SUPORT de TLS (SSL) i SMTP AUTH al SERVEI DE CORREU
A partir del 22 de febrer de 2002 el TLS queda suportat als nostres servidors de correu post.uv.es i postal.uv.es, en qualsevol dels protocols d'accés a bústies (POP3, IMAP) i en l'enviament de missatges (SMTP). Temporalment, s'exceptua el servei SMTP de postal.uv.es. També suporta l'accés TLS al servei d'accés al correu via WWW (https://correo.uv.es).Addicionalment, en el servidor post.uv.es se suporta l'autentificació d'usuaris per a l'enviament de missatges via el protocol SMTP (AUTH). Un usuari autentificat podrà utilitzar el SMTP per enviar missatges a l'exterior de la universitat, fins i tot si es connecteu des d'un ordinador extern.
TLS: el problema
La confidencialitat de les transmissions de dades a través d'Internet no pot garantir-se, és molt fàcil interceptar una comunicació en qualsevol dels punts pels quals transita. Açò és particularment greu quan, entre la informació que es transmet, hi ha una contrasenya d'accés, ja que aquesta, en la majoria dels casos (programes client actuals) es transmet en clar (sense cap tipus de codificació).La solució adoptada normalment consisteix a criptografiar la contrasenya o, més generalment, tota la comunicació.
Per criptografiar les comunicacions en Internet usualment s'utilitza el protocol SSL (ara rebatejat TLS). Aquest protocol permet a més assegurar la identitat del servidor, del programa client i de l'usuari mitjançant un conjunt de certificats; en els serveis actuals de la Universitat només es farà servir un tipus de certificat: el certificat del servidor. La resta encara no s'utilitza massa pel complex problema que representa validar un certificat (qui certifica el certificat?).
El TLS al servei de correu
Des de fa uns anys, els nostres servidors de correu post.uv.es i postal.uv.es suportan, de forma experimental, connexions IMAP, POP i SMTP encriptades via TLS. Tot i això, la poca estandardització d'aquest suport en els clients de correu usuals (començant per NS-Messenger i MS-OutLook Express) i en els programes servidors havia impedit considerar-lo una opció recomanable en general. Fins i tot algun dels estàndards ha canviat en els darrers dos anys, invalidant tots els clients que fins al moment ja tenien suport TLS en SMTP.La situació sembla haver canviat, per la qual cosa els servidors de correu de la universitat passen a donar suport al TLS a partir de març de 2002. Açò permet resoldre el problema, cada vegada més apressant, de connectar-se de forma segura al servei de correu, principalment quan es tracta d'ordinadors situats fora de la universitat.
Igualment, el servei d'accés via WWW al correu (http://correu.uv.es) suporta l'accés TLS utilitzant el servidor WWW segur, accessible en el URL https://correu.uv.es (observar la "s" de https). El conjunt d'aquestes facilitats permet garantir la confidencialitat de la transmissió de les dades
des del PC de l'usuari fins al servidor i viceversa. Per tant, llevat de l'accés indegut al servidor, la confidencialitat està garantida entre comptes del mateix servidor (i entre els dels dos servidors, post i postal). Així mateix, queden protegidas les contrasenyes. Tanmateix, és important observar que els missatges es transmeten en clar entre la majoria dels servidors d'Internet, per la qual cosa no es pot asegurar res sobre la confidencialitat dels misstages que ixen dels nostres servidors cap a l'exterior.
SMTP AUTH: el problema
El SMTP AUTH i la interfície d'accés WWW al correu
Ni el problema (el permís de relay) ni la solució d'aquest (el SMTP AUTH) afecten els qui utilitzen la interfície WWW d'accés al correu https://correu.uv.es.El spam i el permís de relay
El major problema que troba, actualment, el servei de correu a Internet és l'abús dels servidors de correu propis i aliens per enviar massivament missatges no sol·licitats, sovint propaganda no desitjada de diferents tipus.Aquest abús, existent des de sempre i batejat en anglés com a "SPAM", està creixent cada vegada més i ha fet que els servidors d'enviament de missatges (SMTP) s'hi blinden cada vegada més, adoptant mesures restrictives (i de compliment obligatori per a estar en la xarxa) abans d'acceptar un missatge.
La primera i principal d'aquestes mesures consisteix a denegar el reenviament (relay) de missatges que venen d'ordinadors desconeguts i destinats a comptes que no són propis.
Aquesta mesura és imprescindible per impedir que persones alienes utilitzen el servidor SMTP per difondre massivament correu no sol·licitat. Tot i això, té una conseqüència indesitjable: que el servidor SMTP d'una institució denegue el reenviament de missatges a qualsevol persona que es connecte des d'un ordinador aliè, encara que aquesta persona siga de la institució. El cas típic és el d'una persona de la Universitat que vulga enviar missatges des de sa casa connectat a la xarxa mitjançant qualsevol proveïdor d'accés : el servidor SMTP de la Universitat li ho denegarà.
Solucions possibles
La solució lògica per a aquests casos consisteix, senzillament, a utilitzar el servidor SMTP del proveïdor d'accés a Internet. L'únic inconvenient que té açò és que l'usuari haurà de fer una configuració distinta (un servidor SMTP diferent) segons el lloc (proveïdor) que utilitze per connectar-se a la xarxa. El servidor SMTP del proveïdor no hauria de tenir cap inconvenient en readreçar missatges provinents de la seua pròpia xarxa.La solució anterior és perfectament aplicable en el cas, poc comú, que la institució siga també proveïdora d'accés a Internet: hi ha prou amb connectar-se a la xarxa utilizant exclusivament a la institució com a proveïdor d'accés. Desgraciadament açò no és generalitzable i sol ser possible només en alguns casos concrets. A la Universitat de València, açò només és possible per a usuaris que siguen personal de la Universitat (no alumnes), vulguen connectar des de l'área metropolitana de València i hagen sol·licitat i obtingut accés via mòdem.
Una solució més pràctica és connectar-se virtualment a la xarxa de la institució, després de connectar-vos físicament a Internet via el proveïdor d' accés. Açò és possible utilitzant les facilitats de "xarxa privada virtual" (VPN) que són suportades per la majoria d'ordinadors actuals. Connectar-se via VPN a la xarxa de la Universitat de València és perfectament possible per a qualsevol usuari de xarxa, simplement autentificant-vos amb el vostre usuari i la contrasenya.
La primera de les solucions és la més senzilla i la més comuna. Desgraciadament, cada vegada i més sovint no és possible utilitzar-la ja que els proveïdors d'accés a Internet opten per prohibir que els seus servidors SMTP siguen utilitzats amb adreces d'origen (remitent) que no siguen de la seua pròpia xarxa. Aquesta mesura, de difícil justificació si no és per raons comercials, invalida la possibilitat d'utilitzar aquests servidors SMTP per enviar correu d'una institució qualsevol.
En aquest context el SMTP AUTH apareix com una solució igualment senzilla i que permet utilitzar sempre la mateixa configuració (el mateix servidor SMTP) per al programa de correu, siga quin siga el lloc d'on es realitza la connexió.
El SMTP AUTH
El principal problema amb el qual es troben els servidors SMTP a l'hora de decidir si poden o no reenviar un missatge de correu és la identificació de qui origina el missatge.El protocol SMTP original, dissenyat en un món "més confiat" no inclou cap tipus didentificació. Tot i això, recents addicions al protocol, conegudes com SMTP AUTH han estat aprovades per més programes client i servidors, la qual cosa fa possible el seu ús.
El SMTP AUTH és una extensió al protocolo SMTP que permet que la persona a la qual voleu enviar un missatge de correu a través d'un servidor SMTP s'identifique davant d'aquest. El mecanisme d'identificació, semblant a l'utilitzat per autoritzar la lectura de missatges, consisteix normalment a sol·licitar el parell usuari+contrasenya.
Així un usuari pot utilitzar sempre com a servidor SMTP el servidor de la seua institució, ja que aquest sempre li permetrà enviar missatges a qualsevol lloc de la xarxa, independentement de la situació de l'ordinador que utilitze per connectar-se.
Altres aplicacions del SMTP AUTH
En general, el fet d'identificar aquell que envia un missatge va més enllà que la simple autorització del permís de relay. Un usuari autentificat podrà tenir més privilegis o privilegis específics, com ara el permís d'enviar a determinades adreces restringides, etc.
El SMTP AUTH al servei de correu
Des de març de 2002 els servidors de correu de la universitat suporten oficialment el SMTP AUTH. Per raons tècniques, s'exceptua temporalment el servidor de correu d'alumnes "postal.uv.es". Els usuaris de postal.uv.es podran utilitzar el servidor de personal "post.uv.es" com a servidor de correu eixint (SMTP) si volen aprofitar el SSL/TLS i el SSL AUTH.L'usuari i la contrasenya a utilitzar són els mateixos que per a l'accés a la lectura de correu.
El SMTP AUTH i el TLS/SSL se solen configurar simultàniament: el SMTP AUTH és un protocol poc segur que envia la contrasenya en clar, per la qual cosa és convenient criptografiar la connexió amb el TLS/SSL. Hi ha una ajuda per configurar els programes de correu amb SMTP AUTH i TLS/SSL.
© Servei d' Informàtica - Universitat de València. Última modificació 11-abril-2002.