Reforzar la seguridad de tu correo electrónico es un proceso que lleva varios pasos, desde hace un tiempo hemos estado hablando sobre diversos temas relacionados a la seguridad de los mensajes de correo salientes, para lo cual es necesario aplicar políticas DMARC; sin embargo, muchos propietarios de dominios todavía se preocupan por la seguridad del flujo de correo entrante.

En el año 2019, Google adoptó la nueva política MTA-STS la cual garantiza que todos los correos electrónicos entrantes deben pasar por una capa de seguridad de transporte (TLS, según sus siglas en inglés). Este protocolo criptográfico cifra las comunicaciones y las protege durante el tránsito; dicha política surgió para cubrir las debilidades de su sistema predecesor, STARTTLS.

STARTTLS como tal es un comando que solicita al servidor de correo que encripte la conexión, pero tiene una debilidad persistente: es una medida de protección opcional que no permite enviar alguna forma de autenticación del servidor, lo que hace que el comando en cuestión sea susceptible a ataques de intermediarios.

Ya que ha quedado claro que la necesidad de un cambio de política es necesaria, podemos profundizar en lo que es MTA-STS y cómo funciona.

Un estándar de Internet ampliamente conocido que facilita la mejora de la seguridad de las conexiones entre servidores SMTP (Simple Mail Transfer Protocol) es el SMTP Mail Transfer Agent-Strict Transport Security (MTA-STS). MTA-STS resuelve los problemas existentes en SMTP seguridad del correo electrónico aplicando el cifrado TLS en tránsito.

Historia y origen de la MTA-STS

En el año 1982 se especificó por primera vez SMTP y no contenía ningún mecanismo para proporcionar seguridad a nivel de transporte para asegurar las comunicaciones entre los agentes de transferencia de correo. Sin embargo, en 1999, se añadió el comando STARTTLS a SMTP que a su vez soportaba la encriptación de los correos electrónicos entre los servidores, proporcionando la capacidad de convertir una conexión no segura en una segura que se encripta utilizando el protocolo TLS.

La estructura del informe TLS

A diferencia de los informes XML de DMARC, los informes SMTP TLS son fáciles de leer y comprender; los informes están presentados como archivos en formato JSON y generalmente muestran los siguientes componentes:

• report-id: El identificador del informe.
• date-range: el período de tiempo para la recopilación de resultados que contienen las fechas de inicio y finalización como subcategorías.
• organization-name: El nombre de la parte informante.
• contact-info: La información de contacto.
• policies: esta sección puede contener información sobre las políticas activas para un dominio especifico (STARTTLS, DANE, DNSSEC, MTA-STS); en el caso de MTA-STS, por ejemplo, esta sección repite la cadena del archivo de la política aplicada (te ofrecemos más información sobre los archivos y sus sintaxis a continuación).
• summary: esta sección te ofrece un recuento de sesiones exitosas y fallidas de la política.
• faillure-details: la parte final es donde se menciona lo que salió mal en el proceso de aplicación; el «tipo de resultado» puede tomar uno de los 10 valores establecidos, según sea la causa raíz de la falla, esta línea también incluye información sobre el servidor de envío, la IP de recepción y su nombre de host MX, también podrás confirmar el recuento de ser necesario.

¿Qué es MTA-STS?

La denominación de esta política en inglés se conoce como “Mail Transfer Agent-Strict Transport Security” (MTA-STS), en español lo conocemos como “Agente de transferencia de correo de seguridad estricta de transporte”, este es un protocolo que encripta los correos electrónicos entrantes a un servidor con una capa segura, lo cual permite la comunicación encriptada TLS entre los servidores SMTP, lo que a su vez evita los ataques de intermediarios.

La política de MTA-STS tiene como objetivo evitar que los atacantes o piratas informáticos alteren el contenido de un correo electrónico o envíe el contenido de este a otra dirección; a diferencia de STARTTLS, MTA-STS mantiene el TLS activo y le indica a los servidores de envío que tu servidor de correo solo acepta la entrega de mensajes a través de una conexión segura.

¿Cómo funciona el MTA-STS?

MTA-STS es una política que verifica la conexión TLS en cada mensaje de correo que es enviado a tu ecosistema, que le indica al servidor SMTP de envío que la comunicación con tu servidor de correo debe estar encriptada y que el nombre del dominio en el certificado TLS y la política deben coincidir; tal como describimos anteriormente, este proceso garantiza que todas las comunicaciones enviadas a tu bandeja de entrada estén debidamente encriptadas. 

La política contiene un mecanismo que se divide en dos partes: el archivo MTA-STS publicado en un servidor web habilitado para HTTPS y un registro DNS .TXT que informa a los remitentes que su dominio es compatible con tu política MTA-STS.

Una vez que todo esté configurado debidamente, recibirás informes a través de TLS-RPT indicando todos los fallos y problemas que puedan tener tus comunicaciones; es importante tener presente que los servidores de envío almacenan en caché el archivo MTA-STS y lo usan repetidamente durante un período determinado en los documentos; una vez que estos expiran, los servidores solicitan el archivo nuevamente.

Llegado a este punto, probablemente comprendes mejor los principios básicos de MTA-STS, por lo que ahora podemos profundizar en los dos componentes de la política.|

Activar MTA-STS y los informes de TLS

Aumentar la seguridad del correo electrónico usando las funciones de autenticación y cifrado

 

Para activar MTA-STS y los informes de TLS en tu dominio, actualiza los registros TXT de DNS del dominio. Los registros DNS envían señales a servidores externos en los que:

• Tu dominio requiere que las conexiones SMTP estén autenticadas y cifradas.
• Puedes recibir informes de TLS de servidores de otros dominios.

Los registros TXT son registros DNS con información en formato de texto que pueden utilizar fuentes externas a tu dominio. Más información sobre cómo utilizar los registros TXT de DNS

Crear un buzón de correo en el que recibir informes

Al activar MTA-STS y los informes de TLS en tu dominio, algunos servidores externos te enviarán informes sobre su conexión a tus servidores. En los informes se recogen las políticas MTA-STS detectadas, las estadísticas de tráfico, las conexiones incorrectas y los mensajes no enviados.

Este es un ejemplo de informe de TLS.

Antes de activar los informes, configura una o varias direcciones de correo electrónico de tu dominio para recibirlos. El registro TXT de DNS para los informes de TLS incluye la dirección de correo electrónico creada para recibir informes.

Estas son algunas direcciones de ejemplo para informes de TLS:

informe-tls@elhacker.net
mta-sts@elhacker.net

Nota: Si lo prefieres, puedes indicar a los servidores que no envíen los informes por correo electrónico, sino que los suban a un servidor web. Sin embargo, para hacerlo, necesitas una API que Google Workspace no proporciona. Más información en Report using HTTPS (RFC 8460) (Informes mediante HTTPS [RFC 8460]).

Actualizar registros DNS

Para activar MTA-STS y los informes de TLS, actualiza la configuración de tu dominio con dos registros TXT de DNS añadidos a estos subdominios:

• _smtp._tls
• _mta-sts

Importante: Tienes que añadir estos registros a la configuración de tu dominio desde el host del dominio, no desde la consola de administración de Google.

Obtener los registros TXT de DNS recomendados

Para tener registros TXT de DNS adaptados a tu dominio, sigue los pasos que se indican en Comprobar el estado de MTA-STS y recibir sugerencias de configuración.

Añadir registros TXT de DNS

Importante: Sustituye el dominio de ejemplo que se usa en los siguientes pasos por tu dominio.

Te recomendamos que añadas los registros TXT de DNS en el orden que se indica para activar primero los informes de TLS y después el estándar MTA-STS.

1. Inicia sesión en la consola de administración del proveedor de tu dominio.
2. Ve a la página en la que actualizas los registros DNS.

3. Para activar los informes TLS, añade un registro DNS en _smtp._tls:
   
   Nombre del registro TXT: en el primer campo, debajo del nombre del host DNS, introduce:

   
   

   _smtp._tls.elhacker.net

   
   
   Valor del registro TXT: en el segundo campo, introduce:

   
   

   v=TLSRPTv1; rua=mailto:webmaster@elhacker.net

   
   
   rua: la dirección de correo que hayas creado para recibir informes. Para recibir informes en varios correos electrónicos, separa las direcciones con comas:

   
   

   v=TLSRPTv1; rua=mailto:inftls@elhacker.net,mailto:mts-sts@elhacker.net

   
   
   Nota: La sintaxis de la opción de entrega de informes HTTPS se describe en Report using HTTPS (RFC 8460) (Informes mediante HTTPS [RFC 8460]).

4. Para activar MTA-STS en el dominio, añade un registro DNS en _mta-sts:
   
   Nombre del registro TXT: en el primer campo, debajo del nombre del host DNS, introduce:
   

   _mta-sts.elhacker.net

5. Valor del registro TXT: en el segundo campo, introduce:
   

   v=STSv1; id=09042024

   
   
   id: debe constar de entre 1 y 32 caracteres alfanuméricos. Con este ID, indicas a los servidores externos que tu dominio admite MTA-STS.
   
   Actualiza el id con un valor nuevo y único cada vez que cambies tu política MTA-STS. Los servidores externos utilizan el valor id actualizado para determinar cuándo ha cambiado la política. Te recomendamos que, siempre que cambies la política, incluyas en el valor id la fecha y la hora para saber cuándo se ha modificado por última vez.
6. Guarda los cambios.

 

Requisitos del servidor para utilizar MTA-STS

Comprueba que los servidores de correo que reciben correo entrante cumplan estos requisitos:

• Requieren que el correo se transmita a través de una conexión segura (TLS).
• Utilizan la versión 1.2 de TLS o una versión posterior.
• Tienen certificados TLS que:
  • Coinciden con el nombre de dominio que usa el servidor de correo entrante; es decir, el servidor que figura en tus registros MX.
  • Están firmados por una autoridad de certificación raíz que los considera de confianza.

Modos de política de MTA-STS

Las políticas de MTA-STS pueden aplicarse en modo de prueba o en modo obligatorio.

Modo de prueba

Si aplicas la política en modo de prueba, se solicitará a los servidores de correo externos que te envíen informes diarios. Estos informes contienen información sobre los problemas detectados cuando se conectan al dominio. También incluyen información sobre las políticas de MTA-STS que se han detectado, así como estadísticas de tráfico, datos sobre las conexiones fallidas y los mensajes que no se han podido enviar.

Al usar este modo, tu dominio solo solicita informes; es decir, no aplica ninguna de las medidas de conexión segura que exige el estándar MTA-STS. Te recomendamos que, para empezar, actives el modo de prueba durante dos semanas, un periodo durante el que se pueden obtener suficientes datos para detectar y solucionar cualquier problema que haya en tu dominio.

Utiliza la información que se facilita en los informes diarios para resolver problemas con el cifrado o la seguridad de tu servidor o dominio y, a continuación, cambia la política al modo obligatorio.

Modo obligatorio

Si configuras la política en el modo obligatorio, tu dominio solicita a los servidores externos que comprueben que la conexión SMTP esté cifrada y autenticada.

Si la conexión SMTP no cumple con estos requisitos, ocurrirá lo siguiente:

• Los servidores que admitan el estándar MTA-STS no enviarán correo a tu dominio.
• Los servidores que no admitan el estándar MTA-STS seguirán enviando correo a tu dominio de la manera habitual; es decir, a través de conexiones SMTP que podrían no estar cifradas.

En el modo obligatorio, sigues recibiendo los informes diarios de servidores externos.

Crear archivos de política

Los archivos de política son archivos de texto sin formato que contienen pares clave-valor. Cada par debe introducirse en una línea aparte en el archivo de texto, tal como se muestra en el ejemplo. El tamaño máximo del archivo de texto de la política es de 64 KB.

Nombre de los archivos de política: el nombre del archivo de texto debe ser mta-sts.txt.

Actualización de los archivos de política: debes actualizar los archivos de política siempre que cambies de servidores de correo o añadas servidores nuevos, así como cuando cambies de dominio.

Formato de archivo de política: el campo version (Versión) debe colocarse siempre en la primera línea de la política. Los demás campos pueden estar en cualquier orden. A continuación se muestra un ejemplo de archivo de política:

version: STSv1
mode: testing
mx: mail.elhacker.net
mx: *.elhacker.net
mx: backupmx.elhacker.net
max_age: 604800

Contenido de los archivos de política: en las políticas deben incluirse todos los pares clave-valor que se muestran en la tabla que aparece a continuación.

Publicar la política de MTA-STS

Una vez que hayas creado la política, sube el archivo a un servidor web público para que los servidores remotos puedan acceder a él.

Requisitos del servidor del host

El servidor web donde se aloje la política debe cumplir los siguientes requisitos:

• Debe admitir SSL/HTTPS.
• El certificado del servidor debe estar firmado por una autoridad de certificación raíz externa que lo considere de confianza.

Cambios en la política

Cada vez que cambies el contenido del archivo de la política, deberás:

• Actualizar el archivo de la política que está alojado en el servidor web público.
• Cambiar el ID de política en los registros DNS. Más información sobre cómo activar MTA-STS y los informes de TLS

También deberás seguir estos pasos cuando cambies una política del modo de prueba al modo obligatorio.

Añadir la política a un servidor web de tu dominio

1. Comprueba que tu dominio esté configurado con un servidor web público.
2. En tu dominio, añade un subdominio cuyo nombre empiece por mta-sts, por ejemplo:
   

   mta-sts.elhacker.net

3. Crea un directorio llamado .well-known en el subdominio.
4. Sube el archivo de la política que has creado al directorio .well-known.

   Ejemplo de URL de una política de MTA-STA:
   

   https://mta-sts.elhacker.net/.well-known/mta-sts.txt