Mejorar la seguridad de la conexión SMTP

Los servidores y clientes SMTP se comunican a través de Internet en texto sin formato. La comunicación se suele producir a través de uno o más enrutadores que no son están bajo control ni resultan de confianza por parte de ninguna de las partes comunicantes. Un enrutador que no es de confianza puede permitir que un tercero espíe la conexión entre el servidor y el cliente o la modifique.

Además, dos agentes SMTP a menudo deben autenticarse entre sí. Para ello, el cliente y el servidor intercambian certificados de forma no cifrada cuando se establece la conexión SMTP.

Si el cliente no desea mostrar su certificado, puede solicitar al servidor que utilice cifrados anónimos. En general, la configuración de cifrado de la parte remota no se puede controlar, pero se debe garantizar la entrega de mensajes. En tales casos, se aplican configuraciones relajadas para enviar y recibir correo electrónico. En la interfaz web de KSMG, la configuración de cifrado TLS se encuentra en la sección Configuración → MTA integrado → Cifrado TLS.

Al recibir mensajes de servidores remotos, el nivel de seguridad de la conexión se determina mediante la selección en la lista desplegable Nivel de seguridad de TLS del servidor. La configuración predeterminada es Intentar cifrado TLS. En este caso, con el comando STARTTLS el cliente solicita al servidor que establezca una conexión cifrada. Si el servidor no puede establecer una conexión cifrada, la conexión se establece sin cifrado TLS. Una configuración más estricta (por ejemplo, Solicitar cifrado TLS) en esta fase finaliza la conexión y los mensajes de correo electrónico no se entregan.

Al crear un clúster, la aplicación KSMG crea automáticamente un certificado autofirmado. Este certificado aparece en la tabla de certificados TLS de la sección Configuración → MTA integrado → Cifrado TLS sección con el nombre Default Cert; el certificado tiene una longitud de clave RSA de 4096 bits con una firma SHA-256. Si está utilizando una configuración relajada, este certificado es suficiente para el cifrado TLS de la conexión.

Al enviar mensajes a servidores remotos, el nivel de seguridad de la conexión se determina mediante la selección en la lista desplegable Nivel de seguridad de TLS del cliente. La configuración predeterminada es Intentar cifrado TLS, lo que significa que KSMG solicita al servidor remoto que establezca una conexión con cifrado TLS y, en caso de rechazo, envía el mensaje sin cifrar. Configuraciones más estrictas (por ejemplo, Solicitar cifrado TLS y no verificar certificado) exigen que el servidor remoto admita el cifrado TLS independientemente de los resultados de la verificación del certificado TLS. Si Solicitar cifrado TLS y verificar certificado está seleccionado, el servidor debe presentar además el certificado TLS correcto. Una discrepancia entre los ajustes del servidor remoto y los valores configurados provoca que se cierre la conexión y el correo electrónico no se entregue.

En KSMG, puede configurar el envío de mensajes mediante el cifrado TLS para cada dominio de la lista. Puede configurar el envío para un dominio individual en la sección Configuración → MTA integrado → Dominios.

Puede utilizar la configuración siguiente para aumentar la seguridad de una conexión SMTP en un entorno de mensajería de agente a agente de confianza: por ejemplo, dentro de la misma empresa, si se aplican los mismos parámetros estrictos para el cifrado TLS de los agentes, se emiten y descargan certificados autenticados por autoridades de certificación y se impide recibir correo de fuentes desconocidas. Para editar la configuración, vaya a la sección Configuración → MTA integrado → Cifrado TLS y establezca los siguientes valores:

• Nivel de seguridad de TLS del servidor – Solicitar cifrado TLS.
• Nivel de seguridad de TLS del cliente – Solicitar cifrado TLS y no verificar certificado o Solicitar cifrado TLS y verificar certificado.

La aplicación de una configuración de cifrado TLS estricta aumenta la carga en los recursos computacionales del servidor y restringe el rendimiento de la puerta de enlace.