Increase SMTP security (MTA-STS and TLS)
Acerca de MTA-STS y los informes de TLS
Puedes mejorar la seguridad de Gmail activando en tu dominio MTA Strict Transport Security (MTA-STS), un estándar que exige que el correo que se envía al dominio esté autenticado y cifrado. También puedes activar los informes de Seguridad en la capa de transporte (TLS) para obtener información sobre las conexiones de servidores externos a tu dominio.
Como todos los proveedores de correo electrónico, Gmail utiliza el Protocolo simple de transferencia de correo (SMTP) para enviar y recibir mensajes. Por sí solo, este protocolo no ofrece seguridad, y muchos servidores SMTP tampoco incluyen ninguna medida de seguridad adicional para evitar ciertos tipos de ataques malintencionados.
Por ejemplo, SMTP es vulnerable a los ataques de intermediario, un tipo de ataque en el que la comunicación entre dos servidores es interceptada y probablemente modificada sin detectarse. El estándar MTA-STS aumenta la seguridad de las conexiones entre servidores de correo y ayuda a evitar este tipo de ataques.
Consulta más información sobre el estándar MTA-STS (RFC 8461) y los informes de TLS (RFC 8460).
Seguridad en el correo electrónico con MTA-STS
Las conexiones SMTP de correo electrónico son más seguras cuando el servidor de envío admite MTA-STS y el servidor de destino tiene una política de MTA-STS configurada en el modo obligatorio.
Correo entrante. Al activar MTA-STS en tu dominio, solicitas a los servidores de correo externos que envíen mensajes al dominio solo cuando la conexión SMTP cumpla estos dos requisitos:
- Está autenticada con un certificado público válido.
- Está cifrada con TLS 1.2 o una versión posterior.
Los servidores de correo que admitan MTA-STS enviarán mensajes a tu dominio solo a través de conexiones que estén tanto autenticadas como cifradas.
Correo saliente. De forma predeterminada, los mensajes de correo de tu dominio cumplen el estándar MTA-STS cuando se envían a servidores externos en los que se haya configurado una política de MTA-STS en el modo obligatorio.
Informes de TLS
Cuando activas los informes de TLS, solicitas a los servidores de correo externos que se conectan a tu dominio que proporcionen informes diarios sobre los problemas de conexión que detectan al enviar correo a tu dominio. Con esta información, puedes identificar y solucionar problemas de seguridad de tu servidor de correo.
Otras funciones de seguridad de Gmail
También te recomendamos que configures las siguientes funciones de seguridad de correo electrónico en tu dominio:
- Marco de políticas del remitente (SPF): indica los dominios que pueden enviar mensajes a tu organización.
- Política de conformidad, informes y autenticación de mensajes basada en dominios (DMARC): especifica cómo debe gestionar tu dominio los correos electrónicos sospechosos.
- DomainKeys Identified Mail (DKIM): verifica que el contenido de los mensajes sea auténtico y no se haya modificado.
Configurar MTA-STS y los informes de TLS
- Comprueba la configuración de MTA-STS de tu dominio.
- Crea una política de MTA-STS.
- Publica la política de MTA-STS.
- Añade registros TXT DNS para activar MTS-STS y los informes de TLS.
Más información sobre MTA-STS y los informes de TLS
La seguridad SMTP es opcional y, para cumplir los estándares SMTP, este protocolo debe aceptar conexiones de texto sin formato. Por sí solo, SMTP hace todo lo posible por enviar el correo a su destino, pero no garantiza que se entregue ni ofrece un mínimo de calidad del servicio. Además, aunque SMTP admite TLS, muchos servidores SMTP no lo utilizan y, por tanto, no son seguros.
A continuación se indican algunos de los problemas de seguridad habituales de los servidores SMTP:
- Certificados de TLS caducados
- Certificados que no coinciden con algunos nombres de dominio de servidor
- Certificados que no han emitido terceros de confianza
- Falta de compatibilidad con protocolos seguros
Las conexiones SMTP no se consideran seguras porque corren el riesgo de sufrir ataques de intermediario u otros tipos de acciones maliciosas. La mayoría de los proveedores de correo intentan enviar los mensajes a través de conexiones SMTP que usen TLS; sin embargo, si no se consigue crear una conexión TLS, los servidores suelen enviar los mensajes igualmente.
El estándar MTA-STS indica a los servidores que no envíen ningún mensaje a menos que se cumplan estas condiciones:
- El servidor de envío admite MTA-STS.
- El servidor de destino tiene publicada una política de MTA-STS en el modo obligatorio.
Información relacionada
- Consulta cómo configurar TLS para que requiera una conexión segura cuando se envíen correos electrónicos a dominios o direcciones de correo electrónico concretos que indiques, o cuando se reciban mensajes de ellos.
- Obtén más información sobre SMTP en RFC 3207.
Al activar los informes de TLS en tu dominio, solicitas a los servidores de correo externos que envíen informes diarios al dominio, ya sea por correo electrónico o subiéndolos a un servidor web. En estos informes se incluyen datos sobre MTA-STS y el estado de conexión del dominio, como las políticas de MTA-STS que se han detectado, estadísticas de tráfico, información sobre las conexiones fallidas y los mensajes que no se han podido enviar.
Con estos informes, te resultará más fácil identificar cualquier problema que puedan tener los servidores externos al enviar mensajes a tu dominio. Puedes empezar a recibirlos antes de aplicar el cifrado y la autenticación MTA-STS en tu dominio; para hacerlo, configura tu política de MTA-STS en el modo de prueba. Antes de cambiarla al modo obligatorio, deberás solucionar los problemas de conexión con tu dominio, si los hubiera. Consulta más información sobre los modos de las políticas de MTA-STS.
Es posible que no recibas muchos informes de TLS hasta que haya más proveedores de correo que usen esta función.
Consulta más información sobre los informes de TLS en RFC 8460.
