"¿Por qué necesito MTA-STS si ya tengo DMARC en enforcement?"
DMARC valida que el email recibido sea auténtico (autenticación del sender), pero no garantiza que el email haya viajado cifrado en tránsito SMTP. STARTTLS opportunistic es el default del 60% de los servidores SMTP en producción: si el cifrado falla, el servidor degrada a plaintext sin alertar. MTA-STS cierra ese vector publicando policy via HTTPS que obliga al sender a usar TLS verificado o rebotar el mensaje. Sin MTA-STS, un atacante con MITM en la red entre los dos MTAs puede inducir downgrade a plaintext y leer el contenido. Operativamente: DMARC protege contra spoofing, MTA-STS protege contra interception en tránsito. Son complementarios, no excluyentes.
"¿Qué pasa si activo enforce y un destinatario no tiene TLS configurado correctamente?"
El mensaje no se entrega. Ese es exactamente el comportamiento esperado del modo enforce: prefiere fallar a leak en plaintext. Esta es la razón por la que el deployment se hace en dos fases. Fase 1 (mode testing, 30 días mínimo): la policy se publica con mode=testing, los senders que la consultan emiten TLS-RPT reports de los fallos pero entregan el mensaje igual. Fase 2 (mode enforce): después de 30 días de TLS-RPT limpio sin fallos, se promueve a mode=enforce. Esto evita que el cliente descubra problemas en producción. Si después de enforce aparece un dominio destinatario problemático conocido (legacy systems, healthcare partners con TLS roto), se puede crear una excepción específica en la policy o degradar temporal a testing durante la coordinación con el partner.
"DANE requiere DNSSEC. ¿Vale la pena la complejidad?"
Depende del riesgo. DNSSEC firma criptográficamente la zona DNS para que los resolvers validen que las respuestas no fueron tampered en tránsito. Sin DNSSEC, MTA-STS depende de HTTPS para servir la policy, que tiene su propio modelo de seguridad robusto pero distinto. Con DANE el certificado TLS está vinculado directamente al DNS firmado, eliminando dependencia de CAs externas. Operacionalmente: DNSSEC agrega complejidad de rotación de claves (KSK rollover anual, ZSK más frecuente) y un punto adicional de fallo si la firma expira. Recomendación EMP: si tu compliance regulatorio (PCI-DSS Level 1, HIPAA con BAA, GDPR Art. 32 con DPA exigente) menciona DNSSEC o DANE explícitamente, vale la pena. Si no, MTA-STS estándar cubre 95% del riesgo con 30% del overhead operacional.
"¿MTA-STS protege todo el email saliente o solo el que llega a mi dominio?"
MTA-STS publicado por mi dominio protege únicamente el email entrante hacia mi dominio. Es decir, los senders externos que envían a tu-dominio.com consultan tu policy y respetan el enforce. No protege el email saliente desde tu dominio: para eso necesitás que los dominios destino (gmail.com, outlook.com, dominio-de-tu-cliente.com) tengan MTA-STS publicada y vos respetes la policy de ellos. Gmail, Outlook, Yahoo, Apple, Fastmail tienen MTA-STS publicada en modo enforce desde 2019-2021. Para que tu MTA outbound respete las policies remotas necesita ser MTA-STS-aware. PowerMTA y KumoMTA lo soportan nativamente; Postfix y Exim requieren plugins externos.
"¿Qué pasa si el HTTPS donde está hosteada mi policy se cae?"
Los senders MTA cachean la policy por la duración declarada en el campo max_age (típicamente 1-2 semanas). Si el HTTPS cae durante un período corto los senders usan el cache. Si el HTTPS cae durante un período mayor que el cache, los senders verán failure to fetch policy y emitirán TLS-RPT con sts-policy-fetch-error pero continuarán entregando con la política previa cacheada hasta que expire. Recomendación: alta disponibilidad del HTTPS (CDN multi-región, healthchecks) y monitoreo del endpoint con alerta proactiva. El TLS-RPT dashboard EMP detecta fetch errors y notifica antes de que el cache expire.
"¿El TLS-RPT puede revelar información sensible de mi operación?"
Los reports contienen información operacional, no contenido de mensajes. Específicamente: identidad del sender domain (ej. google.com, outlook.com), número de sessions exitosas y fallidas, tipo de fallo TLS, MX hostname tuyo involucrado, contadores agregados. No contienen: direcciones email específicas de remitentes o destinatarios, contenido o subject de mensajes, message-IDs específicos, IPs individuales de senders. Privacidad: los reports son agregados sobre ventanas de 24 horas, no por mensaje. Aun así EMP firma DPA específico para el procesamiento de TLS-RPT data porque técnicamente contiene metadata operacional del email del cliente.