Come ricevere rapporti TLS-RPT?

Pubblica un record DNS TXT su _smtp._tls.tuodominio.com con un URI di reporting (mailto: o https:). Usa il Generatore TLS-RPT di CaptainDNS per creare questo record. I server di posta compatibili invieranno automaticamente rapporti quotidiani.

Quali formati di file sono accettati?

L'analizzatore accetta file JSON grezzi (.json) e file JSON compressi gzip (.json.gz). I rapporti ricevuti via email da Google, Microsoft o Yahoo sono generalmente allegati in formato .json.gz. Dimensione massima: 10 MB.

Cosa significano i tipi di errore nel rapporto?

I codici di errore più comuni includono: starttls-not-supported (il server MX non supporta la crittografia), certificate-expired (certificato TLS scaduto), certificate-host-mismatch (certificato emesso per un altro dominio), sts-policy-fetch-error (policy MTA-STS inaccessibile), tlsa-invalid (record DANE obsoleto), dnssec-invalid (catena DNSSEC interrotta).

Cosa significa il punteggio di salute?

Il punteggio di salute (0-100) viene calcolato in base al tasso di errore globale, alla gravità degli errori (critica, alta, media), alla presenza di policy TLS e alla loro modalità (enforce vs testing). Un punteggio di 90+ è eccellente, 70-89 buono, 50-69 richiede attenzione, sotto 50 è critico.

Da dove provengono i rapporti TLS-RPT che ricevo?

I rapporti vengono inviati dai principali provider di posta: Google (Gmail), Microsoft (Outlook/Office 365), Yahoo, Apple (iCloud), Comcast, LinkedIn, Amazon SES, Fastmail, Proton Mail. Ogni mittente invia un rapporto per periodo di 24 ore.

Qual è la differenza tra MTA-STS e TLS-RPT?

MTA-STS (RFC 8461) è una policy che obbliga i server mittenti a utilizzare TLS per consegnare email al tuo dominio. TLS-RPT (RFC 8460) è il meccanismo di reporting che ti informa se questa policy viene rispettata o meno. I due protocolli sono complementari: MTA-STS protegge, TLS-RPT monitora.

Analizzatore rapporti TLS-RPT gratuito online

Perché analizzare i tuoi rapporti TLS-RPT?

Ogni giorno, Google, Microsoft e Yahoo inviano rapporti TLS-RPT ai domini configurati. Questi rapporti rivelano se la crittografia TLS funziona per le tue email in ingresso.

Il problema: un rapporto TLS-RPT è un file JSON tecnico, spesso compresso in gzip. Senza uno strumento dedicato, il contenuto resta illeggibile.

Tre motivi per agire subito:

Rilevare certificati scaduti - un certificato scaduto su un MX blocca la crittografia ed espone le email in chiaro
Validare la policy MTA-STS - una policy inaccessibile o non valida genera errori segnalati in ogni rapporto
Monitorare le tendenze - un tasso di errore in aumento segnala un problema di configurazione da correggere prima che impatti la consegnabilità delle email

Carica il tuo primo rapporto qui sopra per ottenere una diagnostica in 10 secondi.

Come analizzare un rapporto TLS-RPT in 3 passi

Passo 1: Recupera il rapporto

Apri l'email ricevuta da Google (noreply-smtp-tls-reporting@google.com), Microsoft o Yahoo. Scarica l'allegato .json.gz o .json.

Passo 2: Carica il file

Trascina e rilascia il file sulla zona di caricamento qui sopra. Lo strumento accetta JSON grezzo e JSON compresso gzip, fino a 10 MB.

Passo 3: Leggi la diagnostica

CaptainDNS decomprime, analizza e visualizza in pochi secondi:

Un punteggio di salute su 100 ripartito in 4 livelli: eccellente, buono, attenzione, critico
Il dettaglio per policy MTA-STS e DANE con tasso di successo per server MX
Ogni errore spiegato con la sua gravità, la causa e una raccomandazione operativa
Un link diretto allo strumento CaptainDNS appropriato per correggere ogni problema

Struttura di un rapporto TLS-RPT (RFC 8460)

Un rapporto TLS-RPT segue lo schema definito dalla RFC 8460. Ogni rapporto contiene tre sezioni principali:

organization-name: il mittente del rapporto (es. «Google Inc.»)
date-range: il periodo coperto (generalmente 24 ore)
policies: una o più policy valutate (MTA-STS e/o DANE)

Per ogni policy, il rapporto indica:

Campo	Descrizione
`policy-type`	Tipo di policy (`sts`, `tlsa` o `no-policy-found`)
`policy-domain`	Dominio interessato
`total-successful-session-count`	Connessioni TLS riuscite
`total-failure-session-count`	Connessioni TLS fallite
`failure-details`	Dettaglio di ogni tipo di errore

Tipi di errori TLS analizzati

Errori STARTTLS

Codice	Gravità	Causa	Azione
`starttls-not-supported`	Critica	Il server MX non offre STARTTLS	Attivare STARTTLS sul server

Errori di certificato

Codice	Gravità	Causa	Azione
`certificate-expired`	Alta	Certificato TLS scaduto	Rinnovare con Let's Encrypt o la propria CA
`certificate-host-mismatch`	Alta	CN/SAN non corrisponde all'hostname MX	Emettere un certificato con l'hostname corretto
`certificate-not-trusted`	Alta	CA non riconosciuta o certificato autofirmato	Utilizzare un certificato di una CA pubblica

Errori MTA-STS

Codice	Gravità	Causa	Azione
`sts-policy-fetch-error`	Alta	Policy MTA-STS inaccessibile	Verificare `https://mta-sts.dominio/.well-known/mta-sts.txt`
`sts-policy-invalid`	Alta	Contenuto della policy non valido	Validare con il MTA-STS Syntax Checker
`sts-webpki-invalid`	Alta	Certificato HTTPS del server MTA-STS non valido	Rinnovare il certificato di `mta-sts.dominio`

Errori DANE

Codice	Gravità	Causa	Azione
`tlsa-invalid`	Alta	Record TLSA obsoleto	Aggiornare con il DANE/TLSA Checker
`dnssec-invalid`	Critica	Catena DNSSEC interrotta	Verificare con il DNSSEC Checker
`dane-required`	Alta	DANE richiesto ma non disponibile	Pubblicare record TLSA validi

Casi d'uso concreti

Incidente 1: Certificato scaduto su un MX secondario

Sintomo: il rapporto Google indica 200 errori certificate-expired su mail2.esempio.com. Diagnostica: il certificato Let's Encrypt del MX secondario non si è rinnovato (cron certbot non funzionante). Azione: rinnova il certificato e verifica l'automazione del rinnovo.

Incidente 2: Policy MTA-STS inaccessibile

Sintomo: il rapporto Microsoft segnala sts-policy-fetch-error con «HTTP 503». Diagnostica: il server che ospita https://mta-sts.esempio.com/.well-known/mta-sts.txt è fuori servizio. Azione: ripristina il server oppure valuta l'hosting MTA-STS di CaptainDNS per un'alta disponibilità.

Incidente 3: Nessuna policy TLS configurata

Sintomo: il rapporto mostra no-policy-found per un sottodominio. Diagnostica: il sottodominio non ha una policy MTA-STS né DANE. Azione: configura MTA-STS con il Generatore MTA-STS oppure implementa DANE con il Generatore DANE/TLSA.

FAQ

D: Cos'è un rapporto TLS-RPT e come si legge?

R: Un rapporto TLS-RPT è un file JSON inviato quotidianamente dai server di posta che consegnano email al tuo dominio. Contiene le statistiche delle connessioni TLS: numero di successi, numero di errori e dettaglio di ogni tipo di errore. Questi file sono spesso in formato .json.gz e richiedono uno strumento per essere interpretati.

D: Perché ricevo email da noreply-smtp-tls-reporting@google.com?

R: Hai configurato un record DNS TLS-RPT con un indirizzo mailto:. Google ti invia quindi quotidianamente un rapporto sulle connessioni TLS dei suoi server verso il tuo dominio. È un comportamento normale e auspicabile - questi rapporti ti permettono di monitorare la salute TLS.

D: Qual è la differenza tra un TLS-RPT checker e un TLS-RPT report analyzer?

R: Un TLS-RPT checker verifica il tuo record DNS _smtp._tls.dominio (la configurazione). Un TLS-RPT report analyzer legge e interpreta i file di rapporto JSON che ricevi (i risultati). I due strumenti sono complementari. Usa l'Ispettore TLS-RPT per la configurazione e questo analizzatore per i rapporti.

Strumenti complementari

Strumento	Utilità
Generatore TLS-RPT	Creare il record DNS TLS-RPT
Ispettore TLS-RPT	Verificare la configurazione DNS TLS-RPT
TLS-RPT Syntax Checker	Validare la sintassi di un record
Ispettore MTA-STS	Verificare il deployment MTA-STS
DANE/TLSA Checker	Verificare i record DANE
Audit dominio email	Audit completo SPF, DKIM, DMARC, MTA-STS, TLS-RPT

Non hai ancora configurato TLS-RPT? Inizia con il Generatore TLS-RPT per creare il record DNS in pochi secondi.

Risorse utili

RFC 8460 - SMTP TLS Reporting - specifica ufficiale TLS-RPT
RFC 8461 - MTA Strict Transport Security - protocollo complementare MTA-STS
RFC 7672 - SMTP Security via DANE - autenticazione DANE per SMTP
Google - Configurare TLS Reporting - guida ufficiale Google Workspace

Analizzatore di rapporti TLS-RPT

Diagnostica dei tuoi rapporti SMTP TLS Reporting in 10 secondi

Decompressione automatica

Punteggio di salute su 100

Diagnostica per policy

Raccomandazioni operative

12 tipi di errori analizzati