En caso de que se haya encontrado con la "Falta la política MTA-STS: STSFetchResult.NONE "al utilizar herramientas en línea, ha llegado al lugar correcto. Hoy vamos a discutir cómo arreglar este mensaje de error y deshacerse de él mediante la incorporación de una política MTA-STS para su dominio.

El Protocolo Simple de Transferencia de Correo, también conocido como SMTP, es el protocolo estándar de transferencia de correo electrónico utilizado por la mayoría de los proveedores de servicios de correo electrónico. No es un concepto extraño que SMTP se haya enfrentado a retos de seguridad desde los albores del tiempo, retos que aún no han podido superar. Esto se debe a que, para hacer que los correos electrónicos sean compatibles con el pasado, SMTP introdujo el cifrado oportunista en forma de comando STARTTLS. Esto significa esencialmente que, en caso de que no se pueda negociar una conexión cifrada entre dos servidores SMTP en comunicación, la conexión se revierte a una sin cifrar, y los mensajes se envían en texto claro. 

Esto hace que los correos electrónicos transferidos a través de SMTP sean vulnerables a la vigilancia generalizada y a los ataques de espionaje cibernético como el Man-in-the-middle. Esto supone un riesgo tanto para el remitente como para el destinatario y puede conducir a la violación de datos sensibles. Aquí es donde el MTA-STS entra en acción y hace que el cifrado TLS sea obligatorio en SMTP para evitar que los correos electrónicos se entreguen a través de conexiones no seguras. 

¿Qué es una política MTA-STS?

Para mejorar la seguridad de su correo electrónico SMTP y sacar el máximo provecho de los protocolos de autenticación como el MTA-STS, el servidor de envío debe tener soporte para el protocolo y el servidor de recepción de correo electrónico debe tener una política MTA-STS definida en su DNS. También se recomienda un modo de política forzada para ampliar aún más los estándares de seguridad. La política MTA-STS define los servidores de correo electrónico que utilizan MTA-STS en el dominio del receptor. 

Para habilitar MTA-STS para su dominio como receptor de correo electrónico, necesita alojar un archivo de política MTA-STS en su DNS. Esto permite que los remitentes de correo electrónico externos envíen correos electrónicos a su dominio que estén autenticados y cifrados con TLS con una versión actualizada de TLS (1.2 o superior). 

No tener un archivo de política publicado o actualizado para su dominio puede ser la razón principal para encontrarse con mensajes de error como "Falta la política MTA-STS: STSFetchResult.NONE", lo que implica que el servidor del remitente no pudo obtener el archivo de política MTA-STS cuando consultó el DNS del receptor, encontrando que faltaba.

Requisitos previos para el MTA-STS:

Los servidores de correo electrónico para los que se habilitará el MTA-STS deben utilizar una versión de TLS de 1.2 o superior, y deben tener certificados TLS que se adhieran a las normas y especificaciones RFC actuales, que no hayan caducado y que los certificados del servidor estén firmados por una autoridad certificadora raíz de confianza.

Pasos para arreglar "Falta la política MTA-STS"

1. Creación y publicación de un registro TXT de DNS MTA-STS 

El primer paso es crear un registro MTA-STS para su dominio. Puedes crear un registro al instante utilizando un generador de registros MTA-STS, que te proporcionará un registro DNS a medida para tu dominio. 

2. Definición de un modo de política MTA-STS

MTA-STS ofrece dos modos de política para que los usuarios trabajen.

  • Modo de prueba: Este modo es ideal para los principiantes que no han configurado el protocolo antes. El modo de prueba MTA-STS le permite recibir informes SMTP TLS sobre problemas en las políticas MTA-STS, problemas en el establecimiento de conexiones SMTP cifradas o fallos en la entrega del correo electrónico. Esto le ayuda a responder a los problemas de seguridad existentes en sus dominios y servidores sin necesidad de aplicar el cifrado TLS.
  • Modo de aplicación: Mientras siga recibiendo sus informes de TLS, con el tiempo es óptimo que los usuarios apliquen su política de MTA-STS para que el cifrado sea obligatorio al recibir correos electrónicos mediante SMTP. Esto evita que los mensajes sean modificados o manipulados mientras están en tránsito.

3. Creación del archivo de política MTA-STS

El siguiente paso es alojar los archivos de políticas MTA-STS para sus dominios. Tenga en cuenta que, aunque el contenido de cada archivo puede ser el mismo, es obligatorio alojar las políticas por separado para los distintos dominios, y un único dominio sólo puede tener un único archivo de política MTA-STS. Si se alojan varios archivos de políticas MTA-STS para un mismo dominio, pueden producirse errores de configuración del protocolo. 

El formato estándar de un archivo de política MTA-STS es el siguiente: 

Nombre del archivo: mta-sts.txt

Tamaño máximo del archivo: 64 KB

versión: STSv1

modo: prueba

mx: mail.sudominio.com

mx: *.sudominio.com

max_age: 806400 

Nota: El archivo de política mostrado arriba es simplemente un ejemplo.

4. Publicación de su archivo de política MTA-STS

A continuación, tiene que publicar su archivo de política MTA-STS en un servidor web público al que puedan acceder servidores externos. Asegúrese de que el servidor en el que aloja su archivo soporta HTTPS o SSL. El procedimiento para ello es sencillo. Asumiendo que su dominio está preconfigurado con un servidor web público:

  • Añada un subdominio a su dominio existente que debe comenzar con el texto: mta-sts (por ejemplo, mta-sts.dominio.com) 
  • Su archivo de política apuntará a este subdominio que ha creado y tiene que ser almacenado en un archivo .well-known
  • La URL del archivo de políticas se añade a la entrada DNS al publicar su registro DNS MTA-STS para que el servidor pueda consultar el DNS para obtener el archivo de políticas durante la transferencia del correo electrónico

5. Activar MTA-STS y TLS-RPT

Por último, debe publicar su MTA-STS y TLS-RPT en el DNS de su dominio, utilizando TXT como tipo de recurso, colocados en dos subdominios separados (_smtp._tls y _mta-sts). Esto permitirá que sólo lleguen a su bandeja de entrada mensajes encriptados por TLS, verificados y no manipulados. Además, recibirá informes diarios sobre los problemas de entrega y encriptación en una dirección de correo electrónico o servidor web configurado por usted, desde servidores externos.

Puede verificar la validez de sus registros DNS realizando una búsqueda de registros MTA-STS después de que su registro sea publicado y esté activo.  

Nota: Cada vez que realice modificaciones en el contenido de sus archivos de política MTA-STS, deberá actualizarlo tanto en el servidor web público en el que aloja su archivo como en la entrada DNS que contiene la URL de su política. Lo mismo ocurre cada vez que actualice o añada dominios o servidores.

¿Cómo pueden ayudar los servicios MTA-STS alojados a resolver el problema de "falta la política MTA-STS"?

La implementación manual del MTA-STS puede ser ardua y desafiante y dejar espacio para los errores. El MTA-STS alojado de PowerDMARC MTA-STS alojados de PowerDMARC ayudan a catapultar el proceso para los propietarios de dominios, haciendo que la implementación del protocolo sea rápida y sin esfuerzo. Usted puede:

  • Publique sus registros CNAME para MTA-STS con unos pocos clics
  • Subcontratar el trabajo duro que supone el mantenimiento y el alojamiento de los archivos de políticas MTA-STS y los servidores web
  • Cambie su modo de política siempre que lo desee, directamente desde su panel de control personalizado, sin tener que acceder a sus DNS
  • Mostramos los archivos JSON de los informes TLS de SMTP en un formato organizado y legible para el ser humano, que resulta cómodo y comprensible tanto para los técnicos como para los no técnicos

¿Y lo mejor? Cumplimos con el RFC y soportamos los últimos estándares TLS. Esto le ayuda a comenzar con la configuración de MTA-STS sin errores para su dominio, y a disfrutar de sus beneficios mientras deja que nosotros nos encarguemos de las molestias y complejidades en su nombre. 

Espero que este artículo le haya ayudado a deshacerse del aviso "Falta la política MTA-STS: STSFetchResult.NONE", y a configurar los protocolos adecuadamente para su dominio para mitigar las lagunas y los desafíos en la seguridad SMTP. 

Habilite hoy mismo el MTA-STS para sus correos electrónicos realizando una prueba gratuita de autenticación de correo electrónico DMARC de pruebapara mejorar sus defensas contra MITM y otros ataques de espionaje cibernético.