Posso usare un'email esterna per i report?

Sì, ma il dominio esterno deve autorizzarlo. Se invii report a reports@analyzer.com per captaindns.com, analyzer.com deve pubblicare un record TXT a captaindns.com._report._tls.analyzer.com con valore 'v=TLSRPTv1'. Contatta il dominio ricevente per configurarlo, o usa un indirizzo sul tuo dominio.

Devo usare mailto o https per i report?

mailto: è più semplice - i report arrivano come allegati email compressi. https: permette automazione via webhook. Per la maggior parte delle organizzazioni, inizia con mailto: per visibilità, poi aggiungi https: per integrazione con strumenti di monitoraggio. Puoi usare entrambi simultaneamente.

Quante URI di reporting posso includere?

Non c'è un limite rigido, ma si applicano considerazioni pratiche. Ogni URI riceve lo stesso report, aumentando il traffico. La maggior parte delle distribuzioni usa 1-3 destinazioni: un'email interna, opzionalmente un endpoint HTTPS, e opzionalmente un servizio analizzatore di terze parti.

Ho bisogno di MTA-STS per usare TLS-RPT?

Anche se TLS-RPT può funzionare da solo, è più utile con MTA-STS o DANE. MTA-STS applica la crittografia TLS, TLS-RPT riporta sull'applicazione. Senza una policy TLS da applicare, ci sono meno fallimenti da riportare. Raccomandiamo di distribuire MTA-STS in modalità testing, aggiungere TLS-RPT, monitorare, poi applicare.

Come configuro TLS-RPT per Microsoft 365 / Exchange Online?

Per i domini Microsoft 365, genera il tuo record TLS-RPT qui, poi aggiungilo come record TXT a _smtp._tls.tuodominio.it tramite il tuo provider DNS esterno (non Microsoft 365 admin). Microsoft 365 ed Exchange Online rispettano le policy TLS-RPT e inviano report di fallimento quando si connettono a domini con MTA-STS. Per i domini ospitati su M365, pubblica il record DNS dove sono configurati i nameserver del tuo dominio.

TLS-RPT Generator | Crea record SMTP TLS Reporting

Come usare questo generatore TLS-RPT

Passo 1: Aggiungi destinazioni di reporting

Inserisci dove vuoi ricevere i report di fallimento TLS:

Email (raccomandato per iniziare)

mailto:tlsrpt@captaindns.com

Webhook HTTPS (per automazione)

https://tlsrpt.captaindns.com/v1/report

Puoi aggiungere più destinazioni - i report vanno a tutte.

Passo 2: Copia il record generato

Il generatore crea un record RFC 8460 valido:

v=TLSRPTv1; rua=mailto:tlsrpt@captaindns.com

Passo 3: Pubblica nel DNS

Crea un record TXT a _smtp._tls.captaindns.com con il valore generato.

Esempio per captaindns.com:

Tipo: TXT
Host: _smtp._tls
Valore: v=TLSRPTv1; rua=mailto:tlsrpt@captaindns.com

Passo 4: Verifica la pubblicazione

Usa il nostro TLS-RPT Record Checker per confermare la configurazione corretta.

Formato record TLS-RPT

Componenti richiesti

Componente	Formato	Esempio
Versione	`v=TLSRPTv1`	Deve essere esattamente questo
URI di reporting	`rua=schema:destinazione`	`rua=mailto:reports@captaindns.com`

Schemi URI supportati

mailto: - Consegna email

rua=mailto:team-sicurezza@captaindns.com

I report arrivano come allegati JSON compressi.

https: - Consegna webhook

rua=https://api.captaindns.com/tlsrpt/ingest

I report vengono inviati POST come JSON con Content-Type: application/tlsrpt+gzip

Destinazioni multiple

Separa con virgole:

v=TLSRPTv1; rua=mailto:reports@captaindns.com,https://tlsrpt.captaindns.com/report

Autorizzazione reporting esterno

Quando invii report a un dominio diverso, è richiesta l'autorizzazione.

Scenario

Il tuo dominio: captaindns.com Destinazione report: mailto:reports@tlsrpt-service.com

Autorizzazione richiesta

tlsrpt-service.com deve pubblicare:

captaindns.com._report._tls.tlsrpt-service.com  TXT  "v=TLSRPTv1"

Usare reporting sullo stesso dominio

Per evitare la complessità dell'autorizzazione, usa un indirizzo sul tuo dominio:

v=TLSRPTv1; rua=mailto:tlsrpt@captaindns.com

Esempi per provider DNS

Cloudflare

Vai alle impostazioni DNS del tuo dominio
Aggiungi record:
- Tipo: TXT
- Nome: _smtp._tls
- Contenuto: Il tuo valore record generato
- TTL: Auto

AWS Route 53

Apri la zona ospitata per il tuo dominio
Crea record:
- Nome record: _smtp._tls
- Tipo record: TXT
- Valore: "v=TLSRPTv1; rua=mailto:tlsrpt@captaindns.com"
- TTL: 3600

Aruba / OVH

Vai alle impostazioni DNS
Aggiungi record personalizzato:
- Host: _smtp._tls
- Tipo: TXT
- TTL: 3600
- Dati: Il tuo valore record generato

Configurazione completa sicurezza email

TLS-RPT fa parte della sicurezza completa del trasporto email:

1. MTA-STS (Applica TLS)

Indica ai server mittenti di richiedere crittografia TLS.

2. TLS-RPT (Riporta fallimenti)

Riporta quando l'applicazione TLS fallisce.

Usa questo generatore
Verifica stato TLS-RPT

3. Distribuzione raccomandata

Distribuisci MTA-STS con mode: testing
Aggiungi TLS-RPT per ricevere report
Monitora i report per 2-4 settimane
Passa MTA-STS a mode: enforce
Continua a monitorare via TLS-RPT

Capire i report TLS-RPT

Struttura del report

{
  "organization-name": "Google Inc.",
  "date-range": {
    "start-datetime": "2024-01-15T00:00:00Z",
    "end-datetime": "2024-01-16T00:00:00Z"
  },
  "contact-info": "postmaster@google.com",
  "report-id": "2024011512345",
  "policies": [{
    "policy": {
      "policy-type": "sts",
      "policy-string": ["version: STSv1", "mode: enforce", "mx: mail.captaindns.com", "max_age: 604800"],
      "policy-domain": "captaindns.com"
    },
    "summary": {
      "total-successful-session-count": 8432,
      "total-failure-session-count": 3
    },
    "failure-details": [{
      "result-type": "certificate-expired",
      "sending-mta-ip": "198.51.100.1",
      "receiving-mx-hostname": "mail.captaindns.com",
      "failed-session-count": 3
    }]
  }]
}

Campi chiave spiegati

Campo	Significato
organization-name	Organizzazione mittente
date-range	Periodo di reporting di 24 ore
total-successful-session-count	Connessioni TLS riuscite
total-failure-session-count	Connessioni TLS fallite
result-type	Motivo del fallimento (certificate-expired, sts-policy-invalid, ecc.)
sending-mta-ip	IP che ha fallito la connessione

FAQ - Domande frequenti

D: Cos'è TLS-RPT e perché ne ho bisogno?

R: TLS-RPT (SMTP TLS Reporting) è un record DNS che indica ai server di posta mittenti dove inviare report sui fallimenti di connessione TLS. Senza di esso, non hai visibilità sui fallimenti di crittografia che influenzano la consegna delle email.

D: Dove pubblico il record generato?

R: Pubblica il record generato come record TXT a _smtp._tls.captaindns.com. Funziona con qualsiasi provider DNS incluso Cloudflare, Route53, Aruba, OVH, ecc.

D: In che formato sono i report?

R: I report TLS-RPT sono documenti JSON, tipicamente compressi gzip. Includono: organizzazione mittente, intervallo date, informazioni policy (MTA-STS/DANE), conteggi sessioni e dettagli fallimenti. I report vengono inviati circa ogni 24 ore.

Strumenti complementari

Strumento	Scopo
TLS-RPT Syntax Checker	Valida record prima della pubblicazione
TLS-RPT Record Checker	Verifica configurazione DNS in produzione
MTA-STS Generator	Crea policy MTA-STS
MTA-STS Record Checker	Verifica distribuzione MTA-STS
Verifica dominio email	Audit completo autenticazione

Risorse utili

RFC 8460 - SMTP TLS Reporting (specifica ufficiale)
RFC 8461 - MTA-STS (protocollo complementare)
Google - Configurare TLS reporting
Postfix - Documentazione TLS

TLS-RPT Generator

Crea record SMTP TLS Reporting per la pubblicazione DNS

Conforme RFC 8460

URI di reporting multiple

Pronto per copia-incolla

Validazione in tempo reale

Guida integrazione MTA-STS