Guía de configuración de protocolos de correo electrónico de Red Sift

Publicado el:30 de septiembre de 2025

Última modificación:1 de abril de 2026

Capítulo:8 min de lectura

Guía:82 min de lectura

Explora nuestra guía

Learn about MTA-STS and TLS

What is MTA-STS?

Mail Transfer Agent Strict Transport Security (MTA-STS) is a standard that enables the encryption of messages being sent between two mail servers. It specifies to sending servers that emails can only be sent over a Transport Layer Security (TLS) encrypted connection which prevents emails from being intercepted by cybercriminals.

How does it work?

For receiving domains to enable MTA-STS, they must announce that they support MTA-STS in their DNS and publish a policy configuration file on their website. This lets the sending mail servers (that support MTA-STS) know that they should only use TLS (1.2 or higher) connections when sending emails to the receiving domain’s mail servers. MTA-STS requires the use of STARTTLS (a protocol that tells an email server that an email client wants to upgrade from an insecure to a secure connection) for messages to successfully be sent and received.

MTA-STS also lists what the MX records for the domain are therefore preventing DNS query interception where a malicious party could redirect to another MX record. If a sending mail server does not perform MTA-STS validations, emails will still be delivered as normal, and TLS will be used if the sending mail server chooses to use it.

MTA-STS policy modes

Activating MTA-STS must be done carefully to mitigate blocking emails from being delivered. To avoid this risk, MTA-STS should first be deployed in testing mode, allowing time for TLS reports to provide insight into any errors that need fixing before progressing to the final enforce stage. At this stage, the use of TLS is enforced, and MTAs that support MTA-STS will only deliver email over an encrypted and authenticated connection. TLS reporting (TLS-RPT) is then needed to notify domain owners when delivery fails due to TLS issues.

What is TLS reporting?

How do we know that sending MTAs is failing MTA-STS? Much like DMARC, the answer is emailed reports. Enter SMTP TLS reporting (or TLS-RPT for short). It enables reporting of TLS connectivity problems experienced by the sending MTAs and is defined in RFC8460. These reports include detected MTA-STS policies, traffic statistics, successful and unsuccessful connections, and failure reasons.

When you enable TLS-RPT, you will receive daily reports highlighting any emails that were sent without a secure connection and failed to be sent to you. Only with this insight can you identify and fix the issues within your mail server and ensure your inbound mail is not being blocked.

Set up MTA-STS and TLS-RPT

This sub-chapter will show you how to deploy MTA-STS and TLS-RPT on your own.

Deploying MTA-STS is relatively straightforward once you understand the components involved. Here’s an overview of what we’ll cover:

Draft and publish the policy on a public, secured web server
Enable SMTP TLS-RPT via a TXT record
Signal MTA-STS support via a TXT record

Before you start the deployment, if you manage your own email server, make sure your MX records accept inbound TLS connections (according to Google’s Transparency report, about 90% of servers currently do), make sure the servers in your MX records use TLS version 1.2 or later, and that the MX server TLS certificates:

Match the domain name used by the inbound mail server (the server in your MX records)
Are signed and trusted by a root certificate authority
Are not expired

These last three go hand in hand and are very likely already managed by your email host. You should only have to worry about them if you host your own mail server; if you use a third-party hosted service like G Suite, Microsoft 365, Fastmail, etc, these steps are already done for you.

1. Draft and publish the policy on a public, secured web server

Now, to start the deployment, we will proceed to draft the policy. The policy itself is pretty straightforward; here’s a sample policy:

version: STSv1
mode: testing
mx: aspmx.l.google.com
mx: alt1.aspmx.l.google.com
mx: alt2.aspmx.l.google.com
mx: *.googlemail.com
max_age: 604800

The important bits are mode, mx and max_age, as version will (for now) always be the same.

Mode can be none, testing or enforce.

none disables MTA-STS
testing tells external servers sending to you to evaluate the policy, and requests reports (via TLS-RPT), but does not enforce connection security required by MTA-STS.
enforce tells external servers to verify they’re connecting to an MX listed in the policy, and that the SMTP connection is both encrypted (using TLS) and authenticated (that the server has a valid, signed certificate).

If the connection is not both encrypted and authenticated:

Servers that support MTA-STS will not send mail to your domain.
Servers that don’t support MTA-STS continue to send messages to your domain over SMTP connections as they normally do, but they may not be encrypted.

We recommend keeping the policy in testing mode for at least a month. That way you can get familiar with MTA-STS and fix any issues that may be brought up by the STS reports, if any.

mx lists the MX records that serve email for the domain. In almost all cases, it’s the same records you already have published in your DNS.

To specify servers that match a naming pattern, use a wildcard. The wildcard character replaces one leftmost label only, for example .domain.com or .mail.domain.com.

max_age is the amount of time the sending MTA will cache the policy. The RFC suggests a value of 1 or 2 weeks (between 604800 and 1209600 seconds), but it can be anything.

Now that we have the policy drafted, we need to publish it. The policy has to be uploaded to a public-facing web server and it must be served over HTTPS with a signed, trusted certificate (eg: Let’s Encrypt).

Add a subdomain to your domain in the form of mta-sts.domain.com and point it to the web server
Create a directory named .well-known.well-known in the subdomain.
Upload the policy file you created to the .well-known.well-known directory with mta-sts.txtmta-sts.txt as the file name.

Your policy should be available at https://mta-sts.domain.com/.well-known/mta-sts.txt

2. Add the reporting address to your DNS

Now, the last step consists of adding two DNS records: one for TLS-RPT and one to signify that you support MTA-STS and they’re both simple TXT records.

Let’s start with TLS-RPT. To receive reports you will need a mailbox where you will receive them, or you can point them to your OnDMARC address (the same as for your DMARC record) and we'll parse and display them for you.

The first TXT record should be added like this:

smtp.tls.example.com. 900 IN TXT "v=TLSRPTv1; rua=mailto:tlsrpt@example.com"

Host: smtp.smtp.tls

TTL: 900 (or your default value)

Value: v=TLSRPTv1; rua=mailto:tlsrpt@example.com

3. Signal MTA-STS support via a TXT record

Lastly, we need to publicize our support for MTA-STS. The TXT record should be added as follows:

_mta-sts.example.com. 900 IN TXT "v=STSv1; id=1575556993"

Host: _mta-sts (note the underscore at the beginning)

TTL: 900 (or your default value)

Value: v=STSv1; id=1575556993

Update the id to a new value every time you change your MTA-STS policy. External servers use the id value to determine when your policy changes. We usually use the epoch timestamp for the id value, it’s unique enough and lets you know when was the last time it was changed.

And that’s it! You’ve enabled both MTA-STS and TLS-RPT, and you’re on your way to supporting secure, un-tampered SMTP transmissions.

How do you know that sending MTAs are failing MTA-STS?

Much like DMARC, the answer is in emailed reports. These reports include detected MTA-STS policies, traffic statistics, unsuccessful connections, and failure reasons.

Enter SMTP TLS Reporting (or TLS-RPT for short). It enables reporting of TLS connectivity problems experienced by the sending MTA’s and is defined in RFC8460.

Is there an easier way to deploy MTA-STS?

The short answer is yes. With Red Sift OnDMARC’s MTA-STS feature, you don’t need to worry about complex deployment. Simply add the MTA-STS Smart Records OnDMARC provides to your DNS and we do all the hard work for you such as hosting the MTA-STS policy file, maintaining the SSL certificate, and flagging any policy violation through the TLS report.

Once MTA-STS has been enabled, you can use OnDMARC’s TLS Reports to gain clear insight into the volume of emails received over a given period and how many of them have experienced domain successes and failures. You can easily uncover more details about a specific domain’s success or failure, such as a missing or expired certificate. This granularity tells you exactly what needs fixing for you to progress to an MTA-STS enforce mode and fully secure your inbound emails.

Email set up correctly? Find out free in under a minute

¿Cuál es la diferencia entre SPF hard fail (-all) y soft fail (~all), y cuál debería usar en 2026?

En la era anterior a DMARC, los registros SPF solían usar el mecanismo "-all" para aplicar estrictamente las políticas del remitente. Sin embargo, la orientación actual de la industria en 2026 prefiere "~all" para equilibrar seguridad y entregabilidad, evitando el rechazo innecesario de correos válidos que podrían fallar SPF pero pasar DKIM y DMARC.

Esto se debe a que "~all" cuando se implementa junto con DMARC (en p=reject) sigue rechazando el correo no autenticado si SPF y DKIM fallan, pero no bloquea el correo legítimo, mejorando así la entregabilidad general del correo electrónico.

La especificación de DMARC (RFC 7489) indica que un prefijo "-" en el mecanismo SPF del remitente, como "-all", puede provocar que el rechazo se efectúe temprano durante el procesamiento, causando el rechazo del mensaje antes de cualquier evaluación DMARC. Utilice "-all" solo para dominios inactivos que no envían correos (dominios que no envían ningún correo en absoluto). DMARC ignora los matices entre soft fail y hard fail en la configuración de SPF, tratándolos a ambos como fallos de SPF.

¿Cómo funciona la alineación de DMARC y cuál es la diferencia entre la alineación estricta y la relajada?

DMARC no solo requiere que SPF o DKIM PASEN sino que también exige que al menos uno de los dominios utilizados por SPF o DKIM se alinee con el dominio que aparece en el encabezado From. Una correcta alineación es crítica para la entregabilidad de correos en 2026, ya que los principales proveedores de buzones aplican estos requisitos.

En el caso de SPF, la alineación de identificador significa que la verificación de MAIL FROM/Return-PATH debe PASAR y además el dominio en MAIL FROM/Return-PATH debe coincidir con el dominio del From. En alineación estricta, los dominios deben coincidir exactamente, mientras que en la alineación relajada se permiten subdominios siempre que provengan del mismo dominio organizacional.

Por ejemplo, si MAIL-FROM/RETURN-PATH es @ondmarc.com y el encabezado From es @knowledge.ondmarc.com, en alineación estricta no están alineados. Sin embargo, en modo de alineación relajada, DMARC aprobaría.

¿Qué son los informes agregados y los informes forenses de DMARC y en qué se diferencian?

Un informe agregado de DMARC contiene información sobre el estado de autenticación de los mensajes enviados en nombre de un dominio. Es un informe de retroalimentación en XML diseñado para brindar visibilidad sobre los correos que aprobaron o fallaron SPF y DKIM. El informe ofrece a los propietarios de dominios una visión precisa de qué fuentes envían en su nombre y la disposición de esos correos (la política que aplicó el receptor).

Los destinatarios revisarán la etiqueta 'rua' de tu registro DMARC y enviarán allí los informes. Puedes especificar el intervalo de generación de informes agregados utilizando la etiqueta ri en tu registro DMARC (por defecto, está establecido en 86400 segundos, que equivale a 24 horas). Los informes forenses contienen información más detallada sobre fallos de autenticación individualizados. Se elimina cualquier información personal identificable (PII), pero se incluye información útil para solucionar el fallo DMARC, como detalles del fallo de encabezado SPF y DKIM, la dirección From completa y el Asunto del correo electrónico.

La dirección para recibir informes forenses DMARC se especifica mediante la etiqueta 'ruf' en tu registro DMARC. No todos los sistemas receptores son compatibles con el envío de informes forenses. Red Sift OnDMARC es una de las únicas aplicaciones DMARC del mercado que recibe informes forenses gracias a su alianza con Yahoo.

¿Qué son las macros SPF y por qué podrían causar problemas de entregabilidad?

Una macro SPF se refiere a un mecanismo utilizado en los registros SPF para definir conjuntos reutilizables de direcciones IP. Las macros SPF mejoran la flexibilidad y la capacidad de mantenimiento de los registros SPF al permitir definir conjuntos complejos de direcciones IP en un solo mecanismo, que luego se pueden referenciar en varios registros SPF. Por ejemplo, en lugar de listar cada dirección IP individualmente para cada servidor autorizado, puedes definir una macro como "%{i}" que llama a la IP del remitente del correo. Gestionar SPF de este modo te permite controlar una lista amplia de IPs sin alcanzar el límite de consultas SPF, y además oculta qué IPs apruebas para consultas públicas.

Sin embargo, dependiendo de cómo esté estructurado el registro SPF con macros, la falta de expansión de macros podría resultar en fallos SPF o resultados 'Neutral' (indicados por el mecanismo ?all). Si las macros SPF son cruciales para autorizar servidores legítimos, es más probable que los correos fallen la validación SPF o sean marcados como sospechosos por los receptores que dependen de SPF para la autenticación.

¿Qué es MTA-STS y cómo debe desplegarse para evitar bloquear la entrega de correos?

Mail Transfer Agent Strict Transport Security (MTA-STS) es un estándar que permite el cifrado de mensajes enviados entre dos servidores de correo. Especifica a los servidores de envío que los correos solo pueden enviarse a través de una conexión cifrada Transport Layer Security (TLS), lo que impide que los mensajes sean interceptados por ciberdelincuentes.

La adopción de MTA-STS ha crecido significativamente, y las organizaciones en 2026 reconocen la seguridad de la capa de transporte como esencial para proteger el correo electrónico en tránsito. Para que los dominios receptores permitan MTA-STS, deben anunciar su soporte en DNS y publicar un archivo de configuración de política en su sitio web.

La activación de MTA-STS debe hacerse cuidadosamente para evitar el bloqueo de correos. Debe desplegarse primero en modo de prueba, permitiendo que los informes TLS brinden información sobre cualquier error que deba resolverse antes de pasar a la fase final de aplicación. Este enfoque progresivo probablemente se convertirá en práctica estándar en 2026 para las organizaciones que implementen seguridad de transporte.

¿Qué es TLS-RPT y cómo funciona junto con MTA-STS?

SMTP TLS Reporting (o TLS-RPT) permite la notificación de problemas de conectividad TLS detectados por los MTAs de envío y está definido en el RFC8460. Al igual que DMARC, TLS-RPT se basa en el envío de informes por correo para notificar a los propietarios del dominio cuando la entrega falla debido a problemas con TLS. Estos informes incluyen políticas MTA-STS detectadas, estadísticas de tráfico, conexiones no exitosas y motivos del fallo.

Con la función MTA-STS de Red Sift OnDMARC, no tienes que preocuparte por una implementación compleja. Simplemente añade los Smart Records de MTA-STS que OnDMARC proporciona a tu DNS y Red Sift se encarga de todo lo demás: alojar el archivo de política MTA-STS, mantener el certificado SSL y señalar cualquier violación de políticas mediante el informe TLS. Las plataformas DMARC modernas en 2026 incluyen cada vez más el alojamiento de MTA-STS como una característica estándar, facilitando el despliegue de la seguridad de transporte.

¿Qué es DANE y en qué se diferencia de MTA-STS?

Publicado bajo el RFC 7671, DANE (DNS-based Authentication of Named Entities) introduce un nuevo estándar para configurar comunicaciones TLS entre un cliente y un servidor, sin depender de Autoridades Certificadoras (CAs) de confianza.

El modelo tradicional de TLS basado en CA permite que cualquier CA emita un certificado para cualquier dominio. DANE opera de forma diferente, apoyándose en la infraestructura DNSSEC (Domain Name System Security Extensions) para vincular un nombre de dominio a un certificado. DANE utiliza el protocolo DNSSEC existente para asegurar que los datos recibidos sean auténticos y no hayan sido manipulados.

DANE también introduce un nuevo tipo de registro DNS llamado TLSA, que señala al cliente que un servidor es compatible con TLS. Se recomienda implementar tanto MTA-STS como DANE. DANE es un requisito para muchos gobiernos, de modo que organismos públicos en la Unión Europea suelen estar obligados a implementarlo.

DANE y MTA-STS solo ayudan si el remitente los soporta, pero muchos remitentes solo soportan uno u otro, así que implementar ambos mejora la seguridad general. En 2026 las organizaciones suelen desplegar primero MTA-STS para una mayor compatibilidad y luego incorporar DANE para mayor seguridad cuando se requiere.

¿Cuál es el propósito de la política de subdominio DMARC (etiqueta sp) y cómo se debe usar?

La política de subdominios permite a los administradores de dominio proteger diferentes dominios y subdominios en función del avance en la implementación de DMARC. Por ejemplo, si todos tus servicios de envío de correos en nombre del dominio principal están plenamente configurados con SPF y DKIM, puedes proteger el dominio principal con una política DMARC de p=reject mientras mantienes los subdominios en p=none, y viceversa.

También, si tienes un servicio de envío de correos que no cumple con DMARC (no soporta SPF ni DKIM), puedes decidir asignarle un subdominio y tener una política DMARC diferente para ese subdominio, sin que eso impida proteger tus otros dominios. Esto te permite distribuir el tráfico entre subdominios y proteger cada uno por separado.