Raporty TLS
TLS-RPT pomaga zobaczyć, czy nadawcy napotykają błędy podczas zestawiania TLS do hostów MX domeny. Bez raportów administrator widzi tylko skutki, nie przyczynę.
Narzędzie
TLS-RPT: raporty TLS dla poczty domeny
Praktyczny opis TLS-RPT: rekord _smtp._tls, raporty SMTP TLS, integracja z MTA-STS i diagnostyka transportu poczty.
TLS-RPT, czyli SMTP TLS Reporting, pozwala odbierać zbiorcze raporty o problemach z TLS przy dostarczaniu poczty do domeny. Najczęściej wdraża się go razem z MTA-STS, żeby widzieć, czy nadawcy mają problemy z certyfikatami, polityką TLS albo hostami MX.
Co to jest MTA-STS?
Polityka TLS dla transportu poczty SMTP.
Rekord TXT
Zobacz, gdzie publikuje się _smtp._tls.
Co to jest MX?
Hosty MX widoczne w raportach TLS.
SSL checker
Sprawdź certyfikaty używane przez domenę.
SecDNS.pl
Ochronny DNS DataHouse DNS Protect+.
Serwery poczty
Wróć do huba poczty firmowej.
Co to jest TLS-RPT?
TLS-RPT to mechanizm raportowania problemów SMTP TLS. Właściciel domeny publikuje rekord TXT pod nazwą _smtp._tls.domena, a wybrane serwery wysyłające mogą przesyłać raporty JSON na wskazany adres e-mail lub endpoint HTTPS. Raporty pomagają wykryć, czy poczta nie trafia na błędny host MX, czy certyfikat TLS jest niepoprawny albo czy polityka MTA-STS powoduje problemy z dostarczaniem.
Przykład rekordu TLS-RPT
_smtp._tls.twojadomena.pl TXT "v=TLSRPTv1; rua=mailto:tls-rpt@twojadomena.pl"
_smtp._tls.twojadomena.pl TXT "v=TLSRPTv1; rua=https://reports.twojadomena.pl/tls-rpt"Elementy TLS-RPT
| Element | Znaczenie |
|---|---|
| _smtp._tls | Nazwa rekordu TXT używana przez TLS-RPT dla danej domeny. |
| v=TLSRPTv1 | Wersja rekordu raportowania TLS. |
| rua | Adres do raportów zbiorczych, zwykle mailto albo endpoint HTTPS. |
| MTA-STS | Polityka, której problemy mogą być raportowane przez TLS-RPT. |
| Raport JSON | Plik z informacją o błędach TLS, hostach MX i statystykach połączeń. |
MTA-STS i enforce
Przed przejściem MTA-STS do trybu enforce warto uruchomić TLS-RPT i przez kilka dni obserwować, czy raporty nie pokazują problemów z certyfikatami albo hostami MX.
Adres raportów
Najprostszy wariant to osobna skrzynka e-mail dla raportów. W większych środowiskach wygodniejszy bywa endpoint HTTPS i automatyczna analiza raportów JSON.
SecDNS.pl
TLS-RPT dotyczy poczty przychodzącej, a SecDNS.pl chroni zapytania DNS urządzeń, serwerów i łączy przed kontaktem ze złośliwymi domenami. To uzupełniające warstwy ochrony.
Najczęstsze błędy TLS-RPT
- Brak rekordu _smtp._tls przy wdrożonym MTA-STS.
- Adres rua wskazuje skrzynkę, której nikt nie monitoruje.
- Raporty trafiają do systemu, który nie umie przetwarzać załączników JSON.
- Włączono MTA-STS enforce bez wcześniejszej obserwacji raportów TLS-RPT.
- Raporty pokazują hosty MX lub certyfikaty inne niż oczekiwane, ale nie są analizowane.
FAQ: TLS-RPT
Czy TLS-RPT zastępuje MTA-STS?
Nie. MTA-STS publikuje politykę TLS dla poczty, a TLS-RPT służy do odbierania raportów o problemach z TLS i zgodnością tej polityki.
Gdzie dodaje się rekord TLS-RPT?
Rekord TLS-RPT dodaje się w DNS jako TXT pod nazwą _smtp._tls.domena, na przykład _smtp._tls.twojadomena.pl.
Co wpisać w rua dla TLS-RPT?
W rua można podać adres mailto, na przykład mailto:tls-rpt@twojadomena.pl, albo endpoint HTTPS przygotowany do odbioru raportów JSON.
Kiedy wdrożyć TLS-RPT?
Najlepiej przed przejściem MTA-STS z trybu testing do enforce, aby wcześniej zobaczyć błędy certyfikatów, hostów MX i transportu SMTP TLS.