Guía Red Sift de configuración de protocolos de correo electrónico

image
Explora nuestra guía
En este capítulo
En este capítulo

Learn about MTA-STS and TLS

What is MTA-STS?

Mail Transfer Agent Strict Transport Security (MTA-STS) is a standard that enables the encryption of messages being sent between two mail servers. It specifies to sending servers that emails can only be sent over a Transport Layer Security (TLS) encrypted connection which prevents emails from being intercepted by cybercriminals.

How does it work?

For receiving domains to enable MTA-STS, they must announce that they support MTA-STS in their DNS and publish a policy configuration file on their website. This lets the sending mail servers (that support MTA-STS) know that they should only use TLS (1.2 or higher) connections when sending emails to the receiving domain’s mail servers. MTA-STS requires the use of STARTTLS (a protocol that tells an email server that an email client wants to upgrade from an insecure to a secure connection) for messages to successfully be sent and received.

MTA-STS also lists what the MX records for the domain are therefore preventing DNS query interception where a malicious party could redirect to another MX record. If a sending mail server does not perform MTA-STS validations, emails will still be delivered as normal, and TLS will be used if the sending mail server chooses to use it. 

MTA-STS policy modes

Activating MTA-STS must be done carefully to mitigate blocking emails from being delivered. To avoid this risk, MTA-STS should first be deployed in testing mode, allowing time for TLS reports to provide insight into any errors that need fixing before progressing to the final enforce stage. At this stage, the use of TLS is enforced, and MTAs that support MTA-STS will only deliver email over an encrypted and authenticated connection. TLS reporting (TLS-RPT) is then needed to notify domain owners when delivery fails due to TLS issues.

What is TLS reporting?

How do we know that sending MTAs is failing MTA-STS? Much like DMARC, the answer is emailed reports. Enter SMTP TLS reporting (or TLS-RPT for short). It enables reporting of TLS connectivity problems experienced by the sending MTAs and is defined in RFC8460. These reports include detected MTA-STS policies, traffic statistics, successful and unsuccessful connections, and failure reasons. 

When you enable TLS-RPT, you will receive daily reports highlighting any emails that were sent without a secure connection and failed to be sent to you. Only with this insight can you identify and fix the issues within your mail server and ensure your inbound mail is not being blocked.

Set up MTA-STS and TLS-RPT

This sub-chapter will show you how to deploy MTA-STS and TLS-RPT on your own. 

Deploying MTA-STS is relatively straightforward once you understand the components involved. Here’s an overview of what we’ll cover:

  1. Draft and publish the policy on a public, secured web server
  2. Enable SMTP TLS-RPT via a TXT record
  3. Signal MTA-STS support via a TXT record

Before you start the deployment, if you manage your own email server, make sure your MX records accept inbound TLS connections (according to Google’s Transparency report, about 90% of servers currently do), make sure the servers in your MX records use TLS version 1.2 or later, and that the MX server TLS certificates:

  • Match the domain name used by the inbound mail server (the server in your MX records)
  • Are signed and trusted by a root certificate authority
  • Are not expired

These last three go hand in hand and are very likely already managed by your email host. You should only have to worry about them if you host your own mail server; if you use a third-party hosted service like G Suite, Microsoft 365, Fastmail, etc, these steps are already done for you.

1. Draft and publish the policy on a public, secured web server

Now, to start the deployment, we will proceed to draft the policy. The policy itself is pretty straightforward; here’s a sample policy:

version: STSv1
mode: testing
mx: aspmx.l.google.com
mx: alt1.aspmx.l.google.com
mx: alt2.aspmx.l.google.com
mx: *.googlemail.com
max_age: 604800

The important bits are mode, mx and max_age, as version will (for now) always be the same.

Mode can be none, testing or enforce.

  • none disables MTA-STS
  • testing tells external servers sending to you to evaluate the policy, and requests reports (via TLS-RPT), but does not enforce connection security required by MTA-STS.
  • enforce tells external servers to verify they’re connecting to an MX listed in the policy, and that the SMTP connection is both encrypted (using TLS) and authenticated (that the server has a valid, signed certificate).

If the connection is not both encrypted and authenticated:

  • Servers that support MTA-STS will not send mail to your domain.
  • Servers that don’t support MTA-STS continue to send messages to your domain over SMTP connections as they normally do, but they may not be encrypted.

We recommend keeping the policy in testing mode for at least a month. That way you can get familiar with MTA-STS and fix any issues that may be brought up by the STS reports, if any.

mx lists the MX records that serve email for the domain. In almost all cases, it’s the same records you already have published in your DNS.

To specify servers that match a naming pattern, use a wildcard. The wildcard character replaces one leftmost label only, for example .domain.com or .mail.domain.com.

max_age is the amount of time the sending MTA will cache the policy. The RFC suggests a value of 1 or 2 weeks (between 604800 and 1209600 seconds), but it can be anything.

Now that we have the policy drafted, we need to publish it. The policy has to be uploaded to a public-facing web server and it must be served over HTTPS with a signed, trusted certificate (eg: Let’s Encrypt).

  • Add a subdomain to your domain in the form of mta-sts.domain.com and point it to the web server
  • Create a directory named .well-known.well-known in the subdomain.
  • Upload the policy file you created to the .well-known.well-known directory with mta-sts.txtmta-sts.txt as the file name.

Your policy should be available at https://mta-sts.domain.com/.well-known/mta-sts.txt

2. Add the reporting address to your DNS

Now, the last step consists of adding two DNS records: one for TLS-RPT and one to signify that you support MTA-STS and they’re both simple TXT records.

Let’s start with TLS-RPT. To receive reports you will need a mailbox where you will receive them, or you can point them to your OnDMARC address (the same as for your DMARC record) and we'll parse and display them for you.

The first TXT record should be added like this:

smtp.tls.example.com. 900 IN TXT "v=TLSRPTv1; rua=mailto:tlsrpt@example.com"

Host: smtp.smtp.tls

TTL: 900 (or your default value)

Value: v=TLSRPTv1; rua=mailto:tlsrpt@example.com

3. Signal MTA-STS support via a TXT record

Lastly, we need to publicize our support for MTA-STS. The TXT record should be added as follows:

_mta-sts.example.com. 900 IN TXT "v=STSv1; id=1575556993"

Host: _mta-sts (note the underscore at the beginning)

TTL: 900 (or your default value)

Value: v=STSv1; id=1575556993

Update the id to a new value every time you change your MTA-STS policy. External servers use the id value to determine when your policy changes. We usually use the epoch timestamp for the id value, it’s unique enough and lets you know when was the last time it was changed.

And that’s it! You’ve enabled both MTA-STS and TLS-RPT, and you’re on your way to supporting secure, un-tampered SMTP transmissions. 

How do you know that sending MTAs are failing MTA-STS?

Much like DMARC, the answer is in emailed reports. These reports include detected MTA-STS policies, traffic statistics, unsuccessful connections, and failure reasons.

Enter SMTP TLS Reporting (or TLS-RPT for short). It enables reporting of TLS connectivity problems experienced by the sending MTA’s and is defined in RFC8460.

Is there an easier way to deploy MTA-STS?

The short answer is yes. With Red Sift OnDMARC’s MTA-STS feature, you don’t need to worry about complex deployment. Simply add the MTA-STS Smart Records OnDMARC provides to your DNS and we do all the hard work for you such as hosting the MTA-STS policy file, maintaining the SSL certificate, and flagging any policy violation through the TLS report.

Once MTA-STS has been enabled, you can use OnDMARC’s TLS Reports to gain clear insight into the volume of emails received over a given period and how many of them have experienced domain successes and failures. You can easily uncover more details about a specific domain’s success or failure, such as a missing or expired certificate. This granularity tells you exactly what needs fixing for you to progress to an MTA-STS enforce mode and fully secure your inbound emails.

email set up imageemail set up image
Email set up correctly? Find out free in under a minute

Preguntas frecuentes: Guía de configuración de protocolos de correo electrónico

¿Cuál es la diferencia entre SPF Hard Fail (-all) y Soft Fail (~all) y qué opción debería utilizar en 2026?

Antes de DMARC, en los registros SPF se utilizaba a menudo el mecanismo “-all” para imponer políticas estrictas a los remitentes. Sin embargo, las recomendaciones actuales del sector para 2026 favorecen “~all” para equilibrar la seguridad con la entregabilidad y evitar el rechazo innecesario de correos legítimos que fallen SPF pero pasen DKIM y DMARC.

La razón es que “~all”, combinado con DMARC (en p=reject), permite igualmente que los emails no autenticados no se entreguen cuando SPF y DKIM fallan, sin bloquear correos legítimos, mejorando así la entregabilidad global.

Las especificaciones DMARC (RFC 7489) indican que un prefijo “-” en el mecanismo SPF del remitente –como “-all”– puede implicar el rechazo de un email ya en la fase inicial, es decir, antes de que se aplique DMARC. Utiliza “-all” solo en dominios inactivos que nunca envían correo. DMARC no distingue entre Soft Fail y Hard Fail en SPF: considera ambos simplemente como un fallo de SPF.

¿Cómo funciona el DMARC-Alignment y cuál es la diferencia entre Strict y Relaxed Alignment?

DMARC requiere no solo que SPF o DKIM resulten positivos, sino también que al menos uno de los dominios utilizados con SPF o DKIM coincida con el dominio presente en la cabecera From. Un correcto alineamiento es fundamental en 2026 para la entrega de los correos, ya que los principales proveedores ahora exigen esta comprobación.

Para SPF, el alineamiento significa que la verificación de MAIL FROM/Return-PATH ha sido exitosa y la parte de dominio de MAIL FROM/Return-PATH coincide con el dominio de la dirección From. En modo Strict ambos deben ser idénticos; en modo Relaxed se aceptan también los subdominios si pertenecen al mismo organizational domain.

Ejemplo: si MAIL-FROM/RETURN-PATH es @ondmarc.com y el From-header es @knowledge.ondmarc.com, no están alineados en modo Strict, pero DMARC los consideraría válidos en modo Relaxed.

¿Qué son los reportes agregados y forenses de DMARC y en qué se diferencian?

Un informe agregado DMARC recoge información sobre el estado de autenticación de los mensajes enviados en nombre de un dominio. Se trata de un informe bounce en XML que resume qué correos han pasado o fallado SPF y DKIM. Permite a los propietarios del dominio tener una visión precisa de las fuentes que envían correos en su nombre y el resultado (política del destinatario).

Los destinatarios utilizan la etiqueta 'rua' del registro DMARC para enviar estos reportes. Puedes definir la frecuencia usando la etiqueta ri en el registro DMARC (valor predeterminado: 86400 segundos, es decir, 24h). Los reportes forenses aportan mucho más detalle sobre cada fallo de autenticación. Los datos personales se eliminan, pero toda la información útil para resolver incidencias, como cabeceras SPF/DKIM, dirección completa del remitente y asunto, se transmite.

La dirección para recibir los informes forenses DMARC se indica mediante la etiqueta 'ruf'. No todos los sistemas soportan este tipo de reportes. Red Sift OnDMARC es una de las pocas soluciones que puede recibir reportes forenses, gracias a su colaboración con Yahoo.

¿Qué son las macros SPF y por qué pueden causar problemas de entregabilidad?

Una macro SPF es un mecanismo en los registros SPF que permite definir conjuntos reutilizables de direcciones IP. Las macros SPF aportan mayor flexibilidad y facilidad de mantenimiento: puedes definir conjuntos complejos de IP en un único mecanismo y referenciarlos en varios registros. Por ejemplo, en lugar de enumerar cada IP autorizada, puedes usar una macro como “%{i}”, que recoge la IP saliente del correo. De este modo puedes gestionar fácilmente grandes listas de IP sin sobrepasar el límite de consultas SPF y hacer menos visibles las autorizaciones IP durante las consultas DNS.

Dependiendo de la estructura de la macro en el registro SPF, una macro que no se expande puede provocar errores SPF o un resultado neutral (?all). Si el envío de correos legítimos depende de las macros SPF, estas pueden causar más fallos o etiquetar como sospechoso el tráfico hacia sistemas que dependen de SPF.

¿Qué es MTA-STS y cómo se activa sin bloquear la recepción de emails?

Mail Transfer Agent Strict Transport Security (MTA-STS) es un estándar para el cifrado de los mensajes entre dos servidores de correo. Indica a los servidores remitentes que los emails deben entregarse solo a través de una conexión segura mediante Transport Layer Security (TLS), protegiendo así contra intentos de interceptación por parte de ciberdelincuentes.

La adopción de MTA-STS ha crecido rápidamente y en 2026 la seguridad del transporte será considerada esencial para la protección del correo en tránsito. Para activar MTA-STS en un dominio receptor, es necesario declarar el soporte mediante DNS y hacer disponible un archivo de políticas en el propio sitio web.

MTA-STS debe activarse con cautela para no provocar bloqueos accidentales. Se recomienda empezar por el modo Test: así, gracias a los reportes TLS, puedes identificar y solucionar errores antes de pasar al modo strict. Este enfoque gradual probablemente será el estándar para la protección del email en tránsito en 2026.

¿Qué es TLS-RPT y cómo se relaciona con MTA-STS?

SMTP TLS Reporting (TLS-RPT), según RFC8460, sirve para reportar problemas de conectividad TLS desde los servidores MTA remitentes. Al igual que con DMARC, aquí también se reciben reportes por correo cuando los problemas TLS afectan la entrega. Los informes incluyen las políticas MTA-STS detectadas, estadísticas de tráfico, conexiones fallidas y motivos de error.

Con la función MTA-STS en Red Sift OnDMARC no tendrás que preocuparte por implementaciones complejas. Basta con añadir los Smart Record MTA-STS proporcionados por OnDMARC a tu DNS y Red Sift se encarga del hosting del archivo de política, gestión del certificado SSL y el envío automático de reportes TLS de incumplimiento. En 2026, el MTA-STS alojado es cada vez más un estándar previsto en plataformas modernas de DMARC, facilitando así la integración del cifrado en el transporte.

¿Qué es DANE y en qué se diferencia de MTA-STS?

Según RFC 7671, DANE (DNS-based Authentication of Named Entities) es un nuevo estándar de Internet para establecer comunicaciones TLS entre cliente y servidor sin depender de las autoridades de certificación (CA) tradicionales.

En el modelo actual, cualquier CA puede emitir un certificado para cualquier dominio. DANE adopta otro enfoque, aprovechando la infraestructura DNSSEC (Domain Name System Security Extensions) para asociar criptográficamente un nombre de dominio a un certificado. DANE se basa en el protocolo DNSSEC existente para garantizar la autenticidad e integridad de la recepción.

DANE además introduce un nuevo tipo de registro DNS, TLSA, que señala al cliente el soporte de TLS por parte del servidor. Se recomienda implementar tanto MTA-STS como DANE. DANE es obligatorio para muchas entidades públicas, en particular en la UE.

MTA-STS y DANE sólo son eficaces si también el servidor remitente los soporta; muchos implementan sólo uno de los dos. Activar ambos aumenta la seguridad general. En 2026, las organizaciones suelen adoptar primero MTA-STS para máxima compatibilidad y después implementan DANE para un nivel de seguridad superior cuando resulta necesario.

¿Para qué sirve la política DMARC para subdominios (sp-tag) y cómo se aplica?

La política para subdominios permite a los administradores proteger de forma diferenciada distintos dominios y subdominios, dependiendo del estado de implementación de DMARC. Por ejemplo, si todos los servicios de envío asociados al dominio principal ya están protegidos con SPF y DKIM, puedes establecer una política DMARC p=reject en el dominio principal y p=none en los subdominios, o viceversa.

Si un servicio de envío no soporta DMARC (es decir, no implementa SPF o DKIM), puedes asignarle un subdominio separado con su propia política DMARC, sin comprometer la protección de los demás dominios. Esto permite distribuir el tráfico entre distintos subdominios y protegerlos por separado según las necesidades.