Posso usar um email externo para relatórios?

Sim, mas o domínio externo deve autorizar. Se você enviar relatórios para reports@analyzer.com para captaindns.com, analyzer.com deve publicar um registro TXT em captaindns.com._report._tls.analyzer.com com valor 'v=TLSRPTv1'. Contate o domínio receptor para configurar isso, ou use um endereço no seu próprio domínio.

Devo usar mailto ou https para relatórios?

mailto: é mais simples - os relatórios chegam como anexos de email comprimidos. https: permite automação via webhooks. Para a maioria das organizações, comece com mailto: para obter visibilidade, depois adicione https: para integração com ferramentas de monitoramento. Você pode usar ambos simultaneamente.

Quantas URIs de relatório posso incluir?

Não há limite rígido, mas considerações práticas se aplicam. Cada URI recebe o mesmo relatório, aumentando o tráfego. A maioria das implantações usa 1-3 destinos: um email interno, opcionalmente um endpoint HTTPS, e opcionalmente um serviço analisador de terceiros.

Preciso de MTA-STS para usar TLS-RPT?

Embora TLS-RPT possa funcionar sozinho, é mais útil com MTA-STS ou DANE. MTA-STS aplica criptografia TLS, TLS-RPT relata sobre a aplicação. Sem uma política TLS para aplicar, há menos falhas para relatar. Recomendamos implantar MTA-STS em modo testing, adicionar TLS-RPT, monitorar, depois aplicar.

Como configuro TLS-RPT para Microsoft 365 / Exchange Online?

Para domínios Microsoft 365, gere seu registro TLS-RPT aqui, depois adicione-o como registro TXT em _smtp._tls.seudominio.com através do seu provedor DNS externo (não Microsoft 365 admin). Microsoft 365 e Exchange Online respeitam as políticas TLS-RPT e enviam relatórios de falha ao conectar com domínios com MTA-STS. Para domínios hospedados no M365, publique o registro DNS onde os nameservers do seu domínio estão configurados.

TLS-RPT Generator | Criar registros SMTP TLS Reporting

Como usar este gerador TLS-RPT

Passo 1: Adicionar destinos de relatório

Insira onde você quer receber relatórios de falha TLS:

Email (recomendado para começar)

mailto:tlsrpt@captaindns.com

Webhook HTTPS (para automação)

https://tlsrpt.captaindns.com/v1/report

Você pode adicionar múltiplos destinos - os relatórios vão para todos.

Passo 2: Copiar o registro gerado

O gerador cria um registro RFC 8460 válido:

v=TLSRPTv1; rua=mailto:tlsrpt@captaindns.com

Passo 3: Publicar no DNS

Crie um registro TXT em _smtp._tls.captaindns.com com o valor gerado.

Exemplo para captaindns.com:

Tipo: TXT
Host: _smtp._tls
Valor: v=TLSRPTv1; rua=mailto:tlsrpt@captaindns.com

Passo 4: Verificar publicação

Use nosso TLS-RPT Record Checker para confirmar a configuração correta.

Formato do registro TLS-RPT

Componentes obrigatórios

Componente	Formato	Exemplo
Versão	`v=TLSRPTv1`	Deve ser exatamente isso
URI de relatório	`rua=esquema:destino`	`rua=mailto:reports@captaindns.com`

Esquemas de URI suportados

mailto: - Entrega por email

rua=mailto:equipe-seguranca@captaindns.com

Os relatórios chegam como anexos JSON comprimidos.

https: - Entrega webhook

rua=https://api.captaindns.com/tlsrpt/ingest

Os relatórios são enviados POST como JSON com Content-Type: application/tlsrpt+gzip

Múltiplos destinos

Separe com vírgulas:

v=TLSRPTv1; rua=mailto:reports@captaindns.com,https://tlsrpt.captaindns.com/report

Autorização de relatórios externos

Quando você envia relatórios para um domínio diferente, é necessária autorização.

Cenário

Seu domínio: captaindns.com Destino de relatórios: mailto:reports@tlsrpt-service.com

Autorização necessária

tlsrpt-service.com deve publicar:

captaindns.com._report._tls.tlsrpt-service.com  TXT  "v=TLSRPTv1"

Usar relatórios no mesmo domínio

Para evitar complexidade de autorização, use um endereço no seu próprio domínio:

v=TLSRPTv1; rua=mailto:tlsrpt@captaindns.com

Exemplos por provedor DNS

Cloudflare

Vá para configurações DNS do seu domínio
Adicione registro:
- Tipo: TXT
- Nome: _smtp._tls
- Conteúdo: Seu valor de registro gerado
- TTL: Auto

AWS Route 53

Abra a zona hospedada do seu domínio
Crie registro:
- Nome do registro: _smtp._tls
- Tipo de registro: TXT
- Valor: "v=TLSRPTv1; rua=mailto:tlsrpt@captaindns.com"
- TTL: 3600

Registro.br / UOL Host

Vá para configurações DNS
Adicione registro personalizado:
- Host: _smtp._tls
- Tipo: TXT
- TTL: 3600
- Dados: Seu valor de registro gerado

Configuração completa de segurança de email

TLS-RPT faz parte da segurança completa de transporte de email:

1. MTA-STS (Aplicar TLS)

Indica aos servidores remetentes para requerer criptografia TLS.

2. TLS-RPT (Relatar falhas)

Relata quando a aplicação de TLS falha.

Use este gerador
Verificar status TLS-RPT

3. Implantação recomendada

Implante MTA-STS com mode: testing
Adicione TLS-RPT para receber relatórios
Monitore relatórios por 2-4 semanas
Mude MTA-STS para mode: enforce
Continue monitorando via TLS-RPT

Entendendo relatórios TLS-RPT

Estrutura do relatório

{
  "organization-name": "Google Inc.",
  "date-range": {
    "start-datetime": "2024-01-15T00:00:00Z",
    "end-datetime": "2024-01-16T00:00:00Z"
  },
  "contact-info": "postmaster@google.com",
  "report-id": "2024011512345",
  "policies": [{
    "policy": {
      "policy-type": "sts",
      "policy-string": ["version: STSv1", "mode: enforce", "mx: mail.captaindns.com", "max_age: 604800"],
      "policy-domain": "captaindns.com"
    },
    "summary": {
      "total-successful-session-count": 8432,
      "total-failure-session-count": 3
    },
    "failure-details": [{
      "result-type": "certificate-expired",
      "sending-mta-ip": "198.51.100.1",
      "receiving-mx-hostname": "mail.captaindns.com",
      "failed-session-count": 3
    }]
  }]
}

Campos-chave explicados

Campo	Significado
organization-name	Organização remetente
date-range	Período de relatório de 24 horas
total-successful-session-count	Conexões TLS que funcionaram
total-failure-session-count	Conexões TLS que falharam
result-type	Motivo da falha (certificate-expired, sts-policy-invalid, etc.)
sending-mta-ip	IP que falhou ao conectar

FAQ - Perguntas frequentes

P: O que é TLS-RPT e por que eu preciso?

R: TLS-RPT (SMTP TLS Reporting) é um registro DNS que indica aos servidores de email remetentes onde enviar relatórios sobre falhas de conexão TLS. Sem ele, você não tem visibilidade sobre falhas de criptografia que afetam a entrega de email.

P: Onde publico o registro gerado?

R: Publique o registro gerado como um registro TXT em _smtp._tls.captaindns.com. Funciona com qualquer provedor DNS incluindo Cloudflare, Route53, Registro.br, UOL Host, etc.

P: Em que formato estão os relatórios?

R: Os relatórios TLS-RPT são documentos JSON, tipicamente comprimidos gzip. Incluem: organização remetente, intervalo de datas, informações de política (MTA-STS/DANE), contagens de sessões e detalhes de falhas. Os relatórios são enviados aproximadamente a cada 24 horas.

Ferramentas complementares

Ferramenta	Propósito
TLS-RPT Syntax Checker	Validar registro antes de publicar
TLS-RPT Record Checker	Verificar configuração DNS ao vivo
MTA-STS Generator	Criar política MTA-STS
MTA-STS Record Checker	Verificar implantação MTA-STS
Verificação de domínio email	Auditoria completa de autenticação

Recursos úteis

RFC 8460 - SMTP TLS Reporting (especificação oficial)
RFC 8461 - MTA-STS (protocolo complementar)
Google - Configurar TLS reporting
Postfix - Documentação TLS

TLS-RPT Generator

Crie registros SMTP TLS Reporting para publicação DNS

Conforme RFC 8460

Múltiplas URIs de relatório

Pronto para copiar e colar

Validação em tempo real

Guia de integração MTA-STS