Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Seguridad: sobre los mensajes se pueden establecer medidas de seguridad que eviten que
puedan ser interpretados si son interceptados, que aseguran que el receptor los ha ledo, y que
aseguran la identidad del autor del correo.
Cliente: es un programa de usuario que permite editar los mensajes, enviarlos hacia un
servidor que se encargue de que lleguen al destinatario, o de descargar los recibidos desde un
buzn de usuario.
Cuentas de correo: son las identificaciones para los remitentes del correo electrnico y los
destinatarios. Un usuario puede tener muchas cuentas de correo. Cada cuenta de correo est
registrada en un servidor de correo. Cada cuenta de correo tiene asociado un buzn de
usuario. Las cuentas de correo tienen el formato:
nombre@dominio
por ejemplo:
luis@aulaubuntu.com
El nombre habr sido elegido por el usuario. El dominio es el que corresponde al servidor que tiene
registrada la cuenta de usuario. Cuando se va a enviar un correo electrnico, se consulta en DNS el
nombre del dominio para buscar servidores de correo de ese dominio (registros MX de la zona).
Cuentas de correo redirigidas: son cuentas a las que se asocia un buzn perteneciente a otra
cuenta de otro dominio. Por ejemplo, luis@aula2.com puede ser redirigida a
luis@aulaubuntu.com y entonces los correos enviados a luis@aula2.com se almacenarn en
el buzn de luis@aulaubuntu.com.
Alias: son cuentas a las que se asocia un buzn de otra cuenta del mismo dominio. Por
ejemplo, profesri@aulaubuntu.com puede ser redirigida a luis@aulaubuntu.com y entonces
los correos enviados a profesri@aulaubuntu.com se almacenarn en el buzn de
luis@aulaubuntu.com.
1.2-Agentes de correo.
Un agente de correo es un software que se encarga de realizar alguna operacin con los mensajes de
correo. En la transmisin del correo electrnico fundamentalmente intervienen tres agentes:
MTA (Mail Transfer Agent): es un software que se encarga de recibir el correo reenviarlo u
otro agente MTA, o de dejarlo almacenado en un buzn de usuario. Un MTA puede recibir el
correo desde otros agentes MTA o desde un agente MUA. Un agente MTA debe tener
asociado un registro MX en una zona de un dominio para que se pueda conocer a que equipo
se tiene que enviar el correo destinado a cuentas de ese dominio. Los agentes MTA usan el
protocolo SMTP cuando transfieren o reciben correo.
MDA (Mail Delivery Agent): es un software que se comunica con los MUA para entregarles
el correo almacenado en los buzones de los usuarios que estn utilizando los MUA. Un MDA
accede a los buzones de los usuarios y entrega los correos a los MUA utilizando el protocolo
POP3 o el protocolo IMAP.
MUA (Mail User Agent): es un software de usuario donde un usuario puede enviar y recibir
correos. En una MUA un usuario puede iniciar sesin con una o con varias de sus cuentas.
Para cada cuenta el usuario tiene configurado cual va a ser el MTA que se encarga de la
transferencia de los correos que vaya a enviar y cul va a ser el MDA que se encarga de
entregarle el correo almacenado en el buzn de usuario.
Dado que el destinatario pertenece al dominio del MTA, ste comprueba que ese destinatario
tiene cuenta de usuario en el dominio. Si es as, deposita el correo en el buzn de usuario.
Dado que el destinatario no pertenece al dominio del MTA, ste enva una consulta al
servidor DNS para averiguar a que MTA debe enviar el correo para que llegue a su
destinatario. Consulta los registros MX del dominio aulaubuntu.com para obtener el nombre
del servidor SMTP al que debe enviar el correo y despus consulta cul es la IP de ese
servidor.
Anteriormente hemos visto como llega un correo a travs de uno o varios MTA a un buzn del
usuario destinatario y queda all almacenado. Para que el usuario destinatario pueda leer el correo
recibido tendra que acceder a consultar su buzn.
Hay dos protocolos que son utilizados para que un MUA pueda obtener el correo almacenado en los
buzones de usuario y entregrselo a sus destinatarios:
POP3.
IMAP.
El MUA acta como cliente POP3 y/o IMAP y contacta con el MDA o servidor POP3/IMAP
que tenga configurado usando el protocolo correspondiente.
Cabeceras o heads: contienen varios campos con la informacin necesaria para que se pueda
transmitir correctamente el mensaje.
Las cabeceras contienen varias lneas de cabecera, cada una de las cuales dan una informacin
relativa al mensaje de correo. Las cabeceras que se utilizan con ms frecuencia en los mensajes son
las siguientes:
From: identifica al remitente del correo, la cuenta de correo del usuario remitente.
To: especifica quin es el destinatario del correo, la cuenta de correo del usuario destinatario.
CC: indica un conjunto de destinatarios de una copia del mensaje que se enva al destinatario
especificado en To. Todos los destinatarios podrn ver, al recibir un correo con varios
destinatarios, las direcciones de las cuentas de correo de los otros destinatarios.
CCO o BCC: igual que la anterior, pero en este caso los destinatarios no pueden ver las
direcciones de correo de los otros destinatarios.
Subject: es el asunto del mensaje. Es un texto corto que describe el contenido del mensaje.
Date: indica la fecha y hora en que se ha enviado desde el ordenador del remitente el
mensaje. Detrs de la hora se indica cuntas horas est desfasado el sistema horario del
remitente respecto del horario GMT.
Mozilla Thunderbird
Sitio oficial y de descarga de Mozilla Thunderbird.
Es multiplataforma (Linux, Windows y MacOS). Facilita la configuracin de cuentas de usuario,
pues obtiene la configuracin desde los servidores que tienen registradas las cuentas. Permite
instalar varias extensiones. Es un poco difcil de usar.
Evolution
Sitio oficial y de descarga de Evolution.
Distribuciones para Linux y para Windows. Muy fcil de usar, aunque con pocas opciones de
configuracin y funcionamiento. Integrado en los sistemas Debian/Ubuntu.
2.1-Configuracin de cuentas.
Vamos a ver cmo se crean y configuran cuentas en el cliente de correo Thunderbird. En realidad,
en un cliente no se crean cuentas de correo, sino que se agregan cuentas de correo creadas en
servidores de correo. El cliente de correo enva mensajes a travs de estas cuentas y recibe los
mensajes consultando los buzones de usuario en los servidores.
Para crear una cuenta en Thunderbird, debemos hacer lo siguiente:
Hay que dar los datos de una cuenta contratada (direccin de correo y contrasea), y un
nombre con el que se van a identificar los correos ante los destinatarios. Una vez que damos
estos datos, pulsamos el botn Continuar y el programa cliente Thunderbird intentar
descargar los datos de configuracin (servidor SMTP, servidor POP3 o IMAP y puertos
utilizados) desde el servidor (en este caso de yahoo). Si no los puede obtener, tendremos que
averiguarlos e introducirlos manualmente.
Si la configuracin inicial de la cuenta ha ido bien se iluminan en verde dos indicadores de estado de
conexin SMTP y de conexin POP3/IMAP.
Con las cuentas de usuario de correo que tengamos creadas en Thunderbird podemos establecer un
conjunto amplio de opciones de configuracin.
3.1-Comandos SMTP.
Tras establecer una conexin TCP cliente/servidor en el puerto 25, el cliente puede comenzar a
enviar comandos SMTP al servidor. (HELO nombre maquina , MAIL FROM:direccion , RCPT
TO:direccion , DATA , SUBJECT,QUIT,etc
Los comandos SMTP ms importantes son:
3.2-Cdigos de respuesta.
El servidor SMTP enva respuestas al cliente para indicarle como ha sido procesado un comando. En
las respuestas SMTP el servidor enva un cdigo numrico de 3 dgitos con el que indica como ha
sido procesado el comando al que corresponde la respuesta.
El primero de los dgitos indica si el comando ha sido o no procesado con xito. Los otros dos dgitos
dan mayor detalle del contenido de la respuesta.
Cdigos de respuestas SMTP
Es posible enviar comandos SMTP a un servidor SMTP mediante una conexin remota Telnet con el
servidor. Para establecer una conexin Telnet, hay que ejecutar:
#telnet IP_servidor 25
#telnet nombre_servidor 25
Tras establecer la conexin, podemos enviar hacia el servidor cualquier comando SMTP, el servidor
procesar los comandos y enviar las respuestas correspondientes. Es posible en una conexin de
este tipo enviar un mensaje de correo a travs del servidor. Cuando una aplicacin cliente SMTP
enva un correo al servidor, genera los comandos necesarios para enviarlo.
POP3
IMAP
Para ambos protocolos, un cliente del protocolo establece una conexin autentificada con un servidor
y una vez establecida la conexin permite que el usuario, desde el cliente, pueda acceder al correo de
su buzn, solicitar su entrega y gestionarlo.
Cuando un usuario ha iniciado un programa cliente de correo y solicita acceder al correo recibido en
una de sus cuentas, el programa cliente le pide una contrasea que ser la correspondiente a la cuenta
de correo que est usando. El cliente de correo enviar la direccin de correo de la cuenta y la
contrasea al servidor que validar stos para iniciar la conexin cliente-servidor.
Conexin: el cliente solicita establecer una conexin de transporte con el puerto TCP 110.
Fase de actualizacin: Se inicia cuando el cliente solicita cerrar la conexin POP3 enviando
el comando QUIT. Es en esta fase cuando el servidor elimina realmente mensajes que haban
sido marcados para ser borrados.
En una conexin POP3 el cliente enva comandos y el servidor devuelve respuestas. Los comandos
de POP3 se describen en el RFC 1989.
Al igual que POP3, el protocolo IMAP (lnternet Message Access Protocol) es un protocolo para la
descarga de correos desde los buzones de usuario a los clientes del servicio. Actualmente se trabaja
con la versin 4 de este protocolo (IMAP4) desarrollada en el RFC 3501.
Un servidor IMAP establece las conexiones con los clientes en el puerto TCP 143 y si se usa el
protocolo IMAP seguro para transmitir la informacin cifrada, utiliza el puerto TCP 993.
El funcionamiento de IMAP presenta varias diferencias con respecto a POP3:
Acceso a partes de los mensajes: IMAP permite obtener parte de los mensajes o algunos de
los objetos MIME incluidos sin tener que descargar todo el correo.
Soporte para acceso simultneo a varios buzones: IMAP permite que un usuario pueda
acceder a varios buzones simultneamente e incluso mover mensajes de un buzn a otro.
Respaldo para bsquedas: IMAP permite que el usuario pueda realizar bsquedas de
mensajes que cumplan determinados criterios.
Acceso simultneo a un buzn: IMAP permite que se est accediendo a un mismo buzn
desde varios clientes. Esto es adecuado cuando un buzn corresponde a una cuenta de usuario
utilizada por varias personas.
Correo permanece en el servidor: IMAP permite que el correo permanezca hasta que el
usuario decida eliminarlo. Con POP3, por defecto el correo se elimina del servidor cuando ha
sido descargado por el cliente.
5-Servidores de correo.
A la hora de elegir un software servidor de correo electrnico hay varios servidores. En la eleccin se
tendr en cuenta que sea fcilmente configurable y que tenga muchas opciones de configuracin, la
gestin de cuentas de usuario y buzones, el filtrado de correos, la seguridad que implemente etc.
Tambin se debe tener en cuenta el sistema operativo sobre el que se va a instalar, el consumo de
recursos, la rapidez de respuesta, etc.
Ahora vamos a realizar una clasificacin del software servidor en funcin de que corresponda a un
servidor de transferencia de correo, de descarga de correo o es a la vez ambos. Para cada servidor
tienes un enlace al sitio oficial.
Postfix: tiene slo distribucin para Linux con licencia IBM Public License.
Sendmail: tiene slo distribucin para Linux con licencia GNU GPL.
Qmail: tiene slo distribucin para Linux con licencia GNU GPL.
Dovecot: tiene slo distribucin para Linux con licencia MIT y LGPL.
Cyrus IMAP server: tiene slo distribucin para Linux con licencia BSD.
Microsoft Exchange Server: es un servidor para sistema Windows de pago y con licencia
propietaria. Tiene una versin de evaluacin de 30 das.
Antes de enviar un mensaje a ana@aula.com desde una cuenta de correo de un dominio diferente se
hace una consulta al servidor DNS responsable de la zona aula.com. En este servidor se consulta:
Aunque no es obligatorio se debe aadir un registro PTR en la zona inversa para resolver la
direccin IP del servidor de correo. Esto es as porque algunos servidores de correo, al recibirlo
desde otro servidor, verifican que la direccin IP corresponde al servidor remitente mediante el
registro PTR, (si no hay registro PTR o es incoherente con el registro A, el mensaje de correo se
rechaza).
Ejercicio resuelto
Qu registros tendras que aadir en las zonas de un servidor DNS para integrar los servidores de
correo s1.aula.com y s2.aula.com con direcciones IP 88?88.88.88/24 y 88.88.88.89/24
respectivamente y teniendo una mayor prioridad s1?
En la zona directa "aula.com":
aula.com.
IN
s1.aula.com.
MX
aula.com.
IN
IN
s2.aula.com.
A
MX
IN
s1.aula.com.
88.88.88.88
2
s2.aula.com.
88.88.88.89
IN
PTR
s1.aula.com.
89
IN
PTR
s2.aula.com.
Muchas veces estos servidores de correo pueden estar configurados en modo open relay por
descuido, por desconocimiento, por error de configuracin o por modificacin en su configuracin
por un atacante, pero en otros muchos casos se instalan servidores en modo open relay para facilitar
el envo de spam, de virus y de otros agentes maliciosos.
Hay elaboradas listas negras de servidores de correo open relay sobre los que se han detectado usos
maliciosos. Las listas negras sirven a otros servidores para detectar automticamente el correo basura
o spam.
Si en un servidor open relay se establecen unas direcciones de otros servidores SMTP autorizados a
reenviar correo a travs del servidor y se le deniega el permiso para reenviar a cualquier otro
servidor, se dice que el servidor es un SMART HOST.
En la autorizacin se pueden dar direcciones IP y/o nombres de servidores, direcciones de red,
rangos de direcciones o nombres de dominios.
Postfix es un servidor SMTP (agente MTA). Se distribuye con licencia GNU GPL para sistemas
Linux y para MacOS. El servidor SMTP que se ha venido usando ms en sistemas Linux es
Sendmail porque es el ms completo en cuanto a posibilidades de configuracin.
Sin embargo, su difcil configuracin ha hecho que en la actualidad se vaya usando cada vez ms el
servidor Postfix. Algunas distribuciones integran por defecto este servidor Postfix.
Dovecot es un servidor de entrega o descarga de correo que usa los protocolos POP3 e IMAP4. Por
tanto, se encarga de recoger el correo de los buzones de usuario y entregrselo a los clientes cuando
se conectan los usuarios y lo solicitan. Se distribuye para sistemas Linux con licencias LGPL y MIT.
Para que estos servidores trabajen con unos adecuados niveles de seguridad se necesita instalar y
configurar unas aplicaciones complementarias que trabajan coordinadamente con los servidores. Las
aplicaciones de este tipo ms usadas son:
Spamassassin
MailScanner
ClamV.
6.1-Instalacin de dovecot/postfix
En los sistemas Linux/Debian se pueden instalar por separado los paquetes correspondientes a los
servidores dovecot-imapd, dovecot-pop3d (para servidores IMAP y POP3 de dovecot) y postfix,
aunque el paquete llamado dovecot-postfix permite instalar los tres paquetes. Puedes instalar
dovecot-postfix ejecutando el comando:
#sudo aptget install dovecotpostfix
Tambin puedes instalar el paquete desde el gestor de paquetes synaptic.
Durante la instalacin, se pide el tipo de configuracin base para postfix. Se debe seleccionar
"Internet site" si se quiere que el servidor pueda recibir correo desde Internet y enviarlo hacia otros
servidores a travs de Internet (tambin lo transferir, si procede, dentro de la red local). El servidor
lo enviar directamente hacia el servidor destinatario y no a travs de otro servidor smart host.
Despus nos pide el nombre del dominio en el que trabajar postfix. Debemos escoger uno en el que
resuelva nombres un servidor DNS.
El sistema queda configurado para que arranque los servicios automticamente cuando se inicie.
Se puede verificar que el servicio postfix enva correos entre los usuarios del sistema mediante una
conexin Telnet con el servidor postfix, y el posterior envo de los comandos necesarios al servidor
para enviar un mensaje a un usuario que exista en el sistema. Para iniciar una conexin telnet con un
servidor habra que ejecutar el comando:
#telnet nombre_equipo_servidor 25
Despus debemos ejecutar los comandos SMTP necesarios para enviar un mensaje de correo:
MAIL FROM:remitente
RCPT TO:destinatario
DATA
Habr quedado almacenado un archivo que contiene el mensaje enviado en el buzn de correo de
Ana (/home/ana/maildir/new).
#restart dovecot
#service dovecot restart
6.3-Archivos de configuracin.
Cuando estn instalados los servidores dovecot y postfix, tendrs en tu sistema una serie de archivos
de configuracin y administracin de los servidores. De estos archivos los ms importantes son:
. Un archivo /etc/postfix/main.cf para realizar la mayor parte de la configuracin del
servicio postfix.
. Un archivo /etc/postfix/master.cf que sirve para indicar que servicios va a iniciar un
demonio llamado master bajo demanda.
. Un archivo /etc/aliases para contener nombres de alias de cuentas del servidor.
. Un archivo /etc/mailname en el que haya un nombre de dominio que se aade en todos los
mensajes a los nombres de usuarios de correo en los que no se ha escrito el dominio al que
pertenecen. Por ejemplo, si en ese archivo hay una lnea con el texto aulaubuntu.com,
cuando se especifique en un mensaje que se enva a ana, se completar el nombre del
destinatario con ana@aulaubuntu.com.
. Los archivos /var/log/mail.log y /var/log/mail.info para registrar respectivamente todos los
sucesos relacionados con envos de correo y las acciones realizadas por el servidor postfix.
. Un archivo /etc/dovecot/dovecot.conf para configurar los servidores dovecot y, por tanto,
la descarga de mensajes desde los buzones de usuario.
. Cada vez que llegue un mensaje de correo a una de las cuentas de usuario, el servidor
postfix almacenar el mensaje en un archivo dentro de la carpeta de usuario
/home/usuario/Maildir/new (es el buzn de usuario).
Aparte de estos archivos, se pueden y deben crear otros archivos para configurar entre otras cosas:
Dominios y nombres de equipos que se pueden enviar a travs del servidor.
Dominios y nombres de equipos hacia los que se pueden enviar mensajes de correo.
Nombres de usuarios virtuales.
Certificados digitales.
6.4-Configuracin de postfix.
La configuracin del funcionamiento de postfix se realiza fundamentalmente en el archivo
/etc/postfix/main.cf que consta de varias directivas de configuracin que admiten dos posibles
sintaxis:
parmetro=valor
parmetro=$parmetro2
En cada directiva se asignan valores a un parmetro. En una asignacin del tipo
parmetro=$parmetro2, se asigna al parmetro el valor que tenga asignado parmetro2. Cuando a
un parmetro se asigna una lista de valores, se separan con coma los valores de la lista. Los
parmetros ms importantes son:
protocols: especifica los protocolos de descarga de correo que puede utilizar Dovecot. Los
protocolos se separan con espacios y se pueden establecer pop3, pop3s, imap y/o imaps.
Ejemplo: protocols=pop3 pop3s imap
listen: para especificar los puertos en los que escucha Dovecot a los clientes.
Ejemplo: listen=* (para cada protocolo escucha en el puerto por defecto).
protocol imap {}: seccin para configurar el protocolo imap. Dentro de las llaves se pueden
escribir directivas para configurar el funcionamiento de imap en el servidor dovecot.
protocol pop3 {}: seccin para configurar el protocolo pop3. Dentro de las llaves se pueden
escribir directivas para configurar el funcionamiento de pop3 en el servidor dovecot.
Las cuentas de usuarios locales son las creadas en el sistema operativo. Es posible que deseemos que
muchas de esas cuentas sean cuentas de correo y que no puedan iniciar sesin en el sistema
operativo. Para crear una cuenta de ese tipo para el usuario jorge, tendramos que ejecutar:
# useradd -m -s /sbin/nologin jorge
Los usuarios locales disponen de un buzn donde quedan almacenados los mensajes de correo
recibidos. El buzn de un usuario es por defecto un directorio llamado Maildir dentro del directorio
de usuario en el sistema. Por ejemplo, para el usuario jorge, su buzn se encontrar en el directorio:
/home/jorge/Maildir/
Un alias de correo es una cuenta de usuario que no tiene buzn y usa el buzn de otra cuenta para
que almacene los mensajes destinados a ese alias.
Para crear alias de correo para postfix en Linux Ubuntu hay que editar el archivo /etc/aliases y
aadir una lnea por cada alias. Si, por ejemplo, queremos que el correo hacia el usuario root vaya al
buzn del usuario postmaster (root es alias de postmaster), habr que aadir en /etc/aliases:
root: postmaster
Un usuario de correo tambin puede tener cuentas redirigidas. stas son iguales que los alias y se
diferencian en que los alias se establecen entre usuarios del mismo dominio y las cuentas redirigidas
se establecen entre usuarios de distintos dominios. Una redireccin de una cuenta de usuario local a
otra cuenta cualquiera de un usuario, se establece en el archivo ~/.forward del usuario local en el
sistema de archivos.
7.1-Usuarios virtuales.
Postfix puede ser servidor de correo para varios dominios de forma que los usuarios de esos
dominios pueden usar el servidor para enviar correo y el servidor almacena los correos destinados a
esos usuarios en buzones. Cuando el servidor se usa para varios dominios, estos se denominan
dominios virtuales y a los usuarios del servicio en esos dominios se les llama usuarios virtuales.
direccion1
Donde direccion1 es una direccin de correo de un usuario existente, normalmente un usuario local
creado especialmente para servir como buzn destino para usuarios virtuales.
En el archivo de configuracin main.cf hay que aadir las siguientes directivas para indicar el
nombre del dominio virtual (por ejemplo, aulasri222.org) y un archivo en el que se mapearn los
usuarios de los dominios virtuales (suele usarse /etc/postfix/virtual):
virtual_alias_domains = aulasri222.org
virtual_alias_maps = hash:/etc/postfix/virtual
Despus hay que crear o modificar un archivo base de datos /etc/postfix/virtual.db que contendr
los usuarios virtuales. Esto se debe realizar mediante el comando:
#postmap hash: /etc/postfix/virtual
Podemos aadir usuarios virtuales para el dominio virtual aulasri222.org en el
archivo/etc/postfix/virtual, aadiendo lneas como:
luis@aulasri222.org
luis
bea@aulasri222.org
luis
Cada vez que se modifique el archivo de mapeo, de debe modificar el archivo de bases de datos. Esto
se realiza ejecutando el comando:
#postmap
Basados en OCR: detectan correo no deseado por anlisis de las imgenes de los correos.
Basados filtros heursticos: por la aparicin de determinadas palabras (viagra, sex, money,
etc.) y por un comportamiento similar al de unos patrones de comportamiento.
A partir de unas listas pblicas que contienen direcciones IP y nombres de dominio marcados
para considerarlos o no como remitentes de correo spam. Estas listas pueden ser blancas,
grises y negras.
Se puede configurar Postfix para que integre un software antispam en su funcionamiento. Uno de los
antispam que ms se utiliza para los servidores Postfix es Apache Spamassassin.
8-Correo seguro.
Dado que los servidores postfix y dovecot que ha instalado Jorge no son seguros, est estableciendo
una serie de medidas de seguridad adicionales sobre los servicios.
Est configurando un sistema de cifrado de los mensajes transmitidos hacia el servidor, y una firma
digital para autenticarse ante los clientes, y que los usuarios de los programas clientes estn seguros
de hacia dnde transmiten sus correos. Despus completar la seguridad del sistema de correo con
unas medidas eficientes antispam y antivirus.
A Ana le est pareciendo muy interesante el tema de la seguridad en el servicio de correo y est
dispuesta a aplicarlo en el centro "El Acebo" aunque ha observado que el establecimiento de un
completo y buen sistema de seguridad es algo complejo.
El correo seguro debe garantizar:
Integridad: se debe evitar que el correo pueda ser modificado por terceros durante la
transmisin y, si lo es, debe poder detectarse la modificacin.
Los protocolos SMTP, POP3 e IMAP no son protocolos seguros ya que todos ellos transmiten la
informacin en texto plano y, por tanto, la informacin es susceptible de poder ser consultada y
modificada fcilmente por terceros. A diferencia del protocolo SMTP que no autentifica a los
usuarios que envan correo, los protocolos POP3 e IMAP requieren autenticacin de los clientes
usando un nombre de usuario y una contrasea en texto plano.
Estos protocolos tampoco implementan ningn sistema para asegurar que los ordenadores clientes,
los ordenadores servidores y los usuarios sean quienes aseguran ser en los mensajes de correo o en
los mensajes de conexin.
Hay varias vulnerabilidades sobre el correo electrnico producidas por una deficiente
seguridad:
En la actualidad, los servidores de correo usan protocolos seguros en lugar de los protocolos SMTP,
POP e IMAP. Bsicamente se trata de unas especificaciones que mejoran estos protocolos
encapsulndolos sobre conexiones SSL/TLS que garantizan la confidencialidad, la autenticacin y la
integridad.
8.1-Autenticacin.
El servidor Postfix permite implementar un sistema de autenticacin basado en SSL/TLS mediante
una extensin para el protocolo SMTP llamada STARTTLS. Mediante ste sistema, un servidor se
identifica ante los clientes para que estos puedan verificar que el servidor es quien dice ser. El
servidor enva al cliente un certificado firmado y el cliente comprueba su validez ante la autoridad
certificadora que ha emitido el certificado. Si el certificado es vlido el cliente da por autenticado al
servidor y permite enviarle mensajes de correo.
Tambin podramos obtener un certificado firmado por una autoridad certificadora y usarlo en el
servidor de correo. Si usamos el certificado autofirmado, al configurar una cuenta de usuario en un
cliente de correo para el servidor SMTP seguro, se pedir que demos validez al certificado en el
cliente ya que no lo puede validar una AC.
Para que el servidor SMTP Postfix se autentifique ante los clientes, es necesario incluir las siguientes
directivas en el archivo de configuracin /etc/postfix/main.cf.
smtpd_tls_key_file = /etc/ssl/private/ssl-mail.key
smtpd_tls_cert_file = /etc/ssl/certs/ssl-mail.pem
smtpd_use_tls = yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
Si configuramos una cuenta de correo en un cliente de correo como Thunderbird sobre un servidor
SMTP que se autentifica ante los clientes, tenemos que especificar para su configuracin:
Puerto: 25.
Mtodo de identificacin: ninguno (salvo que se haya establecido configuracin para que los
usuarios se autentiquen).
8.2-Firma Digital.
Cuando recibes un mensaje de correo, en el mensaje figura el remitente. Pero eso no nos garantiza
que realmente el mensaje proceda de ese remitente ni que el mensaje sea el mismo que envi el
remitente. El mensaje se podra haber emitido desde algn servidor que lo haya permitido
suplantando la identidad del remitente, o podra haber sido interceptado y modificado durante su
envo y paso por servidores de correo intermedios.
La firma digital se utiliza para que el destinatario de un mensaje pueda verificar que el remitente es
quien dice ser en el mensaje.
La firma digital es especialmente til en el correo electrnico, pero tambin puede ser utilizada en la
transmisin de datos en otros servicios de red. Al recibir un mensaje de correo firmado:
1. Podemos asegurar la identidad del emisor.
2. El remitente no puede repudiar el mensaje, es decir, no puede negar que lo ha enviado.
La firma digital de un mensaje consiste en obtener un cdigo de firma que se aade al mensaje
aplicando al mensaje un algoritmo basado en una clave privada. El destinatario usar una clave
pblica que habr recibido para verificar la autora de todos los mensajes firmados procedentes de un
determinado remitente.
Para que un usuario disponga de una clave privada y una clave pblica para firmar y cifrar mensajes
debe obtener un certificado firmado por una entidad autoridad de certificacin como puede ser, por
ejemplo, Verisign. Este certificado garantiza la identidad del propietario y la relacin entre la clave
privada y la clave pblica. Los destinarios de los mensajes firmados obtienen la clave pblica para
verificar la firma desde las autoridades de certificacin.
Cuando un destinatario recibe desde un remitente un primer mensaje firmado usando una clave
privada correspondiente a un certificado autofirmado, el programa cliente alerta al usuario de que no
se puede garantizar la autenticidad de la firma y si se quiere aceptar el certificado correspondiente
(implica solicitar la clave pblica para verificar la autora de la firma). Para los siguientes mensajes
que nos enve el mismo remitente y que estn firmados, el cliente no nos alerta y simplemente
comprueba la identidad del remitente usando la clave pblica que recibi con el primer mensaje.
Una vez que disponemos de un certificado firmado y, por tanto, de una clave privada para firmar y de
una clave pblica para que los destinatarios verifiquen la firma, podemos firmar cualquier mensaje
usando los clientes de correo electrnico.
8.3-Cifrado de mensajes.
Si los mensajes de correo electrnico se transmiten codificados en texto plano y son interceptados
por un tercero, ste podr leer perfectamente el mensaje. La interceptacin puede realizarse de
muchas y variadas formas en el paso de los mensajes por los servidores de correo o por su
almacenamiento en los buzones.
El cifrado de un mensaje de correo evita que una persona que acceda al mensaje pueda interpretarlo
ya que estar codificado en un "cdigo secreto" o cdigo cifrado.
Slo el destinatario real del mensaje de correo podr interceptarlo porqu "conoce el cdigo secreto"
o la clave para descifrar.
Cuando un cliente de correo enva un mensaje de correo cifrado:
Antes de enviar, cifra el mensaje aplicando un algoritmo de cifrado a partir de una clave
pblica que debe tener para enviar correos cifrados al destinatario.
Si un tercero intercepta un correo cifrado, acceder a su contenido, pero no podr interpretarlo ya que
desconocer la clave privada para descifrar el mensaje.
Si un usuario quiere enviar un correo cifrado mediante un programa cliente, se ha tenido que recibir
antes una clave pblica del usuario destinatario de ese correo, (no se puede enviar un correo cifrado a
un destinatario sin tener su clave pblica).
Para enviar un mensaje cifrado en Mozilla Thunderbird para Linux, antes de enviarlo, hay que
seleccionar Men Opciones > Cifrar este Mensaje para indicar que se enve cifrado. La primera
vez que vamos a enviar a un usuario un mensaje cifrado, tendremos que indicar cul es el certificado
de ese usuario que vamos a usar.
Cuando en el cliente Thunderbird se recibe un mensaje cifrado y/o firmado, se muestra a la derecha
de la barra de herramientas un candado que abre una ventana indicando que el mensaje est cifrado
y/o firmado.
8.4-Filtros.
En la configuracin de Postfix hay varias directivas para establecer un filtrado del correo. Filtrar el
correo implica que el servidor analizar la procedencia, el destino y el contenido de los mensajes y
en funcin de las condiciones que se hayan establecido, rechazar el mensaje o admitir el mensaje y
reenviarlo o almacenarlo segn corresponda.
Una directiva de filtrado contiene varias restricciones que se van chequeando sobre cada mensaje en
el orden en el que aparecen esas restricciones. En el momento en que una restriccin se corresponda
con el mensaje, se aplica la restriccin y no se siguen chequeando restricciones.
header_checks:
body_checks:
smtpd_recipient_restrictions:
smptd_sender_restrictions:
smtpd_client_restrictions:
Dentro de las restricciones se puede indicar el "mapeo" de un archivo. Se trata de un archivo que
debemos crear y editar, con un formato de terminado, que contiene listas de palabras, nombres de
equipos, nombres de usuarios, direcciones de equipos sobre los que se fijan directamente
restricciones. Por ejemplo, la directiva para filtrar destinatario contendr aparte de otras
restricciones, el mapeo de un archivo que incluir nombres de usuario destinatario y de dominios
destinatarios sobre los que se aplicar aceptacin o rechazo de los mensajes.
smtpd_sender_restrictions = hash:/etc/postfix/destino
Cuando se modifique el contenido de un archivo de mapeo hay ejecutar un comando
para que el servidor postfix pueda aplicar los cambios y despus reiniciar el servidor.