Introducción

En el servicio convencional de correo postal, el cliente se limita a enviar y recibir correo. Los pasos intermedios, es decir el transporte, el modo de entrega, el lugar de entrega, etc., son transparentes para el usuario. Esto nos muestra que hay tres partes importantes en este servicio:

• El envío del correo.
• El transporte del correo y
• La recepción del correo.

El correo electrónico (e-mail) tiene un comportamiento muy parecido. Sólo que este servicio es
un sistema automatizado de entrega de correo. Las aplicaciones que participan en este servicio
son de tecnología cliente/servidor. Bien, así como el sistema convencional tiene sus partes, el
correo electrónico también tiene sus componentes:

• El cliente del correo electrónico (remitente):
También referenciado como MUA (Mail User Agent, Agente usuario de correo).

• El agente de transporte del correo:
También referenciado como MTA (Mail Transport Agent, Agente de transporte de
correo).

• El agente de entrega del correo (destinatario):
También referenciado como MDA (Mail Delivery Agent, Agente de entrega de
correo).

En esta introducción se muestra un cuadro con una descripción breve de los componentes de
e-mail:

Photobucket

¿Cómo funciona el correo electrónico?
El remitente de un e-mail confecciona un mensaje usando un cliente de correo electrónico, y lo
dirige a un destinatario. Después que el cliente de correo electrónico ha enviado el mensaje, el
agente de transporte de correo (MTA) toma el relevo en el proceso. Por ejemplo, Linux Fedora
usa un programa llamado Sendmail como agente de transporte de correo predeterminado.
El agente de transporte acepta el correo que llega del agente de usuario y envía el correo a un
receptáculo servidor. El agente de entrega revisa este gran buzón, determina la dirección del
destinatario de un determinado correo y entrega el mensaje al agente de transporte que da servicio
de e-mail al receptor. El agente de entrega no es más que un cliente de correo electrónico o un
agente de usuario.
Sin embargo, según la configuración del correo entrante para un cliente determinado, a veces es
necesario un componente adicional. Puede conectarse directamente a la máquina que actúa como
servidor de correo electrónico y leer su correo en ese sistema, o puede leer su correo desde su
sistema de escritorio, usando IMAP (Internet Message Access Protocol, Protocolo de acceso a los
mensajes de Internet), o POP (Post Office Protocol, Protocolo de oficina postal).

Protocolos de correo electrónico

Para habilitar todo el proceso de correo electrónico se utilizan una variedad de protocolos de red
estándar que permiten que diferentes máquinas, a menudo ejecutando sistemas operativos diferentes y usando diferentes programas de correo, envíen y reciban correo electrónico. Los protocolos que se indican a continuación son los que más se utilizan para transferir correo electrónico de un sistema a otro.

Protocolos de transporte de correo

La entrega de correo desde una aplicación cliente a un servidor, y desde un servidor origen al
servidor destino es manejada por SMTP (Simple Mail Transfer Protocol, Protocolo simple de
transferencia de correo).

SMTP
El objetivo principal del Protocolo simple de transferencia de correo, SMTP, es transferir correo
entre servidores de correo. Sin embargo es crítico para los clientes de correo también. Para poder enviar correo, el cliente envía el mensaje a un servidor de correo saliente, el cual luego contacta al servidor de correo de destino para la entrega. Por esta razón, es necesario especificar un servidor
SMTP cuando se esté configurando un cliente de correo.
Bajo Linux Fedora, un usuario puede configurar un servidor SMTP en la máquina local para
manejar la entrega de correo. Sin embargo, también es posible configurar servidores remotos
SMTP para el correo saliente.
Un punto importante sobre el protocolo SMTP es que no requiere autenticación. Esto permite que cualquiera en la red Internet puede enviar correo a cualquiera otra persona o a grandes grupos de personas. Esta característica de SMTP es lo que hace posible el correo basura o spam. Los servidores SMTP modernos intentan minimizar este comportamiento permitiendo que sólo los hosts conocidos accedan al servidor SMTP. Los servidores que no ponen tales restricciones son llamados servidores open relay.
Linux Fedora utiliza Sendmail (/usr/sbin/sendmail) como su programa SMTP por defecto. Sin
embargo, también está disponible una aplicación más simple de servidor de correo llamada Postfix (/usr/sbin/postfix).

Protocolos de acceso a correo

Hay dos protocolos principales usados por las aplicaciones de correo cliente para recuperar correo
desde los servidores de correo: POP (Post Office Protocol, Protocolo de oficina postal) e lMAP
(Internet Message Access Protocol, Protocolo de acceso a mensajes de Internet).
A diferencia de SMTP, estos protocolos requieren autenticación de los clientes usando un nombre
de usuario y una contraseña. Por defecto, las contraseñas para ambos protocolos son pasadas a
través de la red de forma encriptada.

POP
El servidor por defecto POP bajo Linux Fedora es /usr/sbin/ipop3d y es proporcionado por el
paquete imap. Cuando utilice el protocolo POP, los mensajes de correo son descargados a través
de las aplicaciones de correo cliente. Por defecto, la mayoría de los clientes de correo POP son
configurados automáticamente para borrar el mensaje en el servidor de correo después que éste
ha sido transferido exitósamente, sin embargo esta configuración se puede cambiar.
POP es completamente compatible con estándares importantes de mensajería de Internet, tales como MIME (Multipurpose Internet Mail Extensions, Extensiones de Correo de Internet Multipropósito), el cual permite los anexos de correo.
POP funciona mejor para usuarios que tienen un sistema en el cual leer correo. También funciona
bien para usuarios que no tienen una conexión permanente a la Internet o a la red conteniendo
el servidor de correo. Desafortunadamente para aquellos con conexiones lentas, POP requiere
programas cliente que luego de la autenticación, descarguen el contenido completo de cada mensaje.
Esto puede tomar un buen tiempo si algún mensaje tiene anexos grandes.
La versión más reciente del protocolo estándar POP es POP3. Existen sin embargo, una variedad
de variantes del protocolo POP menos usadas:

Photobucket

Para añadir seguridad, es posible utilizar la encriptación SSL (Secure Socket Layer, Capa de
enchufes seguros) para la autenticación del cliente y las sesiones de transferencias de datos. Esto
se puede activar usando el servicio ipop3s o mediante el uso del programa /usr/sbin/stunnel.

IMAP

El servidor por defecto IMAP bajo Linux Fedora es /usr/sbin/imapd y es proporcionado por el
paquete imap. Cuando utilice un servidor de correo IMAP, los mensajes de correo se mantienen en el servidor donde los usuarios pueden leerlos y borrarlos. IMAP también permite a las aplicaciones cliente crear, renombrar o borrar directorios en el servidor para organizar y almacenar correo.
IMAP lo utilizan principalmente los usuarios que acceden su correo desde varias máquinas. El
protocolo es conveniente también para usuarios que se estén conectando al servidor de correo a
través de una conexión lenta, porque sólo la información de la cabecera del correo es descargada
para los mensajes, hasta que son abiertos, ahorrando de esta forma ancho de banda. El usuario
también tiene la habilidad de eliminar mensajes sin verlos o descargarlos.
Por conveniencia, las aplicaciones cliente IMAP son capaces de hacer caché de los mensajes
localmente, para que el usuario pueda hojear los mensajes previamente leídos cuando no se esté
conectado directamente al servidor IMAP.
IMAP, como POP, es completamente compatible con estándares de mensajería de Internet, tales
como MIME, que permite los anexos de correo.
Para seguridad adicional, es posible utilizar la encriptación SSL para la autenticación de clientes
y para las sesiones de transferencia de datos. Esto se puede activar usando el servicio imaps, o
mediante el uso del programa /usr/sbin/stunnel.
También están disponibles otros clientes y servidores de correo IMAP gratuítos así como también comerciales, muchos de los cuales extienden el protocolo IMAP y proporcionan funcionalidades adicionales.

Clasificaciones de los programas de correo
En general, todas las aplicaciones de e-mail caen en al menos una de tres clasificaciones. Cada
clasificación juega un papel específico en el proceso de mover y administrar los mensajes de correo.
Mientras que la mayoría de los usuarios sólo están al tanto del programa de correo específico que
usan para recibir o enviar mensajes, cada uno es importante para asegurar que el mensaje llegue
a su destino correcto.

Agente de usuario de correo
Un agente de usuario de correo (MUA) es sinónimo con una aplicación cliente de correo.
Un MUA es un programa que, al menos, permite a los usuarios leer y redactar mensajes de correo.
Muchos MUAs son capaces de recuperar mensajes a través de los protocolos POP o IMAP,
configurando los buzones de correo para almacenar mensajes y enviando los mensajes salientes
a un MTA.
Los MUAs pueden ser de interfaz gráfica, tal como Mozilla Mail, o tener una interfaz basada en
un texto muy sencillo, tal como mutt o pine.

Agente de transporte de correo

Un Agente de transporte de correo (MTA) transfiere mensajes de correo electrónico entre hosts
usando SMTP. Un mensaje puede envolver a muchos MTAs a medida que este se mueve hasta
llegar a su destino.
Aunque la entrega de mensajes entre máquinas puede parecer bien simple, el proceso completo
de decidir si un MTA particular puede o debería aceptar un mensaje para ser repartido, es más
bien complicado. Además, debido a los problemas de spam, el uso de un MTA particular está
usualmente restringido por la configuración del MTA o por la falta de acceso a la red MTA.
Muchos programas clientes de correo modernos pueden actuar como un MTA cuando estén
enviando correo. Sin embargo, esta acción no debería ser confundida con el papel de un MTA
verdadero. La única razón de que los programas de correo cliente son capaces de enviar mensajes
(como un MTA) es porque el host ejecutando la aplicación no tiene su propio MTA. Esto es
particularmente cierto para programas de cliente o para sistemas que no están basados en el
sistema operativo UNIX. Sin embargo, estos programas clientes sólo envían mensajes hacia
afuera hacia un MTA para el cual están autorizados a utilizar y no directamente al servidor de
correos recipiente.
Puesto que Linux Fedora instala dos MTAs, Sendmail y Postfix, los programas cliente de correo
no son comúnmente requeridos que actúen como un MTA. Linux Fedora también incluye un MTA de propósitos especiales llamado Fetchmail.

Agente de entrega de correos

Un Agente de entrega de correos (MDA) es invocado por un MTA para archivar correo entrante
en el buzón de correo del usuario. En muchos casos, el MDA es en realidad un Agente de entregas
local (LDA, Local Delivery Agent)), tal como mail o Procmail.
Cualquier programa que realmente maneja un mensaje para entrega al punto en que puede ser
leído por una aplicación cliente de correos se puede considerar un MDA.
Por esta razón, algunos MTAs (tales como Sendmail y Postfix) pueden tener el papel de un MDA
cuando ellos anexan nuevos mensajes de correo al archivo spool de correo del usuario. En general, los MDAs no transportan mensajes entre sistemas tampoco proporcionan una interfaz de usuario;los MDAs distribuyen y clasifican mensajes en la máquina local para que sea accedida por una aplicación cliente de correo.

Agentes de transporte de correo

Linux Fedora incluye dos tipos primarios de MTAs:

• Sendmail y
• Postfix.

Sendmail es configurado como el MTA por defecto, aún cuando es fácil cambiar el MTA
predeterminado a Postfix.

Linux Fedora también incluye un MTA de propósitos especiales llamado Fetchmail, el cual es
usado para entregar correo desde un MTA remoto a uno local.
Los propósitos de esta sección sólo se centrarán en el MTA Sendmail.

Sendmail

Muchos administradores de red eligen a Sendmail como su MTA por defecto debido a su poder
y escalabilidad. Sendmail transfiere correo de forma segura entre hosts, usando el protocolo
SMTP.

La instalación de Sendmail por defecto

El ejecutable de Sendmail es /usr/sbin/sendmail.
El archivo de configuración largo y detallado de Sendmail es /etc/mail/sendmail.cf.

Evite modificar este archivo sendmail.cf directamente.
En vez de esto, para hacer cambios enla configuración, edite el archivo /etc/mail/sendmail.mc, cree una copia de respaldo del original /etc/mail/sendmail.cf, y luego use el procesador de macros incluido m4 para crear un nueva /etc/mail/sendmail.cf.

Varios archivos de configuración de Sendmail son instalados en el directorio /etc/mail/
incluyendo:

Photobucket

Muchos de los archivos de configuración en /etc/mail/, tales como access, domaintable, mailertable
y virtusertable, deben en realidad almacenar su información en archivos de bases de datos antes
de que Sendmail puede usar algún cambio de configuración. Para incluir cambios hechos a estas
configuraciones en sus archivos de bases de datos, ejecute el comando:

makemap hash /etc/mail/ < /etc/mail/

Donde:
es reemplazado con el nombre del archivo de configuración a convertir.

Por ejemplo, para tener todos los correos direccionados al dominio example.com entregados a
, añada la línea siguiente al archivo virtusertable:

@example.com bob@other-example.com

Para finalizar el cambio, el archivo virtusertable.db debe ser actualizado usando el comando
siguiente como root:

makemap hash /etc/mail/virtusertable < /etc/mail/virtusertable

Esto crea un nuevo archivo virtusertable.db conteniendo la nueva configuración.

Cambios comunes de configuración de Sendmail

Cuando se esté alterando el archivo de configuración de Sendmail, es mejor generar un archivo
completamete nuevo /etc/mail/sendmail.cf en vez de modificar el existente.

Nota:
Antes de cambiar el archivo sendmail.cf, es una muy buena idea hacer una copia de respaldo del archivo en funcionamiento.


Para añadir funcionalidad a Sendmail, modifique el archivo /etc/mail/sendmail.mc. Cuando termine, utilice el procesador de macros m4 para generar un nuevo sendmail.cf ejecutando el comando:

m4 /etc/mail/sendmail.mc > /etc/mail/sendmail.cf.

Después de crear un nuevo archivo /etc/mail/sendmail.cf, reinicie Sendmail para que tomen efectolos cambios. La forma más fácil de hacer esto es escribiendo el comando /sbin/service sendmail restart como root.
Por defecto, el procesador de macros m4 es instalado con Sendmail pero es parte del paquete
m4.

Nota:
El archivo por defecto sendmail.cf no permite que Sendmail acepte conexiones de red desde ningún host,más que la máquina local. Para configurar Sendmail como un servidor para otros clientes, modifique /etc/mail/sendmail.mc y cambie DAEMON_OPTIONS para que también escuche en dispositivos de red o coloque en comentarios toda esta opción. Luego, vuelva a generar /etc/mail/sendmail.cf ejecutando:

m4 /etc/mail/sendmail.mc > /etc/mail/sendmail.cf

Esta configuración debería de funcionar para la mayoría de los sitios sólo SMTP. No funcionará
para sitios UUCP (copia UNIX a UNIX); debe generar un nuevo sendmail.cf si se está usando
transferencias de correo UUCP.

Consulte el archivo /usr/share/sendmail-cf/README antes de modificar cualquier archivo
en los directorios bajo el directorio /usr/share/sendmail-cf, pues ellos pueden afectar la futura
configuración de los archivos /etc/mail/sendmail.cf.

Creación de máscaras

Una configuración común de Sendmail es tener una sola máquina actuando como el gateway
de correo para todas las máquinas en la red. Por ejemplo, una compañía puede querer tener una
máquina llamada mail.bigcorp.com que maneja todo su correo y asigna una dirección de retorno
consistente para todo el correo saliente.

En esta situación, el servidor Sendmail debe enmascarar los nombres de las máquinas en la red
de la compañía para que la dirección de retorno sea user@bigcorp.com en vez de user@devel.
bigcorp.com.

Para hacer esto, añada las líneas siguientes /etc/mail/sendmail.mc:

FEATURE(always_add_domain)dnl
FEATURE(`masquerade_entire_domain’)
FEATURE(`masquerade_envelope’)
FEATURE(`allmasquerade’)
MASQUERADE_AS(`bigcorp.com.’)
MASQUERADE_DOMAIN(`bigcorp.com.’)
MASQUERADE_AS(bigcorp.com)

Después de generar un nuevo sendmail.cf usando m4, esta configuración hará que todo el correo
dentro de la red aparezca como que si hubiese sido enviado desde bigcorp.com.

Detener el correo basura

El correo basura se puede definir como correo no deseado e innecesario recibido por un usuario
que nunca solicitó tal comunicación. Es un abuso costoso y molesto de las comunicaciones de
Internet estándar.
Sendmail hace relativamente fácil bloquear nuevas técnicas de difusión de correo basura. Hasta
bloquea por defecto muchos de los métodos comunes de difusión de correo basura.
Por ejemplo, el reenvío de mensajes SMTP, también conocido como relaying, ha sido desactivado
por defecto desde Sendmail versión 8.9. Antes de que se produjese este cambio, Sendmail indicaba al host (x.org) que aceptará mensajes desde un partido (y.com) y que los enviará a un partido diferente (z.net). Ahora, sin embargo, Sendmail debe ser configurado para permitir a cualquier dominio que transmita correo a través del servidor. Para configurar dominios de transmisión, modifique el archivo /etc/mail/relay-domains y reinicie Sendmail.
Sin embargo, en muchas ocasiones, los usuarios reciben bombardeos de correo basura de otros
servidores a través de Internet. En estos casos, puede utilizar las funciones de control de acceso
de Sendmail que están disponibles en el archivo /etc/mail/access para prevenir conexiones desde host indeseados. El ejemplo siguiente ilustra como este archivo puede ser usado para bloquear y también para permitir el acceso al servidor Sendmail:

badspammer.com ERROR:550 “Go away and do not spam us anymore”
tux.badspammer.com OK
10.0 RELAY

Este ejemplo indica que cualquier correo enviado desde badspammer.com es bloqueado con un
código de error 550 RFC-821, con un mensaje para el emisor. Los correos enviados desde el subdominio
tux.badspammer.com, serán aceptados. La última línea muestra que cualquier correo
enviado desde la red 10.0.*.* se puede transmitir a través del servidor de correo.
Debido a que /etc/mail/access.db es una base de datos, use makemap para activar los cambios.
Haga esto usando el comando siguiente como root:

makemap hash /etc/mail/access < /etc/mail/access

Como puede imaginarse, este ejemplo sólo analiza una mínima parte de lo que Sendmail puede
realizar en cuanto a permitir o bloquear el acceso. Consulte /usr/share/doc/sendmail/README.
cf para más información y ejemplos.
Puesto que Sendmail llama a Procmail MDA cuando está entregando correo, también es posible
usar un programa de filtrado de correo basura, tal como SpamAssassin para identificar y archivar
correo basura por los usuarios.

Agentes de usuario de correo

Hay muchos programas de correo disponibles bajo Linux Fedora. Hay programas gráficos de
clientes de correo con características completas, tales como Mozilla Mail o Ximian Evolution,
así como también programas basados en texto, tales como mutt y pine.
El resto de esta sección se enfoca en asegurar la comunicación entre el cliente y el servidor.

Comunicación segura

Los MUAs populares incluidos con Linux Fedora, tales como Mozilla Mail, mutt y pine, ofrecen
sesiones encriptadas con SSL.
Al igual que otros servicios existentes en una red no cifrada, la información de correo electrónico
importante, como nombres de usuario, contraseñas y mensajes, se puede interceptar y ver sin quetenga conocimiento el servidor o el cliente de correo. Al usar los protocolos estándar POP e IMAP,toda la información de autenticación se envía “limpiamente”, sin encriptar, por lo que es posiblepara un intruso ganar acceso a las cuentas de usuarios reuniendo los nombres de los usuarios y sus contraseñas cuando estos son transmitidos sobre la red.

Clientes de correo electrónico seguros

Afortunadamente, la mayoría de los agentes MUA de Linux están diseñados para comprobar
el correo mediante SSL. Para usar SSL al recuperar el correo, se debe activar esta opción en el
cliente y en el servidor de correo.
SSL se activa muy fácilmente en el cliente, normalmente basta con pulsar un botón en el área
de configuración del agente MUA o mediante una opción en el archivo de configuración del
MUA. Los protocolos IMAP y POP seguros tienen números de puerto conocidos (993 y 995,
respectivamente) que MUA utiliza para autenticar y descargar los mensajes.

Asegurar las comunicaciones de cliente de correo

Ofrecer cifrado SSL a los usuarios de IMAP y POP del servidor de correo es muy sencillo.
Primero, cree un certificado SSL. Esto se puede hacer de dos formas: solicitando a una Certificate
Authority (CA) por un certificado SSL o mediante la creación de un certificado auto-firmado.

Atención:
Los certificados auto-firmados solamente deberían ser usados para propósitos de prueba. Cualquier servidor usado en un ambiente de producción debería usar un certificado SSL emitido por una CA.

Para crear un certificado SSL con firma propia para IMAP, cambie al directorio /usr/share/ssl/certs/
y escriba el comando siguiente como root:

make imapd.pem

Conteste todas las preguntas para completar el proceso.
Para crear un certificado SSL con firma propia para POP, cambie al directorio /usr/share/ssl/certs/, y escriba el comando siguiente como usuario root:

make ipop3d.pem

Una vez más, conteste todas las preguntas para completar el proceso. Una vez terminado, use
el comando /sbin/service para iniciar el demonio apropiado (imaps o pop3s). Luego, configure
el servicio imaps o pop3s para que arranquen en los niveles de ejecución apropiados. Use por
ejemplo la Herramienta de configuración de servicios (system-config-services).
Alternativamente, el comando stunnel puede ser usado como una envoltura de criptación SSL
con el estándar, para los demonios no seguros, imapd o pop3d.
El programa stunnel utiliza librerías OpenSSL externas incluídas con Red Hat Linux para
proporcionar criptografía robusta y proteger las conexiones. Es mejor solicitar a una Certificate
Authority (CA) por un certificado SSL, pero es posible crear un certificado auto-firmado.
Para crear un certificado SSL auto-firmado, cámbiese al directorio: /usr/share/ssl/certs/
y escriba el comando siguiente:

make stunnel.pem

Una vez más, conteste todas las preguntas para completar el proceso.
Una vez que el certificado es generado, es posible usar el comando stunnel para iniciar el demonio
de correo imapd usando el comando siguiente:

/usr/sbin/stunnel -d 993 -l /usr/sbin/imapd imapd

Una vez que este comando es emitido, es posible abrir un cliente de correo IMAP y conectarse
al servidor de correo usando una encriptación SSL.
Para arrancar pop3d usando el comando stunnel, escriba el comando siguiente:

/usr/sbin/stunnel -d 993 -l /usr/sbin/pop3d pop3d

Para más información sobre el uso de stunnel, lea la página man stunnel o refiérase a los documentos
en el directorio /usr/share/doc/stunnel-/.


0 comentarios:

Publicar un comentario