MTA-STS
¿Qué es MTA-STS?
MTA-STSMecanismo de seguridad de correo (RFC 8461) que permite a un dominio exigir TLS en SMTP entrante y fijar la lista de MX de confianza, frustrando ataques de degradación y stripping de STARTTLS.
MTA Strict Transport Security (MTA-STS), especificado en el RFC 8461, permite a un dominio publicar un registro TXT en _mta-sts.example.com y una política HTTPS en https://mta-sts.example.com/.well-known/mta-sts.txt declarando el TLS exigido, los nombres de MX admitidos y un modo (none, testing, enforce). Los MTA emisores cachean la política y, en modo enforce, rechazan entregar si fallan STARTTLS, la validación de certificado o la coincidencia de MX. MTA-STS complementa DANE/TLSA en entornos sin DNSSEC y mitiga debilidades del TLS oportunista frente a atacantes activos que despojan STARTTLS o presentan certificados falsos. El reporte SMTP TLS (RFC 8460) emite informes JSON diarios de fallos TLS para vigilar cobertura e incidentes.
● Ejemplos
- 01
Publicar una política en modo enforce que limite el SMTP entrante a mx1.example.com y mx2.example.com con TLS 1.2 o superior.
- 02
Recibir informes TLSRPT diarios sin fallos TLS tras un despliegue exitoso de MTA-STS.
● Preguntas frecuentes
¿Qué es MTA-STS?
Mecanismo de seguridad de correo (RFC 8461) que permite a un dominio exigir TLS en SMTP entrante y fijar la lista de MX de confianza, frustrando ataques de degradación y stripping de STARTTLS. Pertenece a la categoría de Seguridad de red en ciberseguridad.
¿Qué significa MTA-STS?
Mecanismo de seguridad de correo (RFC 8461) que permite a un dominio exigir TLS en SMTP entrante y fijar la lista de MX de confianza, frustrando ataques de degradación y stripping de STARTTLS.
¿Cómo defenderse de MTA-STS?
Las defensas contra MTA-STS combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para MTA-STS?
Nombres alternativos comunes: MTA Strict Transport Security.