Comprobador de política MTA-STS

Obtiene el registro TXT _mta-sts y el archivo de política mta-sts.txt de un dominio para diagnosticar si el cifrado TLS obligatorio en el transporte de correo (MTA-STS) está bien configurado.

Consejos

  • MTA-STS lo verifica el servidor que envía el correo, no el que lo recibe. Al publicarlo, los servidores de terceros empezarán a exigir TLS al enviar correo a tu dominio.
  • Despliega primero en modo testing durante varias semanas o un mes antes de pasar a enforce, para no llevarte una sorpresa con rechazos de entrega inesperados.
  • max_age suele configurarse entre 604800 segundos (7 días) y 31557600 segundos (1 año). Un valor demasiado corto obliga a recuperar el archivo de política con más frecuencia.
  • Puedes usar un comodín (*.example.com) en el campo mx, pero el SAN (Subject Alternative Name) del certificado TLS debe coincidir con ese comodín.
  • Publicar solo el registro DNS o solo el archivo de política no sirve de nada: MTA-STS solo entra en vigor cuando ambos están presentes a la vez.

Preguntas frecuentes

No necesariamente: la mayoría de los dominios todavía no usan MTA-STS. Pero si quieres reforzar la protección frente a ataques de STARTTLS stripping, vale la pena considerarlo.

SPF, DKIM y DMARC autentican al remitente para evitar la suplantación. MTA-STS no tiene relación con la autenticación del remitente: fuerza el cifrado TLS en la propia ruta de transporte, defendiendo frente a un tipo de amenaza distinto.

No en tu propio dominio, sino en /.well-known/mta-sts.txt de un subdominio con el prefijo "mta-sts." (por ejemplo, mta-sts.example.com), servido con un certificado TLS válido.

No se recomienda. Ejecuta el modo testing durante varias semanas o un mes, monitorea la entrega con TLS-RPT y pasa a enforce solo cuando tengas confianza de que no habrá rechazos inesperados.

Esta herramienta solo comprueba la sintaxis y los campos obligatorios del registro TXT y del archivo de política. No verifica la validez del certificado TLS ni realiza un handshake TLS real con los hosts MX indicados; para una verificación más estricta, combínala con una herramienta especializada como checktls.com.
ツールくん

A propósito — Por qué STARTTLS no bastaba y cómo surgió MTA-STS

Durante décadas, el cifrado en tránsito de SMTP dependió de STARTTLS (estandarizado en 1999), que abre la conexión en texto plano y solo después la actualiza a TLS. En 2014 se confirmaron ataques reales de "STARTTLS stripping": como la propia negociación de STARTTLS ocurre antes de que el cifrado entre en juego, un atacante en la ruta podía reescribir la respuesta del servidor para ocultar su soporte de STARTTLS, engañando al otro extremo para que se degradara a texto plano.

La causa raíz era que STARTTLS estaba diseñado deliberadamente para degradarse a texto plano cuando el otro extremo no soportaba TLS, una característica de compatibilidad que los atacantes podían explotar simplemente fingiendo que no había soporte de TLS. Hacia 2015, las propias mediciones de Google mostraron que el STARTTLS stripping ocurría a gran escala en ciertos países y proveedores.

MTA-STS (RFC 8461, publicado en 2018) fue la respuesta de la industria, desarrollada conjuntamente por Google, Microsoft, Yahoo y otros. Un dominio declara su soporte de MTA-STS mediante un registro TXT en el DNS, y publica un archivo de política obtenido por HTTPS que enumera los hosts MX permitidos y los requisitos de TLS. Una vez obtenida, la política se almacena en caché durante max_age, de modo que un intento posterior de degradación puede detectarse y rechazarse en lugar de aceptarse silenciosamente.

MTA-STS suele combinarse con TLS-RPT (TLS Reporting, RFC 8460), que permite a los propietarios de dominios recibir informes cuando un servidor emisor no logra establecer TLS. MTA-STS aporta la capa de aplicación forzosa; TLS-RPT, la de observabilidad. Usar ambos juntos es la práctica recomendada hoy en día.