Back to Course
Լight modeDark mode

¿Cómo solucionar "Falta la Política MTA-STS"?

Para habilitar MTA-STS para su dominio como receptor de correo electrónico, es necesario alojar un archivo de política MTA-STS en su DNS. Esto permite que los remitentes externos envíen correos electrónicos a su dominio que estén autenticados y encriptados con TLS utilizando una versión actualizada de TLS (1.2 o superior). 

No tener un archivo de política publicado o actualizado para su dominio puede ser la razón principal para encontrarse con mensajes de error como "MTA-STS policy is missing: STSFetchResult.NONE", lo que implica que el servidor del remitente no pudo obtener el archivo de política MTA-STS cuando consultó el DNS del receptor y lo encontró como ausente.

Prerrequisitos para MTA-STS:

Los servidores de correo electrónico para los cuales se habilitará MTA-STS deben usar una versión de TLS de 1.2 o superior, y deben tener certificados TLS que cumplan con las normas y especificaciones actuales de RFC, que no estén caducados y cuyos certificados del servidor estén firmados por una autoridad de certificación raíz confiable.

Pasos para solucionar "Falta la Política MTA-STS":

1. Crear y publicar un registro DNS TXT de MTA-STS

El primer paso es crear un registro MTA-STS para su dominio. Puede crear un registro instantáneamente utilizando un generador de registros MTA-STS, que le proporcionará un registro DNS personalizado para su dominio. 

2. Definir el modo de política MTA-STS

MTA-STS ofrece dos modos de política para que los usuarios trabajen con ellos.

  • Modo de prueba: Este modo es ideal para principiantes que no han configurado el protocolo antes. El modo de prueba de MTA-STS le permite recibir informes TLS de SMTP sobre problemas en las políticas de MTA-STS, problemas en el establecimiento de conexiones SMTP encriptadas o fallos en la entrega de correos electrónicos. Esto le ayuda a responder a problemas de seguridad existentes relacionados con sus dominios y servidores sin hacer obligatoria la encriptación TLS.
  • Modo de aplicación: Aunque todavía recibe sus informes TLS, con el tiempo, es óptimo que los usuarios apliquen su política MTA-STS para hacer obligatoria la encriptación mientras reciben correos electrónicos utilizando SMTP. Esto evita que los mensajes se cambien o manipulen durante el tránsito.

3. Crear el archivo de política MTA-STS

El siguiente paso es alojar archivos de políticas MTA-STS para sus dominios. Tenga en cuenta que aunque el contenido de cada archivo puede ser el mismo, es obligatorio alojar políticas por separado para dominios separados, y un solo dominio puede tener solo un archivo de política MTA-STS. Alojar múltiples archivos de políticas MTA-STS para un solo dominio puede llevar a configuraciones incorrectas del protocolo. 

El formato estándar para un archivo de política MTA-STS se muestra a continuación: 

Nombre de archivo: mta-sts.txt

Tamaño máximo de archivo: 64 KB

version: STSv1

modo: prueba

mx: mail.yourdomain.com

mx: *.yourdomain.com

max_age: 806400 

Nota: El archivo de política mostrado arriba es simplemente un ejemplo.

4.  Publicar tu archivo de política MTA-STS

A continuación, debes publicar tu archivo de política MTA-STS en un servidor web público que sea accesible para servidores externos. Asegúrate de que el servidor en el que alojas tu archivo soporte HTTPS o SSL. El procedimiento es sencillo. Suponiendo que tu dominio esté preconfigurado con un servidor web público:

  • Agregar un subdominio a tu dominio existente que debe comenzar con el texto: mta-sts (por ejemplo, mta-sts.dominio.com). 
  • Tu archivo de política apuntará a este subdominio que creaste y debe almacenarse en un directorio .well-known.
  • La URL del archivo de política se agrega al registro DNS al publicar tu registro DNS de MTA-STS para que el servidor pueda consultar el DNS para obtener el archivo de política durante la transferencia de correo electrónico.

5. Activar MTA-STS y TLS-RPT

Finalmente, debes publicar tus registros DNS de MTA-STS y TLS-RPT en el DNS de tu dominio, utilizando TXT como tipo de recurso, colocados en dos subdominios separados (_smtp._tls y _mta-sts). Esto permitirá que solo lleguen a tu bandeja de entrada mensajes cifrados con TLS, que estén verificados y no manipulados. Además, recibirás informes diarios sobre problemas de entrega y cifrado en una dirección de correo electrónico o servidor web configurado por ti, desde servidores externos. 

Puedes verificar la validez de tus registros DNS realizando una búsqueda de registros MTA-STS después de que tu registro esté publicado y en vivo.  

Nota: Cada vez que realices modificaciones en el contenido de tus archivos de política MTA-STS, debes actualizarlo tanto en el servidor web público donde estás alojando tu archivo, como en la entrada DNS que contiene la URL de tu política. Lo mismo se aplica cada vez que actualices o agregues dominios o servidores.

MTA-STS & TLS-RPT Avanzado >¿Cómo solucionar "Falta la Política MTA-STS"?
Course content
Autenticación Avanzada de Correo Electrónico