2. Crea una política de MTA-STS

Configura MTA-STS para tus dominios creando y publicando una política para cada uno de ellos. La política define los servidores de correo electrónico del dominio que usan MTA-STS.

Cada dominio debe tener un archivo de política independiente. Las políticas pueden ser las mismas, pero deben alojarse por separado para cada dominio con MTA-STS.

Requisitos del servidor para MTA-STS

Verifica lo siguiente en los servidores de correo que reciben correo entrante:

Exigen que el correo electrónico se transmita a través de una conexión (TLS) segura.
Usan la versión 1.2 o posterior de TLS.
Certificados TLS del servidor:
- Coincide con el nombre de dominio que usa el servidor de correo electrónico entrante (el servidor en tus registros MX).
- Están firmados por una autoridad certificadora raíz y son de confianza.
- No deben estar vencidos.

Obtén más información sobre los certificados TLS en Usa certificados de Google Workspace para el transporte seguro (TLS).

Modos de política de MTA-STS

Puedes configurar una política de MTA-STS en modo de prueba o en modo de aplicación.

Modo de prueba

El modo de prueba solicita que los servidores de correo externos te envíen informes diarios. Los informes contienen información sobre los problemas detectados al conectarse a tu dominio. Los informes incluyen las políticas de MTA-STS detectadas, las estadísticas de tráfico, las conexiones fallidas y los detalles de los mensajes no enviados.

En el modo de prueba, tu dominio solo solicita informes. Este modo no aplica ninguna seguridad de conexión requerida por MTA-STS. Te recomendamos que comiences con el modo de prueba durante 2 semanas. Los datos de informes de 2 semanas son suficientes para conocer y solucionar cualquier problema con tu dominio.

Usa la información de los informes diarios para resolver problemas de encriptación o de otro tipo relacionados con la seguridad de tu servidor o dominio. Luego, cambia la política al modo de aplicación.

Modo de aplicación

Cuando la política está en modo de aplicación, tu dominio solicita a los servidores externos que verifiquen que la conexión SMTP esté encriptada y autenticada.

Si la conexión no está encriptada y autenticada:

Los servidores que admiten MTA-STS no enviarán correos electrónicos a tu dominio.
Los servidores que no admiten MTA-STS siguen enviando mensajes a tu dominio a través de conexiones SMTP como lo hacen normalmente. Es posible que estas conexiones SMTP no estén encriptadas.

En el modo de aplicación, seguirás recibiendo los informes diarios de los servidores externos.

Crea un archivo de política

El archivo de política es un archivo de texto sin formato que tiene pares clave-valor. Cada par debe estar en su propia línea en el archivo de texto, como se muestra en el siguiente ejemplo. El tamaño del archivo de texto de la política puede ser de hasta 64 KB.

Nombre de archivo de la política: El nombre del archivo de texto debe ser mta-sts.txt.

Actualiza los archivos de política: Actualiza el archivo de política cada vez que agregues o cambies servidores de correo, o bien cambies el dominio.

Formato del archivo de política: El campo version debe estar en la primera línea de la política. Los demás campos pueden estar en cualquier orden. Este es un ejemplo de un archivo de política:

version: STSv1
mode: testing
mx: mail.solarmora.com
mx: *.solarmora.net
mx: backupmx.solarmora.com
max_age: 604800

Contenido del archivo de política: La política debe incluir todos estos pares clave-valor. Para obtener una política personalizada para tu dominio, sigue los pasos que se indican en Cómo verificar el estado de MTA-STS y obtener configuraciones sugeridas.

Clave	Valor
version	Versión del protocolo. Debe ser STSv1
modo	Modo de política: Pruebas: Los servidores externos te envían informes sobre la encriptación y otros problemas detectados cuando se conectan a tu dominio. No se aplican los requisitos de encriptación y autenticación de MTA-STS enforce: Si la conexión SMTP no tiene autenticación ni encriptación, los servidores de correo configurados para MTA-STS no enviarán mensajes a tu dominio. También recibirás informes de servidores externos sobre problemas de conexión, como en el modo de prueba. none: Indica a los servidores externos que tu dominio ya no admite MTA-STS. Usa este valor si dejas de usar MTA-STS. Obtén más información para quitar MTA-STS (RFC 8461).
mx	Es el registro MX del dominio. La política debe tener una entrada mx para cada registro MX agregado al dominio. Cada entrada mx debe estar en su propia línea en el archivo de política, como se muestra en el ejemplo. El nombre del servidor de correo debe tener el formato estándar de Nombre alternativo del sujeto (SAN). El valor de mx debe tener uno de los formatos que se muestran en estos ejemplos: Especifica un solo servidor en formato MX estándar: `alt1.aspmx.solarmora.com` Para especificar servidores que coincidan con un patrón de nombres, usa un comodín. El carácter comodín reemplaza solo una etiqueta más a la izquierda, por ejemplo: `*.solarmora.com` Obtén más información sobre los registros MX y sus valores.
max_age	Es el tiempo máximo en segundos durante el que la política es válida. El valor de max_age se restablece para un servidor externo cada vez que este verifica la política. Por lo tanto, los servidores externos pueden tener diferentes fechas de vencimiento para la misma política. El valor debe estar entre 86400 (1 día) y 31557600 (aproximadamente 1 año). Para el modo de prueba, recomendamos entre 604800 y 1209600 (1 a 2 semanas).

Próximos pasos

Publica tu política de MTA-STS

2. Crea una política de MTA-STS Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.