Ayuda y Resolución de problemas
MTA-STS
Qué es esto
MTA-STS permite que un dominio exija que el correo entrante se entregue únicamente por TLS autenticado a sus hosts MX listados. Combina un registro DNS (_mta-sts) con un archivo de política servido en https://mta-sts.tudominio.com/.well-known/mta-sts.txt.
Cómo interpretar tu resultado
Una configuración sana muestra tanto el registro DNS como un archivo de política accesible, con mode: enforce para una protección real (el modo de pruebas solo informa). Comprueba que las entradas mx: de la política coincidan realmente con tus nombres de host MX.
Problemas comunes y cómo solucionarlos
El registro DNS existe pero el archivo de política es inaccesible
Cómo se manifiesta: Los remitentes no pueden obtener la política, por lo que MTA-STS no aporta nada silenciosamente; la comprobación informa del fallo de obtención.
Cómo solucionarlo: Sirve el archivo exactamente en https://mta-sts.tudominio.com/.well-known/mta-sts.txt con un certificado válido para el subdominio mta-sts. Un pequeño sitio estático o un worker de CDN es suficiente, pero debe mantenerse activo.
Las entradas mx de la política no coinciden con los registros MX reales
Cómo se manifiesta: En modo enforce, el correo legítimo de remitentes estrictos empieza a ser rechazado tras un cambio de MX.
Cómo solucionarlo: Actualiza el archivo de política cada vez que cambien los registros MX (y aumenta el id= del registro DNS para que las cachés se refresquen). Automatiza este emparejamiento si los cambios de MX son mínimamente frecuentes.
Atascado en modo de pruebas para siempre
Cómo se manifiesta: Llegan informes de TLSRPT pero los ataques de degradación seguirían teniendo éxito: el modo de pruebas nunca bloquea nada.
Cómo solucionarlo: Tras un periodo limpio en pruebas (vigila tus informes de TLSRPT), cambia mode: a enforce y aumenta el id=.