Increase email security with MTA-STS and TLS reports

2. Crear una política de MTA-STS

Aumentar la seguridad del correo electrónico mediante la autenticación y el cifrado

Para configurar el estándar de seguridad MTA-STS en todos tus dominios, crea y publica en cada uno de ellos una política de MTA-STS, que indica en qué servidores de correo del dominio se aplica dicho estándar.

Debes crear un archivo de políticas distinto para cada dominio; estos archivos pueden ser idénticos, pero deben alojarse por separado en cada dominio que utilice MTA-STS.

Requisitos del servidor para utilizar MTA-STS

Comprueba que los servidores de correo que reciben correo entrante cumplan estos requisitos:

Puedes consultar más información sobre los certificados TLS en el artículo Usar certificados de G Suite para proteger el transporte.

Modos de política e implementación de MTA-STS

Las políticas de MTA-STS pueden aplicarse en modo de prueba o en modo obligatorio.

Modo de prueba

Si aplicas la política en modo de prueba, se solicita a los servidores de correo externos que te envíen informes diarios con información relativa a las conexiones a tu dominio. En esos informes se incluye información sobre las políticas de MTA-STS que se han detectado, así como estadísticas de tráfico, datos sobre las conexiones fallidas y los mensajes que no se han podido enviar.

Al usar este modo, tu dominio solo solicita informes; es decir, no aplica ninguna de las medidas de conexión segura que exige el estándar MTA-STS. Te recomendamos que, para empezar, actives el modo de prueba durante dos semanas, un periodo suficiente durante el que obtener datos para detectar y solucionar cualquier problema que haya en tu dominio.

Aprovecha la información que se facilita en los informes diarios para resolver problemas con el cifrado o la seguridad de tu servidor o dominio y, a continuación, cambia la política al modo obligatorio.

Modo obligatorio

Si configuras la política en el modo obligatorio, se solicita a los servidores externos que comprueben que la conexión SMTP esté cifrada y autenticada. Si la conexión SMTP no cumple con estos requisitos, ocurrirá lo siguiente:

  • Los servidores que admitan el estándar MTA-STS no enviarán correo a tu dominio.
  • Los servidores que no admitan el estándar MTA-STS seguirán enviando correo a tu dominio de la manera habitual; es decir, a través de conexiones SMTP que pueden no estar cifradas.

En el modo obligatorio, sigues recibiendo los informes diarios de servidores externos.

Crear archivos de política

Los archivos de política son archivos de texto sin formato que contienen pares clave-valor (uno por línea) y que no pueden tener un tamaño superior a 64 kB.

Nombre de los archivos de política: el nombre del archivo de texto debe ser mta-sts.txt.

Actualización de los archivos de política: debes actualizar los archivos de política siempre que cambies de servidores de correo o añadas servidores nuevos, así como cuando cambies de dominio.

Formato de los archivos de política: el campo version (versión) debe colocarse siempre en la primera línea de los archivos, pero los demás pueden incluirse en cualquier orden. A continuación se muestra un ejemplo de archivo de texto de política:

version: STSv1
mode: testing
mx: mail.solarmora.com
mx: *.solarmora.net
mx: backupmx.solarmora.com
max_age: 604800

Contenido de los archivos de política: en las políticas deben incluirse todos los pares clave-valor que se muestran en la tabla que aparece a continuación.

Clave Valor
version Debe indicarse la versión del protocolo, que es STSv1.
mode

Debe incluirse el modo de la política:

  • testing (de prueba): con este valor, los servidores externos envían informes sobre el cifrado y otros problemas que detectan cuando se conectan al dominio. No se aplican los requisitos de cifrado y autenticación de MTA-STS.

  • enforce (obligatorio): con este valor, los servidores de correo que admiten el estándar MTA-STS dejarán de enviar mensajes al dominio si la conexión SMTP no está autenticada ni cifrada. Los servidores externos también envían informes sobre la conexión.

  • none (ninguno): con este valor, se indica a los servidores externos que el dominio ya no admite MTA-STS. Utilízalo si dejas de usar este estándar de seguridad. Consulta más información sobre cómo inhabilitar MTA-STS (RFC 8461).

mx

Registro MX del dominio.

  • En la política debe incluirse una entrada mx por cada registro MX que se haya añadido al dominio.
  • Cada valor mx que se incluya debe introducirse en una línea aparte, tal como se muestra en el ejemplo.
  • Los nombres de servidor de correo deben estar en el formato estándar Nombre alternativo del firmante (Subject Alternative Name, SAN).
  • Los valores mx deben estar en uno de estos formatos:

    Indica un único servidor en el formato MX estándar. Por ejemplo: alt1.aspmx.solarmora.com.

    Indica con un comodín todos los servidores que coinciden con un determinado patrón de nomenclatura. Los caracteres comodín solo sustituyen a una etiqueta del extremo izquierdo. Por ejemplo: *.solarmora.com.

Más información sobre los registros MX y sus valores

max_age

Debe especificarse el periodo máximo de tiempo (en segundos) durante el que es válida la política. En los servidores externos, el valor max_age vuelve a su valor inicial siempre que el servidor accede a la política; por tanto, una misma política tiene fechas de vencimiento distintas en diferentes servidores.

El valor debe estar entre 86400 (un día) y 31557600 (aproximadamente un año).

Si configuras una política en el modo de prueba, te recomendamos que este valor esté entre 604800 y 1209600 (entre una y dos semanas).

Pasos siguientes

Publicar la política de MTA-STS

¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?