MTA-STS: blindar el correo de tu dominio
CyberSec

📧 MTA-STS: blindar el correo de tu dominio

El protocolo que nadie configura y todos deberían tener

Cesar Rosa Polanco · 8 mar 2026 · 3 min de lectura

¿Por qué importa?

El email es el medio de transporte de la mayoría de los ataques dirigidos. Un atacante posicionado entre tu servidor y el del receptor puede explotar dos vulnerabilidades distintas:

Ataque de downgrade: Si el servidor destino soporta TLS pero la negociación falla (o es interrumpida), el servidor emisor puede caer a texto plano. Tu email viaja sin cifrar por la red.

Suplantación DNS (DNS spoofing): Un atacante puede manipular las respuestas DNS para reemplazar tus registros MX con un servidor que él controla. El emisor entrega el email directamente al atacante, quien lo lee, lo manipula si quiere, y lo reenvía al destino real como si nada hubiera pasado. Como los registros MX apuntan a nombres de dominio (no IPs), el atacante puede usar un dominio propio con certificado válido, así que STARTTLS por sí solo no protege contra esto.

MTA-STS es la solución a ambos problemas: publica una política sobre HTTPS (que sí resiste ataques MITM, a diferencia del DNS) que le dice a los servidores del mundo que si quieren entregarle email a tu dominio, DEBEN cifrar, no hay opción de texto plano, y que los MX válidos son solo los que aparecen en la política. Si no pueden cifrar o el MX no coincide, el email se rechaza.

Sin esto, alguien con acceso a tu red (ISP, router comprometido, ataque de red local) puede leer o manipular tus emails, aunque el servidor de origen soporte TLS.

El problema

Sin MTA-STS, aunque tu servidor soporte TLS, el emisor puede bajar a texto plano si falla la negociación, o un atacante puede redirigir el email manipulando DNS. Tu email viaja sin cifrar o al destino equivocado.

Qué hace

Le dice al mundo: “Si me envías email, DEBES usar TLS. Si no puedes cifrar, NO entregues.” Además, los servidores emisores verifican que el MX al que se conectan coincide con la política publicada sobre HTTPS.

Implementación

1. DNS TXT (registro de aserción)

Este registro indica que tu dominio soporta MTA-STS. El id debe cambiar cada vez que modifiques la política:

_mta-sts.tudominio TXT "v=STSv1; id=20260304"

2. Registro DNS para el subdominio mta-sts

Necesitas un registro A o CNAME para que mta-sts.tudominio apunte al servidor web que sirve el archivo de política:

mta-sts.tudominio A 203.0.113.10

O si usas un servicio de hosting:

mta-sts.tudominio CNAME tu-hosting.ejemplo.com

3. Archivo de política

En https://mta-sts.tudominio/.well-known/mta-sts.txt:

version: STSv1
mode: enforce
mx: aspmx.l.google.com
mx: alt1.aspmx.l.google.com
max_age: 604800

Los valores de mx deben coincidir con los registros MX de tu DNS que soporten TLS. El max_age (en segundos) indica cuánto tiempo los servidores emisores pueden cachear la política - el mínimo recomendado es una semana (604800).

Los modos disponibles son:

4. TLS-RPT

_smtp._tls.tudominio TXT "v=TLSRPTv1; rua=mailto:tls-reports@tudominio"

🛡️ Empieza con mode: testing. Cuando todo funcione, cambia a enforce.

SPF = quién puede enviar. DKIM = firma. DMARC = qué hacer con fallos. MTA-STS = cifrado en tránsito.

Verificación

Una vez implementado, verifica que funciona:

  1. DNS: Usa dig o una herramienta online de DNS:
dig _mta-sts.tudominio TXT
dig _smtp._tls.tudominio TXT

Deberías ver tus registros publicados.

  1. Archivo de política: Accede a https://mta-sts.tudominio/.well-known/mta-sts.txt en tu navegador. Debe devolver el archivo sin errores.

  2. Modo testing: Deja en mode: testing durante 1-2 semanas. Revisa los reportes TLS-RPT (se enviarán al correo que configuraste en rua=) para ver si hay problemas de conexión.

  3. Cambiar a enforce: Solo cuando veas que los reportes muestran 100% de entregas cifradas, cambia mode: enforce.

Herramientas útiles:

Lectura relacionada: Si quieres protegerte de phishing a nivel de usuario, lee Detectar un phishing en 10 segundos.

Por: Cesar Rosa Polanco - Escrito a partir de una experiencia real, con asistencia de inteligencia artificial como herramienta de amplificación cognitiva.

¿Primera vez aquí?

Conoce los temas y artículos clave del blog.

Empieza Aquí →
← Volver a artículos Disponible en inglés →

Artículos relacionados

Cuando tu amigo no es tu amigo
CyberSec 1 may 2026

🛡️ Cuando tu amigo no es tu amigo

Cómo detecté un correo enviado desde la cuenta comprometida de un amigo, y qué hábitos protegen tu correo, contraseñas, llamadas y WhatsApp en 2026
Dominios aparcados: 4 acciones DNS para que nadie los use en tu contra
CyberSec 11 abr 2026

🅿️ Dominios aparcados: 4 acciones DNS para que nadie los use en tu contra

Compraste un dominio para un proyecto futuro. Un atacante puede usarlo hoy.
Onboarding de un dominio de correo: asegúralo antes del primer buzón de usuario
CyberSec 11 abr 2026

📬 Onboarding de un dominio de correo: asegúralo antes del primer buzón de usuario

El checklist completo para Microsoft 365 y Google Workspace con DNS en Cloudflare