PowerMTA o KumoMTA · sobre tu infraestructura · capacitación SRE incluida

La operación queda en tus servidores, tus IPs y tu datacenter. EMP entrega la instalación.

Para operaciones reguladas que no pueden migrar a cloud externo. Banca con servidores on-premise certificados por la Superintendencia. Government con soberanía de datos local exigida por marco regulatorio. Healthcare con BAA HIPAA específico que limita acceso de terceros al contenido. Despachos legales con datos bajo control directo. El hardware, la conectividad, las IPs salientes y los datos quedan bajo propiedad del cliente. EMP entrega instalación, configuración productiva, capacitación SRE, runbooks operacionales. Catorce instalaciones en infra de tercero operando 2024-2026.

14instalaciones live
1-6semanas entrega
4-24hcapacitación SRE
100% control cliente
Modelo de responsabilidad compartida

Qué entrega EMP y qué queda con el cliente.

La frontera operacional es clara y se documenta contractualmente. Esto es lo que define que el servicio funcione: ambas partes saben qué responsabilidad tienen sin ambigüedad. Especialmente relevante en operaciones reguladas donde la auditoría exige separación de roles documentable.

División de responsabilidades

El cliente conserva propiedad y control sobre infraestructura, conectividad e IPs. EMP aporta la instalación y configuración del MTA bajo régimen de encargado de tratamiento del DE 285 art. 24.

Cliente · propiedad

Lo que provee y opera el cliente

Toda la capa de infraestructura física y lógica, conectividad y datos.

  • Hardware del servidor o VMs sobre hipervisor propio
  • Sistema operativo Linux con licencias correspondientes
  • Datacenter físico o cloud privado del cliente
  • Conectividad de red y bandwidth contratado
  • IPs públicas dedicadas con reverse DNS configurable
  • Firewall corporativo y políticas de red
  • Backup de infraestructura subyacente
  • Compliance del sistema operativo (parches, hardening)
  • Datos del email (contenido, destinatarios, logs)
  • Decisiones de envío y políticas comerciales
Frontera DPA
EMP · servicio

Lo que entrega EMP

La capa MTA, configuración productiva y transferencia de conocimiento.

  • Instalación PowerMTA o KumoMTA
  • Configuración productiva del MTA específica del cliente
  • Setup DKIM, SPF, DMARC, MTA-STS si corresponde
  • Lua scripting si KumoMTA con business logic custom
  • IP warmup procedure si IPs nuevas
  • Bounce processing y retry logic
  • Capacitación SRE del cliente (4-24 horas según tier)
  • Runbooks operacionales documentados
  • Configuración de monitoreo en stack del cliente
  • Managed operations posterior (add-on opcional)

La frontera importa porque define expectativas auditables. Si el firewall corporativo del cliente bloquea outbound puerto 25 después del go-live, eso es responsabilidad del equipo de red del cliente. Si el MTA configurado por EMP genera bounces excesivos por mala configuración de DKIM, eso es responsabilidad de EMP cubierta en garantía. La distinción se documenta caso a caso en el scope del proyecto.

Cuatro casos típicos donde encaja

Sectores que requieren control directo.

Estos son los cuatro patrones reales que vemos en operaciones B2B Latinoamérica donde el cloud externo no es opción. Para cada uno la decisión técnica no es de costo sino de marco regulatorio o estrategia corporativa.

Banca · SBP

Banca regulada Panamá

Bancos panameños sujetos a la Superintendencia de Bancos (SBP) tienen requerimientos de mantener infraestructura crítica en datacenters certificados con auditoría regular. El email transaccional (notificaciones de transferencia, confirmaciones, estados de cuenta) entra dentro del scope crítico cuando vehicula información financiera del cliente.

Marco regulatorio Acuerdo SBP No. 11-2018 sobre Gestión de Riesgo Tecnológico · Ley 81 art. 30 sobre medidas técnicas · BAA con cada proveedor que procese datos del titular financiero
Government

Government y entidades públicas

Ministerios, alcaldías, entidades autónomas panameñas con email institucional bajo dominio gob.pa. Soberanía de datos exigida para comunicaciones con ciudadanos en algunos casos. Contratación pública con criterios de localización del servicio explícitos en el pliego.

Marco regulatorio Ley 38 de 2000 sobre procedimiento administrativo digital · resoluciones AIG (Autoridad de Innovación Gubernamental) sobre infraestructura crítica · Decreto Ejecutivo 285 art. 23 sobre transferencias internacionales
Healthcare

Healthcare con HIPAA / Ley 81

Clínicas, hospitales, aseguradoras de salud con clientes en USA bajo HIPAA, o con clientes panameños bajo Ley 81 sobre datos sensibles (art. 4 numeral 19). Email con resultados de laboratorio, recetas, datos de cobertura. BAA específico exigido con cualquier proveedor que tenga acceso técnico al servicio.

Marco regulatorio HIPAA Security Rule § 164.312 · Ley 81 art. 4 numeral 19 sobre datos sensibles · BAA bilateral con proveedor procesador
Legal

Despachos legales con datos sensibles

Despachos de abogados con casos sensibles, firma corporativa con M&A confidenciales, despachos penales con documentación de investigación. El secreto profesional del abogado exige minimizar el número de terceros con acceso técnico potencial al contenido del email del despacho.

Marco regulatorio Código de Ética del Colegio Nacional de Abogados de Panamá · Decreto Ejecutivo 285 art. 24 sobre encargados · NDA bilateral con cada proveedor de servicio técnico
Requerimientos técnicos validados pre-scope

Especificaciones de los servidores del cliente.

Validamos antes de aceptar scope formal. Si el hardware o la conectividad no cumple mínimo, lo documentamos en la fase 1 con plan de upgrade requerido del cliente o derivación a la modalidad de infraestructura EMP. No empezamos instalación sobre infra que no soporta volumen comercial.

Mínimo viable

Hasta 500K envíos/mes · 1 servidor

  • CPU8 vCPU x86_64
  • RAM16 GB
  • Disco100 GB SSD para queue + logs
  • OSRHEL/Rocky 9, Debian 12, Ubuntu 22.04/24.04
  • Kernel5.10+ (KumoMTA), 4.18+ (PowerMTA)
  • Red1 Gbps · 25/587/465 outbound
  • IPs1 IP pública dedicada con rDNS
Recomendado productivo

Hasta 5M envíos/mes · cluster HA

  • CPU16-32 vCPU por nodo
  • RAM32-64 GB por nodo
  • Disco500 GB SSD NVMe + 2 TB archive
  • Nodos2-4 servidores idem spec
  • Red10 Gbps con redundancia
  • IPs4-8 IPs públicas pool warmup
  • BackupSnapshot diario + retention 30d
  • MonitoreoPrometheus/Grafana o equivalente

Para operaciones sobre 5M envíos/mes la arquitectura se calibra ad-hoc según el patrón de tráfico (batch nocturno vs continuous, ratio transactional vs marketing, geografía de receivers). El tier Enterprise Deployment cubre esta calibración como parte del scope. Si el cliente quiere ejecutar volumen sobre infra menor a la recomendada, lo documentamos honestamente con expected throttling ceilings.

Decisión técnica · PowerMTA vs KumoMTA

Qué MTA instalamos en tu infra.

La decisión depende de tres factores: licencias previas del cliente, presupuesto anual disponible, capacidad del equipo SRE de operar Lua scripting. Hacemos recomendación honesta basada en lo que conviene al cliente, no en lo que conviene comercialmente a EMP. Sin afiliación con Bird desde 2021.

PowerMTA

Licencia comercial Bird · $8,400-$34,000/año por servidor

Conviene cuando: el cliente ya tiene licencia perpetua activa pre-2021 y prefiere mantenerla, integraciones legacy con Submission API que no compensa migrar, equipo SRE familiar con la configuración estática config.txt, requirement de auditoría que documenta uso de software comercial específico.

Sin markup en licencia: si el cliente compra licencia nueva, lo coordinamos con Bird directamente y el cliente paga directo a Bird.

KumoMTA

Open-source Apache 2.0 · $0 licencia · solo costo infra

Conviene cuando: el cliente no tiene licencia PowerMTA previa, presupuesto sensible, equipo SRE moderno con experiencia Lua o capacidad de adquirirla, requirement de observabilidad nativa Prometheus/Grafana, deseo de comunidad open-source activa, configuración como código en Git, ausencia de relación contractual con Bird.

Recomendado para 80% de instalaciones nuevas 2026: el equipo original de PowerMTA está detrás del proyecto, paridad funcional confirmada en producción.

Postfix

Open-source IBM Public License · $0 licencia · default Linux

Conviene cuando: volumen bajo 500K envíos/mes, equipo SRE familiar con configuración Postfix tradicional, despliegue rápido sin curva de aprendizaje nueva, infra Linux estándar (RHEL/Ubuntu/Debian/Rocky), uso primario relay transaccional aplicación, ausencia de necesidad de throttling avanzado por ISP.

95% de operaciones bajo 1M emails/mes funcionan perfecto con Postfix bien tuneado. Mantenido por Wietse Venema en Google desde hace dos décadas.

Halon

Licencia comercial · pricing per-instance bajo consulta

Conviene cuando: requirement de scripting programable en flujo SMTP, lógica routing condicional compleja, integraciones custom vía Halon Script Language (HSL), ESP multi-tenant con políticas dinámicas.

Caso típico LatAm: ISP regional o hosting con flujos custom no cubiertos por MTA estándar.

La decisión se cierra en la fase 1 después de evaluar variables del cliente. EMP no tiene relación contractual ni co-marketing con Bird desde 2021: la recomendación es funcional, no comercial. Si después de la evaluación PowerMTA sigue siendo la respuesta correcta para el caso del cliente, lo decimos así honestamente. Si el cliente prefiere uno u otro por razones propias, también respetamos esa decisión.

Plan de instalación · 5 fases

Cómo ejecutamos el deployment en tus servidores.

Fase 01
Días 1-3

Discovery + validación

Validación de hardware, OS, red, IPs. Decisión PowerMTA vs KumoMTA. Coordinación de accesos VPN/jumphost. NDA bilateral firmado.

Fase 02
Día 4-7

Instalación base

Build del MTA elegido. Configuración base productiva. Setup DKIM, SPF, DMARC. IP warmup si IPs nuevas. Testing contra inboxes de prueba.

Fase 03
Día 7-14

Configuración específica

Lua scripting custom si KumoMTA, ajuste de templates si PowerMTA. Integración con backend del cliente. Bounce processing custom.

Fase 04
Día 14-21

Capacitación SRE

Sesiones con equipo SRE del cliente (4-24h según tier). Runbooks documentados. Pair-programming sobre incidentes simulados.

Fase 05
Día 21-30

Go-live + handover

Cutover a producción coordinado con el cliente. 30/60/90 días soporte según tier. Documentación final. Cierre formal del proyecto.

Pricing transparente

Tres tiers de instalación + add-on managed opcional.

La licencia PowerMTA si aplica es separada (cliente paga directo a Bird, sin markup EMP). KumoMTA es gratuita bajo Apache 2.0. El costo de infra del cliente queda fuera del scope porque ya es del cliente.

Single Server

1 servidor · hasta 500K envíos/mes.

$3,500 USD
  • Instalación PowerMTA o KumoMTA
  • Configuración productiva
  • Setup DKIM, SPF, DMARC
  • Capacitación SRE 4 horas
  • Runbooks operacionales
  • 30 días soporte · entrega 1-2 semanas
Solicitar Single

Enterprise Deployment

Servidores ilimitados · HA multi-region.

$15,000+ USD
  • Servidores ilimitados
  • Arquitectura HA multi-region
  • Integración SIEM observabilidad
  • Capacitación SRE 24 horas
  • Plan DR + backup documentado
  • 90 días soporte · entrega 4-6 semanas
Hablar Enterprise

Managed Operations

Add-on opcional · monitoreo y operación post-go-live.

$1,500+ USD/mes
  • Monitoreo 24/7 del MTA
  • Ajustes de configuración managed
  • Patching coordinado
  • Response 1h business / 4h críticos
  • Sin acceso al contenido de email
  • Contratable separado o post-instalación
Agregar managed
Lo que pregunta el CIO o head of infra

Las preguntas reales en la primera llamada.

"¿En qué se diferencia este servicio del PowerMTA o KumoMTA gestionado de EMP?"

El servicio gestionado de EMP incluye la infraestructura: servidores en datacenter EMP en Panamá, conectividad EMP, IPs EMP, hardware EMP. El cliente contrata el servicio completo end-to-end. El servicio de instalación sobre infraestructura del cliente es distinto: el cliente provee hardware, datacenter, conectividad, IPs salientes, control directo del sistema operativo. EMP entrega únicamente la instalación del MTA, la configuración productiva y capacitación. Es la opción correcta cuando el cliente tiene requerimiento regulatorio explícito de mantener los datos bajo control directo o cuando ya posee infraestructura sub-utilizada que aprovecha. Operacionalmente es más complejo coordinar porque depende de ventanas de mantenimiento del cliente, accesos VPN/jumphost, políticas internas de change management.

"¿EMP tiene acceso al contenido del email procesado por el MTA instalado?"

Por defecto no. El scope del servicio se separa explícitamente en dos modalidades. Modalidad sin acceso (default): EMP entrega la instalación, configuración y capacitación, y luego el cliente opera el MTA con su propio equipo. El acceso de EMP a la infraestructura termina al cierre formal del proyecto. Modalidad managed operations add-on: el cliente contrata el monitoreo y operación posterior, en cuyo caso EMP tiene acceso de operación (lectura de logs, configuración, métricas) pero NO acceso al contenido de los mensajes en queue o en spool. Esto se especifica contractualmente en el DPA bajo el rol de encargado de tratamiento del Decreto Ejecutivo 285 art. 24. Para healthcare HIPAA se firma BAA específico que documenta el alcance limitado del acceso.

"¿Funciona si tenemos servidores en cloud público (AWS, GCP, Azure)?"

Sí, con caveats reputational. Las IPs de AWS, GCP, Azure y otros cloud providers tienen reputational floor menor por defecto. Microsoft Defender y algunos filtros corporativos aplican filtering adicional sobre rangos cloud conocidos. Para volúmenes bajos o email transaccional la limitación no es relevante. Para volúmenes medios o altos (sobre 500K envíos/mes) la recomendación honesta es: si la decisión de cloud es por flexibilidad operacional pero no hay restricción regulatoria, considerar migrar las IPs salientes a un servicio dedicated con mejor reputational floor. Si la decisión de cloud es por restricción regulatoria o estrategia corporativa, la instalación procede con la limitación documentada en el scope.

"¿Qué pasa con licencias PowerMTA bajo Bird?"

Hay tres escenarios. Cliente con licencia Bird actual: EMP instala usando la licencia del cliente, sin intermediación comercial. El cliente mantiene la relación con Bird directamente. Cliente sin licencia, quiere PowerMTA: gestionamos la compra de licencia Bird por cuenta del cliente (precios Bird públicos: Standard desde $8,400/año por servidor, Professional desde $18,500/año, Enterprise desde $34,000+/año), sin markup. Si el cliente prefiere alternativa: recomendamos KumoMTA (Apache 2.0, sin licencia comercial) como alternativa de igual capacidad funcional con menor costo total. La decisión final es del cliente; EMP no tiene incentivo de venta de PowerMTA porque no recibe comisión de Bird desde 2021.

"Mi equipo SRE no tiene experiencia con MTAs. ¿Pueden operar después?"

Sí, eso es exactamente para lo que existe la fase de capacitación. Single Server incluye 4 horas, Multi-Server 12 horas, Enterprise 24 horas distribuidas en sesiones. La capacitación cubre: arquitectura del MTA instalado, configuración productiva específica del cliente, runbooks operacionales para incidentes típicos (queue stuck, bounce flood, DKIM rotation, IP warmup, blocklist response), troubleshooting con logs, integración con monitoreo del cliente. Después del cierre formal del proyecto, el cliente opera autónomamente con base en la documentación entregada. Para clientes que prefieren mantener cobertura EMP en incidentes críticos sin ser equipo full-time, el managed operations add-on cubre ese gap con SLA contractual.

"¿Cuánto tarda end-to-end? Tengo presión de timeline interno."

Tiempo varía por tier. Single Server: 1-2 semanas incluyendo coordinación de accesos, instalación, configuración, testing, capacitación, handover. Multi-Server Cluster: 2-3 semanas adicionando configuración HA y load balancing. Enterprise Deployment: 4-6 semanas con arquitectura HA multi-region, integración con observabilidad existente del cliente, plan de DR documentado. Variables que extienden el plazo: políticas de change management del cliente que limitan ventanas de despliegue (común en banca con CAB review semanal), accesos VPN/jumphost con flujo de aprobación interna lento, necesidad de auditoría de seguridad pre-instalación, coordinación con vendor del cliente para configuración de firewall corporativo. Lo que sí garantizamos: comunicación semanal del progreso vs plan con honestidad si hay slip.

Preguntas técnicas frecuentes

Lo que sale en la sesión técnica.

¿Qué servidores son aceptables para instalar PowerMTA o KumoMTA?

Requerimientos mínimos validados antes del scope formal:

  • Hardware: 8 vCPU, 16 GB RAM, 100 GB SSD para el queue y logs (más almacenamiento adicional según volumen y retención requerida)
  • Sistema operativo: Linux LTS reciente, idealmente RHEL/Rocky 9, Debian 12, Ubuntu 22.04 LTS o 24.04 LTS
  • Para PowerMTA: kernel mínimo 4.18+, glibc 2.28+
  • Para KumoMTA: kernel 5.10+, soporte de tokio runtime async I/O
  • Conectividad: IPs públicas dedicadas con reverse DNS configurable, ports 25/587/465 abiertos outbound, capacidad de configurar PTR records con el ISP del cliente

Para volúmenes superiores a 1M envíos/mes se requieren especificaciones adicionales y arquitectura HA documentada caso a caso.

¿Pueden instalar sobre cloud privado (OpenStack, VMware)?

Sí. La instalación funciona sobre cualquier infraestructura que el cliente controle:

  • Bare metal en datacenter propio
  • VMs en VMware vSphere/ESXi
  • OpenStack deployments
  • Proxmox hipervisores
  • Hyper-V Microsoft
  • RHEV, OVirt

La operación de la plataforma virtual sigue siendo del cliente; EMP solo opera la capa MTA. Caveat: la IP del MTA debe tener reverse DNS configurable y reputational floor adecuado.

¿Cómo se entregan los runbooks operacionales?

Runbooks documentados en formato Markdown versionado en repositorio Git que el cliente recibe al cierre del proyecto. Los runbooks cubren los 12 incidentes típicos:

  • Queue stuck · diagnóstico y resolución
  • Bounce flood inesperado
  • DKIM signature failure
  • Rotación de claves DKIM
  • IP warmup procedure
  • Blocklist response coordinado
  • Throttling agresivo de un MX destination
  • Disk full en el queue spool
  • Cambio de configuración con hot-reload
  • Upgrade del MTA a versión nueva
  • Backup y restore del queue
  • Incident response si credenciales comprometidas

Cada runbook incluye comandos exactos, ejemplos de output esperado, troubleshooting steps, y escalation path si EMP managed operations está contratado.

¿Qué pasa si necesitamos compliance audit (PCI, SOC 2, ISO 27001)?

El tier Enterprise Deployment incluye "compliance audit-ready" como parte del scope:

  • Documentación de arquitectura en formato aceptable por auditor
  • Diagrama de flujos de datos mostrando el alcance del MTA
  • Matrix de roles y responsabilidades entre EMP y cliente
  • Configuración hardening del MTA según baseline de la industria
  • Logging completo con retention configurada según política del cliente
  • Reportes de TLS-RPT y MTA-STS si están activos
  • Coordinación directa con auditor del cliente durante la revisión

EMP no certifica el cliente: la certificación la entrega el auditor del cliente. Lo que entregamos es la documentación e implementación que pasa típicamente sin objeciones en SOC 2 Type II, ISO 27001, PCI-DSS.

¿Pueden trabajar bajo NDA estricto con clearance del cliente?

Sí. Para clientes regulados (banca SBP, government, healthcare con HIPAA, despachos legales con cases sensibles) firmamos:

  • NDA bilateral antes de discovery formal
  • DPA específico bajo régimen del Decreto Ejecutivo 285 art. 24
  • BAA (Business Associate Agreement) si HIPAA aplica
  • Acuerdos adicionales según marco regulatorio del cliente
  • Background check del SRE asignado si el cliente lo exige
  • Acceso restringido al SRE asignado durante el proyecto

Para clientes con security clearance específico (government con datos clasificados), EMP asigna SRE con clearance equivalente cuando el cliente provee el procedimiento de validación. Esto extiende el plazo de inicio del proyecto en 2-4 semanas según jurisdicción.

¿El managed operations add-on requiere acceso permanente?

Sí, requiere acceso de operación con scope limitado. Específicamente:

  • SSH al servidor con cuenta dedicada EMP separada de cuentas del cliente
  • Lectura de logs del MTA
  • Lectura de métricas en monitoreo del cliente
  • Modificación de configuración del MTA con change management coordinado
  • No acceso al contenido de mensajes en queue/spool
  • No acceso a sistemas no relacionados con el MTA

El acceso se gestiona vía VPN/jumphost del cliente con MFA. Logs de acceso de EMP los conserva el cliente para auditoría. Cambio o revocación del acceso es decisión del cliente sin necesidad de justificación.

¿EMP firma BAA HIPAA?

Sí, para clientes healthcare con scope HIPAA. Business Associate Agreement firmado antes de cualquier acceso a infraestructura. El BAA documenta:

  • Identificación de EMP como Business Associate
  • Scope específico del acceso (instalación + opcional managed operations)
  • Compromiso de no acceso al contenido de PHI en queue/spool
  • Medidas de seguridad técnicas y organizativas adoptadas
  • Procedure de breach notification ante incidente
  • Liability cap acordado entre las partes
  • Renewal anual con re-evaluación de scope

El BAA EMP es compatible con templates típicos de healthcare US y se adapta al marco específico del cliente. Para healthcare bajo Ley 81 Panamá sin HIPAA, firmamos DPA específico equivalente bajo el régimen del DE 285.

¿Hacen migración de MTA existente a otro en infra del cliente?

Sí, como caso particular del servicio. Tres escenarios típicos:

  • Postfix → PowerMTA o KumoMTA: migración de operación en Postfix legacy con scripts custom a MTA enterprise. Requiere análisis del scripting custom y traducción a la plataforma destino.
  • PowerMTA → KumoMTA en infra propia: migración de licencia comercial a open-source manteniendo la operación bajo control del cliente. Ver servicio dedicado de migración PowerMTA → KumoMTA con detalle del plan de 4 fases sin downtime.
  • Sendmail/Exim legacy → KumoMTA: migración desde MTAs antiguos a plataforma moderna. Requiere análisis previo de queue, retry logic, scripts.

Las migraciones se cotizan ad-hoc según complejidad. Como referencia: una migración simple Postfix → KumoMTA single-server cuesta similar al tier Single Server ($3,500-$5,000), una migración PowerMTA → KumoMTA multi-server con HA cuesta $14K-$28K según servidores y scripting.

Discovery técnico. Una llamada de una hora.

Validamos hardware, OS, conectividad, IPs, decisión PowerMTA vs KumoMTA, restricciones regulatorias específicas, scope de capacitación del equipo SRE. Si después de discovery la modalidad de infra propia no encaja, lo decimos honestamente y proponemos alternativas (PowerMTA o KumoMTA gestionado en infra EMP, o híbrido). Sin compromiso de continuar. NDA bilateral disponible antes de la llamada si tu compliance lo exige.

Sin compromiso · NDA disponible · L-V 9-18 GMT-5