?

Pubblica un record TXT su _smtp._tls.tuo-dominio contenente v=TLSRPTv1 e un tag rua= che punti a una casella o a un endpoint HTTPS che monitori, ad esempio rua=mailto:tlsrpt@tuo-dominio. Scegli una destinazione che osservi davvero, dato che i report arrivano ogni giorno come JSON. Abbinalo a MTA-STS o DANE così i report descrivono come si comporta la tua policy TLS applicata.

Come funziona TLS-RPT con MTA-STS?

TLS-RPT fornisce la visibilità che rende MTA-STS sicuro da implementare. Quando pubblichi una policy MTA-STS in modalità testing, i server mittenti segnalano eventuali fallimenti TLS tramite TLS-RPT, così vedi quali mittenti verrebbero bloccati prima di passare a enforce. I due sono progettati per lavorare insieme: MTA-STS imposta la policy e TLS-RPT ti dice come si comporta nella pratica.

Strumenti correlati

Deutsch | English | Español | Français | Italiano | Português | Русский | Українська | 日本語 | 简体中文 | 한국어