En caso de que se haya encontrado con la "Falta la política MTA-STS: STSFetchResult.NONE "al utilizar herramientas en línea, ha llegado al lugar correcto. Hoy vamos a discutir cómo arreglar este mensaje de error y deshacerse de él mediante la incorporación de una política MTA-STS para su dominio.

El Protocolo Simple de Transferencia de Correo, también conocido como SMTP, es el protocolo estándar de transferencia de correo electrónico utilizado por la mayoría de los proveedores de servicios de correo electrónico. No es un concepto extraño que SMTP se haya enfrentado a retos de seguridad desde los albores del tiempo, retos que aún no han podido superar. Esto se debe a que, para hacer que los correos electrónicos sean compatibles con el pasado, SMTP introdujo el cifrado oportunista en forma de comando STARTTLS. Esto significa esencialmente que, en caso de que no se pueda negociar una conexión cifrada entre dos servidores SMTP en comunicación, la conexión se revierte a una sin cifrar, y los mensajes se envían en texto claro. 

Esto hace que los correos electrónicos transferidos a través de SMTP sean vulnerables a la vigilancia generalizada y a los ataques de espionaje cibernético como el Man-in-the-middle. Esto supone un riesgo tanto para el remitente como para el destinatario y puede conducir a la violación de datos sensibles. Aquí es donde el MTA-STS entra en acción y hace que el cifrado TLS sea obligatorio en SMTP para evitar que los correos electrónicos se entreguen a través de conexiones no seguras. 

¿Qué es una política MTA-STS?

Para mejorar la seguridad de su correo electrónico SMTP y sacar el máximo provecho de los protocolos de autenticación como el MTA-STS, el servidor de envío debe tener soporte para el protocolo y el servidor de recepción de correo electrónico debe tener una política MTA-STS definida en su DNS. También se recomienda un modo de política forzada para ampliar aún más los estándares de seguridad. La política MTA-STS define los servidores de correo electrónico que utilizan MTA-STS en el dominio del receptor. 

Para habilitar MTA-STS para su dominio como receptor de correo electrónico, necesita alojar un archivo de política MTA-STS en su DNS. Esto permite que los remitentes de correo electrónico externos envíen correos electrónicos a su dominio que estén autenticados y cifrados con TLS con una versión actualizada de TLS (1.2 o superior). 

No tener un archivo de política publicado o actualizado para su dominio puede ser la razón principal para encontrarse con mensajes de error como "Falta la política MTA-STS: STSFetchResult.NONE", lo que implica que el servidor del remitente no pudo obtener el archivo de política MTA-STS cuando consultó el DNS del receptor, encontrando que faltaba.

Requisitos previos para el MTA-STS:

Los servidores de correo electrónico para los que se habilitará el MTA-STS deben utilizar una versión de TLS de 1.2 o superior, y deben tener certificados TLS que se adhieran a las normas y especificaciones RFC actuales, que no hayan caducado y que los certificados del servidor estén firmados por una autoridad certificadora raíz de confianza.

Pasos para arreglar "Falta la política MTA-STS"

1. Creación y publicación de un registro TXT de DNS MTA-STS 

El primer paso es crear un registro MTA-STS para su dominio. Puedes crear un registro al instante utilizando un generador de registros MTA-STS, que te proporcionará un registro DNS a medida para tu dominio. 

2. Definición de un modo de política MTA-STS

MTA-STS ofrece dos modos de política para que los usuarios trabajen.

  • Modo de prueba: Este modo es ideal para los principiantes que no han configurado el protocolo antes. El modo de prueba MTA-STS le permite recibir informes SMTP TLS sobre problemas en las políticas MTA-STS, problemas en el establecimiento de conexiones SMTP cifradas o fallos en la entrega del correo electrónico. Esto le ayuda a responder a los problemas de seguridad existentes en sus dominios y servidores sin necesidad de aplicar el cifrado TLS.
  • Modo de aplicación: Mientras siga recibiendo sus informes de TLS, con el tiempo es óptimo que los usuarios apliquen su política de MTA-STS para que el cifrado sea obligatorio al recibir correos electrónicos mediante SMTP. Esto evita que los mensajes sean modificados o manipulados mientras están en tránsito.

3. Creación del archivo de política MTA-STS

El siguiente paso es alojar los archivos de políticas MTA-STS para sus dominios. Tenga en cuenta que, aunque el contenido de cada archivo puede ser el mismo, es obligatorio alojar las políticas por separado para los distintos dominios, y un único dominio sólo puede tener un único archivo de política MTA-STS. Si se alojan varios archivos de políticas MTA-STS para un mismo dominio, pueden producirse errores de configuración del protocolo. 

El formato estándar de un archivo de política MTA-STS es el siguiente: 

Nombre del archivo: mta-sts.txt

Tamaño máximo del archivo: 64 KB

versión: STSv1

modo: prueba

mx: mail.sudominio.com

mx: *.sudominio.com

max_age: 806400 

Nota: El archivo de política mostrado arriba es simplemente un ejemplo.

4. Publicación de su archivo de política MTA-STS

A continuación, tiene que publicar su archivo de política MTA-STS en un servidor web público al que puedan acceder servidores externos. Asegúrese de que el servidor en el que aloja su archivo soporta HTTPS o SSL. El procedimiento para ello es sencillo. Asumiendo que su dominio está preconfigurado con un servidor web público:

  • Añada un subdominio a su dominio existente que debe comenzar con el texto: mta-sts (por ejemplo, mta-sts.dominio.com) 
  • Su archivo de política apuntará a este subdominio que ha creado y tiene que ser almacenado en un archivo .well-known
  • La URL del archivo de políticas se añade a la entrada DNS al publicar su registro DNS MTA-STS para que el servidor pueda consultar el DNS para obtener el archivo de políticas durante la transferencia del correo electrónico

5. Activar MTA-STS y TLS-RPT

Por último, debe publicar su MTA-STS y TLS-RPT en el DNS de su dominio, utilizando TXT como tipo de recurso, colocados en dos subdominios separados (_smtp._tls y _mta-sts). Esto permitirá que sólo lleguen a su bandeja de entrada mensajes encriptados por TLS, verificados y no manipulados. Además, recibirá informes diarios sobre los problemas de entrega y encriptación en una dirección de correo electrónico o servidor web configurado por usted, desde servidores externos.

Puede verificar la validez de sus registros DNS realizando una búsqueda de registros MTA-STS después de que su registro sea publicado y esté activo.  

Nota: Cada vez que realice modificaciones en el contenido de sus archivos de política MTA-STS, deberá actualizarlo tanto en el servidor web público en el que aloja su archivo como en la entrada DNS que contiene la URL de su política. Lo mismo ocurre cada vez que actualice o añada dominios o servidores.

¿Cómo pueden ayudar los servicios MTA-STS alojados a resolver el problema de "falta la política MTA-STS"?

La implementación manual del MTA-STS puede ser ardua y desafiante y dejar espacio para los errores. El MTA-STS alojado de PowerDMARC MTA-STS alojados de PowerDMARC ayudan a catapultar el proceso para los propietarios de dominios, haciendo que la implementación del protocolo sea rápida y sin esfuerzo. Usted puede:

  • Publique sus registros CNAME para MTA-STS con unos pocos clics
  • Subcontratar el trabajo duro que supone el mantenimiento y el alojamiento de los archivos de políticas MTA-STS y los servidores web
  • Cambie su modo de política siempre que lo desee, directamente desde su panel de control personalizado, sin tener que acceder a sus DNS
  • Mostramos los archivos JSON de los informes TLS de SMTP en un formato organizado y legible para el ser humano, que resulta cómodo y comprensible tanto para los técnicos como para los no técnicos

¿Y lo mejor? Cumplimos con el RFC y soportamos los últimos estándares TLS. Esto le ayuda a comenzar con la configuración de MTA-STS sin errores para su dominio, y a disfrutar de sus beneficios mientras deja que nosotros nos encarguemos de las molestias y complejidades en su nombre. 

Espero que este artículo le haya ayudado a deshacerse del aviso "Falta la política MTA-STS: STSFetchResult.NONE", y a configurar los protocolos adecuadamente para su dominio para mitigar las lagunas y los desafíos en la seguridad SMTP. 

Habilite hoy mismo el MTA-STS para sus correos electrónicos realizando una prueba gratuita de autenticación de correo electrónico DMARC de pruebapara mejorar sus defensas contra MITM y otros ataques de espionaje cibernético.

Tanto las empresas como las startups suelen preferir la externalización de sus correos electrónicos comerciales y de marketing. Esto implica servicios de terceros que se encargan de todo, desde la gestión de listas hasta el seguimiento de eventos y la supervisión de la entregabilidad. Sin embargo, estos servicios de terceros también aumentan el riesgo, ya que abren oportunidades para que los actores maliciosos se hagan pasar por las marcas a través de la suplantación de dominios y el despliegue de ataques de phishing en los receptores desprevenidos.

Se ha informado de que alrededor de un tercio de todos los mensajes de spam que circulan por Internet tienen contenido relacionado con las empresas. Las empresas y organizaciones pueden ser víctimas de estos mensajes si no aplican las salvaguardias adecuadas, y el uso de proveedores externos para el envío de mensajes de correo electrónico puede ser un factor importante.

Integración de DMARC con todos sus terceros puede ayudarle a prevenir los ataques de spoofing, phishing y malware que se infiltran en su dominio.

¿Por qué es importante alinear las fuentes de envío de correo electrónico?

El correo electrónico es fundamental para el éxito de cualquier empresa, ya que le permite mantenerse en contacto con sus clientes y potenciales. Se utiliza ampliamente como medio principal de comunicación y estudio de mercado, y su importancia no hará más que aumentar con el paso del tiempo. Sea cual sea el proveedor de correo electrónico que utilice para enviar sus mensajes, asegúrese de comprobar si admite el envío de correos electrónicos compatibles con DMARC en su nombre. 

DMARC es un protocolo de seguridad del correo electrónico que ayuda a prevenir los ataques de phishing, la falsificación de dominios y el BEC. Pero para que sea realmente eficaz, una empresa debe colaborar estrechamente con todos sus terceros, para que todos los correos electrónicos sean compatibles con DMARC.

Cómo hacer que sus proveedores externos cumplan con DMARC

Para establecer una política eficaz de DMARC, debe ponerse en contacto con sus proveedores externos para que colaboren con usted en la mejor manera de gestionar el correo electrónico que no se valida. Puede resultar beneficioso explicarles las ventajas de DMARC, responder a las preguntas sobre su funcionamiento y recomendarles soluciones que les ayuden a implantar plenamente DMARC.

Cada tercero es diferente, con su propio proceso de configuración de SPF y DKIM que tendrá que planificar. Para determinar la mejor estrategia, debe conocer la forma en que cada socio envía las campañas de marketing por correo electrónico, además de sus capacidades técnicas de seguimiento, funciones de información y capacidades de integración. Aunque el proceso puede parecer engorroso y tedioso, hay algunas formas sencillas de acelerar las cosas por su parte:

  • Puede configurar un subdominio personalizado para cada uno de sus proveedores de correo electrónico y dejar que ellos se encarguen de la autenticación SPF y DKIM para ese dominio. En este caso, el proveedor de correo electrónico utiliza su servidor de correo para enviar sus correos electrónicos. El proveedor publica sus registros SPF y DKIM en el DNS de su subdominio. Si no configuras una política DMARC separada para este subdominio consignado, la política DMARC de tu dominio principal se impone automáticamente en tu subdominio.
  • Como alternativa, el proveedor externo puede utilizar sus servidores de correo mientras envía correos electrónicos a sus clientes desde su dominio. Esto asegura por defecto que si usted tiene una política DMARC para su dominio, los correos electrónicos salientes serán automáticamente compatibles con DMARC. Asegúrese de que actualiza sus registros SPF y DKIM para incluir a dichos terceros y garantizar que están incluidos como fuente de envío autorizada. 

Configuración de registros SPF, DKIM y DMARC para sus proveedores externos

  • Asegúrese de actualizar su registro SPF existente para incluir estas fuentes de envío de correo electrónico. Por ejemplo, si utiliza MailChimp como proveedor de correo electrónico para enviar correos electrónicos de marketing en nombre de su organización, debe actualizar su registro SPF existente o crear un nuevo registro (en caso de que no tenga uno) que incluya a MailChimp como remitente autorizado. Esto puede hacerse añadiendo un mecanismo include: o direcciones IP específicas utilizadas por el proveedor al enviar sus correos electrónicos.
  • A continuación, deberá solicitar a su proveedor que genere un par de claves DKIM para su dominio personalizado. Ellos utilizarán la clave privada para firmar sus correos electrónicos mientras los envían, y la clave pública debe ser publicada por usted en su DNS público. Los receptores comparan la clave privada con la clave pública en su DNS durante la verificación.

Puede leer nuestra base de conocimientos sobre autenticación de correo electrónico para obtener instrucciones fáciles de seguir, paso a paso, sobre cómo configurar DMARC, SPF y DKIM para varios proveedores de terceros que pueda estar utilizando.

En PowerDMARC, proporcionamos soluciones para el despliegue y la supervisión de DMARC para ayudarle a garantizar el máximo cumplimiento de DMARC. Proporcionamos soluciones de supervisión de DMARC escalables con las capacidades más profundas del mercado para ayudarle a gestionar sus prácticas de envío en coordinación con las prácticas de envío de sus proveedores. 

Gracias a nuestros recursos y experiencia, podemos eliminar las conjeturas sobre el cumplimiento de DMARC al tiempo que ofrecemos informes analíticos que identifican los que cumplen y los que no. Regístrese para obtener su prueba gratuita de prueba de DMARC hoy mismo.

El correo electrónico es una de las herramientas más eficaces para transmitir su mensaje, ya sea para el marketing o para el negocio. Sin embargo, también presenta amenazas de seguridad si no se protege contra ellas. DMARC ayuda a resolver este problema dándole el control total de todo el correo electrónico que utiliza su nombre de dominio. DMARC es un gran paso para garantizar que los correos electrónicos honestos sigan siendo honestos y que los correos electrónicos maliciosos estén protegidos para que no lleguen a las bandejas de entrada. PowerDMARC siempre ha creído en esta misión y ha trabajado duro para asegurarse de que la especificación DMARC se sigue en todo nuestro ecosistema.

¿Por qué es inseguro su correo electrónico?

El spoofing del correo electrónico se produce cuando un atacante falsifica la dirección "De" para hacer que un correo parezca provenir de una fuente legítima y autorizada. El término puede referirse tanto a los clientes de correo electrónico como a los ataques al servidor. La suplantación del cliente de correo electrónico se refiere a la falsificación de la dirección "De", "Para" y/o "Asunto" del correo que se origina en un cliente específico. La suplantación del servidor se refiere a la falsificación de estas direcciones en los mensajes que se originan en un servidor específico. 

La suplantación de direcciones de correo electrónico es un problema serio, especialmente si usted tiene un sitio web legítimo que tiene un formulario de registro de correo electrónico. Debido a que las direcciones de correo electrónico son a menudo el principal objetivo de los spammers que utilizan técnicas de suplantación de correo electrónico, su lista de correo electrónico puede verse rápidamente comprometida. Esto causará grandes dolores de cabeza en el futuro cuando tenga que desactivar los formularios de registro o tenga que dar de baja manualmente a los miembros de cada uno de sus boletines u otras listas.

¿Cómo puede ayudar DMARC?

A política DMARC le permite tomar el control sobre la suplantación de identidad del correo electrónico, el phishing y otras formas de abuso del correo electrónico y del dominio. Utilizado en combinación con SPF (Sender Policy Framework) y DKIM (DomainKeys Identified Mail), este potente mecanismo hace mucho más difícil que los ciberdelincuentes envíen correos electrónicos utilizando su nombre de dominio sin su permiso.

Si no dispone de un registro DMARC, le recomendamos que utilice nuestro generador de registros DMARC para crear un registro TXT personalizado para tu dominio e implementar el protocolo. Recuerde cambiar a una política de rechazo de DMARC para obtener protección contra las amenazas de suplantación de identidad.

Controle su flujo de correo electrónico para una entrega consistente

Si quiere estar al tanto de sus atacantes, debe aprovechar las ventajas del informe DMARC hoy mismo. Le proporciona una gran cantidad de información sobre sus fuentes de envío de correo electrónico y los intentos de entrega fallidos. Puede aprovechar la información para responder a las amenazas con mayor rapidez, así como supervisar el rendimiento de sus correos electrónicos para garantizar la coherencia de la entrega. 

Para mantener la salud de la seguridad del correo electrónico de su dominio, es imperativo que sus protocolos de autenticación estén libres de cualquier error sintáctico o de configuración. Realice una comprobación DMARC de vez en cuando para asegurarse de que su registro DMARC funciona correctamente.

Domain-based Message Authentication, Reporting, and Conformance(DMARC) es una norma diseñada para alinear los métodos de autenticación de mensajes Sender Policy Framework (SPF) y DomainKeys Identified Mail (DKIM) para autenticar el nombre de dominio de un remitente de correo electrónico. Proporciona un marco coherente para que los autores, operadores y consumidores de estos mecanismos de autenticación de correo electrónico trabajen juntos para reducir el spam. Un analizador DMARC le ayuda a detectar cuándo un tercero no autorizado está haciendo un uso indebido de su dominio, ya sea suplantando el correo electrónico legítimo o realizando campañas de phishing.

En términos de ventajas, DMARC tiene algo que ofrecer tanto para el remitente como para el receptor de los correos electrónicos. Descubramos cuáles son:

Ventajas para los remitentes de correo electrónico

Mejora de la capacidad de entrega del correo electrónico

Una de las principales ventajas que los protocolos de autenticación de correo electrónico como DMARC presentan a los propietarios de dominios (remitentes de correo electrónico) es la mejora de la tasa de entrega del correo electrónico. DMARC garantiza que los correos electrónicos legítimos de su remitente no se marquen innecesariamente como spam o se bloqueen en la bandeja de entrada del receptor. Esto proporciona una mayor probabilidad de que sus correos electrónicos de marketing sean leídos, permitiendo que sus clientes potenciales se fijen más en usted.

Reducción de las amenazas de suplantación de identidad

Los ataques de suplantación de identidad son muy comunes para los negocios en línea, tanto si se trata de una empresa consolidada como de una startup. Pueden dejar una impresión duradera en sus clientes, afectar a la credibilidad de su marca y provocar la pérdida de clientes. DMARC protege el nombre de su marca de ser utilizado con fines maliciosos, mediante el proceso de verificación de la identidad. Esto mantiene su buena voluntad y reputación a largo plazo.

Informes y supervisión de DMARC

Aparte de la protección de la identidad, DMARC también ofrece un mecanismo de información que ayuda a los propietarios de dominios a estar al tanto de cualquier intento de suplantación de identidad realizado en su dominio. Pueden hacer un seguimiento de los correos electrónicos que no se entregan debido a fallos en las comprobaciones de autenticación, lo que les permite reducir el tiempo de respuesta a las amenazas. Todo lo que tienen que hacer es configurar un analizador de informes DMARC para ver sus informes fácilmente en un solo panel.

Ventajas para los receptores de correo electrónico

Protección contra los ataques de phishing

DMARC no es sólo un lote de seguridad para el remitente del correo electrónico, sino también para el receptor. Ya sabemos que un ataque de spoofing suele acabar con un phishing. El receptor de un correo electrónico falso corre un alto riesgo de ser presa de ataques de phishing cuyo objetivo es robar sus credenciales bancarias, y/o otra información sensible. DMARC ayuda a reducir el riesgo de phishing por correo electrónico de forma drástica.

Protección contra el ransomware

A veces los correos electrónicos falsos contienen enlaces para descargar ransomware en el sistema del receptor. Esto puede llevar a que los receptores del correo electrónico sean rehenes a merced de los actores de la amenaza que piden fuertes rescates. Cuando el receptor es un empleado de la organización suplantada, lo que está en juego es aún mayor. DMARC actúa como línea principal de defensa contra el ransomware, evitando que los receptores de correo electrónico sean rehenes.

Promueve una experiencia de correo electrónico segura

DMARC ayuda a promover una experiencia de correo electrónico segura tanto para el remitente como para el destinatario. Ayuda a ambas partes a participar en un intercambio de información lúcido y sin obstáculos, sin temor a ser engañados o suplantados por ciberatacantes.

Para aprovechar los servicios de DMARC, obtenga su prueba gratuita de DMARC hoy mismo.

 

Estamos aquí para aclarar de una vez por todas una de las preocupaciones más comunes de los propietarios de dominios. ¿Una política de rechazo de DMARC perjudicará su capacidad de entrega de correo electrónico? Una política de rechazo de DMARC sólo puede perjudicar la capacidad de entrega de tu correo electrónico si has configurado DMARC de forma incorrecta para tu dominio, o si te has tomado una política de DMARC demasiado a la ligera para no activar los informes de DMARC para tu dominio. Lo ideal es que DMARC esté diseñado para mejorar sus tasas de entrega de correo electrónico con el tiempo.

¿Qué es una política de rechazo DMARC?

Una política de rechazo de DMARC es un estado de máxima aplicación de DMARC. Esto significa que si se envía un correo electrónico desde una fuente que falla la autenticación DMARC, ese correo será rechazado por el servidor del receptor y no se le entregará. Una política de rechazo de DMARC es beneficiosa para las organizaciones, ya que ayuda a los propietarios de dominios a poner fin a los ataques de phishing, a la suplantación de dominio directa y al compromiso del correo electrónico empresarial.

¿Cuándo se debe configurar esta política?

Como expertos en DMARC, PowerDMARC recomienda que mientras sea un novato en la autenticación del correo electrónico, DMARC en la supervisión solamente es la mejor opción para usted. Esto le ayudará a sentirse cómodo con el protocolo mientras mantiene un seguimiento del rendimiento y la entregabilidad de su correo electrónico. Aprenda cómo puede supervisar sus dominios fácilmente en la siguiente sección.

Cuando tenga la suficiente confianza para adoptar una política más estricta, puede configurar su dominio con p=reject/quarantine. Como usuario de DMARC, su principal objetivo debe ser impedir que los atacantes se hagan pasar por usted y engañen a sus clientes, lo que no puede conseguirse con una "política de no rechazo". Hacer cumplir su política es imperativo para obtener protección contra los atacantes.

¿En qué se puede equivocar?

El DMARC se basa en protocolos como el SPF y el DKIM, que deben ser preconfigurados para que el primero funcione correctamente. Un registro DNS SPF almacena una lista de direcciones IP autorizadas para enviar correos electrónicos en su nombre. Los propietarios de dominios pueden omitir por error el registro de un dominio remitente como remitente autorizado para SPF. Este es un fenómeno relativamente común entre las organizaciones que utilizan varios proveedores de correo electrónico de terceros. Esto puede llevar a que el SPF falle para ese dominio en particular. Otros errores son los que se producen en los registros DNS y en las configuraciones de los protocolos. Todo esto puede evitarse recurriendo a servicios de autenticación de correo electrónico alojados.

Cómo supervisar sus correos electrónicos con un analizador de informes DMARC

Un analizador de informes DMARC es una herramienta todo en uno que le ayuda a supervisar sus dominios a través de una única interfaz. Esto puede beneficiar a su organización en más de un sentido:

  • Obtenga una completa visibilidad y claridad de su flujo de correo electrónico
  • Pasar a una política de rechazo sin miedo a los problemas de entregabilidad
  • Lea los informes DMARC XML en un formato simplificado y legible para el ser humano
  • Realiza cambios en tus registros DNS en tiempo real mediante botones accionables sin acceder a tus DNS

Configure DMARC de forma segura y correcta en su organización utilizando un analizador DMARC hoy mismo, y elimine de forma permanente todos los temores relacionados con los problemas de entregabilidad.