¿Puedo usar un email externo para reportes?

Sí, pero el dominio externo debe autorizarlo. Si reporta a reports@analyzer.com para captaindns.com, analyzer.com debe publicar un registro TXT en captaindns.com._report._tls.analyzer.com con valor 'v=TLSRPTv1'. Contacte al dominio receptor para configurar esto, o use una dirección en su propio dominio.

¿Debo usar mailto o https para reportes?

mailto: es más simple - los reportes llegan como archivos adjuntos de email comprimidos. https: permite automatización via webhooks. Para la mayoría de las organizaciones, comience con mailto: para obtener visibilidad, luego agregue https: para integración con herramientas de monitoreo. Puede usar ambos simultáneamente.

¿Cuántas URIs de reporte puedo incluir?

No hay límite estricto, pero aplican consideraciones prácticas. Cada URI recibe el mismo reporte, aumentando el tráfico. La mayoría de las implementaciones usan 1-3 destinos: un email interno, opcionalmente un endpoint HTTPS, y opcionalmente un servicio analizador de terceros.

¿Necesito MTA-STS para usar TLS-RPT?

Aunque TLS-RPT puede funcionar independientemente, es más útil con MTA-STS o DANE. MTA-STS aplica cifrado TLS, TLS-RPT reporta sobre la aplicación. Sin una política TLS para aplicar, hay menos fallos que reportar. Recomendamos implementar MTA-STS en modo testing, agregar TLS-RPT, monitorear, luego aplicar.

¿Cómo configuro TLS-RPT para Microsoft 365 / Exchange Online?

Para dominios Microsoft 365, genere su registro TLS-RPT aquí, luego agréguelo como registro TXT en _smtp._tls.sudominio.com a través de su proveedor DNS externo (no Microsoft 365 admin). Microsoft 365 y Exchange Online respetan las políticas TLS-RPT y envían reportes de fallos al conectar con dominios con MTA-STS. Para dominios alojados en M365, publique el registro DNS donde estén configurados los nameservers de su dominio.

TLS-RPT Generator | Crear registros SMTP TLS Reporting

Cómo usar este generador TLS-RPT

Paso 1: Agregar destinos de reportes

Ingrese dónde quiere recibir reportes de fallos TLS:

Email (recomendado para empezar)

mailto:tlsrpt@captaindns.com

Webhook HTTPS (para automatización)

https://tlsrpt.captaindns.com/v1/report

Puede agregar múltiples destinos - los reportes van a todos.

Paso 2: Copiar el registro generado

El generador crea un registro RFC 8460 válido:

v=TLSRPTv1; rua=mailto:tlsrpt@captaindns.com

Paso 3: Publicar en DNS

Cree un registro TXT en _smtp._tls.captaindns.com con el valor generado.

Ejemplo para captaindns.com:

Tipo: TXT
Host: _smtp._tls
Valor: v=TLSRPTv1; rua=mailto:tlsrpt@captaindns.com

Paso 4: Verificar publicación

Use nuestro TLS-RPT Record Checker para confirmar la configuración correcta.

Formato de registro TLS-RPT

Componentes requeridos

Componente	Formato	Ejemplo
Versión	`v=TLSRPTv1`	Debe ser exactamente esto
URI de reporte	`rua=esquema:destino`	`rua=mailto:reports@captaindns.com`

Esquemas de URI soportados

mailto: - Entrega por email

rua=mailto:equipo-seguridad@captaindns.com

Los reportes llegan como archivos adjuntos JSON comprimidos.

https: - Entrega webhook

rua=https://api.captaindns.com/tlsrpt/ingest

Los reportes se envían POST como JSON con Content-Type: application/tlsrpt+gzip

Múltiples destinos

Separe con comas:

v=TLSRPTv1; rua=mailto:reports@captaindns.com,https://tlsrpt.captaindns.com/report

Autorización de reportes externos

Cuando reporta a un dominio diferente, se requiere autorización.

Escenario

Su dominio: captaindns.com Destino de reportes: mailto:reports@tlsrpt-service.com

Autorización requerida

tlsrpt-service.com debe publicar:

captaindns.com._report._tls.tlsrpt-service.com  TXT  "v=TLSRPTv1"

Usar reportes en el mismo dominio

Para evitar complejidad de autorización, use una dirección en su propio dominio:

v=TLSRPTv1; rua=mailto:tlsrpt@captaindns.com

Ejemplos por proveedor DNS

Cloudflare

Vaya a configuración DNS de su dominio
Agregue registro:
- Tipo: TXT
- Nombre: _smtp._tls
- Contenido: Su valor de registro generado
- TTL: Auto

AWS Route 53

Abra la zona alojada para su dominio
Cree registro:
- Nombre del registro: _smtp._tls
- Tipo de registro: TXT
- Valor: "v=TLSRPTv1; rua=mailto:tlsrpt@captaindns.com"
- TTL: 3600

GoDaddy / OVH

Vaya a configuración DNS
Agregue registro personalizado:
- Host: _smtp._tls
- Tipo: TXT
- TTL: 3600
- Datos: Su valor de registro generado

Configuración completa de seguridad de email

TLS-RPT es parte de la seguridad completa de transporte de email:

1. MTA-STS (Aplicar TLS)

Indica a los servidores emisores que requieran cifrado TLS.

2. TLS-RPT (Reportar fallos)

Reporta cuando la aplicación de TLS falla.

Use este generador
Verificar estado TLS-RPT

3. Implementación recomendada

Implementar MTA-STS con mode: testing
Agregar TLS-RPT para recibir reportes
Monitorear reportes por 2-4 semanas
Cambiar MTA-STS a mode: enforce
Continuar monitoreando via TLS-RPT

Entendiendo reportes TLS-RPT

Estructura del reporte

{
  "organization-name": "Google Inc.",
  "date-range": {
    "start-datetime": "2024-01-15T00:00:00Z",
    "end-datetime": "2024-01-16T00:00:00Z"
  },
  "contact-info": "postmaster@google.com",
  "report-id": "2024011512345",
  "policies": [{
    "policy": {
      "policy-type": "sts",
      "policy-string": ["version: STSv1", "mode: enforce", "mx: mail.captaindns.com", "max_age: 604800"],
      "policy-domain": "captaindns.com"
    },
    "summary": {
      "total-successful-session-count": 8432,
      "total-failure-session-count": 3
    },
    "failure-details": [{
      "result-type": "certificate-expired",
      "sending-mta-ip": "198.51.100.1",
      "receiving-mx-hostname": "mail.captaindns.com",
      "failed-session-count": 3
    }]
  }]
}

Campos clave explicados

Campo	Significado
organization-name	Organización emisora
date-range	Período de reporte de 24 horas
total-successful-session-count	Conexiones TLS que funcionaron
total-failure-session-count	Conexiones TLS que fallaron
result-type	Razón del fallo (certificate-expired, sts-policy-invalid, etc.)
sending-mta-ip	IP que falló al conectar

FAQ - Preguntas frecuentes

P: ¿Qué es TLS-RPT y por qué lo necesito?

R: TLS-RPT (SMTP TLS Reporting) es un registro DNS que indica a los servidores de correo emisores dónde enviar reportes sobre fallos de conexión TLS. Sin él, no tiene visibilidad sobre fallos de cifrado que afectan la entrega de email.

P: ¿Dónde publico el registro generado?

R: Publique el registro generado como un registro TXT en _smtp._tls.captaindns.com. Esto funciona con cualquier proveedor DNS incluyendo Cloudflare, Route53, GoDaddy, OVH, etc.

P: ¿En qué formato están los reportes?

R: Los reportes TLS-RPT son documentos JSON, típicamente comprimidos con gzip. Incluyen: organización emisora, rango de fechas, información de política (MTA-STS/DANE), conteos de sesiones y detalles de fallos. Los reportes se envían aproximadamente cada 24 horas.

Herramientas complementarias

Herramienta	Propósito
TLS-RPT Syntax Checker	Validar registro antes de publicar
TLS-RPT Record Checker	Verificar configuración DNS en vivo
MTA-STS Generator	Crear política MTA-STS
MTA-STS Record Checker	Verificar implementación MTA-STS
Verificación de dominio email	Auditoría completa de autenticación

Recursos útiles

RFC 8460 - SMTP TLS Reporting (especificación oficial)
RFC 8461 - MTA-STS (protocolo complementario)
Google - Configurar TLS reporting
Postfix - Documentación TLS

TLS-RPT Generator

Cree registros SMTP TLS Reporting para publicación DNS

Conforme RFC 8460

Múltiples URIs de reporte

Listo para copiar y pegar

Validación en tiempo real

Guía de integración MTA-STS