1. Centro de Ayuda
  2. DMARC: conceptos básicos

MTA-STS-TLS: definición y funciones

MTA-STS-TLS es un protocolo de seguridad que permite a los servidores de correo aplicar la encriptación de TLS y la validación de certificados al enviar correos a otros servidores que admiten el protocolo.

¿Qué es MTA-STS-TLS?

MTA-STS-TLS es un protocolo de seguridad que permite a los servidores de correo electrónico aplicar la encriptación de Seguridad de la Capa de Transporte (Transport Layer Security o TLS) y la validación de certificados al enviar correos a otros servidores que admiten el protocolo. MTA-STS-TLS significa Mail Transfer Agent Strict Transport Security sobre TLS, y está definido en el RFC 8461.

¿Cómo funciona MTA-STS-TLS?

MTA-STS-TLS permite que los servidores de correo electrónico publiquen una política que especifica cómo otros servidores deben conectarse con ellos. La política incluye:
•    La duración de la validez de la política
•    Si se requiere encriptación TLS o es opcional
•    Si el certificado del servidor debe coincidir con el nombre del dominio o estar firmado por una autoridad confiable
•    Cómo reportar cualquier fallo de conexión o violaciones de política
La política se publica de dos maneras: como un registro DNS TXT y como un archivo alojado en un servidor web. El registro DNS TXT contiene un puntero al servidor web donde se encuentra el archivo de la política. El archivo de la política se llama .well-known/mta-sts.txt y está formateado como un archivo de texto plano con pares clave-valor.
Cuando un servidor de correo electrónico desea enviar un correo a otro servidor que admite MTA-STS-TLS, primero consulta el registro DNS TXT del dominio del destinatario para verificar si hay una política disponible. Si la hay, luego obtiene el archivo de la política del servidor web y sigue las instrucciones en la política. Si la política requiere encriptación TLS y validación de certificados, el servidor de correo solo entregará el correo si puede establecer una conexión segura y autenticada con el servidor destinatario. Si la política es opcional, el servidor de correo intentará usar la encriptación TLS y la validación de certificados, pero volverá a una conexión en texto plano si falla. Si la política no está disponible o ha expirado, el servidor de correo utilizará sus configuraciones predeterminadas para la entrega de correos.


¿Por qué es importante MTA-STS-TLS?

MTA-STS-TLS es importante porque mejora la seguridad y privacidad de la comunicación por correo electrónico. Al exigir encriptación TLS y validación de certificados, MTA-STS-TLS previene que los atacantes intercepten, modifiquen o suplanten correos en tránsito. Esto reduce el riesgo de phishing, malware, spam e usurpación de identidad. MTA-STS-TLS también ayuda a los servidores de correo electrónico a cumplir con los estándares y regulaciones de seguridad de su industria o región.

¿Cuáles son las limitaciones de MTA-STS-TLS?

MTA-STS-TLS tiene algunas limitaciones que los servidores de correo electrónico y usuarios deben conocer:
•    MTA-STS-TLS solo se aplica a la conexión entre servidores de correo electrónico, no entre clientes de correo y servidores. Por lo tanto, los clientes de correo y usuarios aún necesitan usar otras medidas de seguridad, como encriptación de extremo a extremo, para proteger sus correos de accesos o manipulaciones no autorizadas.
•    MTA-STS-TLS depende de la disponibilidad e integridad de los servidores DNS y web que alojan la política. Si estos servidores están comprometidos, fuera de línea o mal configurados, la política puede no estar accesible o ser precisa, y la entrega de correos puede verse afectada.
•    MTA-STS-TLS no impide que los servidores de correo acepten o envíen correos que no cumplan con la política. Por ejemplo, un servidor de correo puede aceptar un correo de un remitente que no usa encriptación TLS o validación de certificados, o puede enviar un correo a un destinatario que no admite MTA-STS-TLS. Por lo tanto, los servidores de correo y usuarios aún necesitan usar otros mecanismos de seguridad, como SPF, DKIM y DMARC, para verificar la identidad y autenticidad de los remitentes y destinatarios de correos.

Propósito de MTA-STS:

  • El protocolo SMTP, históricamente, carecía de medidas de seguridad robustas. Aunque se introdujo la Seguridad de la Capa de Transporte (TLS) para encriptar las comunicaciones SMTP, seguía siendo opcional y vulnerable a manipulaciones DNS.
  • MTA-STS asegura que siempre se use TLS y proporciona un mecanismo para que los servidores de envío rechacen la entrega a servidores que carecen de soporte TLS o certificados confiables.
  • Desarrollado por empresas del sector en colaboración con el Grupo de Trabajo contra el Malware y Abuso Móvil y de Mensajería (M3AAWG), MTA-STS tiene como objetivo fortalecer la seguridad del correo electrónico. 

Modo de prueba vs. Modo de aplicación:

  • Modo de prueba: Cuando MTA-STS está en modo de prueba, valida las conexiones pero no aplica requisitos estrictos de TLS. La entrega de correos ocurre incluso si el dominio del destinatario no admite MTA-STS. Este modo ayuda a identificar problemas sin interrumpir el flujo de correos. 
  • Modo de aplicación: En modo de aplicación, MTA-STS se adhiere estrictamente a los requisitos de TLS. Si un dominio destinatario admite MTA-STS y el remitente no, se rechaza la entrega del correo. Garantiza una seguridad robusta, pero requiere una configuración y pruebas cuidadosas antes de habilitarlo. 

Configuraciones máximas de edad de MTA-STS:

La directiva max_age en la política de MTA-STS especifica la duración máxima de la vida de la política en segundos. Aquí hay algunos puntos clave al respecto:

  • Valores aceptados: Cualquier entero positivo hasta 31.557.600 segundos (equivalente a un año).
  • Ejemplo: Puede establecer max_age en 604.800 segundos (una semana).
  • El propósito de max_age es determinar cuánto tiempo los servidores deben almacenar en caché su política de MTA-STS antes de verificar una nueva. Google, por ejemplo, procesa políticas con un max_age superior a 86.400 segundos (un día). El valor máximo para max_age es 31.557.600 segundos.

Elegir un valor de max_age adecuado es crucial. Aquí hay algunas consideraciones:

  1. Max_age más corto:
    o    Permite eliminar o cambiar más fácilmente MTA-STS si surgen problemas de interoperabilidad.
    o    Útil para grandes integradores que aún pueden no admitir MTA-STS pero planean hacerlo en el futuro.

  2. Max_age más largo:
    o    Reduce la frecuencia de las comprobaciones de políticas.
    o    Ofrece mejor rendimiento al minimizar la necesidad de actualizaciones frecuentes de políticas.
    o    Sin embargo, también significa que cualquier cambio necesario en la política tardará más en propagarse.

¿Cómo funciona MTA-STS-TLS con DMARC?

MTA-STS-TLS y DMARC se complementan entre sí para mejorar la seguridad y privacidad de la comunicación por correo electrónico. MTA-STS-TLS protege la conexión entre servidores de correo electrónico de interceptaciones y modificaciones, mientras que DMARC protege el contenido y el encabezado del correo de suplantaciones y phishing. Al usar ambos protocolos, los servidores de correo electrónico y los usuarios pueden alcanzar un nivel más alto de confianza y seguridad en su comunicación por correo electrónico.

¿Necesitas ayuda?

soporte@sendmarc.com está disponible para ayudarte.