Por que testar a conectividade SMTP dos seus MX?
Segundo o Google Transparency Report, mais de 90% dos emails recebidos pelo Gmail transitam via TLS. Se seus servidores MX não suportam STARTTLS, seus emails ficam fora desse padrão, e sua entregabilidade sofre.
A configuração DNS (SPF, DKIM, DMARC) não é suficiente. Se seus servidores MX estão inacessíveis na porta 25, não suportam STARTTLS ou têm um certificado TLS expirado, a entrega dos seus emails fica comprometida.
Três motivos para testar regularmente:
- Entregabilidade : um MX inacessível significa emails perdidos. Os remetentes recebem bounces "connection timeout".
- Segurança TLS : sem STARTTLS, seus emails trafegam em texto claro. As políticas MTA-STS e DANE exigem TLS válido.
- Reputação : um open relay é um ímã de spam. Seu IP será incluído em listas de bloqueio em poucas horas.
Como usar o SMTP/MX Tester em 3 passos
Passo 1: Digite seu domínio
Insira o nome de domínio a ser testado (por exemplo captaindns.com). A ferramenta resolve automaticamente os registros MX via DNS.
Passo 2: Aguarde o diagnóstico
Para cada servidor MX detectado, a ferramenta:
- Conecta-se na porta 25 (TCP)
- Captura o banner SMTP (código 220)
- Envia EHLO e lista as extensões
- Testa STARTTLS e inspeciona o certificado TLS
- Realiza um teste básico de open relay
Passo 3: Analise os resultados
Cada servidor MX exibe um status claro: acessível ou não, STARTTLS suportado, certificado válido, open relay detectado ou não. Os diagnósticos orientam você para as ações corretivas.
O que é o protocolo SMTP?
SMTP (Simple Mail Transfer Protocol, RFC 5321) é o protocolo padrão para o transporte de email entre servidores. Quando alguém envia um email para seu domínio, o servidor remetente:
- Resolve os registros MX do seu domínio
- Conecta-se ao servidor MX com a menor prioridade (preferido)
- Realiza um handshake SMTP (banner, EHLO, STARTTLS)
- Transmite a mensagem
Exemplo de sessão SMTP:
Conexão TCP para mx1.captaindns.com:25
← 220 mx1.captaindns.com ESMTP Postfix
→ EHLO sender.captaindns.com
← 250-STARTTLS
← 250-SIZE 52428800
← 250 8BITMIME
→ STARTTLS
← 220 Ready for TLS
[Handshake TLS 1.3]
→ MAIL FROM:<user@captaindns.com>
→ RCPT TO:<contact@captaindns.com>
→ DATA
O que a ferramenta analisa exatamente?
| Elemento | Descrição | Resultado |
|---|---|---|
| Resolução MX | Consulta DNS dos registros MX do domínio | Lista de servidores com prioridade |
| Conexão TCP | Tentativa de conexão na porta 25 | Acessível / Inacessível + tempo de resposta |
| Banner SMTP | Captura da resposta 220 inicial | Hostname, software MTA detectado |
| Extensões EHLO | Lista de capacidades anunciadas pelo servidor | STARTTLS, SIZE, PIPELINING, etc. |
| STARTTLS | Teste de upgrade para TLS | Versão TLS, suite criptográfica |
| Certificado TLS | Inspeção do certificado do servidor | Subject, emissor, expiração, SAN, cadeia |
| Open relay | Teste MAIL FROM + RCPT TO externo | Retransmissão recusada (OK) ou aceita (perigo) |
Casos de uso concretos
Incidente 1: Emails que retornam com bounce
Sintoma: Os remetentes recebem erros "connection timeout" ou "host unreachable" ao enviar para seu domínio.
Diagnóstico: O SMTP/MX Tester mostra que o servidor MX secundário (mx2) está inacessível, a porta 25 está bloqueada pelo firewall.
Ação: Abrir a porta 25 de entrada no firewall do servidor mx2 ou remover o registro MX se ele não está mais ativo.
Incidente 2: Certificado TLS expirado
Sintoma: Os servidores com MTA-STS strict recusam entregar emails para seu domínio.
Diagnóstico: A ferramenta detecta que o certificado expirou há 5 dias. O hostname do SAN não corresponde ao MX.
Ação: Renovar o certificado TLS e verificar se o SAN inclui o hostname MX exato.
Incidente 3: Open relay detectado
Sintoma: Seu IP aparece repentinamente em várias listas de bloqueio.
Diagnóstico: O teste de open relay mostra que o servidor aceita retransmitir email para domínios externos sem autenticação.
Ação: Configurar o servidor SMTP para rejeitar a retransmissão não autenticada. Verificar as regras de transporte e as restrições de relay.
❓ FAQ
P: Por que testar a conectividade SMTP dos meus servidores MX?
R: Registros DNS perfeitos (SPF, DKIM, DMARC) não garantem a entrega se a camada de transporte falha. Um MX inacessível ou sem TLS bloqueia emails antes mesmo da autenticação. Este teste verifica a conexão real, não apenas a configuração DNS.
P: O que é STARTTLS e por que é importante?
R: STARTTLS (RFC 3207) transforma uma conexão SMTP em texto claro em conexão criptografada TLS. Sem ele, qualquer intermediário na rede pode ler o conteúdo dos emails. Provedores como Gmail, Outlook e Yahoo exigem STARTTLS para aceitar mensagens.
P: O que é um open relay e por que é perigoso?
R: Um open relay aceita retransmitir email para qualquer destinatário sem autenticação. Spammers exploram essa falha para enviar milhões de mensagens usando seu servidor. O resultado: inclusão em listas de bloqueio em poucas horas e reputação destruída.
P: O que significa o banner SMTP?
R: O banner é a primeira resposta do servidor (código 220) ao conectar na porta 25. Ele revela o hostname e frequentemente o software MTA (Postfix, Exchange, Exim). Um banner que expõe a versão exata do software facilita ataques direcionados.
P: Meu servidor MX está inacessível, o que fazer?
R: Três verificações imediatas: (1) porta 25 aberta no firewall de entrada, (2) serviço SMTP ativo no servidor, (3) registros MX apontando para o IP correto. Atenção: provedores cloud como AWS e GCP bloqueiam a porta 25 de saída por padrão. Solicite a liberação.
P: Qual versão TLS é recomendada?
R: TLS 1.2 é o mínimo aceitável em 2025. TLS 1.3 oferece handshake mais rápido e criptografia mais forte. As versões 1.0 e 1.1 foram oficialmente depreciadas pela IETF (RFC 8996) e são rejeitadas pelos principais provedores.
P: Como interpretar as extensões EHLO?
R: Cada extensão indica uma capacidade: STARTTLS (criptografia), SIZE (limite de tamanho), 8BITMIME (suporte UTF-8), PIPELINING (envio em lote), SMTPUTF8 (endereços internacionalizados). Um servidor moderno deve suportar pelo menos STARTTLS, SIZE e 8BITMIME.
Teste seus servidores MX agora
Um servidor MX mal configurado pode bloquear seus emails silenciosamente por dias. Digite seu domínio na ferramenta acima para identificar imediatamente os problemas de acessibilidade, criptografia TLS e configuração relay. Se os resultados revelarem uma falha, consulte os casos de uso acima para as ações corretivas, ou utilize as ferramentas complementares para uma auditoria de email completa.
Ferramentas complementares
| Ferramenta | Utilidade |
|---|---|
| Consulta DNS (MX, A, TXT) | Resolva os registros MX e a zona DNS do seu domínio |
| MTA-STS Record Check | Verifique a política MTA-STS que impõe TLS para o transporte |
| TLS-RPT Record Check | Configure os relatórios TLS para monitorar falhas de conexão |
| Verificação DNS do domínio | Auditoria completa SPF, DKIM, DMARC, MTA-STS, BIMI |
| Lista de bloqueio de domínio | Verifique se seu domínio está em uma lista de bloqueio |
| Mail Tester | Teste a entregabilidade completa dos seus emails |
Recursos úteis
- RFC 5321 (SMTP) : especificação do protocolo SMTP
- RFC 3207 (STARTTLS) : extensão SMTP para TLS
- RFC 8461 (MTA-STS) : transporte strict TLS para SMTP
- RFC 7672 (DANE) : autenticação SMTP baseada em DNSSEC
Compromisso de privacidade
Nenhum dado de conexão SMTP é armazenado. Os resultados não são registrados e nenhum email é enviado durante o teste. O teste de open relay utiliza um comando RCPT TO sem enviar mensagem (sem DATA).