TLS-RPT: visibilidade sobre os problemas TLS do e-mail
TLS-RPT (SMTP TLS Reporting, RFC 8460) é um mecanismo que permite aos servidores de e-mail remetentes enviar relatórios ao domínio destinatário quando encontram problemas com as conexões TLS. Esses problemas podem ser: certificados expirados ou inválidos, falta de suporte a STARTTLS, falha na negociação TLS ou violações da política MTA-STS ou DANE. Sem TLS-RPT, esses problemas passam completamente despercebidos porque os servidores remetentes tipicamente recorrem silenciosamente a conexões não criptografadas.
O valor do TLS-RPT está na visibilidade: ele informa quantos e-mails chegam ao seu servidor por meio de conexões não criptografadas e por quê. Isso é crucial para a conformidade regulatória (a LGPD exige medidas de segurança adequadas para dados pessoais) e para a segurança das comunicações empresariais. Um certificado expirado no seu servidor de correio poderia causar centenas de conexões não criptografadas por dia sem que você saiba.
Configuração do TLS-RPT
A configuração é simples: um único registro TXT em _smtp._tls.seudominio.com com a versão (v=TLSRPTv1) e o endereço para os relatórios (rua=). Os relatórios podem ser recebidos por e-mail (mailto:) ou em um endpoint HTTPS (https://). Para a maioria das organizações, a opção por e-mail é mais simples de configurar. O endpoint HTTPS é preferível para volumes altos ou para integração com sistemas de monitoramento automatizados.
Interpretar os relatórios TLS-RPT
Os relatórios TLS-RPT estão em formato JSON e são enviados tipicamente a cada 24 horas. Cada relatório contém: o domínio remetente, o período coberto, o tipo de política aplicada (MTA-STS, DANE ou nenhuma) e, para cada política, uma contagem de sessões bem-sucedidas e com falha com o tipo de erro. Os tipos de erro mais comuns são: certificate-expired, certificate-not-trusted, starttls-not-supported e sts-policy-invalid.
Use nosso TLS-RPT Lookup para verificar se o registro está configurado corretamente. Se o relatório mostra erros do tipo certificate-expired, verifique o certificado do seu servidor de correio com SSL Check. Para erros starttls-not-supported, verifique a configuração SMTP do servidor com Diagnóstico SMTP para garantir que o STARTTLS esteja habilitado e funcionando.
TLS-RPT no contexto da segurança de e-mail
O TLS-RPT é o complemento natural do MTA-STS: enquanto o MTA-STS define a política de segurança TLS, o TLS-RPT fornece o monitoramento. Implementar MTA-STS sem TLS-RPT é como instalar um sistema de segurança sem notificações: funciona, mas você não sabe quando ele bloqueia algo ou quando há problemas. A combinação de ambos os protocolos fornece tanto a proteção quanto a visibilidade necessárias para garantir que os e-mails em trânsito estejam sempre criptografados.
Para um domínio com uma configuração de e-mail completa e segura, a lista de verificação inclui: registros MX funcionais, SPF válido, DKIM ativo, DMARC com política de enforcement, MTA-STS em modo enforce e TLS-RPT para monitoramento contínuo. Cada protocolo adiciona uma camada de segurança e visibilidade, e a ausência de qualquer um deles deixa uma brecha na proteção. O TLS-RPT, embora seja o mais recente, é o protocolo que fecha o ciclo fornecendo a telemetria necessária para manter todo o restante saudável.
A implementação do TLS-RPT é uma das mais simples de todo o stack de segurança de e-mail: um único registro DNS e um endereço de e-mail dedicado. Não há motivo para não configurá-lo. Os relatórios que você receber podem revelar problemas de segurança na cadeia de entrega de e-mail que você desconhecia, permitindo agir de forma proativa antes que se tornem críticos.