Alerta importante: Google y Yahoo exigirán DMARC a partir de febrero de 2024.
encriptación tls

Agente de Transferencia de Correo-Seguridad de Transporte Estricta (MTA-STS)

MTA-STS, como su nombre indica, es un protocolo que permite el transporte cifrado de mensajes entre dos servidores de correo SMTP. MTA-STS especifica a los servidores emisores que los correos electrónicos sólo deben enviarse a través de una conexión cifrada TLS, y que no deben entregarse en caso de que no se establezca una conexión segura a través del comando STARTTLS. Al mejorar la seguridad de los mensajes de correo electrónico en tránsito, MTA-STS ayuda a mitigar los ataques del tipo Man-In-The-Middle (MITM), como los ataques de degradación de SMTP y los ataques de suplantación de DNS.

¿Cómo garantiza MTA-STS el cifrado de los mensajes en tránsito?

Tomemos un ejemplo sencillo para entender cómo se encriptan los mensajes durante el flujo de correo electrónico. Si un MTA envía un correo electrónico a [email protected]el MTA realiza una consulta DNS para averiguar a qué MTA debe enviarse el correo electrónico. La solicitud DNS se envía para obtener los registros MX de powerdmarc.com. A continuación, el MTA remitente se conecta al MTA receptor encontrado en el resultado de la consulta DNS, preguntando si este servidor receptor admite el cifrado TLS. Si lo hace, el correo electrónico se envía a través de una conexión cifrada; sin embargo, si no lo hace, el MTA emisor no consigue negociar una conexión segura y envía el correo electrónico en texto plano.

El envío de correos electrónicos a través de una vía no encriptada allana el camino a los ataques de vigilancia generalizados como MITM y degradación SMTP. Descubramos cómo:

Desglosando la anatomía de un ataque MITM

Esencialmente, un ataque MITM tiene lugar cuando un atacante reemplaza o borra el comando STARTTLS para hacer que la conexión segura retroceda a una no segura, sin cifrado TLS. Esto se conoce como un ataque de downgrade. Después de realizar con éxito un ataque de downgrade, el atacante puede acceder y ver el contenido del correo electrónico sin obstáculos.

Un atacante MITM también puede sustituir los registros MX en la respuesta de la consulta DNS por un servidor de correo al que tenga acceso y que controle. En ese caso, el agente de transferencia de correo entrega el correo electrónico al servidor del atacante, lo que le permite acceder al contenido del correo y manipularlo. Posteriormente, el correo electrónico puede ser reenviado al servidor del destinatario previsto, sin ser detectado. Esto se conoce como un ataque de suplantación de DNS.

Ataque de degradación SMTP

Garantizar el cifrado con MTA-STS

Siempre que envíes correos electrónicos utilizando el servidor SMTP de tus proveedores de servicios de correo electrónico como Gmail o Microsoft, los correos electrónicos se transfieren desde el servidor emisor al servidor receptor a través del Protocolo Simple de Transferencia de Correo (SMTP). Sin embargo, el SMTP permite el cifrado oportunista, lo que implica que la comunicación entre los servidores SMTP puede estar cifrada o no para evitar la manipulación o el espionaje del contenido del correo electrónico. El MTA-STS se publica utilizando HTTPS, lo que lo protege contra ataques MITM.

MTA-STS asegura la entrega del correo electrónico mediante: 

  • Aplicación del cifrado TLS

  • Servir los registros MX desde un servidor seguro HTTPS

servicios alojados de mta sts
alojado MTA STS

El protocolo MTA-STS se despliega mediante un registro DNS que especifica que un servidor de correo puede obtener un archivo de políticas de un subdominio específico. Este archivo de políticas se obtiene a través de HTTPS y se autentifica con certificados, junto con la lista de nombres de los servidores de correo de los destinatarios. El protocolo especifica a un servidor SMTP que la comunicación con el otro servidor SMTP debe estar encriptada y que el nombre del dominio en el certificado debe coincidir con el dominio del archivo de políticas. Si se aplica el MTA-STS, en caso de que no se pueda negociar un canal cifrado, el mensaje no se entrega.

El archivo de políticas del MTA-STS

El archivo de políticas del MTA-STS es esencialmente un simple archivo de texto, que tiene el siguiente aspecto:

versión: STSv1
modo: enforce
mx: mx1.powerdmarc.com
mx: mx2.powerdmarc.com
mx: mx3.powerdmarc.com
max_age: 604800

Nota: El campo de la versión debe incluirse al principio del archivo de texto, mientras que los demás campos pueden incorporarse en cualquier orden.

El archivo de política utiliza el emparejamiento clave-valor con cada valor codificado en una línea separada en el archivo de texto como se muestra arriba. El tamaño de este archivo puede extenderse hasta 64 KB. El nombre del archivo de políticas debe ser mta-sts.txt. Los archivos de políticas deben actualizarse cada vez que se añaden o modifican servidores de correo en el dominio.

Nota: Configurar el MTA-STS en modo enforce puede hacer que algunos correos no se entreguen. Por lo tanto, es aconsejable establecer el modo de política en pruebas y optar por un max_age bajo para asegurarse de que todo funciona correctamente antes de cambiar a la política de aplicación. Recomendamos configurar TLS-RPT para su política en modo de prueba también para recibir una notificación en caso de que los correos electrónicos se envíen en texto plano. 

Política MTA-STS

Publicación del archivo de políticas MTA-STS

Para publicar el archivo de política MTA-STS, el servidor web que aloja su archivo debe:

  • Soporta HTTPS/SSL
  • El certificado del servidor debe estar firmado y validado por una autoridad de certificados raíz de terceros.

Para publicar un archivo de política para su dominio, debe configurar un servidor web público con el subdominio "mta-sts" añadido a su dominio. El archivo de política creado debe publicarse en el directorio .well-known creado en el subdominio. La URL de su archivo de política MTA-STS cargado puede tener un aspecto similar al siguiente

https://mta-sts.powerdmarc.com/.well-known/mta-sts.txt

alojado MTA STS

Registro DNS de MTA-STS

Se publica un registro DNS TXT para MTA-STS en el DNS de su dominio para especificar que su dominio admite el protocolo MTA-STS y para indicar que se actualicen los valores almacenados en caché en los MTA en caso de que se altere la política. El registro DNS MTA-STS se coloca en el subdominio _mta-sts como en: _mta-sts.powerdmarc.com. El registro TXT debe comenzar con v=STSv1, y el valor "id" valor puede contener hasta 32 caracteres alfanuméricos, incluidos de la siguiente manera:

 v=STSv1; id=30271001S00T000;

Nota: El valor del identificador del registro TXT debe actualizarse a un nuevo valor cada vez que se realicen cambios en la política. 

El registro DNS MTA-STS se utiliza para: 

  • Especifique la compatibilidad con MTA-STS para el dominio
  • Indicar al MTA que recupere la política a través de HTTPS en caso de que se modifique la política

Tenga en cuenta que con el registro DNS MTA-STS TXT, los MTA pueden almacenar el archivo de política durante un período de tiempo más largo sin tener que volver a obtener la política a menos que se haya modificado, mientras que sigue realizando una consulta DNS cada vez que se recibe un correo electrónico para el dominio.

Configuración de MTA-STS para su dominio

Para habilitar el MTA-STS para su dominio se requiere:

  • Añada un registro DNS de tipo cname en mta-sts.ejemplo.comdirigido al servidor web habilitado para HTTPS que aloja el archivo de política MTA-STS.

  • Añada un registro DNS de tipo txt o cname en _mta-sts.example.com que especifica la compatibilidad con MTA-STS para su dominio.

  • Configure un servidor web habilitado para HTTPS con un certificado válido para su dominio.

  • Habilite los informes TLS de SMTP para su dominio a fin de detectar problemas en la entrega del correo electrónico debido a fallos en el cifrado TLS.

icono de búsqueda de registros spf powerdmarc

Desafíos al desplegar manualmente el MTA-STS

MTA-STS requiere un servidor web habilitado para HTTPS con un certificado válido, registros DNS y un mantenimiento constante, lo que hace que el proceso de despliegue sea largo, lento y complicado. Por eso, en PowerDMARC le ayudamos a gestionar la mayoría de las cosas en segundo plano con solo publicar tres registros CNAME en el DNS de su dominio.

Servicios MTA-STS alojados de PowerDMARC

PowerDMARC le hace la vida mucho más fácil al encargarse de todo eso por usted, completamente en segundo plano. Una vez que le ayudamos a configurarlo, no tendrá que volver a pensar en ello.

  • Le ayudamos a publicar sus registros cname con unos pocos clics

  • Nos encargamos del mantenimiento del servidor web y del alojamiento de los certificados

  • A través de nuestros servicios MTA-STS alojados, la implantación por su parte se reduce a la simple publicación de unos pocos registros DNS

  • Puede realizar cambios en la política MTA-STS al instante y con facilidad, a través del panel de control de PowerDMARC, sin tener que realizar manualmente los cambios en el DNS

  • Los servicios MTA-STS alojados de PowerDMARC cumplen con la RFC y son compatibles con los últimos estándares TLS

  • Desde la generación de certificados y el archivo de políticas MTA-STS hasta la aplicación de políticas, le ayudamos a eludir las enormes complejidades que conlleva la adopción del protocolo

Informes SMTP TLS (TLS-RPT)

Para que la conexión entre dos servidores SMTP que se comunican sea más segura y esté encriptada sobre TLS, se introdujo el MTA-STS para reforzar la encriptación y evitar que los correos electrónicos se entreguen en texto claro, en caso de que alguno de los servidores no soporte TLS. Sin embargo, hay un problema que sigue sin resolverse, a saber ¿Cómo notificar a los propietarios de los dominios si los servidores remotos se enfrentan a problemas en la entrega del correo electrónico debido a un fallo en el cifrado TLS? Aquí es donde entra en juego TLS-RPT, que proporciona informes de diagnóstico para permitir la supervisión y la resolución de problemas en las comunicaciones de los servidores, como certificados TLS caducados, errores de configuración en los servidores de correo electrónico o fallos en la negociación de una conexión segura debido a la falta de compatibilidad con el cifrado TLS.

Los informes TLS ayudan a detectar y responder a los problemas en la entrega del correo electrónico a través de un mecanismo de información en forma de archivos JSON. Estos archivos JSON pueden ser complicados e indescifrables para una persona no técnica.

PowerDMARC ayuda a simplificar los archivos JSON en forma de documentos sencillos, completos y legibles con gráficos y tablas para su comodidad. Los informes de diagnóstico de su dominio también se muestran en dos formatos en el panel de control de PowerDMARC: por resultado y por fuente de envío.

powerdmarc tls rpt
gráficos json

Activación de TLS-RPT para su dominio

El proceso de habilitar la notificación TLS de SMTP es bastante sencillo. Todo lo que tiene que hacer para habilitarlo es añadir un registro DNS TXT en la ubicación correcta, anteponiendo SMTP._tls. a su nombre de dominio. Sin embargo, con PowerDMARC, esto se puede configurar directamente desde la interfaz de usuario de PowerDMARC sin tener que hacer ningún cambio en su DNS.

Tan pronto como se habilite TLS-RPT, los Agentes de Transferencia de Correo (MTA) comenzarán a enviar informes de diagnóstico sobre los problemas de entrega de correo electrónico entre los servidores de comunicación al dominio de correo electrónico designado. Los informes se envían normalmente una vez al día, cubriendo y transmitiendo las políticas MTA-STS observadas por los remitentes, las estadísticas de tráfico, así como la información sobre fallos o problemas en la entrega del correo electrónico.

Preguntas frecuentes

El panel de control de PowerDMARC le permite configurar automáticamente MTA-STS y TLS-RPT para su dominio publicando sólo tres registros CNAME en las DNS de su dominio. Desde el alojamiento de los archivos de políticas y certificados de MTA-STS hasta el mantenimiento del servidor web, nosotros nos encargamos de todo en segundo plano sin que usted tenga que hacer ningún cambio en sus DNS. El despliegue de MTA-STS por su parte con PowerDMARC se reduce a unos pocos clics.

Puede desplegar y gestionar MTA-STS para todos sus dominios desde su cuenta PowerDMARC, a través de un único panel de vidrio. En caso de que alguno de esos dominios esté utilizando servidores de correo de recepción que no soporten STARTTLS, se reflejará en sus informes TLS siempre que tenga TLS-RPT activado para esos dominios.

Siempre es aconsejable establecer el modo de la política MTA-STS en prueba durante las fases iniciales del despliegue, para que pueda supervisar las actividades y obtener visibilidad de su ecosistema de correo electrónico antes de cambiar a una política más agresiva como la de forzar. De este modo, aunque los correos electrónicos no se envíen a través de una conexión cifrada TLS, se enviarán en texto plano. Sin embargo, asegúrese de habilitar TLS-RPT para ser notificado si esto sucede.

TLS-RPT es un amplio mecanismo de información que le permite recibir una notificación en caso de que no se haya podido establecer una conexión segura y no se haya podido entregar el correo electrónico. Esto le ayuda a detectar problemas en la entrega de correos electrónicos o correos electrónicos entregados a través de una conexión no segura para que pueda mitigarlos y resolverlos rápidamente.

Debe tener en cuenta que, aunque el MTA-STS garantiza que los correos electrónicos se transfieran a través de una conexión cifrada TLS, en caso de que no se negocie una conexión segura, el correo electrónico podría no entregarse en absoluto. Sin embargo, esto es necesario ya que garantiza que el correo electrónico no se entregue a través de una vía no cifrada. Para evitar este tipo de problemas, es aconsejable configurar una política MTA-STS en modo de prueba y habilitar inicialmente TLS-RPT para su dominio, antes de proceder al modo de aplicación MTA-STS. 

Puede cambiar fácilmente el modo MTA-STS desde el panel de control de PowerMTA-STS seleccionando el modo de política deseado y guardando los cambios sin necesidad de realizar ningún cambio en sus DNS.

Puede desactivar MTA-STS para su dominio estableciendo el modo de política en ninguno, especificando así a los MTA que su dominio no admite el protocolo, o eliminando su registro TXT de DNS MTA-STS. 

Los registros MX del archivo de políticas MTA-STS deben incluir las entradas de todos los servidores de correo de recepción utilizados por su dominio.

Programe una demostración hoy mismo
correo electrónico seguro powerdmarc