Vai al contenuto principale
Accedi
CaptainDNS

Propagazione e diagnostica

Confronta i resolver in tutto il mondo e ispeziona le risposte restituite.

Diagnostica email

Strumenti per verificare e convalidare la configurazione di autenticazione e-mail.

SPF
DKIM
DMARC
DMARCbis
BIMI
MTA-STS
TLS-RPT
DANE / TLSA

Recapitabilità

Audit deliverabilityAnalizzatore intestazioniTester emailVerifica blacklist IPVerifica blacklist dominioAppiattitore SPFRicerca selettori DKIMVerificatore SMTP/MX

Proteggere e Monitorare

Generatori di record, hosting di policy e monitoraggio continuo.

Rete e Web

Strumenti di rete, analisi di pagine web e certificati.

Strumenti IP

Il mio indirizzo IP

Rileva i tuoi indirizzi IPv4/IPv6 e la loro geolocalizzazione.

Ricerca inversa

Risolve un record PTR e verifica la coerenza DNS.

WhoIs IP

Identifica il proprietario di un intervallo IP e i suoi contatti.

Maschera IPv4

Calcola la rete, il broadcast e gli host utilizzabili di qualsiasi blocco IPv4.

Calcolatore di sottoreti IPv6

Calcola sottoreti IPv6, intervalli di indirizzi e voci DNS inverso.

Certificati e BIMI

Analizzatore logo BIMI

Analizza l'URL di un logo BIMI, il formato, i metadati e il rendering.

BIMI SVG Converter

Converti qualsiasi SVG nel formato Tiny-PS compatibile BIMI in pochi secondi.

Analizzatore CSR

Ispeziona un CSR, estrai dettagli del soggetto, impronte digitali e SAN richiesti.

Ispettore VMC

Analizza un Verified Mark Certificate: autorità emittente, validità e SAN prima di pubblicare il BIMI.

Web

Verificatore peso pagina

Verifica se la tua pagina supera il limite di 2 MB di Googlebot.

Verificatore URL di phishing

Verifica se un URL è segnalato come phishing o malware da 4 fonti.

Visualizzatore di header HTTP

Ispeziona gli header HTTP restituiti da un URL, con annotazioni per gli header di sicurezza.

Test HSTS

Analizza la policy HSTS di un dominio e il suo stato sulla preload list di Chromium.

Redirect Checker

Analizza le catene di reindirizzamenti HTTP

Reindirizzamento dominio

Reindirizza i tuoi domini con HTTPS automatico e redirect 301/302.

HTTP Uptime Monitor

Monitora la disponibilità dei tuoi siti con controlli pianificati e avvisi via email.

Pagine di stato

Pubblica una pagina pubblica che raggruppa i tuoi monitor HTTP.

Strumenti sviluppatore

Utilità di testo e strumenti per lo sviluppo quotidiano.

Testo

Trasforma e misura i tuoi contenuti in pochi secondi.

Convertitore maiuscole/minuscole

Converti istantaneamente qualsiasi testo in maiuscolo o minuscolo.

Generatore di slug

Trasforma qualsiasi titolo in uno slug ottimizzato SEO in pochi secondi.

Conteggio parole e caratteri

Misura la lunghezza di qualsiasi testo con conteggi immediati di parole e caratteri.

Generatore di password

Genera password casuali sicure e frasi di accesso facili da ricordare.

Sviluppatore

Codifica, hashing, regex e formattazione per il lavoro quotidiano.

Codificatore / decodificatore Base64

Codifica o decodifica contenuti Base64 direttamente dal browser.

Generatore di hash

Calcola gli hash MD5, SHA-1, SHA-256 e SHA-512 di qualsiasi testo.

Codificatore / decodificatore URL

Codifica o decodifica il testo con percent-encoding (RFC 3986) direttamente nel browser.

Tester regex

Testa un'espressione regolare contro un testo e visualizza le corrispondenze.

Formattatore JSON / YAML

Formatta, valida e converti JSON e YAML in un clic.

Monitoraggio TLS-RPT gratuito

Rileva errori TLS e analizza i report di crittografia SMTP automaticamente

Ogni giorno, email scompaiono in silenzio: certificato TLS scaduto, estensione STARTTLS rimossa, policy MTA-STS non sincronizzata. Nessun avviso, nessuna traccia. TLS-RPT (RFC 8460) esiste per rendere visibili questi errori invisibili. CaptainDNS riceve i Suoi report SMTP TLS automaticamente, li analizza e li rende leggibili. Aggiunga il Suo dominio e al resto pensiamo noi.

Ricezione automatica

I report vengono ricevuti e analizzati automaticamente. Nessun server da gestire, nessun JSON da decodificare. Aggiunga il record DNS e il gioco è fatto.

Verifica del dominio

Un record TXT di verifica dimostra la proprietà del dominio. Lo aggiunga al Suo DNS e la validazione è automatica.

Analisi dettagliata

Consulti i contatori di sessioni TLS riuscite e fallite, i dettagli delle policy e gli indirizzi IP sorgente per ogni periodo di report.

Endpoint dedicato

Ogni dominio riceve un endpoint HTTPS unico. Il record DNS TLS-RPT viene generato automaticamente con l'URL rua= corretto.

Domini multipli

Monitori i report TLS-RPT di più domini da un unico account. Ogni dominio dispone del proprio collettore di report verificato.

Perché monitorare i report TLS-RPT?

TLS-RPT (SMTP TLS Reporting, RFC 8460) offre visibilità sugli errori di connessione TLS che interessano la Sua posta in arrivo. Senza questo meccanismo, non ha alcun modo di sapere quando i server mittenti non riescono a crittografare la posta destinata al Suo dominio.

Tre problemi comuni rilevati tramite TLS-RPT:

  • Certificati scaduti : Il Suo server MX presenta un certificato TLS non valido o scaduto, bloccando le connessioni crittografate. Senza TLS-RPT, questo errore può durare giorni prima di essere scoperto.
  • MTA-STS mal configurato : La Sua policy MTA-STS non corrisponde ai Suoi server MX effettivi. Le email vengono rifiutate silenziosamente dai provider conformi.
  • Downgrade STARTTLS : Intermediari di rete rimuovono l'estensione STARTTLS, forzando la posta in chiaro. Il mittente non viene avvisato. Lei nemmeno.

Come configurare il monitoraggio TLS-RPT in 3 passaggi

Passaggio 1: Aggiunga il Suo dominio

Acceda e registri il dominio da monitorare. CaptainDNS genera un collettore di report HTTPS unico e il record DNS TLS-RPT corrispondente.

Passaggio 2: Verifichi la proprietà del dominio

Aggiunga il record TXT di verifica al Suo DNS. La validazione è automatica una volta rilevato il record.

Passaggio 3: Pubblichi il record TLS-RPT

Aggiunga il record TXT _smtp._tls fornito al Suo DNS. I server mittenti inizieranno a inviare report sugli errori TLS al Suo endpoint CaptainDNS.

Cos'è TLS-RPT?

TLS-RPT (SMTP TLS Reporting) è uno standard definito dalla RFC 8460. Consente ai server di posta mittenti di segnalare gli errori di negoziazione TLS al dominio destinatario.

Esempio di record DNS:

_smtp._tls.captaindns.com.  IN  TXT  "v=TLSRPTv1; rua=https://api.captaindns.com/tls-rpt/ingest/abc123"

Il record _smtp._tls indica ai server mittenti dove inviare i loro report JSON quando una connessione TLS fallisce verso il Suo dominio.

Cosa contiene un report TLS-RPT?

CampoDescrizione
Organizzazione mittenteIl provider di posta che ha inviato il report
PeriodoTimestamp di inizio e fine della finestra di reporting
Policy applicatePolicy MTA-STS, DANE o STARTTLS rilevate
Sessioni riusciteNumero di connessioni TLS stabilite con successo
Sessioni falliteNumero di errori di negoziazione TLS con dettagli dell'errore

Tipi di errore TLS-RPT (RFC 8460)

Tipo di erroreDescrizione
starttls-not-supportedIl server destinatario non supporta STARTTLS
certificate-expiredIl certificato TLS presentato dal MX è scaduto
certificate-host-mismatchIl certificato non corrisponde al nome host del MX
certificate-not-trustedLa catena di certificati non è considerata affidabile dal mittente
validation-failureErrore di validazione TLS generico
sts-policy-invalidLa policy MTA-STS non ha potuto essere validata
sts-webpki-invalidL'host della policy MTA-STS ha un certificato Web PKI non valido
tlsa-invalidIl record DANE TLSA non è valido o non corrisponde
dane-requiredDANE è richiesto ma non ha potuto essere validato

TLS-RPT vs DMARC

TLS-RPTDMARC
ProteggeCrittografia del trasporto (SMTP TLS)Autenticazione del mittente (SPF/DKIM)
SegnalaErrori di connessione TLS, errori di certificatoErrori di allineamento dell'autenticazione
RFCRFC 8460RFC 7489
Record DNS_smtp._tls TXT_dmarc TXT
Minacce rilevateCertificati scaduti, rimozione STARTTLS, errori DANE/MTA-STSSpoofing, phishing, impersonificazione del dominio

I due protocolli sono complementari. Implementi il monitoraggio DMARC insieme a TLS-RPT per una visibilità completa sulla sicurezza email.

Chi invia report TLS-RPT?

I principali provider di posta che inviano report TLS-RPT quando rilevano errori TLS nella connessione al Suo dominio:

  • Google (Gmail, Workspace): Invia report aggregati giornalieri su tutti i tentativi di connessione
  • Microsoft (Outlook, Exchange Online): Segnala errori di negoziazione TLS per i tenant Microsoft 365
  • Yahoo: Fornisce dati TLS-RPT per l'infrastruttura Yahoo Mail e AOL
  • Apple (iCloud Mail): Riporta errori TLS per la consegna iCloud Mail
  • Comcast: Uno dei primi ISP a implementare il reporting TLS-RPT

Casi d'uso concreti

Incidente 1: Certificato scaduto non rilevato

Sintomo: Mittenti principali (Google, Microsoft) segnalano errori certificate-expired nei loro report SMTP TLS Reporting.

Diagnosi: La dashboard CaptainDNS mostra un picco di errori nelle ultime 24 ore, tutti legati a un certificato Let's Encrypt scaduto sul MX principale. Nel frattempo, le email in arrivo da quei provider venivano silenziosamente rifiutate.

Azione: Rinnovare il certificato TLS del server di posta. I report successivi confermano la risoluzione. Senza TLS-RPT, l'incidente sarebbe potuto durare settimane.

Incidente 2: Policy MTA-STS non sincronizzata

Sintomo: I report segnalano errori sts-policy-invalid nonostante una policy MTA-STS pubblicata.

Diagnosi: I report SMTP TLS Reporting rivelano che la policy MTA-STS fa riferimento a un server MX che non esiste più. I mittenti conformi rifiutano la consegna.

Azione: Aggiornare la policy MTA-STS per riflettere i MX attuali. La consegna si normalizza nel giro di poche ore.

FAQ - Domande frequenti

D: Cos'è un record TLS-RPT?

R: Un record TLS-RPT è un record DNS TXT posizionato su _smtp._tls.suodominio.com. Contiene una direttiva rua= che indica ai server mittenti dove inviare i report sugli errori TLS (RFC 8460).

D: Il monitoraggio TLS-RPT di CaptainDNS è gratuito?

R: Sì, il servizio di monitoraggio TLS-RPT è completamente gratuito. Riteniamo che ogni dominio debba poter monitorare la propria sicurezza TLS senza vincoli tecnici.

D: Come configuro il mio dominio per inviare i report qui?

R: Aggiunga un record TXT a _smtp._tls.suodominio.com con il valore v=TLSRPTv1; rua=https://api.captaindns.com/tls-rpt/ingest/{suo-token}. Il record esatto viene fornito quando aggiunge il Suo dominio.

D: Quali formati di report sono supportati?

R: Accettiamo i report TLS-RPT in formato JSON come definito dalla RFC 8460, compressi (gzip) o meno. I report vengono accettati tramite HTTPS POST.

D: Come funziona la verifica del dominio?

R: Aggiunga un record TXT di verifica fornito da CaptainDNS al Suo DNS. Una volta rilevato, la proprietà del dominio viene confermata e il monitoraggio dei report viene attivato.

D: Ho bisogno di MTA-STS per utilizzare TLS-RPT?

R: No, TLS-RPT funziona in modo indipendente. Tuttavia, combinare MTA-STS con TLS-RPT è consigliato: MTA-STS impone la crittografia, TLS-RPT La informa quando i mittenti non riescono a rispettarla.

D: Quali rischi si corrono senza TLS-RPT?

R: Senza TLS-RPT, gli errori TLS restano invisibili. Un certificato scaduto può bloccare le email dai principali provider per giorni. Una policy MTA-STS obsoleta porta i mittenti a rifiutare silenziosamente la connessione. L'unico modo per accorgersene è quando un utente segnala il problema, spesso troppo tardi.

D: Con quale frequenza arrivano i report?

R: I report vengono analizzati e resi disponibili nella Sua dashboard entro pochi secondi dalla ricezione. La maggior parte dei provider di posta invia report quotidianamente.

D: Quali tipi di errore TLS segnala TLS-RPT?

R: TLS-RPT copre tutti i tipi di errore definiti nella RFC 8460: starttls-not-supported, certificate-expired, certificate-host-mismatch, certificate-not-trusted, validation-failure, sts-policy-invalid, sts-webpki-invalid, tlsa-invalid e dane-required. Ogni tipo indica un problema specifico nella catena di negoziazione TLS o di validazione della policy.

D: Qual è la differenza tra TLS-RPT e DMARC?

R: TLS-RPT e DMARC proteggono livelli diversi. DMARC (RFC 7489) verifica l'autenticazione del mittente tramite allineamento SPF e DKIM e combatte lo spoofing e il phishing. TLS-RPT (RFC 8460) monitora la crittografia del trasporto e segnala quando le connessioni SMTP TLS falliscono, i certificati scadono o STARTTLS viene degradato. Entrambi sono essenziali.

Strumenti complementari

StrumentoUtilità
Verifica della sintassi TLS-RPTValidare la sintassi di un record TLS-RPT
Verifica del record TLS-RPTVerificare il record TLS-RPT DNS del Suo dominio
Generatore TLS-RPTGenerare un record DNS TLS-RPT
Lettore di report TLS-RPTAnalizzare manualmente un report JSON TLS-RPT
Hosting MTA-STSOspitare gratuitamente la Sua policy MTA-STS
Monitoraggio DMARCMonitorare e analizzare i report aggregati DMARC

Risorse utili