Como receber relatórios TLS-RPT?

Publique um registro DNS TXT em _smtp._tls.seudominio.com com uma URI de relatório (mailto: ou https:). Use o Gerador TLS-RPT do CaptainDNS para criar esse registro. Os servidores de email compatíveis passarão a enviar relatórios diários automaticamente.

Quais formatos de arquivo são aceitos?

O analisador aceita arquivos JSON bruto (.json) e arquivos JSON compactados com gzip (.json.gz). Os relatórios recebidos por email do Google, Microsoft ou Yahoo geralmente vêm como anexo .json.gz. Tamanho máximo: 10 MB.

O que significam os tipos de falha no relatório?

Os códigos de falha mais comuns incluem: starttls-not-supported (o servidor MX não oferece criptografia), certificate-expired (certificado TLS expirado), certificate-host-mismatch (certificado emitido para outro domínio), sts-policy-fetch-error (política MTA-STS inacessível), tlsa-invalid (registro DANE desatualizado), dnssec-invalid (cadeia DNSSEC quebrada).

O que significa a pontuação de saúde?

A pontuação de saúde (0-100) é calculada com base na taxa de falha global, na gravidade das falhas (crítica, alta, média), na presença de políticas TLS e no modo aplicado (enforce vs testing). Uma pontuação acima de 90 é excelente, entre 70 e 89 é boa, entre 50 e 69 requer atenção, e abaixo de 50 é crítica.

De onde vêm os relatórios TLS-RPT que eu recebo?

Os relatórios são enviados pelos grandes provedores de email: Google (Gmail), Microsoft (Outlook/Office 365), Yahoo, Apple (iCloud), Comcast, LinkedIn, Amazon SES, Fastmail, Proton Mail. Cada remetente envia um relatório por período de 24h.

Qual é a diferença entre MTA-STS e TLS-RPT?

O MTA-STS (RFC 8461) é uma política que obriga os servidores remetentes a usar TLS para entregar emails ao seu domínio. O TLS-RPT (RFC 8460) é o mecanismo de relatório que informa se essa política está sendo respeitada ou não. Os dois são complementares: o MTA-STS protege, o TLS-RPT monitora.

Analisador de relatórios TLS-RPT grátis

Por que analisar seus relatórios TLS-RPT?

O protocolo TLS-RPT (RFC 8460) obriga os provedores compatíveis a enviar relatórios diários. Google, Microsoft, Yahoo e Apple reportam cada tentativa de conexão TLS com seu domínio.

Esses relatórios contêm dados cruciais: número de conexões bem-sucedidas, falhas TLS e suas causas técnicas. O problema: são arquivos JSON de centenas de linhas, frequentemente compactados em gzip. Sem ferramenta, a análise manual é inviável.

Três motivos para analisar seus relatórios TLS-RPT:

Detectar certificados expirados - um certificado vencido no servidor MX bloqueia a criptografia TLS e expõe emails em texto puro
Validar sua política MTA-STS - política inacessível ou inválida gera alertas sts-policy-fetch-error nos relatórios
Antecipar problemas de entrega - uma taxa de falha crescente sinaliza erros de configuração antes que os emails sejam rejeitados

Faça upload do seu relatório acima para identificar cada falha em segundos.

Como analisar um relatório TLS-RPT em 3 passos

Passo 1: Obtenha o relatório

Localize o email enviado por noreply-smtp-tls-reporting@google.com, Microsoft ou outro provedor. Baixe o anexo .json.gz ou .json para o seu computador.

Passo 2: Faça upload do arquivo

Arraste e solte o arquivo na área de upload acima ou clique em "Procurar". Formatos aceitos: .json e .json.gz, até 10 MB.

Passo 3: Leia o diagnóstico

O CaptainDNS descompacta o arquivo, interpreta o JSON e exibe os resultados em segundos:

Pontuação de saúde de 0 a 100 - 4 níveis: excelente (90+), bom (70-89), atenção (50-69) ou crítico (abaixo de 50)
Detalhamento por política - resultados MTA-STS e DANE separados, com taxa de sucesso por política
Falhas explicadas - cada falha inclui gravidade, causa técnica e recomendação prática
Link direto para correção - cada problema aponta para a ferramenta CaptainDNS adequada

Teste agora: faça upload do seu primeiro relatório e obtenha seu diagnóstico.

Estrutura de um relatório TLS-RPT (RFC 8460)

A RFC 8460 define o esquema JSON dos relatórios TLS-RPT. Cada relatório contém três blocos principais:

organization-name - identifica o remetente (ex.: "Google Inc.")
date-range - período coberto, normalmente 24 horas
policies - uma ou mais políticas avaliadas (MTA-STS e/ou DANE)

Para cada política, o relatório indica:

Campo	Descrição
`policy-type`	Tipo de política: `sts`, `tlsa` ou `no-policy-found`
`policy-domain`	Domínio avaliado pelo remetente
`total-successful-session-count`	Número de conexões TLS bem-sucedidas
`total-failure-session-count`	Número de conexões TLS com falha
`failure-details`	Lista detalhada de cada tipo de falha com código e contagem

Compreender esta estrutura permite identificar rapidamente onde estão os problemas. Faça upload de um relatório para visualizar esses dados de forma legível.

Os 12 tipos de falhas TLS analisados

O analisador CaptainDNS cobre todos os códigos de falha definidos pela RFC 8460. Cada falha é classificada por gravidade e acompanhada de uma ação corretiva.

Falhas STARTTLS

Código	Gravidade	Causa	Ação
`starttls-not-supported`	Crítica	O servidor MX não oferece STARTTLS	Ativar STARTTLS no servidor

Falhas de certificado

Código	Gravidade	Causa	Ação
`certificate-expired`	Alta	Certificado TLS expirado	Renovar com Let's Encrypt ou sua CA
`certificate-host-mismatch`	Alta	CN/SAN não corresponde ao hostname MX	Emitir um certificado com o hostname correto
`certificate-not-trusted`	Alta	CA não reconhecida ou certificado autoassinado	Usar um certificado de uma CA pública

Falhas MTA-STS

Código	Gravidade	Causa	Ação
`sts-policy-fetch-error`	Alta	Política MTA-STS inacessível	Verificar `https://mta-sts.dominio/.well-known/mta-sts.txt`
`sts-policy-invalid`	Alta	Conteúdo da política inválido	Validar com o MTA-STS Syntax Checker
`sts-webpki-invalid`	Alta	Certificado HTTPS do servidor MTA-STS inválido	Renovar o certificado de `mta-sts.dominio`

Falhas DANE

Código	Gravidade	Causa	Ação
`tlsa-invalid`	Alta	Registro TLSA desatualizado	Atualizar com o DANE/TLSA Checker
`dnssec-invalid`	Crítica	Cadeia DNSSEC quebrada	Verificar com o DNSSEC Checker
`dane-required`	Alta	DANE obrigatório mas indisponível	Publicar registros TLSA válidos

Se o seu relatório contém algum desses códigos, faça upload acima para obter as recomendações detalhadas.

Casos de uso concretos

Incidente 1: Certificado expirado em um MX secundário

Sintoma: O relatório do Google mostra 200 falhas certificate-expired em mail2.exemplo.com. Diagnóstico: O certificado Let's Encrypt do MX secundário não foi renovado. O cron do certbot estava quebrado. Ação: Renovar o certificado imediatamente e verificar a automação de renovação.

Incidente 2: Política MTA-STS inacessível

Sintoma: O relatório da Microsoft indica sts-policy-fetch-error com código HTTP 503. Diagnóstico: O servidor que hospeda https://mta-sts.exemplo.com/.well-known/mta-sts.txt está fora do ar. Ação: Restabelecer o servidor ou migrar para a hospedagem MTA-STS do CaptainDNS para garantir alta disponibilidade.

Incidente 3: Nenhuma política TLS configurada

Sintoma: O relatório mostra no-policy-found para um subdomínio. Diagnóstico: O subdomínio não possui política MTA-STS nem registros DANE. Os emails transitam sem verificação de criptografia. Ação: Configurar MTA-STS com o Gerador MTA-STS ou implantar DANE com o Gerador DANE/TLSA.

Reconhece algum desses cenários? Analise seu relatório para descobrir qual falha afeta seu domínio.

FAQ

P: O que é um relatório TLS-RPT e como interpretá-lo?

R: Um relatório TLS-RPT é um arquivo JSON definido pela RFC 8460. Provedores como Google e Microsoft o enviam diariamente ao seu domínio. Ele contém o número de conexões TLS bem-sucedidas, o número de falhas e o código técnico de cada falha. Os arquivos vêm em .json.gz. Use o analisador acima para decodificá-los automaticamente.

P: Por que recebo emails de noreply-smtp-tls-reporting@google.com?

R: Seu domínio possui um registro DNS TLS-RPT com um endereço mailto:. O Google envia um relatório diário sobre as conexões TLS dos seus servidores. Isso é normal e desejável - indica que o monitoramento está ativo. Faça upload desses relatórios aqui para interpretar os resultados.

P: Qual é a diferença entre um TLS-RPT checker e um TLS-RPT report analyzer?

R: São duas ferramentas complementares. O TLS-RPT checker verifica seu registro DNS _smtp._tls.dominio - valida a configuração. O report analyzer interpreta os relatórios JSON recebidos - analisa os resultados. Use o Inspetor TLS-RPT para verificar a configuração e este analisador para interpretar os relatórios.

Ferramentas complementares

Cada etapa da segurança TLS do seu domínio tem uma ferramenta dedicada:

Ferramenta	Utilidade
Gerador TLS-RPT	Criar o registro DNS TLS-RPT para começar a receber relatórios
Inspetor TLS-RPT	Verificar se a configuração DNS TLS-RPT está correta
TLS-RPT Syntax Checker	Validar a sintaxe do registro antes de publicar
Inspetor MTA-STS	Verificar a implantação da política MTA-STS
DANE/TLSA Checker	Verificar os registros DANE do seu servidor MX
Auditoria de domínio de email	Auditoria completa: SPF, DKIM, DMARC, MTA-STS, TLS-RPT, DANE

Execute a auditoria completa do seu domínio para uma visão global da sua segurança de email.

Recursos úteis

RFC 8460 - SMTP TLS Reporting - especificação oficial do protocolo TLS-RPT (IETF, 2018)
RFC 8461 - MTA Strict Transport Security - protocolo que impõe TLS obrigatório na entrega de emails (IETF, 2018)
RFC 7672 - SMTP Security via DANE - autenticação DANE para conexões SMTP (IETF, 2015)
Google Workspace - Configurar TLS Reporting - guia oficial do Google para ativar TLS-RPT

Analisador de relatórios TLS-RPT

Diagnóstico dos seus relatórios SMTP TLS Reporting em 10 segundos

Descompactação automática

Pontuação de saúde de 0 a 100

Diagnóstico por política

Recomendações práticas

12 tipos de falhas analisados