Aumentar la seguridad del correo electrónico con los informes MTA-STS y TLS

2. Crear una política de MTA-STS

Para configurar el estándar de seguridad MTA-STS en todos tus dominios, crea y publica en cada uno de ellos una política de MTA-STS, que indica en qué servidores de correo del dominio se utiliza dicho estándar.

Cada dominio debe tener un archivo de política independiente. Las políticas pueden ser las mismas, pero deben alojarse por separado en cada dominio que utilice el estándar MTA-STS.

Requisitos del servidor para utilizar MTA-STS

Comprueba que los servidores de correo que reciben correo entrante cumplan estos requisitos:

  • Requieren que el correo se transmita a través de una conexión segura (TLS).
  • Utilizan la versión 1.2 de TLS o una versión posterior.
  • Tienen certificados TLS que:
    • Coinciden con el nombre de dominio que usa el servidor de correo entrante; es decir, el servidor que figura en tus registros MX.
    • Están firmados por una autoridad de certificación raíz que los considera de confianza.
    • No han caducado.

Puedes consultar más información sobre los certificados TLS en el artículo Usar certificados de Google Workspace para proteger el transporte.

Modos de política de MTA-STS

Las políticas de MTA-STS pueden aplicarse en modo de prueba o en modo obligatorio.

Modo de prueba

Si aplicas la política en modo de prueba, se solicitará a los servidores de correo externos que te envíen informes diarios. Estos informes contienen información sobre los problemas detectados cuando se conectan al dominio. También incluyen información sobre las políticas de MTA-STS que se han detectado, así como estadísticas de tráfico, datos sobre las conexiones fallidas y los mensajes que no se han podido enviar.

Al usar este modo, tu dominio solo solicita informes; es decir, no aplica ninguna de las medidas de conexión segura que exige el estándar MTA-STS. Te recomendamos que, para empezar, actives el modo de prueba durante dos semanas, un periodo durante el que se pueden obtener suficientes datos para detectar y solucionar cualquier problema que haya en tu dominio.

Utiliza la información que se facilita en los informes diarios para resolver problemas con el cifrado o la seguridad de tu servidor o dominio y, a continuación, cambia la política al modo obligatorio.

Modo obligatorio

Si configuras la política en el modo obligatorio, tu dominio solicita a los servidores externos que comprueben que la conexión SMTP esté cifrada y autenticada.

Si la conexión SMTP no cumple con estos requisitos, ocurrirá lo siguiente:

  • Los servidores que admitan el estándar MTA-STS no enviarán correo a tu dominio.
  • Los servidores que no admitan el estándar MTA-STS seguirán enviando correo a tu dominio de la manera habitual; es decir, a través de conexiones SMTP que podrían no estar cifradas.

En el modo obligatorio, sigues recibiendo los informes diarios de servidores externos.

Crear archivos de política

Los archivos de política son archivos de texto sin formato que contienen pares clave-valor. Cada par debe introducirse en una línea aparte en el archivo de texto, tal como se muestra en el ejemplo. El tamaño máximo del archivo de texto de la política es de 64 KB.

Nombre de los archivos de política: el nombre del archivo de texto debe ser mta-sts.txt.

Actualización de los archivos de política: debes actualizar los archivos de política siempre que cambies de servidores de correo o añadas servidores nuevos, así como cuando cambies de dominio.

Formato de archivo de política: el campo version (Versión) debe colocarse siempre en la primera línea de la política. Los demás campos pueden estar en cualquier orden. A continuación se muestra un ejemplo de archivo de política:

version: STSv1
mode: testing
mx: mail.solarmora.com
mx: *.solarmora.net
mx: backupmx.solarmora.com
max_age: 604800

Contenido de los archivos de política: en las políticas deben incluirse todos los pares clave-valor que se muestran en la tabla que aparece a continuación. Para crear una política personalizada que se adapte a tu dominio, sigue los pasos que se indican en el artículo Comprobar el estado de MTA-STS y recibir sugerencias de configuración.

Clave Valor
version Debe indicarse la versión del protocolo, que es STSv1.
mode

Debe incluirse el modo de la política:

  • testing (de prueba): con este valor, los servidores externos envían informes sobre el cifrado y otros problemas que detectan cuando se conectan al dominio. No se aplican los requisitos de cifrado y autenticación de MTA-STS.

  • enforce (obligatorio): si la conexión SMTP no está cifrada y autenticada, los servidores de correo configurados con MTA-STS no enviarán mensajes a tu dominio. Con este modo, también recibes informes de servidores externos sobre problemas de conexión, como en el modo de prueba.

  • none (ninguno): con este valor, se indica a los servidores externos que el dominio ya no admite MTA-STS. Utilízalo si dejas de usar este estándar de seguridad. Consulta más información sobre cómo inhabilitar MTA-STS (RFC 8461).

mx

Registro MX del dominio.

  • En la política debe incluirse una entrada mx por cada registro MX que se haya añadido al dominio.
  • Cada valor mx que se incluya debe introducirse en una línea aparte, tal como se muestra en el ejemplo.
  • Los nombres de servidor de correo deben estar en el formato estándar Nombre alternativo del firmante (Subject Alternative Name, SAN).
  • El valor mx debe estar en uno de los formatos que se muestran en estos ejemplos:

    Especifica un único servidor en el formato MX estándar: alt1.aspmx.solarmora.com

    Para especificar servidores que coincidan con un patrón de nombres, usa un comodín. El carácter comodín solo sustituye a una etiqueta del extremo izquierdo; por ejemplo: *.solarmora.com

Más información sobre los registros MX y sus valores

max_age

Tiempo máximo en segundos de validez de la política. En los servidores externos, el valor max_age vuelve a su valor inicial siempre que el servidor accede a la política.Por lo tanto, los servidores externos pueden tener fechas de caducidad distintas en la misma política.

El valor debe estar entre 86400 (1 día) y 31557600 (aproximadamente 1 año).

Si configuras una política en el modo de prueba, te recomendamos que este valor esté entre 604800 y 1209600 (entre 1 y 2 semanas).

Pasos siguientes

Publicar la política de MTA-STS

¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?

¿Necesitas más ayuda?

Inicia sesión si quieres ver otras opciones de asistencia para solucionar tu problema.