Configurar TLS-RPT: guia passo a passo para Microsoft 365, Google Workspace e OVHcloud
Por CaptainDNS
Publicado em 13 de fevereiro de 2026
- O TLS-RPT se configura em 5 minutos: basta publicar um único registro DNS TXT em
_smtp._tls.captaindns.com - O procedimento é idêntico no Microsoft 365, Google Workspace e OVHcloud: só muda a interface de gerenciamento DNS
- Use um endereço de email dedicado (ex.:
tlsrpt@captaindns.com) para separar os relatórios do tráfego habitual - Combine o TLS-RPT com o MTA-STS para uma segurança de email completa: os relatórios orientam você antes de ativar o modo
enforce
Sem o TLS-RPT, uma falha de criptografia TLS entre dois servidores de email passa completamente despercebida. Você já entendeu o protocolo e sua importância. Falta a parte prática: como configurá-lo concretamente no seu provedor de email?
A configuração do TLS-RPT segue sempre o mesmo princípio, independentemente do provedor: publicar um registro DNS TXT em _smtp._tls.captaindns.com. O que muda entre Microsoft 365, Google Workspace e OVHcloud é apenas a interface de gerenciamento DNS. Este tutorial orienta você passo a passo em cada um dos três, com os valores exatos a preencher e os comandos de verificação.
Se você está descobrindo o TLS-RPT, comece pelo guia completo no final do artigo (veja a seção Guias de TLS-RPT relacionados) que explica o funcionamento do protocolo, a sintaxe do registro e a leitura dos relatórios JSON.
Pré-requisitos antes de configurar o TLS-RPT
Antes de mexer na sua zona DNS, verifique estes três pontos:
Acesso à zona DNS do seu domínio
Você precisa poder criar um registro TXT na zona DNS do seu domínio. Dependendo da sua configuração:
- Microsoft 365: a zona DNS é gerenciada no Centro de administração Microsoft ou no seu registrar (OVH, Cloudflare, Gandi, etc.)
- Google Workspace: mesma lógica, a zona DNS fica no seu registrar ou no Google Domains
- OVHcloud: a zona DNS fica no Manager OVHcloud
Um endereço de email dedicado aos relatórios
Crie uma caixa de correio dedicada como tlsrpt@captaindns.com ou tls-reports@captaindns.com. Os relatórios TLS-RPT chegam diariamente na forma de arquivos JSON compactados (.json.gz). Um endereço dedicado evita que eles se misturem ao seu email profissional.
Entender a sintaxe básica
O registro TLS-RPT é simples: v=TLSRPTv1; rua=mailto:tlsrpt@captaindns.com. Apenas dois campos: a versão (v=TLSRPTv1, sempre idêntica) e o endereço de recebimento dos relatórios (rua=mailto:...). Para mais detalhes, consulte a seção de sintaxe do nosso guia completo.
O registro TLS-RPT em 30 segundos
Independentemente do seu provedor, o registro a ser criado é sempre o mesmo:
| Campo | Valor |
|---|---|
| Host / Nome | _smtp._tls |
| Tipo | TXT |
| Valor | v=TLSRPTv1; rua=mailto:tlsrpt@captaindns.com |
| TTL | 3600 (1 hora) |
O nome completo do registro será _smtp._tls.captaindns.com. Algumas interfaces DNS adicionam automaticamente o domínio: nesse caso, digite apenas _smtp._tls no campo host.
mailto: ou https:?
O TLS-RPT suporta dois tipos de destino para os relatórios:
mailto:: os relatórios chegam por email como anexo JSON compactado. É o mais simples de configurar.https:: os relatórios são enviados via requisição HTTP POST para um endpoint. Indicado para domínios com alto volume.
Para a maioria dos domínios, mailto: é suficiente. Você também pode combinar os dois: rua=mailto:tlsrpt@captaindns.com,https://report.captaindns.com/tlsrpt.
Configurar o TLS-RPT no Microsoft 365
O Microsoft 365 (antigo Office 365) utiliza servidores MX no formato *.mail.protection.outlook.com. A configuração do TLS-RPT não depende do tipo de MX: ela é feita na sua zona DNS.
Etapa 1: acessar sua zona DNS
Se o seu DNS é gerenciado pela Microsoft: faça login no Centro de administração Microsoft 365, depois vá em Configurações > Domínios > selecione seu domínio > Registros DNS.
Se o seu DNS é gerenciado por um registrar externo (OVH, Cloudflare, Gandi, etc.): faça login diretamente na interface do seu registrar. A Microsoft não gerencia sua zona DNS nesse caso.
Etapa 2: criar o registro TXT
Adicione um novo registro com estes valores:
| Campo | Valor a preencher |
|---|---|
| Tipo | TXT |
| Host / Nome | _smtp._tls |
| Valor / Conteúdo | v=TLSRPTv1; rua=mailto:tlsrpt@captaindns.com |
| TTL | 3600 |
No Centro de administração Microsoft, o campo host se chama "Nome do host ou alias". Digite _smtp._tls sem o domínio (a Microsoft o adiciona automaticamente).
Etapa 3: verificar a configuração
Após a propagação DNS (de alguns minutos a algumas horas), verifique seu registro com nosso verificador TLS-RPT. Digite seu domínio e confirme que o status é "Válido".
Você também pode verificar pela linha de comando:
dig TXT _smtp._tls.captaindns.com +short
Resultado esperado:
"v=TLSRPTv1; rua=mailto:tlsrpt@captaindns.com"
Configurar o TLS-RPT no Google Workspace
O Google Workspace gerencia os emails pelos MX *.google.com e *.googlemail.com. Assim como no Microsoft, a configuração do TLS-RPT é feita na sua zona DNS, não no console Google Admin.
Etapa 1: acessar sua zona DNS
Se o seu DNS é gerenciado pelo Google Domains: faça login no Google Domains, selecione seu domínio e depois DNS > Registros personalizados.
Se o seu DNS fica em um registrar externo: faça login na interface do seu registrar. O console Google Admin não permite gerenciar os registros DNS diretamente.
Etapa 2: criar o registro TXT
Adicione um novo registro:
| Campo | Valor a preencher |
|---|---|
| Nome do host | _smtp._tls |
| Tipo | TXT |
| Dados | v=TLSRPTv1; rua=mailto:tlsrpt@captaindns.com |
| TTL | 3600 |
No Google Domains, o campo host se chama "Nome do host". Digite _smtp._tls sem o domínio.
Etapa 3: verificar a configuração
Use o mesmo comando de verificação:
dig TXT _smtp._tls.captaindns.com +short
O Google é geralmente o primeiro provedor a enviar relatórios TLS-RPT. Aguarde 24 a 48 horas após a publicação do registro para receber o primeiro relatório de noreply-smtp-tls-reporting@google.com.
Configurar o TLS-RPT no OVHcloud
O OVHcloud é um dos maiores provedores de hospedagem da Europa. Seja com os MX apontando para o OVHcloud (mx1.mail.ovh.net, etc.) ou com o OVHcloud apenas gerenciando sua zona DNS, o procedimento é o mesmo.
Etapa 1: acessar o Manager OVHcloud
Faça login no Manager OVHcloud, depois navegue até Nomes de domínio > selecione seu domínio > aba Zona DNS.
Etapa 2: criar o registro TXT
Clique em Adicionar uma entrada e selecione o tipo TXT:
| Campo | Valor a preencher |
|---|---|
| Subdomínio | _smtp._tls |
| TTL | 3600 |
| Valor | v=TLSRPTv1; rua=mailto:tlsrpt@captaindns.com |
O OVHcloud adiciona automaticamente o domínio principal após o subdomínio. O registro final será _smtp._tls.captaindns.com.
Etapa 3: verificar a configuração
A propagação DNS no OVHcloud leva geralmente de 4 a 24 horas. Depois, verifique:
dig TXT _smtp._tls.captaindns.com +short
Erros comuns e solução de problemas
Seu registro foi publicado mas algo não está funcionando? Veja os erros mais comuns e como corrigi-los.
Nome de subdomínio errado
O erro mais frequente: usar _smtp-tls (com um hífen) em vez de _smtp._tls (com um ponto). O subdomínio correto contém dois níveis separados por um ponto: _smtp e _tls.
| Incorreto | Correto |
|---|---|
_smtp-tls.captaindns.com | _smtp._tls.captaindns.com |
_smtptls.captaindns.com | _smtp._tls.captaindns.com |
smtp._tls.captaindns.com | _smtp._tls.captaindns.com |
Versão incorreta
A única versão válida é TLSRPTv1. Qualquer outro valor invalida o registro:
| Incorreto | Correto |
|---|---|
v=TLSRPTv2 | v=TLSRPTv1 |
v=TLSRPT1 | v=TLSRPTv1 |
v=tlsrptv1 | v=TLSRPTv1 |
Endereço de recebimento inexistente
Se o endereço de email em rua=mailto: não existir ou rejeitar emails, os provedores deixarão de enviar relatórios após algumas tentativas. Verifique se a caixa tlsrpt@captaindns.com:
- Existe e aceita emails
- Aceita anexos
.json.gz(sem filtro de extensões) - Possui espaço suficiente (os relatórios do Google podem ter de 10 a 50 KB por dia)
TTL muito alto
Um TTL de 86400 (24 horas) significa que qualquer correção levará um dia para se propagar. Comece com um TTL de 3600 (1 hora) durante a fase de implantação e aumente-o depois que a configuração estiver validada.
Sem relatórios após 48 horas
Se nenhum relatório chegar após 2 dias:
- Verifique se o registro foi publicado com
dig TXT _smtp._tls.captaindns.com +short - Verifique a sintaxe com nosso gerador TLS-RPT no modo verificação
- Certifique-se de que seu domínio recebe emails de provedores compatíveis (Google, Microsoft, Yahoo)
- Verifique a pasta de spam do endereço de recebimento
Ativar o MTA-STS como complemento do TLS-RPT
O TLS-RPT sozinho fornece visibilidade, mas não força a criptografia. O MTA-STS (Mail Transfer Agent Strict Transport Security, RFC 8461) preenche essa lacuna. Juntos, os dois protocolos formam um par completo:
- TLS-RPT: você recebe os relatórios sobre falhas TLS
- MTA-STS: você impõe a criptografia TLS aos servidores que enviam emails para você
A ordem de implantação recomendada é a seguinte:
- Publique o TLS-RPT (o que você acabou de fazer)
- Ative o MTA-STS em modo
testing - Analise os relatórios TLS-RPT durante 2 semanas
- Mude o MTA-STS para o modo
enforcequando os relatórios estiverem limpos
Se você utiliza o Microsoft 365 ou o Google Workspace, consulte nosso guia de configuração MTA-STS por provedor que aborda os mesmos ambientes.
Plano de ação recomendado
- Crie um endereço dedicado: configure
tlsrpt@captaindns.comou um alias dedicado aos relatórios - Publique o registro DNS: adicione o TXT
_smtp._tlsno seu provedor (5 minutos) - Verifique a propagação: use
digou o verificador TLS-RPT para confirmar a publicação - Aguarde os primeiros relatórios: 24 a 48 horas para receber os relatórios do Google e da Microsoft
- Ative o MTA-STS: com o TLS-RPT em funcionamento, implante o MTA-STS em modo testing para uma proteção completa
FAQ
Como configurar o TLS-RPT no Microsoft 365?
Adicione um registro DNS TXT com o nome _smtp._tls e o valor v=TLSRPTv1; rua=mailto:tlsrpt@captaindns.com na sua zona DNS. Se a Microsoft gerencia seu DNS, faça isso no Centro de administração Microsoft 365 em Configurações > Domínios. Caso contrário, acesse seu registrar.
Como configurar o TLS-RPT no Google Workspace?
A configuração é idêntica à de qualquer outro provedor: publique um registro TXT em _smtp._tls.captaindns.com na sua zona DNS. O Google Workspace não gerencia o TLS-RPT no console Admin: o registro é criado no seu registrar DNS.
Qual endereço de email usar para os relatórios TLS-RPT?
Use um endereço dedicado como tlsrpt@captaindns.com ou tls-reports@captaindns.com. Evite usar seu endereço pessoal ou uma caixa compartilhada: os relatórios chegam diariamente e podem lotar uma caixa não dedicada.
É preciso configurar o MTA-STS antes do TLS-RPT?
Não, a ordem inversa é recomendada. Publique o TLS-RPT primeiro para começar a receber relatórios e depois ative o MTA-STS em modo testing. Os relatórios TLS-RPT permitirão que você detecte eventuais problemas TLS antes de mudar o MTA-STS para o modo enforce.
Quanto tempo leva para receber os primeiros relatórios TLS-RPT?
Em geral, de 24 a 48 horas após a publicação do registro DNS. O Google costuma ser o primeiro a enviar um relatório. A frequência depois é diária: cada provedor compatível envia um relatório por período de 24 horas.
É possível usar o mesmo registro TLS-RPT para vários domínios?
Não, cada domínio precisa do seu próprio registro TLS-RPT. Se você gerencia captaindns.com e captaindns.fr, é necessário publicar um registro _smtp._tls na zona de cada domínio. No entanto, você pode direcionar todos os relatórios para o mesmo endereço de email.
O Microsoft 365 envia relatórios TLS-RPT automaticamente?
Sim. A Microsoft é um dos principais provedores que suportam o TLS-RPT. Se um domínio que envia emails para você utiliza o Microsoft 365 e você publicou um registro TLS-RPT, a Microsoft enviará um relatório diário para o seu endereço rua.
Como verificar se meu registro TLS-RPT está correto?
Use o comando dig TXT _smtp._tls.captaindns.com +short para verificar a publicação DNS. Para uma validação completa da sintaxe, use um validador TLS-RPT online que verifica a versão, os URIs de relatório e eventuais erros de formatação.
Glossário
- TLS-RPT: SMTP TLS Reporting (RFC 8460), mecanismo que permite receber relatórios diários sobre falhas de negociação TLS na entrega de emails.
- MTA-STS: Mail Transfer Agent Strict Transport Security (RFC 8461), política que impõe a criptografia TLS para o recebimento de emails.
_smtp._tls: subdomínio DNS onde publicar o registro TXT TLS-RPT. O nome completo é_smtp._tls.captaindns.com.rua: Reporting URI for Aggregated reports, diretiva TLS-RPT que especifica o endereço de recebimento dos relatórios (mailto: ou https:).- STARTTLS: extensão SMTP que permite iniciar a criptografia TLS em uma conexão inicialmente em texto simples.
- DANE: DNS-Based Authentication of Named Entities (RFC 7672), mecanismo alternativo ao MTA-STS que utiliza DNSSEC para validar certificados TLS.
Valide sua configuração agora: use nosso validador de sintaxe TLS-RPT para verificar se o seu registro _smtp._tls está formatado corretamente.
📚 Guias de TLS-RPT relacionados
- TLS-RPT: o guia completo para monitorar a segurança TLS dos seus emails: funcionamento do protocolo, sintaxe do registro, leitura dos relatórios JSON
- Analisar e explorar seus relatórios TLS-RPT (em breve)
