Ferramentas de Diagnóstico de Rede
Conecte-se a um servidor de e-mail e verifique o STARTTLS
DNS e Registros
Consulta DNS Todos os registros DNS de qualquer domínio Consulta de Registro A Endereços IPv4 de um domínio Consulta de Registro AAAA Endereços IPv6 de um domínio Consulta MX Servidores de e-mail de um domínio Consulta NS Servidores de nomes autoritativos Consulta TXT Registros TXT, SPF, verificação Consulta CNAME Registros de nome canônico (alias) Consulta SOA Registro Start of Authority Consulta SRV Registros de localização de serviço Consulta CAA Quais ACs podem emitir certificados DNS Reverso (PTR) Endereço IP para hostname Verificação DNSSEC O domínio está assinado e validado? Diagnóstico de DNS Um relatório completo de delegação e DNSEntregabilidade de E-mail
Verificação SPF Valide seu registro Sender Policy Framework Verificação DMARC Inspecione e avalie sua política DMARC Verificação DKIM Encontre e valide sua chave pública DKIM Verificação de Blacklist Verifique um IP em listas de bloqueio de e-mail (DNSBLs) Teste SMTP Conecte-se a um servidor de e-mail e verifique o STARTTLS Verificação MTA-STS Política de TLS obrigatório para e-mail de entrada Verificação BIMI Registro de logotipo da marca para e-mail Verificação TLS-RPT Política de relatórios de TLS do SMTPRede e Web
Verificação de Certificado SSL Inspecione o certificado TLS e a validade de um site Verificação de Cabeçalhos HTTP Inspecione cabeçalhos de resposta, redirecionamentos e segurança Ping (TCP) Acessibilidade e latência por TCP Verificação de Portas Quais portas comuns estão abertasDomínio
Consulta WHOIS Dados de registro de domínios, IPs e ASNsEste teste SMTP resolve o MX principal de um domínio, abre uma conexão na porta 25, lê o banner de saudação e a lista de capacidades do EHLO, e informa se o servidor oferece STARTTLS para entrega criptografada. É uma forma rápida de confirmar que um servidor de e-mail está acessível e tem suporte a TLS.
Quando você envia um domínio, o IPeek consulta seus registros MX, escolhe o host de maior prioridade e abre uma conexão TCP na porta 25. O servidor responde com um banner de saudação 220 que nomeia o software, geralmente Postfix, Exim ou Microsoft. O IPeek então envia EHLO e analisa a resposta 250 de múltiplas linhas que lista as extensões suportadas. Procure por STARTTLS nessa lista: ela indica que o servidor pode elevar a sessão em texto puro para um canal TLS criptografado antes de qualquer dado de e-mail ser trocado. SIZE, PIPELINING e 8BITMIME costumam aparecer ao lado dela.
Comece pelo banner. Uma resposta 220 significa que o servidor aceitou a conexão e está pronto. Se STARTTLS aparece na lista de capacidades do EHLO, o servidor pode criptografar a entrega de entrada; sua ausência significa que o e-mail pode ser retransmitido em texto puro. Um timeout ou conexão recusada normalmente aponta para um firewall, um alvo MX errado ou um host fora do ar. Observe que a porta 25 é para entrega servidor a servidor, e não para submissão de cliente, que usa 587 ou 465. O hostname do banner deve corresponder ao seu registro PTR para satisfazer os destinatários que o verificam.
Conexão recusada ou expirada é a falha mais frequente, normalmente um firewall bloqueando a porta 25 ou um registro MX apontando para o host errado. Uma linha STARTTLS ausente significa que o servidor de recebimento não consegue negociar TLS, então adicione um certificado e habilite-o no seu MTA. Um certificado autoassinado ou expirado ainda anuncia STARTTLS, mas quebra políticas de TLS estritas como MTA-STS e DANE. Se o banner reporta um hostname genérico que difere do seu DNS reverso, corrija o registro PTR, porque muitos destinatários rejeitam e-mails quando o banner e o PTR não concordam.
A entrega de e-mail servidor a servidor usa a porta 25, que é onde este teste se conecta. As portas 587 e 465 são reservadas para submissão de e-mail por clientes e aplicações, com a 587 usando STARTTLS e a 465 usando TLS implícito. O IPeek verifica a porta 25 porque é ali que os servidores MX de recebimento aceitam e-mail de entrada vindo da internet.
O STARTTLS eleva uma sessão SMTP em texto puro para uma conexão TLS criptografada. O servidor anuncia STARTTLS em sua resposta EHLO, e o servidor de envio emite o comando para negociar o TLS antes de transmitir qualquer dado da mensagem. Sem ele, o e-mail cruza a rede em texto puro e pode ser lido ou alterado em trânsito. O STARTTLS é oportunista, a menos que seja imposto por MTA-STS ou DANE.
Um timeout quase sempre significa que um firewall está bloqueando a porta 25 ou que o registro MX aponta para um host fora do ar ou inacessível. Muitas redes residenciais e de nuvem bloqueiam a porta 25 de saída por padrão. Confirme que o alvo MX resolve corretamente, verifique se o servidor de e-mail está escutando e confirme que nenhum security group ou regra de firewall está descartando a conexão.
Significa que o e-mail de entrada para esse servidor pode ser entregue sem criptografia, expondo-o à interceptação na rede. A maioria dos destinatários modernos ainda aceita o e-mail, mas não consegue criptografar a sessão. Para corrigir, instale um certificado TLS válido e habilite o STARTTLS na configuração do seu MTA, depois execute o teste novamente para confirmar que a capacidade agora aparece.
O banner de saudação é a primeira linha que um servidor de e-mail envia depois que você se conecta, começando com o código de resposta 220. Ele identifica o software e o hostname do servidor e confirma que o servidor está pronto para aceitar comandos. Os destinatários costumam comparar o hostname do banner com o registro PTR do IP de conexão, então uma divergência pode disparar a filtragem de spam ou a rejeição direta.