MTA-STS
¿Qué es MTA-STS?
MTA-STSMecanismo de seguridad de correo (RFC 8461) que permite a un dominio exigir TLS en SMTP entrante y fijar la lista de MX de confianza, frustrando ataques de degradación y stripping de STARTTLS.
MTA Strict Transport Security (MTA-STS), especificado en el RFC 8461, permite a un dominio publicar un registro TXT en _mta-sts.example.com y una política HTTPS en https://mta-sts.example.com/.well-known/mta-sts.txt declarando el TLS exigido, los nombres de MX admitidos y un modo (none, testing, enforce). Los MTA emisores cachean la política y, en modo enforce, rechazan entregar si fallan STARTTLS, la validación de certificado o la coincidencia de MX. MTA-STS complementa DANE/TLSA en entornos sin DNSSEC y mitiga debilidades del TLS oportunista frente a atacantes activos que despojan STARTTLS o presentan certificados falsos. El reporte SMTP TLS (RFC 8460) emite informes JSON diarios de fallos TLS para vigilar cobertura e incidentes.
● Ejemplos
- 01
Publicar una política en modo enforce que limite el SMTP entrante a mx1.example.com y mx2.example.com con TLS 1.2 o superior.
- 02
Recibir informes TLSRPT diarios sin fallos TLS tras un despliegue exitoso de MTA-STS.
● Preguntas frecuentes
¿Qué es MTA-STS?
Mecanismo de seguridad de correo (RFC 8461) que permite a un dominio exigir TLS en SMTP entrante y fijar la lista de MX de confianza, frustrando ataques de degradación y stripping de STARTTLS. Pertenece a la categoría de Seguridad de red en ciberseguridad.
¿Qué significa MTA-STS?
Mecanismo de seguridad de correo (RFC 8461) que permite a un dominio exigir TLS en SMTP entrante y fijar la lista de MX de confianza, frustrando ataques de degradación y stripping de STARTTLS.
¿Cómo funciona MTA-STS?
MTA Strict Transport Security (MTA-STS), especificado en el RFC 8461, permite a un dominio publicar un registro TXT en _mta-sts.example.com y una política HTTPS en https://mta-sts.example.com/.well-known/mta-sts.txt declarando el TLS exigido, los nombres de MX admitidos y un modo (none, testing, enforce). Los MTA emisores cachean la política y, en modo enforce, rechazan entregar si fallan STARTTLS, la validación de certificado o la coincidencia de MX. MTA-STS complementa DANE/TLSA en entornos sin DNSSEC y mitiga debilidades del TLS oportunista frente a atacantes activos que despojan STARTTLS o presentan certificados falsos. El reporte SMTP TLS (RFC 8460) emite informes JSON diarios de fallos TLS para vigilar cobertura e incidentes.
¿Cómo defenderse de MTA-STS?
Las defensas contra MTA-STS combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para MTA-STS?
Nombres alternativos comunes: MTA Strict Transport Security.
● Términos relacionados
- network-security№ 1098
STARTTLS
Extensión de SMTP, IMAP, POP3 y XMPP (RFC 3207) que actualiza una conexión en texto claro a TLS tras el saludo del protocolo, habilitando cifrado oportunista entre servidores y clientes de correo.
- network-security№ 764
TLS oportunista
Postura de cifrado en la que dos partes usan TLS si ambas lo soportan y caen a texto claro si no, típica de SMTP entre servidores mediante STARTTLS sin autenticación fuerte.
- network-security№ 270
DANE
Familia de protocolos del RFC 6698 que utiliza registros TLSA firmados con DNSSEC para vincular certificados o claves públicas TLS a un servicio, reduciendo la dependencia del sistema de CAs públicas.
- network-security№ 333
DMARC
Estándar de autenticación de correo definido en el RFC 7489 que permite al propietario del dominio publicar una política indicando a los receptores qué hacer con los mensajes que fallen SPF/DKIM y alineamiento.
- network-security№ 1159
TLS (Transport Layer Security)
Protocolo criptográfico estandarizado por el IETF que aporta confidencialidad, integridad y autenticación al tráfico entre dos aplicaciones en red.
- network-security№ 984
Pasarela de correo seguro
Servicio perimetral o en la nube que filtra el correo entrante y saliente buscando spam, phishing, malware, fugas de datos e infracciones de política antes de llegar a los buzones.