Ir al contenido principal
Iniciar sesión
CaptainDNS

Diagnóstico de email

Herramientas para verificar y validar la autenticación de tu correo.

SPF
DKIM
DMARC
DMARCbis
BIMI
MTA-STS
TLS-RPT
DANE / TLSA

Entregabilidad

Auditoría de entregabilidad de emailAnalizador de encabezadosProbador de correoVerificador blacklist IPVerificador blacklist dominioAplanador SPFBuscador de selectores DKIMVerificador SMTP/MX

Proteger y Supervisar

Generadores de registros, hosting de políticas y monitoreo continuo.

Red y Web

Herramientas de red, análisis de páginas web y certificados.

Herramientas IP

Mi dirección IP

Detecta tus direcciones IPv4/IPv6 y su geolocalización.

Búsqueda inversa

Resuelve un registro PTR y verifica la coherencia DNS.

WhoIs IP

Identifica al propietario de un rango IP y sus contactos.

Máscara IPv4

Calcula la red, el broadcast y los hosts utilizables de cualquier bloque IPv4.

Calculadora de subredes IPv6

Calcula subredes IPv6, rangos de direcciones y entradas DNS inverso.

Certificados y BIMI

Inspector de logo BIMI

Analiza la URL de un logo BIMI, su formato, metadatos y visualización.

BIMI SVG Converter

Convierte cualquier SVG al formato Tiny-PS compatible BIMI en segundos.

Analizador de CSR

Analiza un CSR, extrae los datos del sujeto, las huellas y los SAN solicitados.

Inspector VMC

Revisa un Verified Mark Certificate: entidad emisora, validez y SAN antes de publicar BIMI.

Web

Verificador de peso de página

Comprueba si tu página supera el límite de 2 MB de Googlebot.

Verificador de URL de phishing

Verifica si una URL está marcada como phishing o malware por 4 fuentes.

Visor de cabeceras HTTP

Inspecciona las cabeceras HTTP devueltas por una URL, con anotaciones para las cabeceras de seguridad.

Test HSTS

Analiza la política HSTS de un dominio y su estado en la lista de preload de Chromium.

Redirect Checker

Analiza cadenas de redirecciones HTTP

Redirección de dominio

Redirija sus dominios con HTTPS automático y redirecciones 301/302.

HTTP Uptime Monitor

Supervise la disponibilidad de sus sitios con comprobaciones programadas y alertas por correo.

Páginas de estado

Publique una página pública que agrupe sus monitores HTTP.

Herramientas de desarrollo

Utilidades de texto y herramientas para el día a día del desarrollo.

Texto

Transforma y mide tus textos al instante.

Convertidor de mayúsculas/minúsculas

Convierte cualquier bloque de texto a minúsculas o mayúsculas al instante.

Generador de slug

Convierte cualquier titular en un slug optimizado para SEO en segundos.

Contador de palabras y caracteres

Calcula al instante cuántas palabras y caracteres contiene cualquier texto.

Generador de contraseñas

Genera contraseñas aleatorias seguras y frases de contraseña fáciles de recordar.

Desarrollador

Codificacion, hashing, regex y formateo para el dia a dia dev.

Codificador / decodificador Base64

Codifica o decodifica contenido Base64 sin salir del navegador.

Generador de hash

Calcula los hash MD5, SHA-1, SHA-256 y SHA-512 de cualquier texto.

Codificador / decodificador URL

Codifica o decodifica texto con percent-encoding (RFC 3986) directamente en el navegador.

Probador de regex

Prueba una expresión regular contra un texto y visualiza las coincidencias.

Formateador JSON / YAML

Formatea, valida y convierte JSON y YAML en un clic.

Monitoreo TLS-RPT gratuito

Detecta fallos TLS y analiza tus informes de cifrado SMTP automáticamente

Cada día, correos electrónicos desaparecen silenciosamente: certificado TLS expirado, extensión STARTTLS eliminada, política MTA-STS mal configurada. Sin alertas, sin rastro. TLS-RPT (RFC 8460) fue creado para hacer visibles estos fallos invisibles. CaptainDNS recibe tus informes SMTP TLS automáticamente y te muestra exactamente dónde falla el cifrado. Agrega tu dominio y nosotros nos encargamos del resto.

Recepción automática

Los informes se reciben y analizan automáticamente. Ningún servidor que gestionar, ningún JSON que decodificar. Agrega el registro DNS y listo.

Verificación de dominio

Un registro TXT de verificación demuestra la propiedad del dominio. Agrégalo a tu DNS y la validación es automática.

Análisis detallado

Consulta los contadores de éxito y fallo TLS, los detalles de política y las direcciones IP de origen para cada período de informe.

Colector de informes dedicado

Cada dominio recibe un endpoint HTTPS único. El registro DNS TLS-RPT se genera automáticamente con la URL rua= correcta.

Múltiples dominios

Monitorea los informes TLS-RPT de varios dominios desde una sola cuenta. Cada dominio dispone de su propio colector de informes verificado.

¿Por qué monitorear los informes TLS-RPT?

TLS-RPT (SMTP TLS Reporting, RFC 8460) ofrece visibilidad sobre los fallos de conexión TLS que afectan tu correo entrante. Sin este mecanismo, no tienes forma de saber cuándo los servidores emisores no logran cifrar el correo destinado a tu dominio.

Tres problemas frecuentes detectados vía TLS-RPT:

  • Certificados expirados : Tu servidor MX presenta un certificado TLS inválido o expirado, bloqueando las conexiones cifradas. Resultado: correos rechazados en silencio por grandes proveedores como Google o Microsoft.
  • MTA-STS mal configurado : Tu política MTA-STS no coincide con tus servidores MX reales. Resultado: emisores que no pueden validar tu política y degradan la conexión a texto plano.
  • Degradación STARTTLS : Intermediarios de red eliminan la extensión STARTTLS, forzando el correo en texto plano. Resultado: comunicaciones sensibles expuestas sin que nadie lo detecte.

Cómo configurar el monitoreo TLS-RPT en 3 pasos

Paso 1: Agrega tu dominio

Inicia sesión y registra el dominio a monitorear. CaptainDNS genera un colector de informes HTTPS único y el registro DNS TLS-RPT correspondiente.

Paso 2: Verifica la propiedad del dominio

Agrega el registro TXT de verificación a tu DNS. La validación es automática una vez que se detecta el registro.

Paso 3: Publica el registro TLS-RPT

Agrega el registro TXT _smtp._tls proporcionado a tu DNS. Los servidores emisores comenzarán a enviar informes de fallos TLS a tu endpoint de CaptainDNS.

¿Qué es TLS-RPT?

TLS-RPT (SMTP TLS Reporting) es un estándar definido por la RFC 8460. Permite a los servidores de correo emisores reportar los fallos de negociación TLS al dominio destinatario.

Ejemplo de registro DNS:

_smtp._tls.captaindns.com.  IN  TXT  "v=TLSRPTv1; rua=https://api.captaindns.com/tls-rpt/ingest/abc123"

El registro _smtp._tls indica a los servidores emisores dónde enviar sus informes JSON cuando una conexión TLS falla hacia tu dominio.

¿Qué contiene un informe TLS-RPT?

CampoDescripción
Organización emisoraEl proveedor de correo que envió el informe
PeríodoMarcas de tiempo de inicio y fin de la ventana de reporte
Políticas aplicadasPolíticas MTA-STS, DANE o STARTTLS detectadas
Sesiones exitosasNúmero de conexiones TLS establecidas con éxito
Sesiones fallidasNúmero de fallos de negociación TLS con detalles del error

Tipos de fallos TLS-RPT (RFC 8460)

Tipo de falloDescripción
starttls-not-supportedEl servidor destinatario no soporta STARTTLS
certificate-expiredEl certificado TLS presentado por el MX ha expirado
certificate-host-mismatchEl certificado no coincide con el nombre de host del MX
certificate-not-trustedLa cadena de certificados no es confiable para el emisor
validation-failureFallo de validación TLS genérico
sts-policy-invalidLa política MTA-STS no pudo ser validada
sts-webpki-invalidEl host de la política MTA-STS tiene un certificado Web PKI inválido
tlsa-invalidEl registro DANE TLSA es inválido o no coincide
dane-requiredDANE es requerido pero no pudo ser validado

TLS-RPT vs DMARC

TLS-RPTDMARC
ProtegeCifrado del transporte (SMTP TLS)Autenticación del remitente (SPF/DKIM)
ReportaFallos de conexión TLS, errores de certificadoFallos de alineación de autenticación
RFCRFC 8460RFC 7489
Registro DNS_smtp._tls TXT_dmarc TXT
Amenazas detectadasCertificados expirados, eliminación STARTTLS, errores DANE/MTA-STSSuplantación, phishing, imitación de dominio

Ambos protocolos son complementarios. Implementa el monitoreo DMARC junto con TLS-RPT para una visibilidad completa de la seguridad del correo.

¿Quién envía informes TLS-RPT?

Principales proveedores de correo que envían informes TLS-RPT cuando detectan fallos TLS al conectarse a tu dominio:

  • Google (Gmail, Workspace): Envía informes agregados diarios cubriendo todos los intentos de conexión
  • Microsoft (Outlook, Exchange Online): Reporta fallos de negociación TLS para los inquilinos de Microsoft 365
  • Yahoo: Entrega datos TLS-RPT para la infraestructura de Yahoo Mail y AOL
  • Apple (iCloud Mail): Reporta fallos TLS para la entrega de iCloud Mail
  • Comcast: Uno de los primeros ISP en implementar el reporting TLS-RPT

Casos de uso concretos

Incidente 1: Certificado expirado no detectado

Síntoma: Emisores importantes (Google, Microsoft) reportan fallos certificate-expired en sus informes TLS-RPT.

Diagnóstico: El panel de CaptainDNS muestra un pico de fallos en las últimas 24 horas, todos relacionados con un certificado Let's Encrypt expirado en el MX principal.

Acción: Renovar el certificado TLS del servidor de correo. Los informes siguientes confirman la resolución.

Impacto sin TLS-RPT: Habrías descubierto el problema cuando usuarios empezaran a quejarse de correos no recibidos, días o semanas después.

Incidente 2: Política MTA-STS desincronizada

Síntoma: Los informes reportan fallos sts-policy-invalid a pesar de tener una política MTA-STS publicada.

Diagnóstico: Los informes TLS-RPT revelan que la política MTA-STS hace referencia a un servidor MX que ya no existe.

Acción: Actualizar la política MTA-STS para reflejar los MX actuales.

Impacto sin TLS-RPT: La desincronización habría pasado desapercibida indefinidamente, exponiendo el correo a degradaciones silenciosas.

FAQ - Preguntas frecuentes

P: ¿Qué es un registro TLS-RPT?

R: Un registro TLS-RPT es un registro DNS TXT ubicado en _smtp._tls.tudominio.com. Contiene una directiva rua= que indica a los servidores emisores dónde enviar los informes de fallos TLS (RFC 8460).

P: ¿El monitoreo TLS-RPT de CaptainDNS es gratuito?

R: Sí, el servicio de monitoreo TLS-RPT es completamente gratuito. Creemos que cada dominio debería poder monitorear su seguridad TLS sin restricciones técnicas.

P: ¿Cómo configuro mi dominio para enviar los informes aquí?

R: Agrega un registro TXT a _smtp._tls.tudominio.com con el valor v=TLSRPTv1; rua=https://api.captaindns.com/tls-rpt/ingest/{tu-token}. El registro exacto se proporciona cuando agregas tu dominio.

P: ¿Qué formatos de informes son compatibles?

R: Aceptamos los informes TLS-RPT en formato JSON tal como lo define la RFC 8460, comprimidos (gzip) o no. Los informes se aceptan vía HTTPS POST.

P: ¿Cómo funciona la verificación de dominio?

R: Agregas un registro TXT de verificación proporcionado por CaptainDNS a tu DNS. Una vez detectado, la propiedad del dominio se confirma y el monitoreo de informes se activa.

P: ¿Necesito MTA-STS para usar TLS-RPT?

R: No, TLS-RPT funciona de forma independiente. Sin embargo, combinar MTA-STS con TLS-RPT es lo recomendado: MTA-STS impone el cifrado, TLS-RPT te informa cuando los emisores no pueden cumplir con esa política.

P: ¿Con qué frecuencia llegan los informes?

R: Los informes se analizan y están disponibles en tu panel en segundos tras la recepción. La mayoría de los proveedores de correo envían informes diariamente.

P: ¿Cuáles son los riesgos sin TLS-RPT?

R: Sin TLS-RPT, eres ciego. Los fallos TLS ocurren silenciosamente: sin rebote, sin notificación, sin registro accesible. Pueden pasar días o semanas antes de que te des cuenta de que los correos de Google, Microsoft u otros proveedores importantes están siendo rechazados o enviados sin cifrar.

P: ¿Qué tipos de fallos TLS reporta TLS-RPT?

R: TLS-RPT cubre todos los tipos de fallo definidos en la RFC 8460: starttls-not-supported, certificate-expired, certificate-host-mismatch, certificate-not-trusted, validation-failure, sts-policy-invalid, sts-webpki-invalid, tlsa-invalid y dane-required. Cada tipo indica un problema específico en la cadena de negociación TLS o validación de política.

P: ¿Cuál es la diferencia entre TLS-RPT y DMARC?

R: TLS-RPT y DMARC protegen capas diferentes. DMARC (RFC 7489) verifica la autenticación del remitente mediante alineación SPF y DKIM y combate la suplantación y el phishing. TLS-RPT (RFC 8460) monitorea el cifrado del transporte y reporta cuando las conexiones SMTP TLS fallan, los certificados expiran o STARTTLS es degradado. Ambos son esenciales.

Herramientas complementarias

HerramientaUtilidad
Verificación de sintaxis TLS-RPTValidar la sintaxis de un registro TLS-RPT
Verificación de registro TLS-RPTVerificar el registro TLS-RPT DNS de tu dominio
Generador TLS-RPTGenerar un registro DNS TLS-RPT
Lector de informes TLS-RPTAnalizar manualmente un informe JSON TLS-RPT
Alojamiento MTA-STSAlojar gratuitamente tu política MTA-STS
Monitoreo DMARCSupervisar y analizar informes agregados DMARC

Recursos útiles