Artículos
SuGE3K

Buenas Prácticas con tu Servidor de Correo Electrónico

Tabla de contenidos

Los correos electrónicos son el principal medio de comunicación de toda compañía, principalmente por que es el único medio que nos permite corroborar con cierta confianza un contacto o información enviada, en comparación con otros sistemas.

Pero muchas personas que poco o nulo conocimiento en informática, consideran registrar un dominio y asociar a este un correo, basta solo recibir y entregar emails (Google Workspaces, Zoho Mail, Outlook, etc), y esto puede ser algo cierto si envías o recibes correos de servidores, también mal configurados.

Ahora, un servidor de correo electrónico requiere varias actividades antes de ponerlo a producción y garantizar el 100% de la entrega de tu email a servidores correctamente configurados.

Antes que nada, no vamos a tocar configuración de buzones ni buenas prácticas, ya que se sobre entiende las restricciones y políticas de uso de cualquier correo electrónico empresarial como:

  • Restricción de envió de más de 500 correos por día por buzón, solo ciertos buzones podrían superar esta política.
  • Cambio de contraseña cada 30 días.
  • Si es posible, usar contraseñas por aplicaciones y no una general.
  • Restringir el envió de correos a usuarios externos.
  • Etc…

Lo más fácil, configurar el registro MX y SPF

Este primer paso es el mas sencillo de todos y solo garantiza un aproximado de 60% de las entregas de los correos, el otro 20% podría ir a SPAM, y el otro 20% es muy probable que ingrese a una bandeja especial que requiera ser revisado por el administrador del correo para permitir la entrega de forma manual o ni siquiera se reciba.

La configuración del MX (Mail eXchange) permite identificar los servidores de correo electrónico desde donde enviaras los emails, y el SPF (Sender Policy Framework) permite autenticar los servidores autorizados que enviaran los emails, ambas reglas se complementan y teóricamente seria suficiente con estas dos configuraciones autorizar tu correo empresarial en Google/Microsoft/etc.

Como se menciona, es lo más fácil hacer, ya que las propias plataformas de email indican como hacerlo con un sencillo paso a paso.

Autorizar el servidor no basta, también se requiere autenticar el remitente

¿Quien garantiza que realmente la persona que dice enviar el correo es la «oficial»?, si configuras los anteriores pasos, es muy probable que te suplanten fácilmente, EJ: Yo podría estar enviando un correo desde un Relay de Google y suplantar tu identidad sin mayores problemas, si el servidor del destinatario esta MAL CONFIGURADO, va a aceptar el correo que yo le envió y la persona que lo lea, podría tramitarlo sin consultarlo (He aquí la importancia de siempre confirmar si un remitente envió o no ese correo).

Para reducir el riesgo de recibir correos no validados, algunos SysAdmins restringimos la recepción de correos sin las firmas digitales pertinentes, lo dejamos en una lista de espera que normalmente se revisa una vez cada 3 o 5 días, así que si tu correo es legitimo y llega a esa bandeja (después de inspeccionarlo manualmente) se procede con la entrega al destinatario.

¿Y en donde se configura la autenticación del correo remitente?, se deben de configurar dos registros adicionales en nuestro DNS con previa configuración en el servidor de correo, o del proveedor del correo, el primero que se configura es el DKIM (DomainKeys Identified Mail), el cual permite, mediante una llave o Hash firmar digitalmente todos los correos enviados desde el servidor, permitiendo al servidor destinatario corroborar que el correo proviene desde el servidor que dice venir y que no ha sido modificado previamente.

Acá te dejamos los enlaces en donde esta la guía de configuración de algunos servicios:

Después de configurar el DKIM, se procede con el DMARC, esta configuración permite integrar a DKIM y a SPF, protegiendo de esta manera, no solo que el correo del remitente proviene desde el servidor correcto, si no, del dominio verificado.

Para generar el registro DMARC de tu dominio, puedes usar esta utilidad: https://dmarcian.es/dmarc-record-wizard/

Pero si tienes tu propio servidor de correo…

Los SysAdmins, normalmente, en configuraciones seguras, colocamos como obligatorio que los servidores cumplan con esas 4 reglas (MX, SPF, DKIM, DMARC) cuando provienen desde servidores de correo de grandes proveedores, pero cuando provienen de servidores propios del remitente, por ejemplo, RoundCube o Zimbra, se realiza una validación adicional, y es el PTR, este es un registro DNS adicional, inverso, que garantiza que la IP enviada por el remitente (IP Publica) corresponde al servidor. No hay forma que el SysAdmin lo configure, ya que debe de solicitar directamente al proveedor de la IP Publica (Ya sea al ISP o la Cloud donde tenga el servidor de correo) que cuando alguien consulte la IP Publica del servidor, esta (no precisamente la IP, es una forma de «decirlo»), responda el nombre del dominio del servidor de correo.

Como podrás notar, configurar un correo para garantizar el 100% de las entregas, no es simplemente contratar un servicio de email con X o Y proveedor, requiere algunas tareas adicionales a tener en cuenta, muchos SysAdmins no lo tienen en cuenta, y muchos implementadores piensan que solo con el MX y el SPF basta y sobra.

Ya por último, pero no menos importante, siempre monitorea tu servidor de correo electrónico, en especial si es uno propio, un vistazo una vez al día de unos 30 minutos para validar que todo ande bien, no estaría de más.

¿Tienes alguna recomendación adicional que hacer para garantizar la entrega de un correo electrónico?

Recuerda que con SUGEEK SAS, cuentas con un aliado del departamento de tecnología para tu compañía

Su|GE3K
enero 4, 2021
1:35 pm
0 comentarios
Comparte este artículo en redes

Deja el primer comentario

En Redes