Policy di reportistica SMTP TLS
DNS e record
Lookup DNS Tutti i record DNS per qualsiasi dominio Lookup record A Indirizzi IPv4 di un dominio Lookup record AAAA Indirizzi IPv6 di un dominio Lookup MX Server di posta di un dominio Lookup NS Name server autoritativi Lookup TXT Record TXT, SPF, verifica Lookup CNAME Record di nome canonico (alias) Lookup SOA Record Start of Authority Lookup SRV Record di localizzazione dei servizi Lookup CAA Quali CA possono emettere certificati DNS inverso (PTR) Da indirizzo IP a hostname Verifica DNSSEC Il dominio è firmato e validato? Diagnostica DNS Un report completo di delega e DNSRecapitabilità email
Verifica SPF Valida il tuo record Sender Policy Framework Verifica DMARC Esamina e valuta la tua policy DMARC Verifica DKIM Trova e valida la tua chiave pubblica DKIM Verifica blacklist Verifica un IP rispetto alle blocklist email (DNSBL) Test SMTP Connettiti a un server di posta e verifica STARTTLS Verifica MTA-STS Policy TLS forzata per la posta in entrata Verifica BIMI Record del logo del brand per l'email Verifica TLS-RPT Policy di reportistica SMTP TLSRete e web
Verifica certificato SSL Esamina il certificato TLS e la scadenza di un sito Verifica header HTTP Esamina header di risposta, redirect e sicurezza Ping (TCP) Raggiungibilità e latenza su TCP Verifica porte Quali porte comuni sono aperteDominio
Lookup WHOIS Dati di registrazione per domini, IP e ASNTLS-RPT (SMTP TLS Reporting) consente a un dominio di ricevere report giornalieri sui fallimenti di connessione TLS dai server mittenti, così puoi individuare la posta consegnata in modo insicuro. IPeek legge il record TXT _smtp._tls e mostra le destinazioni dei report. Completa MTA-STS e DANE dandoti visibilità su come quelle policy si comportano nel mondo reale.
TLS-RPT è pubblicato come singolo record DNS TXT su _smtp._tls.tuo-dominio. Il record contiene un tag di versione e un tag rua= che elenca dove inviare i report, come indirizzo mailto o endpoint HTTPS. I server mittenti che supportano lo standard aggregano i risultati delle loro negoziazioni TLS con i tuoi host MX nell'arco di una giornata e consegnano un report JSON a quelle destinazioni. Ogni report conta le sessioni riuscite e fallite e categorizza i fallimenti, come errori di convalida del certificato o indisponibilità di STARTTLS, dandoti un feedback sulla consegna reale.
IPeek conferma se il record TXT _smtp._tls esiste e mostra le destinazioni rua che analizza. Verifica che la versione sia TLSRPTv1 e che ogni target rua sia una casella valida o un URL HTTPS che monitori davvero. Il record di per sé non applica nulla; richiede soltanto i report, quindi la sua presenza significa che i mittenti sanno dove inviare i dati sui fallimenti TLS. Una volta arrivati i report, esamina i tipi di fallimento: certificate-expired, fallimenti di convalida e starttls-not-supported indicano ciascuno una correzione specifica sulla tua infrastruttura ricevente prima che causino problemi silenziosi di consegna.
MTA-STS e DANE impongono TLS sulla posta in entrata, ma l'applicazione è sicura solo se puoi vedere cosa fa al traffico reale. TLS-RPT fornisce questa visibilità: quando implementi MTA-STS in modalità testing, i report rivelano quali mittenti incontrano fallimenti TLS prima che tu passi a enforce. Lo stesso vale per le mancate corrispondenze TLSA di DANE. Considera TLS-RPT il livello di monitoraggio per la tua postura TLS, implementato insieme ai meccanismi di applicazione e non al loro posto, così individui per tempo problemi di certificato e configurazione.
È un record TXT pubblicato su _smtp._tls.tuo-dominio che richiede report sui fallimenti TLS. Il record contiene un tag di versione v=TLSRPTv1 e un tag rua= che specifica dove vanno i report, come indirizzo mailto o URL HTTPS. I server mittenti che supportano TLS-RPT lo usano per sapere dove consegnare i loro report aggregati giornalieri sulle connessioni TLS verso il tuo dominio.
Un report TLS-RPT è un documento JSON che riepiloga una giornata di negoziazioni TLS tra un server mittente e i tuoi host MX. Conta le sessioni riuscite e fallite e suddivide i fallimenti per tipo, come certificati scaduti, errori di convalida del certificato o indisponibilità di STARTTLS. Questo ti permette di individuare quali host riceventi o certificati causano consegne insicure o fallite.
No. TLS-RPT è un meccanismo puramente di reportistica e non impone nulla da solo. L'applicazione proviene da MTA-STS o DANE, che richiedono TLS e possono bloccare la consegna insicura. TLS-RPT affianca quelle policy come livello di monitoraggio, dandoti visibilità su quanto spesso TLS riesce o fallisce così puoi implementare l'applicazione con sicurezza.
Pubblica un record TXT su _smtp._tls.tuo-dominio contenente v=TLSRPTv1 e un tag rua= che punti a una casella o a un endpoint HTTPS che monitori, ad esempio rua=mailto:tlsrpt@tuo-dominio. Scegli una destinazione che osservi davvero, dato che i report arrivano ogni giorno come JSON. Abbinalo a MTA-STS o DANE così i report descrivono come si comporta la tua policy TLS applicata.
TLS-RPT fornisce la visibilità che rende MTA-STS sicuro da implementare. Quando pubblichi una policy MTA-STS in modalità testing, i server mittenti segnalano eventuali fallimenti TLS tramite TLS-RPT, così vedi quali mittenti verrebbero bloccati prima di passare a enforce. I due sono progettati per lavorare insieme: MTA-STS imposta la policy e TLS-RPT ti dice come si comporta nella pratica.