TLS-RPT: visibilidad sobre los problemas TLS del correo
TLS-RPT (SMTP TLS Reporting, RFC 8460) es un mecanismo que permite a los servidores de correo remitentes enviar informes al dominio destinatario cuando encuentran problemas con las conexiones TLS. Estos problemas pueden ser: certificados caducados o no válidos, falta de soporte STARTTLS, fallo en la negociación TLS, o violaciones de la política MTA-STS o DANE. Sin TLS-RPT, estos problemas pasan completamente desapercibidos porque los servidores remitentes típicamente recurren silenciosamente a conexiones no cifradas.
El valor de TLS-RPT reside en la visibilidad: te indica cuántos correos llegan a tu servidor a través de conexiones no cifradas y por qué. Esto es crucial para el cumplimiento normativo (el RGPD exige medidas de seguridad adecuadas para los datos personales) y para la seguridad de las comunicaciones empresariales. Un certificado caducado en tu servidor de correo podría causar cientos de conexiones no cifradas al día sin que lo sepas.
Configuración de TLS-RPT
La configuración es sencilla: un único registro TXT en _smtp._tls.tudominio.com con la versión (v=TLSRPTv1) y la dirección para los informes (rua=). Los informes pueden recibirse por correo electrónico (mailto:) o en un endpoint HTTPS (https://). Para la mayoría de las organizaciones, la opción de correo electrónico es más sencilla de configurar. El endpoint HTTPS es preferible para volúmenes altos o para la integración con sistemas de monitoreo automatizados.
Interpretar los informes TLS-RPT
Los informes TLS-RPT están en formato JSON y se envían típicamente cada 24 horas. Cada informe contiene: el dominio remitente, el período cubierto, el tipo de política aplicada (MTA-STS, DANE o ninguna), y para cada política un recuento de sesiones exitosas y fallidas con el tipo de error. Los tipos de error más comunes son: certificate-expired, certificate-not-trusted, starttls-not-supported y sts-policy-invalid.
Usa nuestro TLS-RPT Lookup para verificar que el registro esté configurado correctamente. Si el informe muestra errores de tipo certificate-expired, comprueba el certificado de tu servidor de correo con SSL Check. Para errores starttls-not-supported, verifica la configuración SMTP del servidor con SMTP Diagnostics para asegurarte de que STARTTLS esté habilitado y funcionando.
TLS-RPT en el contexto de la seguridad del correo
TLS-RPT es el complemento natural de MTA-STS: mientras MTA-STS define la política de seguridad TLS, TLS-RPT proporciona el monitoreo. Implementar MTA-STS sin TLS-RPT es como instalar un sistema de seguridad sin notificaciones: funciona, pero no sabes cuándo bloquea algo o cuándo hay problemas. La combinación de ambos protocolos proporciona tanto la protección como la visibilidad necesarias para garantizar que los correos en tránsito estén siempre cifrados.
Para un dominio con una configuración de correo completa y segura, la lista de verificación incluye: registros MX funcionales, SPF válido, DKIM activo, DMARC con política de enforcement, MTA-STS en modo enforce y TLS-RPT para el monitoreo continuo. Cada protocolo añade una capa de seguridad y visibilidad, y la ausencia de cualquiera de ellos deja una brecha en la protección. TLS-RPT, aunque es el más reciente, es el protocolo que cierra el círculo proporcionando la telemetría necesaria para mantener todo lo demás en buen estado.
La implementación de TLS-RPT es de las más sencillas de todo el stack de seguridad del correo: un solo registro DNS y una dirección de correo dedicada. No hay razón para no configurarlo. Los informes que recibas pueden revelar problemas de seguridad en la cadena de entrega de correo que desconocías, permitiéndote actuar de forma proactiva antes de que se vuelvan críticos.