← RFC Reference

RFC 6409 – Envío de Mensajes para Correo

Internet Standard Core SMTP & Message Format Obsoletes RFC 4409 Published March 2026
ELI5: Imagina la diferencia entre depositar una carta en un buzón público en la calle y entregársela al empleado en el mostrador de la oficina de correos. El buzón de la calle (puerto 25) es para que los carteros traspasen correo entre oficinas de correos. El mostrador (puerto 587) es donde tú, como cliente, entregas tu carta — primero muestras tu identificación, y el empleado verifica que todo esté en orden. RFC 6409 define ese mostrador de oficina de correos para correo electrónico.

Por qué existe este RFC

En los primeros días del correo electrónico, no había distinción entre un usuario que enviaba un mensaje nuevo y un servidor que retransmitía correo de otro servidor. Ambos usaban el puerto 25, y cualquiera podía conectarse y enviar. Esto llevó al problema de retransmisión abierta — los spammers explotaban cualquier servidor que aceptara y reenviara correo sin autenticación.

RFC 6409 (originalmente RFC 2476 en 1998, actualizado como RFC 4409 en 2006, y finalizado como 6409 en 2011) separa formalmente envío de mensajes de retransmisión de mensajes:

Esta separación es fundamental para la seguridad del correo electrónico moderno. Permite la autenticación de remitentes, la aplicación de políticas y la capacidad de bloquear la retransmisión no autenticada mientras se aceptan envíos legítimos.

Cómo funciona

El envío de mensajes utiliza el mismo protocolo SMTP definido en RFC 5321, pero con diferencias importantes en comportamiento, política y número de puerto.

El proceso de envío

  1. El cliente (MUA o aplicación) se conecta al MSA en el puerto 587.
  2. El cliente emite EHLO y descubre las extensiones disponibles.
  3. El cliente se actualiza a TLS usando STARTTLS (o se conecta mediante TLS implícito en el puerto 465 según RFC 8314).
  4. El cliente se autentica usando AUTH (RFC 4954) — típicamente PLAIN o LOGIN sobre TLS.
  5. El cliente envía el mensaje con MAIL FROM, RCPT TO y DATA.
  6. El MSA valida el mensaje, potencialmente agrega encabezados faltantes (Date, Message-ID) y lo pone en cola para entrega a través de la infraestructura MTA.

Envío vs. Retransmisión: lado a lado

Aspecto Envío (MSA, puerto 587) Retransmisión (MTA, puerto 25)
Propósito Aceptar mensajes nuevos de usuarios/aplicaciones Transferir mensajes entre servidores
Autenticación Requerida (SMTP AUTH) No requerida (confianza servidor a servidor)
Cifrado Requerido (STARTTLS o TLS implícito) Oportunista (STARTTLS cuando está disponible)
Validación del remitente MSA verifica que el usuario autenticado está autorizado a usar la dirección De MTA verifica SPF, DKIM, DMARC
Corrección de encabezados MSA puede agregar encabezados faltantes Date, Message-ID y MIME MTA agrega solo encabezado Received
Quién se conecta Usuarios finales, aplicaciones, servicios de correo Otros servidores de correo

Ejemplo SMTP

Una sesión de envío típica en el puerto 587:

# El cliente se conecta al puerto 587 S: 220 smtp.mailertogo.com ESMTP Submission C: EHLO app.example.com S: 250-smtp.mailertogo.com S: 250-STARTTLS S: 250-AUTH PLAIN LOGIN S: 250-SIZE 26214400 S: 250-8BITMIME S: 250 ENHANCEDSTATUSCODES # Actualizar a TLS primero C: STARTTLS S: 220 2.0.0 Ready to start TLS # El protocolo de enlace TLS ocurre aquí, luego re-EHLO C: EHLO app.example.com S: 250-smtp.mailertogo.com S: 250-AUTH PLAIN LOGIN S: 250-SIZE 26214400 S: 250-8BITMIME S: 250 ENHANCEDSTATUSCODES # Autenticarse (credenciales codificadas en Base64) C: AUTH PLAIN AGFsaWNlQGV4YW1wbGUuY29tAHNlY3JldA== S: 235 2.7.0 Authentication successful # Ahora enviar el mensaje C: MAIL FROM:<notifications@example.com> S: 250 2.1.0 OK C: RCPT TO:<user@recipient.com> S: 250 2.1.5 OK C: DATA S: 354 Start mail input C: From: Example App <notifications@example.com> C: To: user@recipient.com C: Subject: Your order has shipped C: Date: Wed, 11 Mar 2026 14:00:00 +0000 C: Message-ID: <order-12345@example.com> C: C: Your order #12345 has been shipped and is on its way. C: . S: 250 2.0.0 OK, queued as abc123 C: QUIT S: 221 2.0.0 Bye

Detalles técnicos clave

La autenticación es obligatoria

RFC 6409 establece que un MSA DEBERÍA requerir autenticación y NO DEBE aceptar mensajes para retransmisión de clientes no autenticados a menos que exista una política organizacional específica que lo permita. En la práctica, todo servidor de envío moderno requiere autenticación. El mecanismo estándar es SMTP AUTH (RFC 4954) usando mecanismos PLAIN o LOGIN, siempre sobre TLS.

Corrección de encabezados por el MSA

A diferencia de un MTA (que no debe alterar el contenido del mensaje), se espera que un MSA examine y corrija el mensaje enviado:

Puerto 465: TLS implícito

Históricamente, el puerto 465 fue brevemente asignado para "SMTPS" (SMTP sobre TLS implícito), luego reasignado, y luego re-estandarizado por RFC 8314 en 2018. Hoy, el puerto 465 con TLS implícito es el enfoque recomendado para envío — el protocolo de enlace TLS ocurre inmediatamente después de la conexión, antes de cualquier comando SMTP. El puerto 587 con STARTTLS sigue siendo ampliamente compatible y válido.

Límites de tamaño y velocidad

Los MSA típicamente aplican límites más estrictos que los MTA:

Errores comunes

Impacto en la entregabilidad

Related RFCs