Ir para o conteúdo principal
Entrar
CaptainDNS

Diagnóstico de email

Ferramentas para verificar e validar a configuração de autenticação de email.

SPF
DKIM
DMARC
DMARCbis
BIMI
MTA-STS
TLS-RPT
DANE / TLSA

Entregabilidade

Auditoria de entregabilidadeAnalisador de cabeçalhosTestador de emailVerificador blacklist IPVerificador blacklist domínioSimplificador SPFPesquisa de seletores DKIMVerificador SMTP/MX

Proteger e Monitorar

Geradores de registros, hosting de políticas e monitoramento contínuo.

Rede e Web

Ferramentas de rede, análise de páginas web e certificados.

Ferramentas IP

O meu endereço IP

Detete os seus endereços IPv4/IPv6 e a respetiva geolocalização.

Pesquisa reversa

Resolva um registo PTR e valide a consistência DNS.

WhoIs de IP

Identifique o proprietário de um bloco de IP e respetivos contactos.

Máscara IPv4

Calcule a rede, o broadcast e os hosts utilizáveis de qualquer bloco IPv4.

Calculadora de sub-redes IPv6

Calcule sub-redes IPv6, faixas de endereços e entradas DNS reverso.

Certificados e BIMI

Inspector de logótipo BIMI

Analise a URL de um logótipo BIMI, o formato, os metadados e a renderização.

BIMI SVG Converter

Converta qualquer SVG para o formato Tiny-PS compatível BIMI em segundos.

Analisador de CSR

Inspecione um CSR, extraia detalhes do assunto, impressões digitais e SANs pedidos.

Inspetor VMC

Examine um Verified Mark Certificate: autoridade emissora, validade e SAN antes de publicar o BIMI.

Web

Verificador de peso de página

Verifique se sua página excede o limite de 2 MB do Googlebot.

Verificador de URL de phishing

Verifique se uma URL é sinalizada como phishing ou malware por 4 fontes.

Visualizador de cabeçalhos HTTP

Inspecione os cabeçalhos HTTP retornados por uma URL, com anotações para os cabeçalhos de segurança.

Teste HSTS

Analise a política HSTS de um domínio e o seu estatuto na preload list do Chromium.

Redirect Checker

Analise cadeias de redirecionamentos HTTP

Redirecionamento de domínio

Redirecione seus domínios com HTTPS automático e redirecionamentos 301/302.

HTTP Uptime Monitor

Monitore a disponibilidade dos seus sites com checks agendados e alertas por email.

Páginas de status

Publique uma página pública que agrupa os seus monitores HTTP.

Ferramentas de desenvolvimento

Utilitários de texto e ferramentas para o dia a dia do desenvolvimento.

Texto

Transforme e meça o seu conteúdo em segundos.

Conversor de caixa de texto

Converta instantaneamente qualquer bloco de texto para maiúsculas ou minúsculas.

Gerador de slug

Transforme qualquer título em um slug otimizado para SEO em segundos.

Contador de palavras e caracteres

Meça o tamanho de qualquer texto com contagens imediatas de palavras e caracteres.

Gerador de senhas

Gere senhas aleatórias fortes e frases-senha fáceis de lembrar.

Desenvolvedor

Codificação, hashing, regex e formatação para o dia a dia dev.

Codificador / decodificador Base64

Codifique ou decodifique conteúdo em Base64 diretamente no navegador.

Gerador de hash

Calcule os hashes MD5, SHA-1, SHA-256 e SHA-512 de qualquer texto.

Codificador / decodificador URL

Codifique ou decodifique texto com percent-encoding (RFC 3986) diretamente no navegador.

Testador de regex

Teste uma expressão regular contra um texto e visualize as correspondências.

Formatador JSON / YAML

Formate, valide e converta JSON e YAML em um clique.

Monitoramento TLS-RPT gratuito

Detecte falhas TLS e analise seus relatórios de criptografia SMTP automaticamente

Todos os dias, e-mails desaparecem silenciosamente: certificado TLS expirado, extensão STARTTLS removida, política MTA-STS mal configurada. Sem alertas, sem rastro. TLS-RPT (RFC 8460) foi criado para tornar visíveis essas falhas invisíveis. O CaptainDNS recebe seus relatórios SMTP TLS automaticamente, analisa e apresenta os resultados de forma clara. Adicione seu domínio e nós cuidamos do resto.

Recepção automática

Os relatórios são recebidos e analisados automaticamente. Nenhum servidor para gerenciar, nenhum JSON para decodificar. Adicione o registro DNS e pronto.

Verificação de domínio

Um registro TXT de verificação comprova a propriedade do domínio. Adicione-o ao seu DNS e a validação é automática.

Análise detalhada

Consulte os contadores de sucesso e falha TLS, os detalhes de política e os endereços IP de origem para cada período de relatório.

Coletor de relatórios dedicado

Cada domínio recebe um endpoint HTTPS exclusivo. O registro DNS TLS-RPT é gerado automaticamente com a URL rua= correta.

Múltiplos domínios

Monitore os relatórios TLS-RPT de vários domínios a partir de uma única conta. Cada domínio possui seu próprio coletor de relatórios verificado.

Por que monitorar os relatórios TLS-RPT?

TLS-RPT (SMTP TLS Reporting, RFC 8460) oferece visibilidade sobre as falhas de conexão TLS que afetam seu e-mail recebido. Sem esse mecanismo, você não tem como saber quando os servidores remetentes falham ao criptografar os e-mails destinados ao seu domínio. Cada falha não detectada é um e-mail potencialmente perdido, ou pior, transmitido em texto simples.

Três problemas comuns detectados via TLS-RPT:

  • Certificados expirados : Seu servidor MX apresenta um certificado TLS inválido ou expirado, bloqueando as conexões criptografadas. Remetentes como Google e Microsoft abandonam silenciosamente a entrega.
  • MTA-STS mal configurado : Sua política MTA-STS não corresponde aos seus servidores MX reais. Os remetentes que respeitam a política rejeitam a conexão.
  • Rebaixamento STARTTLS : Intermediários de rede removem a extensão STARTTLS, forçando o e-mail a trafegar em texto simples. Você nunca fica sabendo.

Como configurar o monitoramento TLS-RPT em 3 passos

Passo 1: Adicione seu domínio

Faça login e registre o domínio a ser monitorado. O CaptainDNS gera um coletor de relatórios HTTPS exclusivo e o registro DNS TLS-RPT correspondente.

Passo 2: Verifique a propriedade do domínio

Adicione o registro TXT de verificação ao seu DNS. A validação é automática assim que o registro for detectado.

Passo 3: Publique o registro TLS-RPT

Adicione o registro TXT _smtp._tls fornecido ao seu DNS. Os servidores remetentes começarão a enviar relatórios de falha TLS para o seu endpoint CaptainDNS.

O que é TLS-RPT?

TLS-RPT (SMTP TLS Reporting) é um padrão definido pela RFC 8460. Ele permite que os servidores de e-mail remetentes relatem falhas de negociação TLS ao domínio destinatário.

Exemplo de registro DNS:

_smtp._tls.captaindns.com.  IN  TXT  "v=TLSRPTv1; rua=https://api.captaindns.com/tls-rpt/ingest/abc123"

O registro _smtp._tls indica aos servidores remetentes para onde enviar seus relatórios JSON quando uma conexão TLS falha com o seu domínio.

O que contém um relatório TLS-RPT?

CampoDescrição
Organização remetenteO provedor de e-mail que enviou o relatório
PeríodoTimestamps de início e fim da janela de relatório
Políticas aplicadasPolíticas MTA-STS, DANE ou STARTTLS detectadas
Sessões bem-sucedidasNúmero de conexões TLS estabelecidas com sucesso
Sessões com falhaNúmero de falhas de negociação TLS com detalhes do erro

Tipos de falha TLS-RPT (RFC 8460)

Tipo de falhaDescrição
starttls-not-supportedO servidor destinatário não suporta STARTTLS
certificate-expiredO certificado TLS apresentado pelo MX expirou
certificate-host-mismatchO certificado não corresponde ao nome de host do MX
certificate-not-trustedA cadeia de certificados não é confiável para o remetente
validation-failureFalha de validação TLS genérica
sts-policy-invalidA política MTA-STS não pôde ser validada
sts-webpki-invalidO host da política MTA-STS tem um certificado Web PKI inválido
tlsa-invalidO registro DANE TLSA é inválido ou não corresponde
dane-requiredDANE é necessário, mas não pôde ser validado

TLS-RPT vs DMARC

TLS-RPTDMARC
ProtegeCriptografia do transporte (SMTP TLS)Autenticação do remetente (SPF/DKIM)
ReportaFalhas de conexão TLS, erros de certificadoFalhas de alinhamento de autenticação
RFCRFC 8460RFC 7489
Registro DNS_smtp._tls TXT_dmarc TXT
Ameaças detectadasCertificados expirados, remoção STARTTLS, erros DANE/MTA-STSFalsificação, phishing, impersonificação de domínio

Os dois protocolos são complementares. Implemente o monitoramento DMARC junto com TLS-RPT para visibilidade completa sobre a segurança do e-mail.

Quem envia relatórios TLS-RPT?

Principais provedores de e-mail que enviam relatórios TLS-RPT quando detectam falhas TLS ao se conectar ao seu domínio:

  • Google (Gmail, Workspace): Envia relatórios agregados diários cobrindo todas as tentativas de conexão
  • Microsoft (Outlook, Exchange Online): Reporta falhas de negociação TLS para os locatários Microsoft 365
  • Yahoo: Fornece dados TLS-RPT para a infraestrutura Yahoo Mail e AOL
  • Apple (iCloud Mail): Reporta falhas TLS para a entrega do iCloud Mail
  • Comcast: Um dos primeiros ISPs a implementar o reporting TLS-RPT

Casos de uso concretos

Incidente 1: Certificado expirado não detectado

Sintoma: Grandes remetentes (Google, Microsoft) reportam falhas certificate-expired em seus relatórios TLS-RPT.

Diagnóstico: O painel do CaptainDNS mostra um pico de falhas nas últimas 24h, todas relacionadas a um certificado Let's Encrypt expirado no MX principal. Sem TLS-RPT, o problema teria ficado invisível por semanas.

Ação: Renovar o certificado TLS do servidor de e-mail. Os relatórios seguintes confirmam a resolução.

Incidente 2: Política MTA-STS dessincronizada

Sintoma: Relatórios indicam falhas sts-policy-invalid apesar de uma política MTA-STS publicada.

Diagnóstico: Os relatórios TLS-RPT revelam que a política MTA-STS referencia um servidor MX que não existe mais. Remetentes estritos abandonam a entrega sem notificar o destinatário.

Ação: Atualizar a política MTA-STS para refletir os MX atuais.

FAQ - Perguntas frequentes

P: O que é um registro TLS-RPT?

R: Um registro TLS-RPT é um registro DNS TXT colocado em _smtp._tls.seudominio.com. Ele contém uma diretiva rua= que indica aos servidores remetentes para onde enviar os relatórios de falha TLS (RFC 8460).

P: O monitoramento TLS-RPT do CaptainDNS é gratuito?

R: Sim, o serviço de monitoramento TLS-RPT é totalmente gratuito. Acreditamos que todo domínio deveria poder monitorar sua segurança TLS sem restrições técnicas.

P: Como configuro meu domínio para enviar os relatórios para cá?

R: Adicione um registro TXT em _smtp._tls.seudominio.com com o valor v=TLSRPTv1; rua=https://api.captaindns.com/tls-rpt/ingest/{seu-token}. O registro exato é fornecido quando você adiciona seu domínio.

P: Quais formatos de relatório são aceitos?

R: Aceitamos relatórios TLS-RPT no formato JSON conforme definido pela RFC 8460, comprimidos (gzip) ou não. Os relatórios são aceitos via HTTPS POST.

P: Como funciona a verificação de domínio?

R: Você adiciona um registro TXT de verificação fornecido pelo CaptainDNS ao seu DNS. Assim que for detectado, a propriedade do domínio é confirmada e o monitoramento dos relatórios é ativado.

P: Preciso de MTA-STS para usar TLS-RPT?

R: Não, o TLS-RPT funciona de forma independente. No entanto, combinar MTA-STS com TLS-RPT é recomendado: o MTA-STS impõe a criptografia, e o TLS-RPT informa quando os remetentes não conseguem cumpri-la.

P: Quais os riscos sem TLS-RPT?

R: Sem TLS-RPT, falhas de entrega TLS são completamente invisíveis. Um certificado expirado pode bloquear e-mails de Google e Microsoft por dias. Uma política MTA-STS desatualizada faz remetentes rejeitarem suas conexões em silêncio. Você só descobre o problema quando alguém reclama, tarde demais.

P: Com que frequência os relatórios chegam?

R: Os relatórios são analisados e disponibilizados no seu painel em poucos segundos após a recepção. A maioria dos provedores de e-mail envia relatórios diariamente.

P: Quais tipos de falha TLS o TLS-RPT reporta?

R: O TLS-RPT cobre todos os tipos de falha definidos na RFC 8460: starttls-not-supported, certificate-expired, certificate-host-mismatch, certificate-not-trusted, validation-failure, sts-policy-invalid, sts-webpki-invalid, tlsa-invalid e dane-required. Cada tipo indica um problema específico na cadeia de negociação TLS ou validação de política.

P: Qual é a diferença entre TLS-RPT e DMARC?

R: TLS-RPT e DMARC protegem camadas diferentes. DMARC (RFC 7489) verifica a autenticação do remetente por alinhamento SPF e DKIM e combate falsificação e phishing. TLS-RPT (RFC 8460) monitora a criptografia do transporte e reporta quando conexões SMTP TLS falham, certificados expiram ou STARTTLS é rebaixado. Ambos são essenciais.

Ferramentas complementares

FerramentaUtilidade
Verificação de sintaxe TLS-RPTValidar a sintaxe de um registro TLS-RPT
Verificação de registro TLS-RPTVerificar o registro TLS-RPT DNS do seu domínio
Gerador TLS-RPTGerar um registro DNS TLS-RPT
Leitor de relatórios TLS-RPTAnalisar manualmente um relatório JSON TLS-RPT
Hospedagem MTA-STSHospedar gratuitamente sua política MTA-STS
Monitoramento DMARCMonitorar e analisar relatórios agregados DMARC

Recursos úteis