Para configurar el estándar de seguridad MTA-STS en todos tus dominios, crea y publica en cada uno de ellos una política de MTA-STS, que indica en qué servidores de correo del dominio se utiliza dicho estándar.
Cada dominio debe tener un archivo de política independiente. Las políticas pueden ser las mismas, pero deben alojarse por separado en cada dominio que utilice el estándar MTA-STS.
Requisitos del servidor para utilizar MTA-STS
Comprueba que los servidores de correo que reciben correo entrante cumplan estos requisitos:
- Requieren que el correo se transmita a través de una conexión segura (TLS).
- Utilizan la versión 1.2 de TLS o una versión posterior.
- Tienen certificados TLS que:
- Coinciden con el nombre de dominio que usa el servidor de correo entrante; es decir, el servidor que figura en tus registros MX.
- Están firmados por una autoridad de certificación raíz que los considera de confianza.
- No han caducado.
Puedes consultar más información sobre los certificados TLS en el artículo Usar certificados de Google Workspace para proteger el transporte.
Modos de política de MTA-STS
Las políticas de MTA-STS pueden aplicarse en modo de prueba o en modo obligatorio.
Modo de prueba
Si aplicas la política en modo de prueba, se solicitará a los servidores de correo externos que te envíen informes diarios. Estos informes contienen información sobre los problemas detectados cuando se conectan al dominio. También incluyen información sobre las políticas de MTA-STS que se han detectado, así como estadísticas de tráfico, datos sobre las conexiones fallidas y los mensajes que no se han podido enviar.
Al usar este modo, tu dominio solo solicita informes; es decir, no aplica ninguna de las medidas de conexión segura que exige el estándar MTA-STS. Te recomendamos que, para empezar, actives el modo de prueba durante dos semanas, un periodo durante el que se pueden obtener suficientes datos para detectar y solucionar cualquier problema que haya en tu dominio.
Utiliza la información que se facilita en los informes diarios para resolver problemas con el cifrado o la seguridad de tu servidor o dominio y, a continuación, cambia la política al modo obligatorio.
Modo obligatorio
Si configuras la política en el modo obligatorio, tu dominio solicita a los servidores externos que comprueben que la conexión SMTP esté cifrada y autenticada.
Si la conexión SMTP no cumple con estos requisitos, ocurrirá lo siguiente:
- Los servidores que admitan el estándar MTA-STS no enviarán correo a tu dominio.
- Los servidores que no admitan el estándar MTA-STS seguirán enviando correo a tu dominio de la manera habitual; es decir, a través de conexiones SMTP que podrían no estar cifradas.
En el modo obligatorio, sigues recibiendo los informes diarios de servidores externos.
Crear archivos de política
Los archivos de política son archivos de texto sin formato que contienen pares clave-valor. Cada par debe introducirse en una línea aparte en el archivo de texto, tal como se muestra en el ejemplo. El tamaño máximo del archivo de texto de la política es de 64 KB.
Nombre de los archivos de política: el nombre del archivo de texto debe ser mta-sts.txt.
Actualización de los archivos de política: debes actualizar los archivos de política siempre que cambies de servidores de correo o añadas servidores nuevos, así como cuando cambies de dominio.
Formato de archivo de política: el campo version (Versión) debe colocarse siempre en la primera línea de la política. Los demás campos pueden estar en cualquier orden. A continuación se muestra un ejemplo de archivo de política:
version: STSv1
mode: testing
mx: mail.solarmora.com
mx: *.solarmora.net
mx: backupmx.solarmora.com
max_age: 604800
Contenido de los archivos de política: en las políticas deben incluirse todos los pares clave-valor que se muestran en la tabla que aparece a continuación. Para crear una política personalizada que se adapte a tu dominio, sigue los pasos que se indican en el artículo Comprobar el estado de MTA-STS y recibir sugerencias de configuración.
Clave | Valor |
---|---|
version | Debe indicarse la versión del protocolo, que es STSv1. |
mode |
Debe incluirse el modo de la política:
|
mx |
Registro MX del dominio.
|
max_age |
Tiempo máximo en segundos de validez de la política. En los servidores externos, el valor max_age vuelve a su valor inicial siempre que el servidor accede a la política.Por lo tanto, los servidores externos pueden tener fechas de caducidad distintas en la misma política. El valor debe estar entre 86400 (1 día) y 31557600 (aproximadamente 1 año). Si configuras una política en el modo de prueba, te recomendamos que este valor esté entre 604800 y 1209600 (entre 1 y 2 semanas). |