Última actualización: julio de 2026
En resumen: MTA-STS no se puede activar con un clic en los grandes hosts compartidos alemanes (IONOS, Strato, All-Inkl, Netcup, domainfactory, united-domains, checkdomain). La parte de DNS es trivial — el obstáculo es el archivo de política servido por HTTPS. Este artículo explica por qué, y muestra las vías que te quedan abiertas.
Qué requiere MTA-STS
MTA-STS (SMTP MTA Strict Transport Security, RFC 8461) garantiza que otros servidores de correo solo entreguen mensajes a tu dominio a través de una conexión “autenticada con un certificado público válido” y “cifrada con TLS 1.2 o superior”. Esto cierra una brecha peligrosa: normalmente, “si no se puede crear una conexión TLS, los servidores a menudo envían el mensaje de todos modos” — es decir, en claro. Eso es justo lo que hace vulnerable a SMTP, porque “las conexiones SMTP están expuestas a ataques man-in-the-middle y de otros tipos”.
La trampa: MTA-STS consta de dos partes — y solo una de ellas es DNS.
- Registro TXT de DNS bajo
_mta-sts.tu-dominio(v=STSv1; id=…). Cualquier host que permita registros TXT puede hacerlo — así que todos. - Archivo de política en
https://mta-sts.tu-dominio/.well-known/mta-sts.txt. Y aquí se pone incómodo.
Por qué el archivo de política es el obstáculo
El archivo de política debe, según el estándar, ser accesible por HTTPS — en un subdominio cuyo nombre empiece por mta-sts, con un certificado válido firmado por una CA real. En concreto necesitas:
- un subdominio
mta-sts.tu-dominioque apunte a un servidor web, - un certificado TLS válido para exactamente este subdominio,
- la capacidad de servir un archivo de texto estático bajo
/.well-known/, - y la disciplina de incrementar el
iden el DNS en cada cambio de política.
Los servidores de correo gestionados te quitan esto de encima — Mailcow, por ejemplo, “aloja el archivo de política de forma centralizada para simplificar la gestión”, genera la política de forma dinámica y mantiene el id por sí mismo. Google Workspace y Microsoft 365 documentan MTA-STS a fondo, pero requieren que tú alojes el archivo de política (Microsoft sugiere Azure).
Los hosts compartidos alemanes sencillamente no ofrecen ninguna función de MTA-STS — ni un interruptor ni alojamiento central de la política. No conocen tu configuración de MX como una “función” y no proporcionan ninguna URL de política.
Las vías que quedan en un host compartido
Aún puedes implementar MTA-STS — solo que manualmente:
A) Aloja el archivo de política en tu espacio web. Si tienes un paquete de hosting web en el mismo host, configura el subdominio mta-sts.tu-dominio, obtén un certificado (normalmente Let’s Encrypt con un clic en el panel del host), y coloca el archivo en /.well-known/mta-sts.txt. El archivo de política en sí es simple:
version: STSv1
mode: testing
mx: mail.your-host.com
max_age: 86400
Las líneas mx deben contener exactamente los nombres de host de tus registros MX. Empieza con mode: testing, analiza los informes de TLS-RPT, luego cambia a enforce.
B) Usa un host de MTA-STS externo. Hay servicios especializados y plantillas de autoalojamiento (espacio web estático, un pequeño bucket en la nube con HTTPS, o un Cloudflare Worker) que solo sirven el archivo de política. El DNS de tu dominio se queda en el host, solo el subdominio mta-sts apunta a otro sitio.
C) Primero la base, luego MTA-STS. Con honestidad: MTA-STS es el toque final. Si SPF, DKIM y DMARC aún no están limpiamente en su sitio, hazlo primero — la ganancia de seguridad por esfuerzo es ahí significativamente mayor.
¿Y TLS-RPT?
A diferencia de MTA-STS, TLS-RPT es un registro TXT de DNS puro sin archivo HTTPS — lo puedes definir con facilidad en cualquier host compartido. Vale la pena activar TLS-RPT incluso si (todavía) no implementas MTA-STS: los informes te muestran con qué frecuencia se entrega el correo a tu dominio por TLS.
Verifica el resultado
El escáner MXAudit gratuito comprueba si tu registro _mta-sts existe, si el archivo de política es accesible, y si su certificado es válido — junto con TLS-RPT y tu estado TLS general.
Más información
- Ayuda de Google Workspace: Acerca de MTA-STS y los informes TLS (consultado el 10 de julio de 2026)
- Documentación de Mailcow: Configurar MTA-STS (consultado el 10 de julio de 2026)
- RFC 8461 — SMTP MTA Strict Transport Security (MTA-STS)
