¿Cómo se soluciona el problema de "falta la política MTA-STS"?

Blog

Aprenda a deshacerse del aviso "Falta la política MTA-STS: STSFetchResult.NONE " implementando y alojando correctamente el archivo de política MTA-STS.

por YunesTarada

Última actualización:
5 Tiempo de lectura: 5 minutos
¿Cómo se soluciona el problema de "falta la política MTA-STS"?
Índice-

En caso de que se haya encontrado con el "Falta la políticaMTA-STS: STSFetchResult.NONE "al utilizar herramientas en línea, ha llegado al lugar adecuado. Hoy vamos a discutir cómo solucionar este mensaje de error y deshacerse de él mediante la incorporación de una política MTA-STS para su dominio.

El Protocolo Simple de Transferencia de Correo, también conocido como SMTP, es el protocolo estándar de transferencia de correo electrónico utilizado por la mayoría de los proveedores de servicios de correo electrónico. No es un concepto extraño que SMTP se haya enfrentado a retos de seguridad desde los albores del tiempo, retos que aún no han podido superar. Esto se debe a que, para hacer que los correos electrónicos sean compatibles con el pasado, SMTP introdujo el cifrado oportunista en forma de comando STARTTLS. Esto significa esencialmente que, en caso de que no se pueda negociar una conexión cifrada entre dos servidores SMTP en comunicación, la conexión se revierte a una sin cifrar, y los mensajes se envían en texto claro. 

Esto hace que los correos electrónicos transferidos a través de SMTP sean vulnerables a la vigilancia generalizada y a ataques de escucha cibernética como el Man-in-the-middle. Esto supone un riesgo tanto para el remitente como para el destinatario y puede conducir a la filtración de datos confidenciales. Aquí es donde MTA-STS entra en acción y hace que el cifrado TLS sea obligatorio en SMTP para evitar que los correos electrónicos se envíen a través de conexiones no seguras. 

Puntos clave

  1. MTA-STS es esencial para aplicar el cifrado TLS obligatorio, reduciendo las vulnerabilidades del correo electrónico durante la transmisión.
  2. Crear y publicar un registro TXT DNS MTA-STS es el primer paso para habilitar este estándar para su dominio.
  3. La implementación de una política MTA-STS en modo de prueba permite supervisar y abordar posibles problemas de conexión SMTP TLS sin una aplicación inmediata.
  4. Cada dominio debe tener un archivo de políticas MTA-STS único, ya que la existencia de varios archivos puede provocar errores de configuración y fallos.
  5. La utilización de servicios MTA-STS alojados puede agilizar el proceso de implantación y garantizar el cumplimiento de las normas TLS más recientes.

¿Qué es una política MTA-STS?

Para mejorar la seguridad de su correo electrónico SMTP y sacar el máximo partido de protocolos de autenticación como MTA-STS, el servidor de envío debe ser compatible con el protocolo y el servidor de recepción de correo electrónico debe tener una política MTA-STS definida en sus DNS. También se recomienda un modo de política forzada para ampliar aún más los estándares de seguridad. La política MTA-STS define los servidores de correo electrónico que utilizan MTA-STS en el dominio del receptor. 

Para habilitar MTA-STS para su dominio como receptor de correo electrónico, necesita alojar un archivo de política MTA-STS en su DNS. Esto permite que los remitentes de correo electrónico externos envíen correos electrónicos a su dominio que estén autenticados y cifrados con TLS con una versión actualizada de TLS (1.2 o superior). 

No tener un archivo de política publicado o actualizado para su dominio puede ser la razón principal para encontrarse con mensajes de error como "Falta la política MTA-STS: STSFetchResult.NONE", lo que implica que el servidor del remitente no pudo obtener el archivo de política MTA-STS cuando consultó el DNS del receptor, encontrando que faltaba.

Requisitos previos para el MTA-STS:

Los servidores de correo electrónico para los que se habilitará el MTA-STS deben utilizar una versión de TLS de 1.2 o superior, y deben tener certificados TLS que se adhieran a las normas y especificaciones RFC actuales, que no hayan caducado y que los certificados del servidor estén firmados por una autoridad certificadora raíz de confianza.

¡Simplifique la seguridad con PowerDMARC!

Prueba de 15 díasAgendar demo

Pasos para arreglar "Falta la política MTA-STS"

1. Creación y publicación de un registro TXT de DNS MTA-STS 

El primer paso es crear un registro MTA-STS para su dominio. Puedes crear un registro al instante utilizando un generador de registros MTA-STS, que te proporcionará un registro DNS a medida para tu dominio. 

2. Definición de un modo de política MTA-STS

MTA-STS ofrece dos modos de política para que los usuarios trabajen.

  • Modo de prueba: Este modo es ideal para los principiantes que no han configurado el protocolo antes. El modo de prueba MTA-STS le permite recibir informes SMTP TLS sobre problemas en las políticas MTA-STS, problemas en el establecimiento de conexiones SMTP cifradas o fallos en la entrega del correo electrónico. Esto le ayuda a responder a los problemas de seguridad existentes en sus dominios y servidores sin necesidad de aplicar el cifrado TLS.
  • Modo de aplicación: Mientras siga recibiendo sus informes de TLS, con el tiempo es óptimo que los usuarios apliquen su política de MTA-STS para que el cifrado sea obligatorio al recibir correos electrónicos mediante SMTP. Esto evita que los mensajes sean modificados o manipulados mientras están en tránsito.

3. Creación del archivo de política MTA-STS

El siguiente paso es alojar los archivos de políticas MTA-STS para sus dominios. Tenga en cuenta que, aunque el contenido de cada archivo puede ser el mismo, es obligatorio alojar las políticas por separado para los distintos dominios, y un único dominio sólo puede tener un único archivo de política MTA-STS. Si se alojan varios archivos de políticas MTA-STS para un mismo dominio, pueden producirse errores de configuración del protocolo. 

El formato estándar de un archivo de política MTA-STS es el siguiente: 

Nombre del archivo: mta-sts.txt

Tamaño máximo del archivo: 64 KB

versión: STSv1

modo: prueba

mx: mail.sudominio.com

mx: *.sudominio.com

max_age: 806400 

Nota: El archivo de política mostrado arriba es simplemente un ejemplo.

4. Publicación de su archivo de política MTA-STS

A continuación, debe publicar su archivo de política MTA-STS en un servidor web público al que puedan acceder servidores externos. Asegúrese de que el servidor en el que aloja el archivo admite HTTPS o SSL. El procedimiento para ello es sencillo. Supongamos que su dominio está preconfigurado con un servidor web público:

  • Añada un subdominio a su dominio existente que debe comenzar con el texto: mta-sts (por ejemplo, mta-sts.dominio.com) 
  • Su archivo de política apuntará a este subdominio que ha creado y tiene que ser almacenado en un archivo .well-known
  • La URL del archivo de políticas se añade a la entrada DNS al publicar su registro DNS MTA-STS para que el servidor pueda consultar el DNS para obtener el archivo de políticas durante la transferencia del correo electrónico

5. Activar MTA-STS y TLS-RPT

Por último, debe publicar su MTA-STS y TLS-RPT en el DNS de su dominio, utilizando TXT como tipo de recurso, colocados en dos subdominios separados (_smtp._tls y _mta-sts). Esto permitirá que sólo lleguen a su bandeja de entrada mensajes encriptados por TLS, verificados y no manipulados. Además, recibirá informes diarios sobre los problemas de entrega y encriptación en una dirección de correo electrónico o servidor web configurado por usted, desde servidores externos.

Puede verificar la validez de sus registros DNS realizando una búsqueda de registros MTA-STS después de que su registro sea publicado y esté activo.  

Nota: Cada vez que realice modificaciones en el contenido de sus archivos de política MTA-STS, deberá actualizarlo tanto en el servidor web público en el que aloja su archivo como en la entrada DNS que contiene la URL de su política. Lo mismo ocurre cada vez que actualice o añada dominios o servidores.

¿Cómo pueden ayudar los servicios MTA-STS alojados a resolver el problema de "falta la política MTA-STS"?

La implementación manual del MTA-STS puede ser ardua y desafiante y dejar espacio para los errores. El MTA-STS alojado de PowerDMARC MTA-STS alojados de PowerDMARC ayudan a catapultar el proceso para los propietarios de dominios, haciendo que la implementación del protocolo sea rápida y sin esfuerzo. Usted puede:

  • Publique sus registros CNAME para MTA-STS con unos pocos clics
  • Subcontratar el trabajo duro que supone el mantenimiento y el alojamiento de los archivos de políticas MTA-STS y los servidores web
  • Cambie su modo de política siempre que lo desee, directamente desde su panel de control personalizado, sin tener que acceder a sus DNS
  • Mostramos los archivos JSON de los informes TLS de SMTP en un formato organizado y legible para el ser humano, que resulta cómodo y comprensible tanto para los técnicos como para los no técnicos

¿Y lo mejor? Cumplimos con el RFC y soportamos los últimos estándares TLS. Esto le ayuda a comenzar con la configuración de MTA-STS sin errores para su dominio, y a disfrutar de sus beneficios mientras deja que nosotros nos encarguemos de las molestias y complejidades en su nombre. 

Espero que este artículo le haya ayudado a deshacerse del aviso "Falta la política MTA-STS: STSFetchResult.NONE", y a configurar los protocolos adecuadamente para su dominio para mitigar las lagunas y los desafíos en la seguridad SMTP. 

Habilite hoy mismo el MTA-STS para sus correos electrónicos realizando una prueba gratuita de autenticación de correo electrónico DMARC de pruebapara mejorar sus defensas contra MITM y otros ataques de espionaje cibernético.

Últimos mensajes de Yunes Tarada (ver todos)
Última actualización:
¿Cómo hacer que mis proveedores externos cumplan con DMARC?Cómo hacer que mis proveedores externos cumplan con DMARC 2Microsoft DMARCInformes agregados de Microsoft DMARC