Increase SMTP security (MTA-STS and TLS)

2. Crear una política de MTA-STS

Aumentar la seguridad del correo electrónico mediante la autenticación y el cifrado

Para configurar el estándar MTA-STS en todos tus dominios, crea y publica en cada uno de ellos una política de MTA-STS que indique qué servidores de correo del dominio lo tienen activado.

Debes crear un archivo de políticas distinto para cada dominio; estos archivos pueden ser idénticos, pero deben alojarse por separado en cada dominio que utilice MTA-STS.

Requisitos del servidor para utilizar MTA-STS

Comprueba que los servidores de correo que reciben correo entrante cumplan estos requisitos:

  • Requieren que el correo se transmita a través de una conexión segura (TLS).
  • Utilizan la versión 1.2 de TLS.
  • Tienen certificados TLS que:
    • Coinciden con el nombre de dominio que usa el servidor de correo entrante; es decir, el servidor que figura en tus registros MX.
    • Están firmados por una autoridad de certificación raíz que los considera de confianza.
    • No están caducados.

Puedes obtener más información sobre los certificados TLS en el artículo Usar certificados de G  Suite para proteger el transporte.

Modos de política e implementación de MTA-STS

Las políticas de MTA-STS pueden configurarse en modo de prueba o en modo obligatorio.

Modo de prueba

Si configuras la política en el modo de prueba, se solicita a los servidores de correo externos que te envíen informes diarios con los datos que han detectado al conectarse a tu dominio. En ellos, se incluyen detalles sobre las políticas de MTA-STS detectadas, estadísticas sobre el tráfico, información sobre conexiones fallidas y los mensajes que no se han podido enviar.

Al usar este modo, tu dominio solo solicita informes; es decir, no aplica de manera obligatoria ninguna medida de seguridad de las que exige el estándar MTA-STS. Te recomendamos que, para empezar, actives el modo de prueba durante dos semanas, un periodo durante el que se pueden obtener suficientes datos para detectar y solucionar cualquier problema que haya en tu dominio.

Aprovecha la información que se facilita en los informes diarios para resolver problemas con el cifrado o la seguridad de tu servidor o dominio y, a continuación, cambia la política al modo obligatorio.

Modo obligatorio

Si configuras la política en el modo obligatorio, se solicita a los servidores externos que comprueben que la conexión SMTP esté cifrada y autenticada.  Si la conexión SMTP no cumple con estos requisitos, ocurre lo siguiente:

  • Los servidores que admitan el estándar MTA-STS no enviarán correo a tu dominio.
  • Los servidores que no admitan el estándar MTA-STS seguirán enviando correo a tu dominio de la manera habitual; es decir, a través de conexiones SMTP que es posible que no estén cifradas.

En el modo obligatorio, seguirás recibiendo los informes diarios de servidores externos.

Crear archivos de política

Los archivos de política son archivos de texto sin formato que contienen pares clave-valor (uno por línea). El tamaño máximo que recomendamos que tenga un archivo de este tipo es de 64 kB.

Nombre de los archivos de política: el nombre del archivo de texto debe ser mta-sts.txt.

Actualización de los archivos de política: debes actualizar los archivos de política siempre que cambies de servidores de correo o añadas servidores nuevos, así como cuando cambies de dominio.

Formato de los archivos de política: el campo version (Versión) debe colocarse siempre en la primera línea de los archivos, pero los demás pueden incluirse en cualquier orden. A continuación se muestra un ejemplo de archivo de texto de política:

version: STSv1
mode: testing
mx: mail.solarmora.com
mx: *.solarmora.net
mx: backupmx.solarmora.com
max_age: 604800

Contenido de los archivos de política: en las políticas deben incluirse todos los pares clave-valor que se indican en la siguiente tabla:

Clave Valor
version Debe indicarse la versión del protocolo, que es STSv1.
mode

Debe incluirse el modo de la política:

  • testing (de prueba): con este valor, los servidores externos envían informes sobre el cifrado y otros problemas que detectan cuando se conectan al dominio. No se aplican los requisitos de cifrado y autenticación de MTA-STS.

  • enforced (obligatorio): con este valor, los servidores de correo que admiten el estándar MTA-STS dejarán de enviar mensajes al dominio si la conexión SMTP no está autenticada ni cifrada. Los servidores externos también envían informes sobre problemas de conexión.

  • none (ninguno): este valor indica a los servidores externos que el dominio ya no admite MTA-STS. Utilízalo si dejas de usar este estándar. Más información sobre cómo inhabilitar MTA-STS (RFC 8461)

mx

Registro MX del dominio.

  • En la política debe incluirse una entrada mx por cada registro MX que se haya añadido al dominio.
  • Cada valor mx que se incluya debe introducirse en una línea aparte, tal como se muestra en el ejemplo.
  • Los nombres de servidor de correo deben estar en el formato estándar Nombre alternativo del firmante (SAN).
  • Los valores mx deben estar en uno de estos formatos:

    Indica un único servidor en el formato MX estándar. Por ejemplo: alt1.aspmx.solarmora.com.

    Indica con un comodín todos los servidores que coinciden con un determinado patrón de nomenclatura. Los caracteres comodín solo sustituyen una etiqueta del extremo izquierdo. Por ejemplo: *.solarmora.com.

Más información sobre los registros MX y sus valores

max_age

Debe especificarse el periodo máximo de tiempo (en segundos) durante el que es válida la política. En los servidores externos, el valor max_age vuelve a su valor inicial siempre que el servidor accede a la política; por tanto, una misma política tiene fechas de vencimiento distintas en diferentes servidores.

El valor debe estar entre 86400 (un día) y 31557600 (aproximadamente un año).

Si configuras una política en el modo de prueba, te recomendamos que este valor esté entre 604800 y 1209600 (entre una y dos semanas).

Pasos siguientes

Publicar la política de MTA-STS

¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?