Configurare TLS-RPT: guida passo dopo passo per Microsoft 365, Google Workspace e OVHcloud
Di CaptainDNS
Pubblicato il 13 febbraio 2026
- TLS-RPT si configura in 5 minuti: un solo record DNS TXT da pubblicare su
_smtp._tls.captaindns.com - La procedura è identica su Microsoft 365, Google Workspace e OVHcloud: cambia solo l'interfaccia di gestione DNS
- Usa un indirizzo email dedicato (es.
tlsrpt@captaindns.com) per separare i report dal traffico email ordinario - Combina TLS-RPT con MTA-STS per una sicurezza email completa: i report ti guidano prima di passare alla modalità
enforce
Senza TLS-RPT, un errore di crittografia TLS tra due server di posta passa completamente inosservato. Hai compreso il protocollo e la sua importanza. Resta la domanda pratica: come configurarlo concretamente sul tuo provider email?
La configurazione TLS-RPT segue sempre lo stesso principio, indipendentemente dal provider: pubblicare un record DNS TXT su _smtp._tls.captaindns.com. Ciò che cambia tra Microsoft 365, Google Workspace e OVHcloud è unicamente l'interfaccia di gestione DNS. Questo tutorial ti guida passo dopo passo su ciascuno dei tre, con i valori esatti da inserire e i comandi di verifica.
Se stai scoprendo TLS-RPT per la prima volta, inizia dalla guida completa in fondo all'articolo (vedi la sezione Guide TLS-RPT correlate) che spiega il funzionamento del protocollo, la sintassi del record e la lettura dei report JSON.
Prerequisiti prima di configurare TLS-RPT
Prima di toccare la tua zona DNS, verifica questi tre punti:
Accesso alla zona DNS del tuo dominio
Devi poter creare un record TXT nella zona DNS del tuo dominio. A seconda della tua configurazione:
- Microsoft 365: la zona DNS è gestita nel Centro di amministrazione Microsoft oppure dal tuo registrar (OVH, Cloudflare, Gandi, ecc.)
- Google Workspace: stessa logica, la zona DNS è presso il tuo registrar o presso Google Domains
- OVHcloud: la zona DNS si trova nel Manager OVHcloud
Un indirizzo email dedicato ai report
Crea una casella email dedicata come tlsrpt@captaindns.com o tls-reports@captaindns.com. I report TLS-RPT arrivano quotidianamente sotto forma di file JSON compressi (.json.gz). Un indirizzo dedicato evita che si mescolino alla tua posta di lavoro.
Comprendere la sintassi di base
Il record TLS-RPT è semplice: v=TLSRPTv1; rua=mailto:tlsrpt@captaindns.com. Solo due tag: la versione (v=TLSRPTv1, sempre identica) e l'indirizzo di ricezione dei report (rua=mailto:...). Per i dettagli, consulta la sezione sintassi della nostra guida completa.
Il record TLS-RPT in 30 secondi
Indipendentemente dal tuo provider, il record da creare è sempre lo stesso:
| Campo | Valore |
|---|---|
| Host / Nome | _smtp._tls |
| Tipo | TXT |
| Valore | v=TLSRPTv1; rua=mailto:tlsrpt@captaindns.com |
| TTL | 3600 (1 ora) |
Il nome completo del record sarà _smtp._tls.captaindns.com. Alcune interfacce DNS aggiungono automaticamente il dominio: in tal caso, inserisci solo _smtp._tls nel campo host.
mailto: o https:?
TLS-RPT supporta due tipi di destinazione per i report:
mailto:: i report arrivano via email come allegato JSON compresso. Il metodo più semplice da configurare.https:: i report vengono inviati tramite richiesta HTTP POST verso un endpoint. Adatto ai domini ad alto volume.
Per la maggior parte dei domini, mailto: è sufficiente. Puoi anche combinare i due metodi: rua=mailto:tlsrpt@captaindns.com,https://report.captaindns.com/tlsrpt.
Configurare TLS-RPT su Microsoft 365
Microsoft 365 (precedentemente Office 365) utilizza server MX del tipo *.mail.protection.outlook.com. La configurazione TLS-RPT non dipende dal tipo di MX: si effettua nella tua zona DNS.
Passaggio 1: accedere alla zona DNS
Se il tuo DNS è gestito da Microsoft: accedi al Centro di amministrazione Microsoft 365, poi vai su Impostazioni > Domini > seleziona il tuo dominio > Record DNS.
Se il tuo DNS è gestito da un registrar esterno (OVH, Cloudflare, Gandi, ecc.): accedi direttamente all'interfaccia del tuo registrar. In questo caso Microsoft non gestisce la tua zona DNS.
Passaggio 2: creare il record TXT
Aggiungi un nuovo record con questi valori:
| Campo | Valore da inserire |
|---|---|
| Tipo | TXT |
| Host / Nome | _smtp._tls |
| Valore / Contenuto | v=TLSRPTv1; rua=mailto:tlsrpt@captaindns.com |
| TTL | 3600 |
Nel Centro di amministrazione Microsoft, il campo host si chiama "Nome host o alias". Inserisci _smtp._tls senza il dominio (Microsoft lo aggiunge automaticamente).
Passaggio 3: verificare la configurazione
Dopo la propagazione DNS (da qualche minuto a qualche ora), verifica il tuo record con il nostro verificatore TLS-RPT. Inserisci il tuo dominio e conferma che lo stato sia "Valido".
Puoi anche verificare da linea di comando:
dig TXT _smtp._tls.captaindns.com +short
Risultato atteso:
"v=TLSRPTv1; rua=mailto:tlsrpt@captaindns.com"
Configurare TLS-RPT su Google Workspace
Google Workspace gestisce le email tramite i MX *.google.com e *.googlemail.com. Come per Microsoft, la configurazione TLS-RPT si effettua nella tua zona DNS, non nella console Google Admin.
Passaggio 1: accedere alla zona DNS
Se il tuo DNS è gestito da Google Domains: accedi a Google Domains, seleziona il tuo dominio, poi DNS > Record personalizzati.
Se il tuo DNS è presso un registrar esterno: accedi all'interfaccia del tuo registrar. La console Google Admin non consente di gestire i record DNS direttamente.
Passaggio 2: creare il record TXT
Aggiungi un nuovo record:
| Campo | Valore da inserire |
|---|---|
| Nome host | _smtp._tls |
| Tipo | TXT |
| Dati | v=TLSRPTv1; rua=mailto:tlsrpt@captaindns.com |
| TTL | 3600 |
In Google Domains, il campo host si chiama "Nome host". Inserisci _smtp._tls senza il dominio.
Passaggio 3: verificare la configurazione
Usa lo stesso comando di verifica:
dig TXT _smtp._tls.captaindns.com +short
Google è generalmente il primo provider a inviare report TLS-RPT. Attendi da 24 a 48 ore dopo la pubblicazione del record per ricevere il primo report da noreply-smtp-tls-reporting@google.com.
Configurare TLS-RPT su OVHcloud
OVHcloud è uno dei più grandi hosting provider europei. Se i tuoi MX puntano verso OVHcloud (mx1.mail.ovh.net, ecc.) o se OVHcloud gestisce semplicemente la tua zona DNS, la procedura è la stessa.
Passaggio 1: accedere al Manager OVHcloud
Accedi al Manager OVHcloud, poi vai su Nomi di dominio > seleziona il tuo dominio > scheda Zona DNS.
Passaggio 2: creare il record TXT
Clicca su Aggiungi un record e seleziona il tipo TXT:
| Campo | Valore da inserire |
|---|---|
| Sottodominio | _smtp._tls |
| TTL | 3600 |
| Valore | v=TLSRPTv1; rua=mailto:tlsrpt@captaindns.com |
OVHcloud aggiunge automaticamente il dominio principale dopo il sottodominio. Il record finale sarà _smtp._tls.captaindns.com.
Passaggio 3: verificare la configurazione
La propagazione DNS su OVHcloud richiede generalmente da 4 a 24 ore. Verifica quindi:
dig TXT _smtp._tls.captaindns.com +short
Errori comuni e risoluzione dei problemi
Il tuo record è pubblicato ma qualcosa non funziona? Ecco gli errori più frequenti e come correggerli.
Nome del sottodominio errato
L'errore più frequente: usare _smtp-tls (con un trattino) invece di _smtp._tls (con un punto). Il sottodominio corretto contiene due livelli separati da un punto: _smtp e _tls.
| Errato | Corretto |
|---|---|
_smtp-tls.captaindns.com | _smtp._tls.captaindns.com |
_smtptls.captaindns.com | _smtp._tls.captaindns.com |
smtp._tls.captaindns.com | _smtp._tls.captaindns.com |
Versione errata
L'unica versione valida è TLSRPTv1. Qualsiasi altro valore invalida il record:
| Errato | Corretto |
|---|---|
v=TLSRPTv2 | v=TLSRPTv1 |
v=TLSRPT1 | v=TLSRPTv1 |
v=tlsrptv1 | v=TLSRPTv1 |
Indirizzo di ricezione inesistente
Se l'indirizzo email in rua=mailto: non esiste o rifiuta le email, i provider smetteranno di inviare report dopo qualche tentativo. Verifica che la casella tlsrpt@captaindns.com:
- Esista e accetti le email
- Accetti gli allegati
.json.gz(nessun filtro sulle estensioni) - Disponga di spazio sufficiente (i report di Google possono occupare 10-50 KB al giorno)
TTL troppo alto
Un TTL di 86400 (24 ore) significa che qualsiasi correzione richiederà un giorno per propagarsi. Inizia con un TTL di 3600 (1 ora) durante la fase di configurazione, poi aumentalo una volta validata la configurazione.
Nessun report dopo 48 ore
Se nessun report arriva dopo 2 giorni:
- Verifica che il record sia pubblicato correttamente con
dig TXT _smtp._tls.captaindns.com +short - Verifica la sintassi con il nostro generatore TLS-RPT in modalità verifica
- Assicurati che il tuo dominio riceva email da provider compatibili (Google, Microsoft, Yahoo)
- Controlla la cartella spam dell'indirizzo di ricezione
Attivare MTA-STS in aggiunta a TLS-RPT
TLS-RPT da solo ti offre visibilità, ma non forza la crittografia. MTA-STS (Mail Transfer Agent Strict Transport Security, RFC 8461) colma questa lacuna. Insieme, i due protocolli formano un duo completo:
- TLS-RPT: ricevi i report sugli errori TLS
- MTA-STS: imponi la crittografia TLS ai server che ti inviano email
L'ordine di deployment consigliato è il seguente:
- Pubblica TLS-RPT (quello che hai appena fatto)
- Attiva MTA-STS in modalità
testing - Analizza i report TLS-RPT per 2 settimane
- Passa MTA-STS in modalità
enforceuna volta che i report sono puliti
Se utilizzi Microsoft 365 o Google Workspace, consulta la nostra guida alla configurazione MTA-STS per provider che copre gli stessi ambienti.
🎯 Piano d'azione consigliato
- Crea un indirizzo dedicato: configura
tlsrpt@captaindns.como un alias dedicato ai report - Pubblica il record DNS: aggiungi il TXT
_smtp._tlssul tuo provider (5 minuti) - Verifica la propagazione: usa
digo il verificatore TLS-RPT per confermare la pubblicazione - Attendi i primi report: da 24 a 48 ore per ricevere i report da Google e Microsoft
- Attiva MTA-STS: una volta che TLS-RPT è attivo, distribuisci MTA-STS in modalità testing per una protezione completa
FAQ
Come configurare TLS-RPT su Microsoft 365?
Aggiungi un record DNS TXT con il nome _smtp._tls e il valore v=TLSRPTv1; rua=mailto:tlsrpt@captaindns.com nella tua zona DNS. Se Microsoft gestisce il tuo DNS, fallo nel Centro di amministrazione Microsoft 365 sotto Impostazioni > Domini. Altrimenti, accedi al tuo registrar.
Come configurare TLS-RPT su Google Workspace?
La configurazione è identica a quella di qualsiasi altro provider: pubblica un record TXT su _smtp._tls.captaindns.com nella tua zona DNS. Google Workspace non gestisce TLS-RPT nella console Admin: il record va creato presso il tuo registrar DNS.
Quale indirizzo email usare per i report TLS-RPT?
Usa un indirizzo dedicato come tlsrpt@captaindns.com o tls-reports@captaindns.com. Evita di usare il tuo indirizzo personale o una casella condivisa: i report arrivano quotidianamente e possono intasare una casella non dedicata.
Bisogna configurare MTA-STS prima di TLS-RPT?
No, l'ordine inverso è consigliato. Pubblica prima TLS-RPT per iniziare a ricevere i report, poi attiva MTA-STS in modalità testing. I report TLS-RPT ti permetteranno di individuare eventuali problemi TLS prima di passare MTA-STS in modalità enforce.
Quanto tempo serve per ricevere i primi report TLS-RPT?
In genere da 24 a 48 ore dopo la pubblicazione del record DNS. Google è spesso il primo a inviare un report. La frequenza è poi quotidiana: ogni provider compatibile invia un report per periodo di 24 ore.
Si può usare lo stesso record TLS-RPT per più domini?
No, ogni dominio necessita del proprio record TLS-RPT. Se gestisci captaindns.com e captaindns.fr, devi pubblicare un record _smtp._tls nella zona di ciascun dominio. Tuttavia, puoi indirizzare tutti i report verso lo stesso indirizzo email.
Microsoft 365 invia automaticamente report TLS-RPT?
Sì. Microsoft è uno dei principali provider che supportano TLS-RPT. Se un dominio che ti invia email utilizza Microsoft 365 e tu hai pubblicato un record TLS-RPT, Microsoft invierà un report quotidiano al tuo indirizzo rua.
Come verificare che il record TLS-RPT sia corretto?
Usa il comando dig TXT _smtp._tls.captaindns.com +short per verificare la pubblicazione DNS. Per una validazione completa della sintassi, utilizza un validatore TLS-RPT online che verifica la versione, gli URI di reporting e gli eventuali errori di formattazione.
📖 Glossario
- TLS-RPT: SMTP TLS Reporting (RFC 8460), meccanismo che consente di ricevere report quotidiani sugli errori di negoziazione TLS durante la consegna delle email.
- MTA-STS: Mail Transfer Agent Strict Transport Security (RFC 8461), policy che impone la crittografia TLS per la ricezione delle email.
_smtp._tls: sottodominio DNS in cui pubblicare il record TXT TLS-RPT. Il nome completo è_smtp._tls.captaindns.com.rua: Reporting URI for Aggregated reports, direttiva TLS-RPT che specifica l'indirizzo di ricezione dei report (mailto: o https:).- STARTTLS: estensione SMTP che consente di avviare la crittografia TLS su una connessione inizialmente in chiaro.
- DANE: DNS-Based Authentication of Named Entities (RFC 7672), meccanismo alternativo a MTA-STS che utilizza DNSSEC per validare i certificati TLS.
Valida la tua configurazione ora: usa il nostro validatore di sintassi TLS-RPT per verificare che il tuo record _smtp._tls sia formattato correttamente.
📚 Guide TLS-RPT correlate
- TLS-RPT: la guida completa per monitorare la sicurezza TLS delle tue email: funzionamento del protocollo, sintassi del record, lettura dei report JSON
- Analizzare e sfruttare i tuoi report TLS-RPT (prossimamente)
