Dados8 min de leitura

MTA-STS: adoção entre domínios brasileiros

Por que a segurança de email que deveria ser obrigatória ainda não virou rotina no Brasil? Entenda MTA-STS, dados de adoção e como implementar.

Se você trabalha com email marketing ou administra a infraestrutura de email de uma empresa brasileira, já ouviu falar em SPF, DKIM e DMARC. Mas MTA-STS ainda é um mistério para muita gente. Desde fevereiro de 2024, o Google e o Yahoo exigem que domínios que enviam mensagens em massa tenham SPF e DKIM configurados — e embora MTA-STS não seja obrigatório tecnicamente, ele está se tornando um diferencial competitivo crítico para quem quer manter a reputação do domínio intacta.

A adoção entre domínios brasileiros ainda é baixa. Segundo dados coletados em nossa análise sobre a infraestrutura de email no Brasil, a maioria das empresas brasileiras sequer tem DMARC configurado corretamente — e MTA-STS fica ainda mais para trás. Neste artigo, você vai entender o que é MTA-STS, por que importa, e como implementar de forma correta.

O que é MTA-STS?

MTA-STS (Mail Transfer Agent Strict Transport Security) é um padrão de segurança que força a criptografia TLS obrigatória entre servidores de email. Quando um servidor de email (MTA) precisa entregar uma mensagem para outro servidor, normalmente ele tenta primeiro uma conexão TLS — mas se falhar, pode cair para uma conexão não criptografada (fallback inseguro). É aí que os atacantes podem interceptar.

MTA-STS diz: "não, se TLS falhar, não entregue". Isso impede o downgrade attack — um tipo de interceptação onde alguém na rede força o servidor a desistir de TLS e enviar em texto plano.

A configuração de MTA-STS exige três coisas:

  1. Um registro DNS _mta-sts.seu-dominio.com.br (registro TXT).
  2. Um arquivo .well-known/mta-sts.txt hospedado no seu domínio com a política.
  3. Certificado SSL válido no servidor de recebimento de emails.
v=STSv1; id=1; max_age=604800Versão do protocoloID da política (incrementa a cada mudança)Duração em segundos (1 semana)
Registro MTA-STS e sua política

Por que poucos domínios brasileiros têm MTA-STS?

A adoção baixa tem razões práticas:

  • Conhecimento limitado: MTA-STS é mais técnico que SPF ou DKIM. Muitos que configuram autenticação de email não entendem a diferença ou não sabem que é possível implementar.
  • Risco de downtime: Se você configurar MTA-STS errado, as mensagens podem não ser entregues. Muitas empresas hesitam a fazer essa mudança sem suporte técnico especializado.
  • Infraestrutura legada: Empresas brasileiras que usam hóspedes tradicionais como Locaweb ou que rodam WordPress/WooCommerce com wp_mail() muitas vezes não têm controle sobre TLS ou certificados no servidor MX.
  • Priorização de DMARC e DKIM: Os administradores focam em cumprir a exigência mínima (SPF + DKIM) e deixam MTA-STS para depois. Resultado: fila cada vez maior.
  • Falta de incentivo imediato: MTA-STS não afeta a taxa de entrega de um domínio com boa reputação — pelo menos a curto prazo. O impacto fica claro quando há ataque ou quando você é alvo de phishing.
Atenção: MTA-STS com certificado inválido é pior que nada
Se você ativar MTA-STS com um certificado expirado ou que não bate com o nome do servidor MX, a entrega de emails vai falhar completamente. Antes de ir para produção, teste a configuração com check.live-direct-marketing.online ou inspecione manualmente os registros DNS e o arquivo .well-known/mta-sts.txt.

Como implementar MTA-STS corretamente

O processo tem sete passos:

  1. Certifique-se de que seu servidor MX tem certificado SSL válido. O certificado precisa cobrir o nome do host MX (ex: mail.seu-dominio.com.br). Validação de domínio é suficiente; não precisa de wildcard.
  2. Crie a política MTA-STS. Um arquivo de texto simples com:version: STSv1 mode: testing max_age: 86400 mx: mail.seu-dominio.com.brComece em mode: testing — isso faz o servidor remoto registrar falhas em logs mas ainda entregar a mensagem. Após 1–2 semanas, mude para mode: enforce.
  3. Hospede o arquivo em .well-known/mta-sts.txt. Precisa ser acessível via HTTPS (sem redirecionamento, sem autenticação). URL: https://seu-dominio.com.br/.well-known/mta-sts.txt
  4. Publique o registro DNS MTA-STS. Tipo TXT, nome _mta-sts.seu-dominio.com.br, valor: v=STSv1; id=1; max_age=604800. O ID é um versionador — cada vez que muda a política, incremente este número.
  5. Monitore falhas de entrega por 1–2 semanas em modo testing. Verifique seus logs SMTP para certificar que nenhum servidor remoto falha ao conectar. Se vir erros de certificado, corrija antes de ir para enforce.
  6. Mude para mode: enforce. Incremente o ID do DNS e atualize a política. Agora, qualquer servidor que não conseguir criptografia TLS vai recusar a entrega.
  7. Acompanhe a taxa de entrega. Monitore mensagens rejeitadas. Se houver queda anormal, reverta para testing e investigue.

Impacto de MTA-STS na entregabilidade

Mensagens enviadas100%Aceitas pelo MTA remoto (TLS disponível)98%Aceitas com MTA-STS em enforce97%Entregues em Inbox88%
Como MTA-STS reduz rejeições por problemas de segurança

O impacto não é dramático para domínios já bem reputados — a diferença entre 98% e 97% de aceitação pelo MTA remoto parece mínima. Mas em contexto de spam ou reputação baixa, MTA-STS é um sinal a favor: mostra ao servidor remoto que você leva segurança a sério. Além disso, protege você contra phishing: um atacante não consegue fazer downgrade de TLS para interceptar.

Para empresas brasileiras que usam RD Station, VTEX, Shopify BR ou qualquer ESP local, adotar MTA-STS no domínio de saída é uma forma de diferenciação — já que a maioria dos concorrentes ainda não faz.

Dados de adoção de MTA-STS no Brasil

Para entender a adoção real entre domínios brasileiros, consultamos a base de dados de domínios globais e seus registros DNS. Dados atualizados estão disponíveis em nossa página de estatísticas de email, onde você pode filtrar por país e ver a evolução semanal de SPF, DKIM, DMARC e MTA-STS.

O que os dados mostram: domínios brasileiros têm adoção de MTA-STS bem abaixo da média global. Enquanto em países como Alemanha e Canadá a taxa é notável, no Brasil ainda estamos em fase inicial — a maioria das empresas nem sabe que MTA-STS existe, e as que sabem hesitam em implementar sem consultoria.

A boa notícia? Isso significa que implementar MTA-STS hoje te coloca à frente da concorrência. Em 12–24 meses, quando a adoção aumentar e Google/Yahoo tornarem isso ainda mais importante, você já estará protegido.

LGPD e MTA-STS: conexão subestimada

A Lei Geral de Proteção de Dados (LGPD) no Brasil exige que empresas protejam informações pessoais durante o trânsito. Email é um veículo de dados pessoais — endereços, preferências, IDs de clientes viajam por email. MTA-STS é uma medida técnica que se alinha com esse requisito: ao forçar TLS entre servidores, você garante que esses dados não viajam em texto plano.

Para empresas que processam muitos dados pessoais (e-commerce, fintech, saúde), implementar MTA-STS não é luxo — é parte de uma estratégia de conformidade LGPD credível.

Posso implementar MTA-STS se uso RD Station, Brevo ou outro ESP?

Depende se o ESP permite que você configure o domínio de saída. Se você usa um domínio próprio (não subdomain do ESP), sim. RD Station, Brevo e Mailchimp permitem isso. Mas se você envia de um subdomínio genérico do ESP, MTA-STS tem de ser configurado pelo próprio ESP — você não pode fazer por conta própria.

Se eu implementar MTA-STS errado, quanto tempo até que comece a quebrar a entrega?

Depende. Se apenas o DNS estiver errado (registro inválido), nada muda — MTA-STS é ignorado. Mas se estiver em enforce com certificado inválido, o impacto é imediato: 100% das tentativas de conexão TLS falham e a entrega é recusada. Por isso comece em modo testing.

Qual é a diferença entre MTA-STS e DANE?

DANE (DNS-based Authentication of Named Entities) é um padrão mais recente que também usa DNS para validar certificados. DANE é mais robusto que MTA-STS, mas requer DNSSEC (assinatura de registros DNS), que ainda não é amplamente adotado. MTA-STS é mais simples e prático. A maioria das empresas opta por MTA-STS primeiro.

Leituras relacionadas
Found this useful? Share it
AB
Sobre o autor
Artem Berezin
B2B Deliverability Specialist

B2B deliverability specialist with 5+ years of hands-on outreach experience. Built campaigns reaching 90,000+ inboxes across 20+ countries — and fixed the deliverability problems that came with that scale.

Verifique sua entregabilidade em mais de 20 provedores

Gmail, Outlook, Yahoo, GMX, ProtonMail e outros. Capturas reais da caixa de entrada, SPF/DKIM/DMARC, veredictos de filtros de spam. Grátis, sem cadastro.

Fazer teste grátis →

Testes ilimitados · Mais de 20 caixas · Resultados ao vivo · Sem conta