El problema
Sin MTA-STS, aunque tu servidor soporte TLS, el emisor puede bajar a texto plano si falla la negociación. Tu email viaja sin cifrar.
Qué hace
Le dice al mundo: “Si me envías email, DEBES usar TLS. Si no puedes cifrar, NO entregues.”
Implementación
1. DNS TXT
_mta-sts.tudominio TXT "v=STSv1; id=20260304"2. Archivo de política
En https://mta-sts.tudominio/.well-known/mta-sts.txt:
version: STSv1
mode: enforce
mx: aspmx.l.google.com
mx: alt1.aspmx.l.google.com
maxage: 6048003. TLS-RPT
_smtp._tls.tudominio TXT "v=TLSRPTv1; rua=mailto:tls-reports@tudominio"🛡️ Empieza con mode: testing. Cuando todo funcione, cambia a enforce.
SPF = quién puede enviar. DKIM = firma. DMARC = qué hacer con fallos. MTA-STS = cifrado en tránsito.