¿Para qué se utiliza el registro DNS _mta-sts?

El registro DNS _mta-sts se utiliza para indicar que tu dominio es compatible con MTA-STS y para publicar un valor de identificación que indica la versión actual de la política.

Gestión de MTA-STS para empresas con entornos multidominio

MTA-STS contribuye a proteger el correo electrónico entrante al exigir a otros servidores que utilicen TLS al enviar mensajes a tu dominio. Si no pueden establecer una conexión TLS segura, la entrega falla.

En las organizaciones más grandes, la entrega del correo electrónico entrante no permanece igual para siempre. Cuando cambia la configuración del servidor, también hay que actualizar el MTA-STS; de lo contrario, pueden surgir problemas inesperados en la entrega.

Sendmarc facilita la implementar la supervisión continua de los controles de transporte en todos tus dominios, lo que reduce el riesgo de errores de configuración y garantiza una entrega estable.

Lo que MTA-STS te ayuda a conseguir

Si MTA-STS se configura correctamente, puede ayudarte a:

Obliga a que las comunicaciones con tu dominio se realicen de forma cifrada

Reducir los ataques de degradación

Limitar el envío a servidores MX autorizados

Comprender el MTA-STS

MTA-STS es un estándar de seguridad. Permite que un dominio receptor publique una política que indique a los servidores remitentes:

¿Qué servidores MX están autorizados para el dominio?
Si se debe exigir el uso de TLS y un certificado válido para el envío de correos electrónicos

MTA-STS consta de dos partes:

Un registro TXT de DNS, publicado en _mta-sts.<domain> que indica apoyo

Un archivo de configuración alojado en HTTPS en https://mta-sts.<domain>/.well-known/mta-sts.txt

MTA-STS suele combinarse con TLS-RPT, lo que te permite obtener informes agregados cuando los remitentes no pueden enviarte los mensajes de forma segura.

Cómo funciona MTA-STS en tres pasos

Un servidor de envío comprueba si
_mta-sts.<domain> en el DNS

Si existe, recupera el archivo de políticas del servidor web

El servidor de envío cumple con la política de su empresa

Conceptos básicos sobre registros y políticas de MTA-STS

Registro TXT de DNS de MTA-STS

El registro TXT de MTA-STS se encuentra en _mta-sts.<domain> e incluye:

v=STSv1

id=<policy-id>

Ejemplo de registro TXT de MTA-STS:

Presentador: _mta-sts.yourdomain.com

Tipo: TXT

Valor: v=STSv1; id=<policy-id>

Una póliza típica incluye:

version: La versión de la política
mode: Puede ser aplicar, probar o ninguna
mx: Uno o varios registros MX autorizados
max_age: El número de segundos que los servidores de envío pueden almacenar en caché la política

Registro TXT de DNS TLS-RPT

El TLS-RPT se publica como un registro TXT en _smtp._tls.<domain> y suele incluir:

v=TLSRPTv1

rua=mailto:...

Ejemplo de registro DNS TLS-RPT:

Presentador: _smtp._tls.yourdomain.com

Tipo: TXT

Valor: v=TLSRPTv1; rua=mailto:tlsrpt@yourdomain.com

Sendmarc te ayuda implementar y TLS-RPT en todos tus dominios y a mantenerlos actualizados a medida que evoluciona la configuración de tu correo electrónico entrante, para que la seguridad del transporte siga siendo fiable y la entrega no se vea afectada.

Por qué se estancan los proyectos MTA-STS

Entre las causas más comunes por las que los proyectos MTA-STS se ralentizan se incluyen:

Cambios en los registros MX durante las migraciones: el enrutamiento entrante cambia, por lo que las políticas quedan desactualizadas.
Alojamiento de la política y dependencias de certificados: la política debe seguir estando accesible a través de HTTPS, y los fallos en la renovación de los certificados pueden provocar problemas en la entrega.
Visibilidad limitada sin TLS-RPT: sin informes, los fallos de TLS parecen problemas de entrega sin causa aparente y su diagnóstico lleva más tiempo.

Protéjase contra los ataques basados en la identidad

La suplantación de identidad suele adoptar tres formas: suplantación directa, dominios similares y cuentas comprometidas.

Sendmarc ayuda a reducir el riesgo en estos tres ámbitos al proporcionar a los equipos una visión común del estado de la autenticación y de la actividad de amenazas relacionadas con la identidad.

SPF

Mantén actualizadas tus fuentes de envío autorizadas a medida que cambian las plataformas, los proveedores y las unidades de negocio.

DKIM

Asegúrate de que los correos electrónicos salientes estén firmados correctamente, para que los destinatarios puedan verificar la autenticidad del mensaje.

DMARC

Establece una política para los errores de autenticación y utiliza reporte saber quién envía mensajes desde tu dominio.

MTA-STS

Mejora la seguridad de la recepción exigiendo el uso de TLS, de modo que los remitentes no puedan recurrir a conexiones sin cifrar.

TLS-RPT

Comprueba dónde falla la entrega TLS para poder identificar errores de configuración y problemas de transporte recurrentes.

Lookalike Domain Defense

Identifica los dominios similares que imitan tu marca y reduce el riesgo de suplantación de identidad.

Breach Detection

Reciba notificaciones tempranas de las infracciones para poder investigarlas rápidamente, reaccionar con mayor rapidez y limitar su impacto.

Preguntas frecuentes sobre MTA-STS

¿Qué es MTA-STS?

MTA-STS es un estándar que permite a un dominio receptor publicar una política que exige a los servidores remitentes utilizar TLS al enviar correos electrónicos a dicho dominio.

¿Es necesario el MTA-STS?

Sí, MTA-STS es imprescindible para las organizaciones que dan prioridad a la seguridad y al cumplimiento normativo del correo electrónico. Ayuda a prevenir los ciberataques al garantizar que los mensajes se solo a través de canales cifrados.

¿Qué es el _mta-sts ¿Para qué se utiliza un registro DNS?

En _mta-sts El registro DNS se utiliza para indicar que tu dominio es compatible con MTA-STS y para publicar un id valor que indica la versión actual de la política.

¿Cuáles son los diferentes modos de MTA-STS?

MTA-STS ofrece tres modos de política:

enforce: Los correos electrónicos solo se entregan si se puede establecer una conexión TLS segura.
testing: Informa de los problemas pero permite la entrega aunque no se pueda establecer TLS.
none: No se aplica ninguna política; la norma está efectivamente inactiva.

¿Qué es TLS-RPT? ¿Lo necesito si utilizo MTA-STS?

TLS-RPT es un reporte que permite a los remitentes proporcionar informes agregados cuando no pueden realizar entregas de forma segura a tu dominio. TLS-RPT no es obligatorio para MTA-STS, pero facilita considerablemente la detección y la resolución de los fallos de entrega relacionados con TLS.

¿Cómo funciona MTA-STS con SPF, DKIM y DMARC?

MTA-STS funciona en combinación con SPF, DKIM y DMARC crear una estrategia integral de seguridad del correo electrónico. Mientras que SPF, DKIM y DMARC al remitente y protegen contra la suplantación de identidad, MTA-STS protege la capa de transporte al aplicar el cifrado durante el envío del correo electrónico.