"¿En qué se diferencia este servicio del PowerMTA o KumoMTA gestionado de EMP?"
El servicio gestionado de EMP incluye la infraestructura: servidores en datacenter EMP en Panamá, conectividad EMP, IPs EMP, hardware EMP. El cliente contrata el servicio completo end-to-end. El servicio de instalación sobre infraestructura del cliente es distinto: el cliente provee hardware, datacenter, conectividad, IPs salientes, control directo del sistema operativo. EMP entrega únicamente la instalación del MTA, la configuración productiva y capacitación. Es la opción correcta cuando el cliente tiene requerimiento regulatorio explícito de mantener los datos bajo control directo o cuando ya posee infraestructura sub-utilizada que aprovecha. Operacionalmente es más complejo coordinar porque depende de ventanas de mantenimiento del cliente, accesos VPN/jumphost, políticas internas de change management.
"¿EMP tiene acceso al contenido del email procesado por el MTA instalado?"
Por defecto no. El scope del servicio se separa explícitamente en dos modalidades. Modalidad sin acceso (default): EMP entrega la instalación, configuración y capacitación, y luego el cliente opera el MTA con su propio equipo. El acceso de EMP a la infraestructura termina al cierre formal del proyecto. Modalidad managed operations add-on: el cliente contrata el monitoreo y operación posterior, en cuyo caso EMP tiene acceso de operación (lectura de logs, configuración, métricas) pero NO acceso al contenido de los mensajes en queue o en spool. Esto se especifica contractualmente en el DPA bajo el rol de encargado de tratamiento del Decreto Ejecutivo 285 art. 24. Para healthcare HIPAA se firma BAA específico que documenta el alcance limitado del acceso.
"¿Funciona si tenemos servidores en cloud público (AWS, GCP, Azure)?"
Sí, con caveats reputational. Las IPs de AWS, GCP, Azure y otros cloud providers tienen reputational floor menor por defecto. Microsoft Defender y algunos filtros corporativos aplican filtering adicional sobre rangos cloud conocidos. Para volúmenes bajos o email transaccional la limitación no es relevante. Para volúmenes medios o altos (sobre 500K envíos/mes) la recomendación honesta es: si la decisión de cloud es por flexibilidad operacional pero no hay restricción regulatoria, considerar migrar las IPs salientes a un servicio dedicated con mejor reputational floor. Si la decisión de cloud es por restricción regulatoria o estrategia corporativa, la instalación procede con la limitación documentada en el scope.
"¿Qué pasa con licencias PowerMTA bajo Bird?"
Hay tres escenarios. Cliente con licencia Bird actual: EMP instala usando la licencia del cliente, sin intermediación comercial. El cliente mantiene la relación con Bird directamente. Cliente sin licencia, quiere PowerMTA: gestionamos la compra de licencia Bird por cuenta del cliente (precios Bird públicos: Standard desde $8,400/año por servidor, Professional desde $18,500/año, Enterprise desde $34,000+/año), sin markup. Si el cliente prefiere alternativa: recomendamos KumoMTA (Apache 2.0, sin licencia comercial) como alternativa de igual capacidad funcional con menor costo total. La decisión final es del cliente; EMP no tiene incentivo de venta de PowerMTA porque no recibe comisión de Bird desde 2021.
"Mi equipo SRE no tiene experiencia con MTAs. ¿Pueden operar después?"
Sí, eso es exactamente para lo que existe la fase de capacitación. Single Server incluye 4 horas, Multi-Server 12 horas, Enterprise 24 horas distribuidas en sesiones. La capacitación cubre: arquitectura del MTA instalado, configuración productiva específica del cliente, runbooks operacionales para incidentes típicos (queue stuck, bounce flood, DKIM rotation, IP warmup, blocklist response), troubleshooting con logs, integración con monitoreo del cliente. Después del cierre formal del proyecto, el cliente opera autónomamente con base en la documentación entregada. Para clientes que prefieren mantener cobertura EMP en incidentes críticos sin ser equipo full-time, el managed operations add-on cubre ese gap con SLA contractual.
"¿Cuánto tarda end-to-end? Tengo presión de timeline interno."
Tiempo varía por tier. Single Server: 1-2 semanas incluyendo coordinación de accesos, instalación, configuración, testing, capacitación, handover. Multi-Server Cluster: 2-3 semanas adicionando configuración HA y load balancing. Enterprise Deployment: 4-6 semanas con arquitectura HA multi-region, integración con observabilidad existente del cliente, plan de DR documentado. Variables que extienden el plazo: políticas de change management del cliente que limitan ventanas de despliegue (común en banca con CAB review semanal), accesos VPN/jumphost con flujo de aprobación interna lento, necesidad de auditoría de seguridad pre-instalación, coordinación con vendor del cliente para configuración de firewall corporativo. Lo que sí garantizamos: comunicación semanal del progreso vs plan con honestidad si hay slip.