← RFC Reference

RFC 7817: Verificación de Identidad del Servidor TLS Actualizada para Correo Electrónico

Current Standard Transport Security Published March 2026
ELI5: Cuando te conectas a un sitio web a través de HTTPS, tu navegador verifica que el certificado coincida con el nombre de dominio. Los servidores de correo necesitan hacer lo mismo cuando se conectan entre sí a través de TLS — pero el enrutamiento de correo a través de registros MX lo complica más. Este RFC define exactamente qué nombre debe verificar el servidor emisor contra el certificado.

Por qué existe esto

Cuando un cliente SMTP inicia una conexión TLS a un servidor de correo remoto (vía STARTTLS según RFC 3207 o TLS implícito según RFC 8314), recibe un certificado. ¿Pero qué nombre de host debe aparecer en ese certificado?

En correo electrónico, no te conectas directamente al dominio del destinatario. Buscas el registro MX para example.com, que podría apuntar a mail.hosting-provider.net. ¿Debería el certificado decir example.com o mail.hosting-provider.net? La respuesta importa porque:

Cómo funciona

RFC 7817 define una jerarquía clara de qué identificadores de referencia debe verificar un cliente contra el certificado del servidor, dependiendo de cómo se descubrió el servidor:

Orden de verificación de identidad

  1. Nombre de host MX — si el servidor se encontró mediante búsqueda MX, verifica el certificado contra el nombre de host MX (p. ej., mail.hosting-provider.net), no el dominio del destinatario.
  2. Dominio del destinatario — si no hay registro MX y el cliente recurre a un registro A/AAAA para el dominio mismo, verifica contra el dominio del destinatario.
  3. Configuración explícita — si el servidor fue configurado manualmente (p. ej., un servidor de envío), verifica contra el nombre de host configurado.

Flujo de conexión TLS

; Paso 1: Resolver MX para dominio del destinatario
dig example.com MX
example.com.  IN  MX  10 mail.provider.net.

; Paso 2: Conectar a host MX, iniciar SMTP
220 mail.provider.net ESMTP ready
EHLO sender.example.org
250-mail.provider.net
250-STARTTLS
STARTTLS
220 Go ahead

; Paso 3: Protocolo de enlace TLS — verificar certificado contra "mail.provider.net"
; SAN del certificado: DNS:mail.provider.net, DNS:*.provider.net
; Coincidencia encontrada → identidad verificada

Detalles técnicos clave

Reglas de coincidencia de certificados

Campo Verificar Notas
Nombre alternativo del sujeto (SAN) Preferido Verifica primero las entradas DNS-ID en la extensión SAN
Nombre común (CN) Alternativa Solo si no existen entradas DNS-ID de SAN (práctica deprecada)
Comodín Solo etiqueta más a la izquierda *.provider.net coincide con mail.provider.net pero no con a.b.provider.net

Identificador de referencia por método de descubrimiento

Método de descubrimiento Verificar certificado contra Ejemplo
Búsqueda MX Nombre de host MX El certificado debe coincidir con mail.provider.net
Alternativa A/AAAA (sin MX) Dominio del destinatario El certificado debe coincidir con example.com
Registro SRV (RFC 6186) Nombre de host objetivo de SRV El certificado debe coincidir con el objetivo de SRV
Configuración manual Nombre de host configurado El certificado debe coincidir con lo que el administrador configuró
Política MTA-STS (RFC 8461) Nombres de host MX en la política La política limita qué nombres MX son aceptables

Interacción con DANE

Cuando DANE (RFC 7672) se implementa, el registro TLSA en DNS fija el certificado o la clave pública para el nombre de host MX. DANE proporciona una garantía de identidad más fuerte que la verificación tradicional basada en CA porque no depende de confiar en una autoridad de certificación — el propietario del dominio publica directamente los datos de certificado esperados en DNS firmado con DNSSEC.

Errores comunes

Impacto en entregabilidad

Related RFCs