MTA-STS Misconfiguration

Mala configuración de MTA-STS

Riesgo: medium

Descripción

MTA-STS es un protocolo de seguridad que permite a los servidores de correo declarar su capacidad para recibir conexiones seguras SMTP a través de Transport Layer Security (TLS). Las malas configuraciones en MTA-STS pueden comprometer la seguridad del correo electrónico, provocar fallos de entrega y exponer a las organizaciones a ataques de degradación (downgrade attacks). Las siguientes áreas son preocupaciones clave en la configuración de MTA-STS:

1. Formato del archivo de política (Policy File)

Las políticas MTA-STS deben servirse sobre HTTPS y ubicarse en .well-known/mta-sts.txt. Las malas configuraciones comunes incluyen: * Tipo MIME incorrecto (debe ser text/plain) * Sintaxis no válida en el archivo de política

# Formato correcto
version: STSv1
mode: enforce
max_age: 604800
mx: mail.example.com
mx: backup-mail.example.com

2. Configuración del registro DNS

El registro TXT _mta-sts debe tener un formato adecuado. Las malas configuraciones incluyen: * Formato de registro no válido * Campo de versión faltante o incorrecto

# Formato correcto
_mta-sts.example.com. IN TXT "v=STSv1; id=20230101T123456"

3. Selección del modo

La selección incorrecta del modo puede exponer a la organización a riesgos o causar fallos innecesarios en la entrega de correo electrónico: * testing: Sin aplicación, solo reportes * enforce: Aplicación estricta de la política * none: Política deshabilitada

Saltar directamente al modo enforce sin probar puede provocar interrupciones en la entrega de correo electrónico.

4. Configuración de Max Age

Los valores inapropiados de max_age pueden afectar la seguridad y la eficiencia operativa: * Demasiado bajo (ej. 300 segundos): Búsquedas DNS y recuperación de políticas excesivas * Demasiado alto (ej. 31536000 segundos): Dificultad en la actualización de políticas durante incidentes

# Rango recomendado: 1-2 semanas (604800-1209600 segundos)
max_age: 604800

5. Coincidencia de patrones MX

Los patrones MX incorrectos en el archivo de política pueden causar el rechazo de correos electrónicos legítimos:

# Demasiado permisivo
mx: *.example.com

# Demasiado restrictivo
mx: mail1.example.com

# Mejor enfoque - listado explícito
mx: mail1.example.com
mx: mail2.example.com
mx: backup.example.com

6. Configuración HTTPS

La política MTA-STS debe servirse sobre una conexión HTTPS válida. Los problemas comunes incluyen: * Certificados SSL caducados * Cadena de certificados no válida * Configuración SSL faltante o incorrecta * Redirección de HTTP a HTTPS no funcional

---

Estas malas configuraciones pueden resultar en fallos de entrega de correo electrónico, una reducción de la postura de seguridad y una mayor vulnerabilidad a ataques de intermediario (man-in-the-middle). Las organizaciones que implementan MTA-STS deben probar cuidadosamente las configuraciones en modo testing antes de pasar al modo enforce, y monitorear regularmente la efectividad de la política mediante los informes de MTA-STS.

Recomendación

Para mitigar los riesgos asociados con las malas configuraciones de MTA-STS, considere las siguientes recomendaciones:

• Comience con el modo de prueba: Inicie la implementación de MTA-STS en modo testing para monitorear posibles problemas sin afectar la entrega de correo electrónico:

  version: STSv1
  mode: testing
  max_age: 86400
  mx: mail1.example.com
  

• Implemente valores progresivos de Max Age: Utilice valores max_age más cortos inicialmente y aumente gradualmente; el valor recomendado es de 1 a 2 semanas.

• Monitoreo regular de la política:

• Supervise los datos de los informes de MTA-STS para detectar fallos en la política.
• Revise los registros de conexión SMTP TLS.
• Verifique regularmente la validez del certificado HTTPS.

• Compruebe la consistencia de los registros DNS en todos los servidores autoritativos.

• Mejores prácticas de seguridad:

• Utilice certificados SSL robustes (RSA de 2048 bits o superior).
• Habilite HTTP/2 para servir la política.
• Implemente encabezados HSTS adecuados en el host de la política.

• Mantenga una alineación adecuada de SPF, DKIM y DMARC.

• Procedimientos operativos:

• Documente la configuración de MTA-STS en su proceso de gestión de cambios de DNS.
• Cree procedimientos de respuesta a incidentes para problemas relacionados con MTA-STS.
• Mantenga servidores de correo de respaldo en la configuración de la política.

• Pruebe primero las actualizaciones de la política en un entorno de preproducción (staging).

• Estrategia de cambios planificados:

• Comience con la política en modo testing.
• Aumente gradualmente el valor de max_age.
• Monitoree los datos de los informes en busca de problemas.
• Cambie al modo enforce después de un período de prueba exitoso.
• Mantenga documentación de todos los cambios y sus impactos.

Estas recomendaciones ayudan a garantizar una implementación robusta y segura de MTA-STS mientras se minimiza el riesgo de interrupciones en la entrega de correo electrónico.

Enlaces

• MTA-STS Overview and Configuration Guide
• About MTA-STS and TLS reporting
• What is MTA-STS? Setup the Right MTA STS Policy

Estándares

• SOC2_CONTROLS:
  • CC_5_3
  • CC_6_1
  • CC_6_6
  • CC_6_7
  • CC_8_1
  • CC_9_1
• GDPR:
  • ART_25
  • ART_32
• OWASP_ASVS_L3:
  • V10_3_3
  • V1_1_5
• PCI_STANDARDS:
  • REQ_1_3
  • REQ_4_1
  • REQ_12_2
• HIPAA_CONTROLS:
  • SECURITY212
  • SECURITY213