Skip to main content

Mail Transfer Agent Strict Transport Security (MTA-STS) es un protocolo que permite habilitar strict force-TLS para emails enviado entre proveedores de correo electrónico. Indica que el dominio admite Transport Layer Security (TLS) 1.2 o superior.

Es similar a HTTP Strict Transport Security (HSTS), donde se establece una política de fuerza TLS y luego se almacena en caché durante un período de tiempo específico, lo que reduce el riesgo de ataques de intermediario o de degradación.

MTA-STS se complementa con SMTP TLS Reporting (TLSRPT), que brinda información sobre qué correos electrónicos se entregaron correctamente a través de TLS y cuáles no. TLSRPT es similar a los informes DMARC, pero para TLS.

La razón principal para implementar MTA-STS es garantizar que el correo electrónico confidencial que se le envía se transmita de forma segura a través de TLS. Otros métodos para fomentar TLS en las comunicaciones por correo electrónico, como STARTTLS, siguen siendo susceptibles a ataques man-in-the-middle, ya que la conexión inicial no está cifrada. MTA-STS ayuda a garantizar que una vez que se haya establecido al menos una conexión segura, TLS se utilizará de forma predeterminada a partir de ahí, lo que reduce en gran medida el riesgo de estos ataques.

MTA-STS es un protocolo de correo entrante (inbound) diseñado para agregar una capa de cifrado/seguridad entre los servidores de envío y recepción de correo. Con MTA-STS, les informa a los remitentes que su servidor de correo electrónico acepta la entrega segura de correo electrónico mediante SMTP sobre TLS y que el correo electrónico no debe entregarse a través de una conexión SMTP insegura.

MTA-STS In-depth

El servicio de envío de correo electrónico verificará el registro del Sistema de nombres de dominio (DNS) del servicio de correo electrónico receptor para conocer una política de MTA-STS en _mta-sts.example.com. El registro dice si existe una política MTA-STS y muestra el número de identificación actual.

Si el servicio de envío de correo no tiene una política almacenada en caché para este dominio, o el ID actual es más reciente, el servicio descargará automáticamente la política desde https://mta-sts.example.com/.well-known/mta -sts.txt.

El almacenamiento en caché de la política protege contra cualquier falta de confiabilidad de la infraestructura de alojamiento de la política MTA-STS o del DNS. Es seguro dejar la póliza por un máximo de 6 meses. Los servicios de envío de correo electrónico verificarán diariamente el ID de la póliza para detectar cambios.

Source: gov.uk

MTA-STS Policy File

El archivo de configuración consta de

ValorPurposeAccepted valuesExample
VersiónPara especificar la versión de la especificación MTA-STS que se utilizará.Actualmente el único valor aceptado es STSv1.version: STSv1
ModeModo que se habilita MTA-STS.– Enforce
– Testing
– None
mode: enforce
MXPara especificar qué servidores de correo tienen permiso para manejar el correo electrónico en el dominio.Nombre de dominio completo de un servidor de correo o un host comodín. mx: *.root-view.com
Max AgePara especificar la vida útil máxima de la política MTA-STS, en segundos.Cualquier número entero positivo hasta 31557600.max_age: 604800
Descripción de valores MTA-STS

Descripción de los valores aceptados en el apartado “Mode”:

  • testing: Los remitentes enviarán sus informes (TLSRPT) indicando fallas en la aplicación de políticas. Esto requiere que TLSRPT también esté implementado para funcionar. Los fallos de conexión TLS no se bloquearán, aunque se puede recibir informes.
  • enforce: Los servidores de correo de envío que admiten MTA STS no entregarán correo al dominio si falla la autenticación del certificado o no pueden negociar TLS. También se envían informes sobre estas fallas.
  • none: Los remitentes tratarán el dominio como si no tuviera ninguna política activa.

MTA-STS Policy File

Ejemplo de MTA-STS file:

version: STSv1
mode: enforce
max_age: 86400
mx: rootview-com01b.mail.protection.outlook.com.

Archivo disponible en mta-sts.root-view.com/.well-known/mta-sts.txt

Configuración

Step 1 — Crear MTA-STS Policy File
Step 2 — Configurar Webserver para el MTA-STS Policy File
Step 3 — Configurar DNS Records para habilitar MTA-STS y TLSRPT

Configuración próximamente disponible

Interpretación del reporte TLSRPT

Se recibe el reporte por correo electrónico con el archivo adjunto

Contenido correo recibido de Google
bash 5.1 $ jq . 'google.com!root-view.com!1710201600!1710287999!001.json'
{
  "organization-name": "Google Inc.",
  "date-range": {
    "start-datetime": "2024-03-12T00:00:00Z",
    "end-datetime": "2024-03-12T23:59:59Z"
  },
  "contact-info": "[email protected]",
  "report-id": "2024-03-12T00:00:00Z_root-view.com",
  "policies": [
    {
      "policy": {
        "policy-type": "no-policy-found",
        "policy-domain": "root-view.com"
      },
      "summary": {
        "total-successful-session-count": 16,
        "total-failure-session-count": 0
      }
    }
  ]
}

Sources: microsoft.com Digital Oceangov.uk

El contenido de este artículo esta bajo licencia Creative Commons.