Alerta importante: Google y Yahoo exigirán DMARC a partir de abril de 2024.
Leer más

Guía de implementación de MTA-STS y TLS-RPT

Bienvenido a su manual detallado sobre MTA-STS y TLS-RPT para obtener conocimientos prácticos sobre los protocolos y sus funcionalidades.

Póngase en contacto con nosotros Reserve una demostración

Índice de contenidos

  1. ¿Qué es el Agente de Transferencia de Correo-Seguridad de Transporte Estricta (MTA-STS)?
  2. ¿Cómo garantiza el MTA-STS el cifrado de los mensajes en tránsito?
  3. Desglosando la anatomía de un ataque MITM
  4. ¿Cómo garantiza MTA-STS el cifrado TLS?
  5. ¿Qué es el archivo de políticas MTA-STS?
  6. ¿Cómo publicar el archivo de políticas MTA-STS?
  7. ¿Qué es el registro DNS MTA-STS?
  8. ¿Cómo desplegar el MTA-STS?
  9. ¿Cuáles son los cos desafíos que se presentan al desplegar manualmente el MTA-STS?
  10. Servicios MTA-STS alojados de PowerDMARC
  11. ¿Qué es el informe SMTP TLS (TLS-RPT)?
  12. ¿Cómo habilitar TLS-RPT para su dominio?
  13. Preguntas frecuentes
encriptación tls

Agente de Transferencia de Correo-Seguridad de Transporte Estricta (MTA-STS)

MTA-STS, como su nombre indica, es un protocolo que permite el transporte cifrado de mensajes entre dos servidores de correo SMTP. MTA-STS especifica a los servidores emisores que los correos electrónicos sólo deben enviarse a través de una conexión cifrada TLS, y que no deben entregarse en caso de que no se establezca una conexión segura a través del comando STARTTLS. Al mejorar la seguridad de los mensajes de correo electrónico en tránsito, MTA-STS ayuda a mitigar los ataques del tipo Man-In-The-Middle (MITM), como los ataques de degradación de SMTP y los ataques de suplantación de DNS.

Leer más

¿Cómo garantiza MTA-STS el cifrado de los mensajes en tránsito?

Tomemos un ejemplo sencillo para entender cómo se encriptan los mensajes durante el flujo de correo electrónico. Si un MTA envía un correo electrónico a [email protected]el MTA realiza una consulta DNS para averiguar a qué MTA debe enviarse el correo electrónico. La solicitud DNS se envía para obtener los registros MX de powerdmarc.com. A continuación, el MTA remitente se conecta al MTA receptor encontrado en el resultado de la consulta DNS, preguntando si este servidor receptor admite el cifrado TLS. Si lo hace, el correo electrónico se envía a través de una conexión cifrada; sin embargo, si no lo hace, el MTA emisor no consigue negociar una conexión segura y envía el correo electrónico en texto plano.

El envío de correos electrónicos a través de una vía no encriptada allana el camino a los ataques de vigilancia generalizados como MITM y degradación SMTP. Descubramos cómo:

Desglosando la anatomía de un ataque MITM

Esencialmente, un ataque MITM tiene lugar cuando un atacante reemplaza o borra el comando STARTTLS para hacer que la conexión segura retroceda a una no segura, sin cifrado TLS. Esto se conoce como un ataque de downgrade. Después de realizar con éxito un ataque de downgrade, el atacante puede acceder y ver el contenido del correo electrónico sin obstáculos.

Un atacante MITM también puede sustituir los registros MX en la respuesta de la consulta DNS por un servidor de correo al que tenga acceso y que controle. En ese caso, el agente de transferencia de correo entrega el correo electrónico al servidor del atacante, lo que le permite acceder al contenido del correo y manipularlo. Posteriormente, el correo electrónico puede ser reenviado al servidor del destinatario previsto, sin ser detectado. Esto se conoce como un ataque de suplantación de DNS.

Preguntas frecuentes

El panel de control de PowerDMARC le permite configurar automáticamente MTA-STS y TLS-RPT para su dominio publicando sólo tres registros CNAME en las DNS de su dominio. Desde el alojamiento de los archivos de políticas y certificados de MTA-STS hasta el mantenimiento del servidor web, nosotros nos encargamos de todo en segundo plano sin que usted tenga que hacer ningún cambio en sus DNS. El despliegue de MTA-STS por su parte con PowerDMARC se reduce a unos pocos clics.

Puede desplegar y gestionar MTA-STS para todos sus dominios desde su cuenta PowerDMARC, a través de un único panel de vidrio. En caso de que alguno de esos dominios esté utilizando servidores de correo de recepción que no soporten STARTTLS, se reflejará en sus informes TLS siempre que tenga TLS-RPT activado para esos dominios.

Siempre es aconsejable establecer el modo de la política MTA-STS en prueba durante las fases iniciales del despliegue, para que pueda supervisar las actividades y obtener visibilidad de su ecosistema de correo electrónico antes de cambiar a una política más agresiva como la de forzar. De este modo, aunque los correos electrónicos no se envíen a través de una conexión cifrada TLS, se enviarán en texto plano. Sin embargo, asegúrese de habilitar TLS-RPT para ser notificado si esto sucede.

TLS-RPT es un amplio mecanismo de información que le permite recibir una notificación en caso de que no se haya podido establecer una conexión segura y no se haya podido entregar el correo electrónico. Esto le ayuda a detectar problemas en la entrega de correos electrónicos o correos electrónicos entregados a través de una conexión no segura para que pueda mitigarlos y resolverlos rápidamente.

Debe tener en cuenta que, aunque el MTA-STS garantiza que los correos electrónicos se transfieran a través de una conexión cifrada TLS, en caso de que no se negocie una conexión segura, el correo electrónico podría no entregarse en absoluto. Sin embargo, esto es necesario ya que garantiza que el correo electrónico no se entregue a través de una vía no cifrada. Para evitar este tipo de problemas, es aconsejable configurar una política MTA-STS en modo de prueba y habilitar inicialmente TLS-RPT para su dominio, antes de proceder al modo de aplicación MTA-STS. 

Puede cambiar fácilmente el modo MTA-STS desde el panel de control de PowerMTA-STS seleccionando el modo de política deseado y guardando los cambios sin necesidad de realizar ningún cambio en sus DNS.

Puede desactivar MTA-STS para su dominio estableciendo el modo de política en ninguno, especificando así a los MTA que su dominio no admite el protocolo, o eliminando su registro TXT de DNS MTA-STS. 

Los registros MX del archivo de políticas MTA-STS deben incluir las entradas de todos los servidores de correo de recepción utilizados por su dominio.