Un estándar de Internet ampliamente conocido que facilita la mejora de la seguridad de las conexiones entre servidores SMTP (Simple Mail Transfer Protocol) es el SMTP Mail Transfer Agent-Strict Transport Security (MTA-STS). MTA-STS resuelve los problemas existentes en SMTP seguridad del correo electrónico aplicando el cifrado TLS en tránsito. El cifrado es opcional en SMTP, lo que implica que los correos electrónicos pueden enviarse en texto plano. MTA-STS permite a los proveedores de servicios de correo reforzar la seguridad de la capa de transporte (TLS) para proteger las conexiones SMTP y especificar si los servidores SMTP remitentes deben negarse a entregar correos electrónicos a hosts MX que no admitan TLS con un certificado de servidor fiable. Se ha demostrado que mitiga con éxito los ataques TLS downgrade y los ataques Man-In-The-Middle (MITM).
Puntos clave
- En un principio, SMTP carecía de seguridad, obtuvo un cifrado opcional mediante STARTTLS, pero siguió siendo vulnerable a ataques MITM y de degradación.
- MTA-STS mejora la seguridad del correo electrónico al imponer el cifrado TLS para la comunicación de servidor a servidor, lo que impide la vuelta al texto sin formato.
- La implementación implica un archivo de políticas alojado a través de HTTPS y un registro DNS, definiendo reglas y servidores de correo de confianza.
- MTA-STS funciona en modos (Ninguno, Pruebas, Aplicar) que permiten la implantación gradual y la aplicación de políticas de cifrado.
- TLS-RPT complementa a MTA-STS proporcionando informes de diagnóstico sobre fallos de conexión TLS, ayudando a la resolución de problemas y mejorando la entregabilidad.
Historia y origen de la MTA-STS
En el año 1982 se especificó por primera vez SMTP y no contenía ningún mecanismo para proporcionar seguridad a nivel de transporte para asegurar las comunicaciones entre los agentes de transferencia de correo. Sin embargo, en 1999, se añadió el comando STARTTLS a SMTP que a su vez soportaba la encriptación de los correos electrónicos entre los servidores, proporcionando la capacidad de convertir una conexión no segura en una segura que se encripta utilizando el protocolo TLS.
En ese caso, te estarás preguntando si SMTP adoptó STARTTLS para asegurar las conexiones entre servidores, por qué fue necesario el cambio a MTA-STS y para qué servía. Vamos a hablar de ello en las siguientes secciones de este blog.
¡Simplifique la seguridad con PowerDMARC!
¿Qué es MTA-STS? (Agente de Transferencia de Correo de Seguridad Estricta de Transporte - Explicación)
MTA-STS son las siglas de Mail Transfer Agent - Strict Transport Security. Se trata de una norma de seguridad que garantiza la transmisión segura de correos electrónicos a través de una conexión SMTP cifrada. Las siglas MTA significan Agente de Transferencia de Mensajes, que es un programa que transfiere mensajes de correo electrónico entre ordenadores. Las siglas STS corresponden a Strict Transport Security, que es el protocolo utilizado para aplicar la norma. Un agente de transferencia de correo (MTA) o agente seguro de transferencia de mensajes (SMTA) compatible con MTA-STS funciona de acuerdo con esta especificación y proporciona un canal seguro de extremo a extremo para enviar correo electrónico a través de redes no seguras.
El protocolo MTA-STS permite que un cliente SMTP verifique la identidad del servidor y se asegure de que no se está conectando a un impostor, exigiendo al servidor que proporcione la huella digital de su certificado en el apretón de manos TLS. A continuación, el cliente verifica el certificado con un almacén de confianza que contiene certificados de servidores conocidos.
Introducción de MTA-STS Email Security
MTA-STS se introdujo para colmar la brecha de seguridad en las comunicaciones SMTP. Como estándar de seguridad, MTA-STS garantiza la transmisión segura de correos electrónicos a través de una conexión SMTP cifrada.
Las siglas MTA corresponden a Message Transfer Agent (agente de transferencia de mensajes), que es un programa que transfiere mensajes de correo electrónico entre ordenadores. Las siglas STS corresponden a Strict Transport Security, que es el protocolo utilizado para aplicar la norma. Un agente de transferencia de correo (MTA) o agente seguro de transferencia de mensajes (SMTA) compatible con MTA-STS funciona de acuerdo con esta especificación y proporciona un canal seguro de extremo a extremo para el envío de correo electrónico a través de redes no seguras.
El protocolo MTA-STS permite que un cliente SMTP verifique la identidad del servidor y se asegure de que no se está conectando a un impostor, exigiendo al servidor que proporcione la huella digital de su certificado en el apretón de manos TLS. A continuación, el cliente verifica el certificado con un almacén de confianza que contiene certificados de servidores conocidos.
La necesidad de pasar al cifrado TLS forzado
STARTTLS no era perfecto y no solucionaba dos problemas importantes: el primero es que se trata de una medida opcional, por lo que STARTTLS no evita los ataques de tipo "hombre en el medio" (MITM). Esto se debe a que un atacante MITM puede modificar fácilmente una conexión e impedir que se produzca la actualización del cifrado. El segundo problema es que, aunque STARTTLS esté implementado, no hay forma de autenticar la identidad del servidor remitente, ya que SMTP no validan certificados.
Aunque la mayoría de los correos electrónicos salientes están protegidos con seguridad de la capa de transporte (TLS) un estándar de la industria adoptado incluso por el correo electrónico de consumo, los atacantes todavía pueden obstruir y manipular su correo electrónico incluso antes de que se cifre. Dado que la seguridad tuvo que ser retroadaptada en SMTP para asegurarse de que era compatible con versiones anteriores añadiendo el comando STARTTLS para iniciar el cifrado TLS, en caso de que el cliente no soporte TLS la comunicación vuelve a texto claro. De este modo, los correos electrónicos en tránsito pueden ser presa de ataques de vigilancia generalizada como MITM, en los que los ciberdelincuentes pueden escuchar a escondidas sus mensajes, y alterar y manipular la información sustituyendo o eliminando el comando de cifrado (STARTTLS), haciendo que la comunicación vuelva a ser en texto plano. Un atacante MITM puede simplemente sustituir el STARTTLS por una cadena basura que el cliente no identifique. Por lo tanto, el cliente vuelve a enviar el correo electrónico en texto plano. Si no transporta sus correos electrónicos a través de una conexión segura, sus datos podrían verse comprometidos o incluso modificados y manipulados por un ciberatacante.
Aquí es donde MTA-STS interviene y soluciona este problema, garantizando el tránsito seguro de sus correos electrónicos y mitigando con éxito los ataques MITM. MTA-STS obliga a que los correos electrónicos se transfieran a través de una ruta cifrada TLS, y en caso de que no se pueda establecer una conexión cifrada, el correo electrónico no se entrega en absoluto, en lugar de entregarse en texto claro. Además, los MTA almacenan archivos de políticas MTA-STS, lo que hace más difícil para los atacantes lanzar un ataque de suplantación de DNS. El objetivo principal es mejorar la seguridad a nivel de transporte durante la comunicación SMTP y garantizar la privacidad del tráfico de correo electrónico. Además, el cifrado de los mensajes entrantes y salientes mejora la seguridad de la información, utilizando la criptografía para salvaguardar la información electrónica.
¡Configure MTA-STS con PowerDMARC!
¿Cómo funciona el MTA-STS?
El protocolo MTA-STS se despliega mediante un registro DNS que especifica que un servidor de correo puede obtener un archivo de políticas de un subdominio específico. Este archivo de políticas se obtiene a través de HTTPS y se autentica con certificados, junto con la lista de nombres de los servidores de correo del destinatario. La implementación de MTA-STS es más sencilla en el lado del destinatario que en el del remitente, ya que debe ser compatible con el software del servidor de correo. Aunque algunos servidores de correo admiten MTA-STS, como PostFixno todos lo hacen. MTA-STS permite a los servidores indicar que soportan TLS, lo que les permitirá fallar el cierre (es decir, no enviar el correo electrónico) si la negociación de actualización TLS no tiene lugar, imposibilitando así que se produzca un ataque de downgrade TLS.
Los principales proveedores de servicios de correo, como Microsoft, Oath y Google, admiten MTA-STS. Gmail de Google ya ha adoptado las políticas de MTA-STS en los últimos tiempos. MTA-STS ha eliminado los inconvenientes en la seguridad de las conexiones de correo electrónico haciendo que el proceso de asegurar las conexiones sea fácil y accesible para los servidores de correo soportados.
Las conexiones de los usuarios a los servidores de correo suelen estar protegidas y cifradas con el protocolo TLS, pero a pesar de ello existía una falta de seguridad en las conexiones entre servidores de correo antes de la implantación del MTA-STS. Con el aumento de la concienciación sobre la seguridad del correo electrónico en los últimos tiempos y el apoyo de los principales proveedores de correo de todo el mundo, se espera que la mayoría de las conexiones entre servidores estén cifradas en un futuro próximo. Además, el MTA-STS garantiza eficazmente que los ciberdelincuentes en las redes no puedan leer el contenido del correo electrónico.
El archivo de políticas del MTA-STS
El archivo de política MTA-STS es un archivo de configuración MTA-STS de texto sin formato que se aloja en el servidor web de un dominio bajo una URL HTTPS: Define las reglas para establecer conexiones seguras entre servidores de correo, aplicar el cifrado TLS y especificar las acciones a realizar si no se puede establecer una conexión segura.
https://mta-sts.<domain>//.well-known/mta-sts.txt
Estructura del archivo de políticas MTA-STS
Campos | Descripción | Ejemplo |
versión | La versión del formato de la política MTA-STS | STS1 |
modo | El nivel de aplicación de la política entre 3 opciones disponibles: ninguno, prueba y aplicar | pruebas |
mx | Una lista de los servidores Mail Exchange (MX) válidos del dominio | correo.dominio.es |
max-age | La duración en segundos durante la cual la política debe ser almacenada en caché por servidores de correo externos. | 86400 |
Ejemplo de política MTA-STS
versión: STSv1
modo: aplicar
mx: mail.ejemplo.com
mx: backupmail.example.com
max_age: 86400
Requisitos previos para la implantación de MTA-STS
Antes de empezar a configurar su MTA-STS, necesita lo siguiente:
- Un nombre de dominio registrado
- Certificados TLS válidos
- Los certificados TLS deben ser emitidos por una CA de confianza
- Los certificados deben estar actualizados y no caducados
- Debe ser al menos TLS versión 1.2 o superior
- Un registro DNS TXT para MTA-STS
- Servidor web HTTPS
- Servidor de correo configurado para utilizar TLS
- Nombre de host del servidor de correo que coincide con las entradas del campo mx de su archivo de políticas.
- Un entorno de pruebas o un servicio MTA-STS alojado para supervisar los registros y realizar ajustes siempre que sea necesario.
Pasos para configurar MTA-STS para su dominio
Para configurar MTA-STS para su dominio puede seguir los pasos que se indican a continuación:
- Comprueba si tu dominio tiene configuraciones MTA-STS existentes. Si utiliza Google Workspace para sus correos electrónicos, puede hacerlo fácilmente con la ayuda de esta guía.
- Cree y publique una política MTA-STS, configurada por separado para cada dominio. El archivo de política MTA-STS define los servidores de correo electrónico habilitados para MTA-STS que utiliza ese dominio.
- Una vez creado el archivo de política, debe cargarlo en un servidor web público al que puedan acceder fácilmente servidores remotos.
- Por último, cree y publique su registro DNS MTA-STS (registro TXT "_mta-sts") para indicar a los servidores receptores que sus mensajes de correo electrónico deben estar cifrados mediante TLS para que se consideren auténticos, y que sólo se les debe permitir el acceso a la bandeja de entrada del destinatario si se cumple la primera condición.
Una vez que tenga un archivo de política activo, los servidores de correo externos no permitirán el acceso al correo electrónico sin una conexión segura.
3 Modos de política MTA-STS: Ninguna, Pruebas y Aplicar
Los tres valores disponibles para los modos de política MTA-STS son los siguientes:
- Ninguno: Esta política anula su configuración MTA-STS ya que los servidores externos considerarán el protocolo inactivo para el dominio
- Pruebas: Mientras se aplique esta política, los correos electrónicos transferidos a través de una conexión no cifrada no se rechazarán, sino que, con TLS-RPT activado, seguirá recibiendo informes TLS sobre la ruta de entrega y el comportamiento del correo electrónico.
- Aplicar: Por último, si la política está activada, los correos electrónicos enviados a través de una conexión SMTP no cifrada serán rechazados por el servidor.
El MTA-STS ofrece protección contra el :
- Ataques a la baja
- Ataques Man-In-The-Middle (MITM)
- Resuelve múltiples problemas de seguridad SMTP, como certificados TLS caducados, falta de compatibilidad con protocolos seguros y certificados no emitidos por terceros fiables.
Informes TLS: Supervisión de las deficiencias en la entrega de correo electrónico tras la configuración de MTA-STS
TLS-RPT (Transport Layer Security Reporting) es un protocolo que permite a los propietarios de dominios recibir informes detallados sobre fallos de cifrado TLS en las comunicaciones por correo electrónico. TLS Reporting funciona junto con MTA-STS. Permite informar de los problemas de conectividad TLS que experimentan las aplicaciones que envían correo electrónico y detectar errores de configuración. Permite informar de los problemas de entrega de correo electrónico que tienen lugar cuando un correo electrónico no está cifrado con TLS. En septiembre de 2018, el estándar se documentó por primera vez en RFC 8460.
Las características clave incluyen:
- Informes de errores: Proporcionó informes detallados sobre problemas o fallos de entrega causados por problemas de TLS, como certificados caducados o versiones de TLS obsoletas, y fallos de cifrado TLS. En cuanto active TLS-RPT, los Agentes de Transferencia de Correo compatibles comenzarán a enviar informes de diagnóstico sobre problemas de entrega de correo electrónico entre los servidores de comunicación al dominio de correo electrónico designado. Los informes se envían normalmente una vez al día, cubriendo y transmitiendo las políticas MTA-STS observadas por los remitentes, estadísticas de tráfico, así como información sobre fallos o problemas en la entrega del correo electrónico.
- Visibilidad: Le ayuda a supervisar los problemas con la implementación de su MTA-STS y la entregabilidad del correo electrónico. TLS-RPT ofrece una mayor visibilidad de todos sus canales de correo electrónico para que pueda conocer mejor todo lo que ocurre en su dominio, incluidos los mensajes que no se entregan.
- Mayor seguridad del correo electrónico: Al solucionar los errores con negociaciones de cifrado TLS fallidas, puede mejorar la eficacia general de la configuración de su MTA-STS, previniendo así los ciberataques de forma más eficaz. Además, proporciona informes de diagnóstico en profundidad que le permiten identificar y llegar a la raíz del problema de entrega de correo electrónico y solucionarlo sin demora.
Fácil implantación de MTA-STS con PowerDMARC
MTA-STS requiere un servidor web habilitado para HTTPS con un certificado válido, registros DNS y un mantenimiento constante. La implantación de MTA-STS puede ser una tarea ardua que entraña complejidades durante su adopción. Desde la generación de archivos y registros de políticas hasta el mantenimiento del servidor web y el alojamiento de certificados, es un proceso largo. El analizador DMARC de PowerDMARC le hace la vida mucho más fácil al gestionar todo eso por usted, completamente en segundo plano. Una vez que le ayudemos a configurarlo, no tendrá que volver a pensar en ello.
Con la ayuda de PowerDMARC, puede desplegar MTA-STS alojado en su organización sin la molestia de gestionar sus certificados públicos. Nosotros le ayudamos:
- Publique sus registros DNS CNAME con unos pocos clics
- Realice actualizaciones de políticas y optimizaciones de su registro con un solo clic sin tener que acceder a su configuración DNS.
- Verifique la versión de su política y la validación del certificado
- Detectar fallos en la aplicación de la política MTA-STS
- Aloje su archivo de texto de política MTA-STS
- Asumir la responsabilidad de mantener el servidor web de la política y alojar los certificados
- Detecte más rápidamente los fallos de conexión, los éxitos de conexión y los problemas de conexión con informes simplificados.
- Garantizar el cumplimiento de RFC y la compatibilidad con los últimos estándares TLS
PowerDMARC hace que el proceso de implementación de Informes SMTP TLS (TLS-RPT) sea fácil y rápido. Convertimos los complicados archivos JSON que contienen sus informes de problemas de entrega de correo electrónico en documentos sencillos y legibles (por resultado y por fuente de envío) que puede comprender fácilmente.
Regístrese hoy mismo para imponer rápidamente que los correos electrónicos se envíen a su dominio a través de una conexión cifrada TLS, y hacer que su conexión sea segura frente a MITM y otros ciberataques.
"`
- ¿Qué es DMARC? Una guía sencilla para la protección del correo electrónico - 11 de julio de 2025
- Cómo leer los informes DMARC: Tipos, herramientas y consejos - 10 de julio de 2025
- Cómo crear y publicar un registro DMARC - 3 de marzo de 2025