2. Crea una política de MTA-STS

Para configurar MTA-STS para tus dominios, crea y publica una política para cada uno. La política define los servidores de correo electrónico del dominio que usan MTA-STS.

Cada dominio debe tener un archivo de política independiente. Las políticas pueden ser las mismas, pero deben alojarse por separado para cada dominio que use MTA-STS.

Requisitos del servidor para MTA-STS

Verifica lo siguiente para tus servidores de correo electrónico que reciben correo electrónico entrante:

Exigen que el correo electrónico se transmita a través de una conexión (TLS) segura.
Usan la versión 1.2 de TLS o una posterior.
Los certificados TLS del servidor:
- Coinciden con el nombre de dominio que usa el servidor de correo electrónico entrante (el servidor de tus registros MX).
- Están firmados y son de confianza para una autoridad certificadora raíz.
- No están vencidos.

Obtén más información sobre los certificados TLS en Uso de certificados de Google Workspace para transporte seguro (TLS).

Modos de política de MTA-STS

Puedes configurar una política de MTA-STS en modo de prueba o en modo de aplicación forzosa.

Modo de prueba

El modo de prueba solicita que los servidores de correo electrónico externos te envíen informes diarios. Los informes contienen información sobre los problemas detectados cuando se conectan a tu dominio. Los informes incluyen las políticas de MTA-STS detectadas, las estadísticas de tráfico, las conexiones fallidas y los detalles de los mensajes no enviados.

En el modo de prueba, tu dominio solo solicita informes. Este modo no aplica ninguna seguridad de conexión que requiera MTA-STS. Te recomendamos que comiences con el modo de prueba durante 2 semanas. Los datos de los informes de 2 semanas son suficientes para obtener información sobre los problemas de tu dominio y solucionarlos.

Usa la información de los informes diarios para resolver problemas de encriptación o de seguridad con tu servidor o dominio. Luego, cambia la política al modo de aplicación forzosa.

Modo de aplicación forzosa

Cuando la política está en modo de aplicación forzosa, tu dominio solicita a los servidores externos que verifiquen que la conexión SMTP esté encriptada y autenticada.

Si la conexión no está encriptada ni autenticada:

Los servidores que admiten MTA-STS no enviarán correo electrónico a tu dominio.
Los servidores que no admiten MTA-STS seguirán enviando mensajes a tu dominio a través de conexiones SMTP como lo hacen normalmente. Es posible que estas conexiones SMTP no estén encriptadas.

En el modo de aplicación forzosa, seguirás recibiendo los informes diarios de servidores externos.

Crea un archivo de política

El archivo de política es un archivo de texto sin formato que tiene pares clave-valor. Cada par debe estar en su propia línea en el archivo de texto, como se muestra en el siguiente ejemplo. El tamaño del archivo de texto de la política puede ser de hasta 64 KB.

Nombre de archivo de la política: El nombre del archivo de texto debe ser mta-sts.txt

Actualización de archivos de política: Actualiza el archivo de política cada vez que agregues o cambies servidores de correo electrónico, o bien cambies el dominio.

Formato del archivo de política: El campo version debe estar en la primera línea de la política. Los demás campos pueden estar en cualquier orden. Este es un ejemplo de un archivo de política:

version: STSv1
mode: testing
mx: mail.solarmora.com
mx: *.solarmora.net
mx: backupmx.solarmora.com
max_age: 604800

Contenido del archivo de política: La política debe incluir todos estos pares clave-valor. Para obtener una política personalizada para tu dominio, sigue los pasos que se indican en Verifica el estado de MTA-STS y obtén configuraciones sugeridas.

Clave	Valor
version	Versión del protocolo. Debe ser STSv1
mode	Modo de política: testing: Los servidores externos te envían informes sobre la encriptación y otros problemas detectados cuando se conectan a tu dominio. No se aplican los requisitos de encriptación y autenticación de MTA-STS. enforce: Si la conexión SMTP no tiene autenticación ni encriptación, los servidores de correo electrónico configurados para MTA-STS no enviarán mensajes a tu dominio. También recibirás informes de servidores externos sobre problemas de conexión, como en el modo de prueba. none: Indica a los servidores externos que tu dominio ya no admite MTA-STS. Usa este valor si dejas de usar MTA-STS. Obtén información para quitar MTA-STS (RFC 8461).
mx	Registro MX del dominio. La política debe tener una entrada mx para cada registro MX agregado al dominio. Cada entrada mx debe estar en su propia línea en el archivo de política, como se muestra en el ejemplo. El nombre del servidor de correo electrónico debe estar en formato estándar de nombre alternativo del asunto (SAN). El valor mx debe estar en uno de los formatos que se muestran en estos ejemplos: Especifica un solo servidor en formato MX estándar: `alt1.aspmx.solarmora.com` Para especificar servidores que coincidan con un patrón de nombres, usa un comodín. El carácter comodín reemplaza solo una etiqueta más a la izquierda, por ejemplo: `*.solarmora.com`. Obtén más información sobre los registros MX y sus valores.
max_age	Tiempo máximo en segundos durante el que la política es válida. El valor max_age se restablece para un servidor externo cada vez que el servidor verifica la política. Por lo tanto, los servidores externos pueden tener fechas de vencimiento diferentes para la misma política. El valor debe estar entre 86400 (1 día) y 31557600 (aproximadamente 1 año). Para el modo de prueba, recomendamos entre 604800 y 1209600 (1 a 2 semanas).

Próximos pasos

Publica tu política de MTA-STS

2. Crea una política de MTA-STS Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.