Última actualización: julio de 2026

En resumen: MTA-STS no se puede activar con un clic en los grandes hosts compartidos alemanes (IONOS, Strato, All-Inkl, Netcup, domainfactory, united-domains, checkdomain). La parte de DNS es trivial — el obstáculo es el archivo de política servido por HTTPS. Este artículo explica por qué, y muestra las vías que te quedan abiertas.

Qué requiere MTA-STS

MTA-STS (SMTP MTA Strict Transport Security, RFC 8461) garantiza que otros servidores de correo solo entreguen mensajes a tu dominio a través de una conexión “autenticada con un certificado público válido” y “cifrada con TLS 1.2 o superior”. Esto cierra una brecha peligrosa: normalmente, “si no se puede crear una conexión TLS, los servidores a menudo envían el mensaje de todos modos” — es decir, en claro. Eso es justo lo que hace vulnerable a SMTP, porque “las conexiones SMTP están expuestas a ataques man-in-the-middle y de otros tipos”.

La trampa: MTA-STS consta de dos partes — y solo una de ellas es DNS.

  1. Registro TXT de DNS bajo _mta-sts.tu-dominio (v=STSv1; id=…). Cualquier host que permita registros TXT puede hacerlo — así que todos.
  2. Archivo de política en https://mta-sts.tu-dominio/.well-known/mta-sts.txt. Y aquí se pone incómodo.

Por qué el archivo de política es el obstáculo

El archivo de política debe, según el estándar, ser accesible por HTTPS — en un subdominio cuyo nombre empiece por mta-sts, con un certificado válido firmado por una CA real. En concreto necesitas:

  • un subdominio mta-sts.tu-dominio que apunte a un servidor web,
  • un certificado TLS válido para exactamente este subdominio,
  • la capacidad de servir un archivo de texto estático bajo /.well-known/,
  • y la disciplina de incrementar el id en el DNS en cada cambio de política.

Los servidores de correo gestionados te quitan esto de encima — Mailcow, por ejemplo, “aloja el archivo de política de forma centralizada para simplificar la gestión”, genera la política de forma dinámica y mantiene el id por sí mismo. Google Workspace y Microsoft 365 documentan MTA-STS a fondo, pero requieren que alojes el archivo de política (Microsoft sugiere Azure).

Los hosts compartidos alemanes sencillamente no ofrecen ninguna función de MTA-STS — ni un interruptor ni alojamiento central de la política. No conocen tu configuración de MX como una “función” y no proporcionan ninguna URL de política.

Las vías que quedan en un host compartido

Aún puedes implementar MTA-STS — solo que manualmente:

A) Aloja el archivo de política en tu espacio web. Si tienes un paquete de hosting web en el mismo host, configura el subdominio mta-sts.tu-dominio, obtén un certificado (normalmente Let’s Encrypt con un clic en el panel del host), y coloca el archivo en /.well-known/mta-sts.txt. El archivo de política en sí es simple:

version: STSv1
mode: testing
mx: mail.your-host.com
max_age: 86400

Las líneas mx deben contener exactamente los nombres de host de tus registros MX. Empieza con mode: testing, analiza los informes de TLS-RPT, luego cambia a enforce.

B) Usa un host de MTA-STS externo. Hay servicios especializados y plantillas de autoalojamiento (espacio web estático, un pequeño bucket en la nube con HTTPS, o un Cloudflare Worker) que solo sirven el archivo de política. El DNS de tu dominio se queda en el host, solo el subdominio mta-sts apunta a otro sitio.

C) Primero la base, luego MTA-STS. Con honestidad: MTA-STS es el toque final. Si SPF, DKIM y DMARC aún no están limpiamente en su sitio, hazlo primero — la ganancia de seguridad por esfuerzo es ahí significativamente mayor.

¿Y TLS-RPT?

A diferencia de MTA-STS, TLS-RPT es un registro TXT de DNS puro sin archivo HTTPS — lo puedes definir con facilidad en cualquier host compartido. Vale la pena activar TLS-RPT incluso si (todavía) no implementas MTA-STS: los informes te muestran con qué frecuencia se entrega el correo a tu dominio por TLS.

Verifica el resultado

El escáner MXAudit gratuito comprueba si tu registro _mta-sts existe, si el archivo de política es accesible, y si su certificado es válido — junto con TLS-RPT y tu estado TLS general.

Más información