Verificador Gratuito de MTA-STS — Verifica la Política de Seguridad de Transporte de Correo
Comprueba si tu dominio publica un registro MTA-STS válido. MTA-STS obliga a los servidores de correo receptores a usar TLS al entregar a tu dominio, previniendo ataques de degradación y escuchas.
Por qué MTA-STS importa para la seguridad del correo
Qué devuelve este verificador MTA-STS
Consultamos el registro TXT DNS _mta-sts y devolvemos su contenido completo y estado de validación.
Casos de uso comunes de MTA-STS
MTA-STS es especialmente importante para dominios que manejan correo sensible o regulado.
Verificación de configuración inicial — confirma que el registro MTA-STS está activo tras publicarlo en DNS
Auditoría del modo de política — verifica el modo enforce vs. testing después del despliegue de la política
Verificación post-migración — confirma que el registro MTA-STS sobrevivió cambios de dominio o proveedor DNS
Auditoría de cumplimiento — valida la aplicación de TLS para requisitos HIPAA, GDPR o ISO 27001
Revisión de seguridad — incluye MTA-STS en la evaluación completa de seguridad de la infraestructura de correo
Solución de problemas — diagnostica fallos de correo entrante que puedan relacionarse con una mala configuración de la política TLS
Cómo leer los resultados de MTA-STS
Entender el resultado te ayuda a configurar y solucionar correctamente la aplicación de TLS para tu dominio.
Verificar el estado del registro
Válido significa que se encontró el registro TXT DNS de MTA-STS y comienza con v=STSv1. No encontrado significa que TLS no está señalizado a los servidores de envío. Inválido significa que el registro está mal formado o duplicado.
Revisar el registro sin procesar
El registro TXT sin procesar muestra la entrada MTA-STS completa, incluyendo la versión y los campos opcionales. Confirma que coincide con lo que muestra tu proveedor DNS.
Verificar el archivo de política
MTA-STS también requiere un archivo de política alojado en https://mta-sts.tudominio.com/.well-known/mta-sts.txt. El registro DNS y el archivo de política deben estar presentes y ser coherentes.
Verificar el modo
Comienza en modo testing (mode: testing) para recibir informes TLS-RPT sin bloquear el correo. Cambia al modo enforce solo después de confirmar que todos los remitentes pueden entregar sobre TLS correctamente.
Quién usa el verificador MTA-STS
La verificación MTA-STS es utilizada por administradores de correo, equipos de seguridad y responsables de cumplimiento.
Administradores de correo que verifican que la política de aplicación de TLS está activa y es correcta
Ingenieros de seguridad que auditan la seguridad de transporte de correo para revisiones de cumplimiento
Gestores de TI que comprueban MTA-STS como parte de una evaluación más amplia de la infraestructura de correo
Consultores de entregabilidad que verifican la configuración de seguridad del dominio para sus clientes
Responsables de cumplimiento que validan los requisitos de TLS en tránsito para industrias reguladas
Preguntas Frecuentes
¿Qué es MTA-STS?
MTA-STS (Mail Transfer Agent Strict Transport Security) es un estándar de seguridad de correo (RFC 8461) que señala a los servidores de correo de envío que tu dominio requiere TLS para la entrega de correo. Previene los ataques de degradación que eliminan TLS de las conexiones SMTP.
¿Qué registro DNS usa MTA-STS?
MTA-STS requiere un registro TXT en _mta-sts.tudominio.com que comience con v=STSv1. También requiere un archivo de política alojado en https://mta-sts.tudominio.com/.well-known/mta-sts.txt.
¿Cuáles son los modos de política de MTA-STS?
Hay tres modos: none (solo informes, sin aplicación), testing (informar fallos pero seguir entregando) y enforce (rechazar la entrega si no se puede establecer TLS). Comienza con testing para monitorear antes de cambiar a enforce.
¿MTA-STS reemplaza a STARTTLS?
No. STARTTLS actualiza las conexiones a TLS de forma oportunista pero puede ser eliminado por atacantes. MTA-STS añade aplicación estricta y validación de certificados sobre STARTTLS, previniendo los ataques de degradación.
¿Qué es TLS-RPT y cómo se relaciona con MTA-STS?
TLS-RPT (TLS Reporting, RFC 8460) envía informes agregados sobre los fallos de entrega TLS a un correo o punto de enlace HTTPS especificado. Combínalo con MTA-STS para recibir notificaciones cuando la entrega TLS a tu dominio falle.
¿MTA-STS bloqueará correo legítimo?
En modo enforce, sí — si un servidor de envío no puede establecer una conexión TLS válida, se negará a entregar. Usa primero el modo testing para identificar cualquier remitente que tenga problemas de TLS antes de cambiar a enforce.
¿Cómo verifica este verificador MTA-STS?
La herramienta consulta el registro TXT DNS _mta-sts en tiempo real y devuelve el contenido del registro sin procesar y el estado de validación. Nota: esta herramienta solo verifica el registro DNS, no el archivo de política alojado en mta-sts.tudominio.com.
¿Esta herramienta almacena los dominios que verifico?
No. Todas las búsquedas DNS se realizan en tiempo real sin retener ningún dato del dominio después de que la consulta se completa.