University of Valencia logo Logo ICT Service [SIUV] Logo del portal

Acceso criptografiado y autentificado al servicio de correo

Criptografía: A partir del 22 de febrero de 2002 el TLS (SSL) está soportado en nuestros servidores de correo (post.uv.es), en cualquiera de los protocolos de acceso a buzones (POP3, IMAP) y en el de envío de mensajes (SMTP). Asimismo se soporta el acceso TLS al servicio de acceso al correo vía WWW.
Autentificación: Adicionalmente, los servidores soportan la autentificación de usuarios para el envío de mensajes vía el protocolo SMTP (AUTH). Un usuario autentificado podrá utilizar el SMTP para enviar mensajes al exterior de la universidad, incluso aunque se conecte desde un ordenador externo (permiso de "relay").
MSA: Todos los servidores de correo de la universidad y los firewall de la misma soportan el acceso autentificado a la puerta MSA SMTP 587 para el envío de correo.

Al grano

Para el que no le interesen las explicaciones y sólo quiera configurar su cliente de correo:

  • Siempre que se configure un programa cliente de correo (esto no afecta a las interfaces web de acceso al correo) se recomienda utilizar, o bien VPN (si se está fuera de la red de la UV), o bien configurar la entrega de correo para que utilize TLS (criptografía), SMTP_AUTH (autenticación) y la puerta SMTP 587 (no la puerta 25) (evitar firewall).

Criptografía: el problema

Como es bien sabido, la confidencialidad de las transmisiones de datos a través de Internet no puede garantizarse, pues es muy fácil interceptar una comunicación en cualquiera de los puntos por los que ésta transita. Esto es particularmente grave cuando entre la información que se transmite figura una contraseña de acceso, pues ésta, en la mayoría de los casos (programas cliente actuales) se transmite en claro (sin ningún tipo de codificación).

La solución adoptada normalmente consiste en criptografiar la contraseña o, más generalmente, toda la comunicación.

Para criptografiar las comunicaciones en Internet usualmente se utiliza el protocolo SSL (hoy rebautizado TLS). Este protocolo permite además asegurar la identidad del servidor, del programa cliente y del usuario mediante un conjunto de "certificados" ; en los servicios actuales de la universidad tan sólo se utilizará un tipo de certificado, el certificado del servidor. Los demás aún no se utilizan demasiado por el complejo problema que representa el validar un certificado (¿quién certifica el certificado?).

El TLS en el servicio de correo

Desde varios años previos al 2002, nuestros servidores de correo post.uv.es y postal.uv.es soportaban, de forma experimental, conexiones IMAP, POP y SMTP encriptadas víaTLS. Sin embargo, la poca estandarización de dicho soporte en los clientes de correo usuales (empezando por NS-Mail y MS-Outlook Express) y en los programas servidores había impedido considerarlo como una opción aconsejable en general. Incluso alguno de los estándares cambió en esos años, invalidando todos los clientes que hasta entonces ya tenían soporte TLS en SMTP.

La situación evolucionó y los servidores de correo de la universidad pasaron a dar oficialmente soporte al TLS a partir de marzo de 2002. Ello permitió resolver el problema, cada vez más acuciante, de conectarse de forma segura al servicio de correo, principalmente cuando se trata de ordenadores situados fuera de la universidad.

  • El servicio de acceso vía WWW al correo soporta también el acceso TLS utilizando el servidor WWW seguro, accesible en el URL https://correo.uv.es (observar la "s" de "https").

El conjunto de estas facilidades permite garantizar la confidencialidad de la transmisión de los datos desde el PC del usuario hasta el servidor y viceversa. Por lo tanto, salvo acceso indebido al servidor, la confidencialidad está garantizada entre cuentas del mismo servidor (y entre las de los dos servidores, post y postal). Asimismo, quedan protegidas las contraseñas. Sin embargo, es importante observar que los mensajes se transmiten en claro entre la mayoría de los servidores de Internet, por lo que nada puede asegurarse sobre la confidencialidad de los mensajes que salen de nuestro servidores hacia el exterior.

¿Cómo usar TLS?

Utiliza el correo o bien, si quieres configurar tu propio cliente de correo, existe una ayuda para configurar los programas de correo con SMTP AUTH y TLS/SSL.

(El SMTP AUTH y el TLS/SSL se suelen configurar simultáneamente: el SMTP AUTH es un protocolo poco seguro que envía la contraseña casi en claro, por lo que es conveniente criptografiar la conexión con el TLS/SSL).

Autentificación: el problema

Ni el problema (el permiso de relay) ni la solución de éste (el SMTP AUTH) afectan a aquellos que utilizan la interfaz WWW de acceso al correo

El "spam" y el permiso de relay

El mayor problema con el que se tropieza en la actualidad el servicio de correo en Internet consiste en su utilización abusiva para el envío masivo de mensajes no solicitados, a menudo propaganda indeseada de variado tipo.

Este abuso, existente desde siempre y bautizado en inglés como "SPAM", está creciendo cada vez más y ha llevado a que los servidores de envío de mensajes (SMTP) se blinden cada vez más contra él, adoptando medidas restrictivas (y de obligatorio cumplimiento para estar en la red) antes de aceptar un mensaje.

La primera y principal de estas medidas consiste en denegar el reenvío ("relay") de mensajes que vienen de ordenadores desconocidos y destinados a cuentas que no son propias.

Esta medida es imprescindible para impedir que personas ajenas utilizen el servidor SMTP para difundir masivamente correo no solicitado. Sin embargo, tiene como indeseable consecuencia el que el servidor SMTP de una institución deniegue el reenvío de mensajes a cualquiera que se conecte desde un ordenador ajeno, aunque ese "cualquiera" sea una persona de la institución. El caso típico es el de una persona de la universidad que desea enviar mensajes desde su casa conectado a la red a través de un proveedor de acceso: el servidor SMTP de la universidad se lo denegará.

Soluciones posibles

La solución lógica para estos casos consiste sencillamente en utilizar el servidor SMTP del proveedor de acceso Internet. El único inconveniente que tiene esto es que el usuario tendrá que emplear una configuración distinta (un servidor SMTP distinto) según el sitio (proveedor) que emplee para conectarse a la red. El servidor SMTP del proveedor no debería tener inconveniente en redirigir mensajes provenientes de su propia red.

La solución anterior es perfectamente aplicable en el caso, menos común, en que la propia institución es también la proveedora del acceso a Internet: basta conectarse a la red utilizando exclusivamente a la institución como proveedor de acceso. Desgraciadamente ello no es generalizable y suele ser posible tan sólo en algunos casos concretos. En la Universitat de València, ello sólo lo pueden usar aquellos usuarios que sean personal de la universidad (no alumnos), se quieran conectar desde el área metropolitana de Valencia y hayan solicitado y obtenido acceso vía módem.

Una solución más práctica consiste en conectarse virtualmente a la red de la institución, tras haberse conectado físicamente a Internet vía el proveedor de acceso. Ello es posible utilizando las facilidades de "red privada virtual" (VPN) que son soportadas por la mayoría de ordenadores actuales. El conectarse vía VPN a la red de la Universitat de Valencia es perfectamente posible para cualquier usuario de red de la misma, simplemente autentificándose con su usuario y contraseña.

La primera de las soluciones (SMTP del proveedor) es la más sencilla y la más comúnmente adoptada. Desgraciadamente, cada vez ocurre más a menudo que no sea posible emplearla debido a que los proveedores de acceso a Internet están optando por prohibir también que sus servidores SMTP sean utilizados con direcciones de origen (remite) que no sean de su propia red. Esta medida, invalida la posibilidad de utilizar dichos servidores SMTP para enviar correo de una institución cualquiera.

En este contexto el SMTP AUTH aparece como una solución igualmente sencilla y que permite utilizar siempre la misma configuración (el mismo servidor SMTP) para el programa de correo, sea cual sea el lugar desde donde se realiza la conexión.

¿Qué es el SMTP AUTH?

El principal problema con el que se encuentran los servidores SMTP a la hora de decidir si pueden o no reenviar un mensaje de correo es la identificación del que origina el mensaje.

El protocolo SMTP original, diseñado en un mundo "más confiado" no incluye ningún tipo de identificación. Sin embargo, recientes adiciones al protocolo, conocidas como SMTP AUTH han sido adoptadas en un cada vez mayor número de programas cliente y servidores, lo que hace posible actualmente su utilización.

El SMTP AUTH es una extensión al protocolo SMTP que permite que la persona que desea enviar un mensaje de correo a través de un servidor SMTP se identifique ante éste. El mecanismo de identificación, similar al utilizado para autorizar la lectura de mensajes, consiste normalmente en solicitar un par usuario+contraseña.

De esta forma, un usuario puede utilizar siempre como servidor SMTP el servidor de su institución, puesto que éste siempre le permitirá enviar mensajes a cualquier lugar de la red, independientemente de la situación del ordenador que emplee para conectarse.

Otras aplicaciones del SMTP AUTH

En general, el hecho de identificar a aquel que envía un mensaje va más allá que la simple autorización del permiso de "relay". Un usuario autentificado podrá tener más privilegios o privilegios específicos, como el permiso de enviar a determinadas direcciones restringidas, etc...

¿Cómo usar SMTP AUTH?

Desde Marzo de 2002 los servidores de correo de la universidad soportan oficialmente el SMTP AUTH.

El usuario y contraseña a utilizar son los mismos que para el acceso a la lectura de correo.

El SMTP AUTH y el TLS/SSL se suelen configurar simultáneamente: el SMTP AUTH es un protocolo poco seguro que envía la contraseña casi en claro, por lo que es conveniente criptografiar la conexión con el TLS/SSL. Existe una ayuda para configurar los programas de correo con SMTP AUTH y TLS/SSL.

Nota: Se recomienda encarecidadmente al configurar el SMTP AUTH especificar también que se utilize la puerta SMTP 587 (en vez de la 25). Ver la explicación más abajo.

El firewall: el problema

Ni el problema (acceso a nuestro servidor a través de un firewall) ni la solución de éste (el MSA SMTP en la puerta 587) afectan a aquellos que utilizan la interfaz WWW de acceso al correo https://correo.uv.es.

Cierre de la puerta SMTP 25

Cada vez más a menudo los spammers (emisores de propaganda indeseada) "alquilan" los servicios de los fabricantes de virus informáticos para conseguir de ellos redes de PCs infectados en los que se ha introducido programas para enviar correo de propaganda.

La enorme cantidad de ordenadores (p.e., residenciales) infectados ha obligado a la mayoría de los proveedores a cerrar la puerta 25 en salida; es decir, a impedir que los PC's de los usuarios puedan enviar correo directamente a los servidores externos sin pasar por un servidor del proveedor (el cual "conoce" a sus PCs y es el que puede tomar las medidas necesarias para evitar el abuso).

Obviamente, esta medida impide que un usuario que está fuera pueda utilizar el servidor de correo de su institución, pues no puede conectarse a ningún servidor externo al proveedor, al estar cerrada la puerta 25 en el firewall del proveedor.

Soluciones posibles

La primera solución y la más evidente es, otra vez, utilizar una conexión a la red privada virtual VPN de la Universitat de Valencia y configurar el cliente de correo como si estuviera dentro de la misma universidad.

Pero, en el caso más general, esto no siempre es posible (hay proveedores que incluso bloquean la VPN). Por ello se ha definido en el estándar de correo una puerta especial para los programas que entregan correo autenticado: la puerta MSA (Mail Submission Agent) 587. Esta puerta debe estar abierta en todos los proveedores para permitir la conexión autenticada a los servidores de correo externos.

¿Cómo usar la puerta MSA 587?

Para utilizar la puerta 587 para la entrega de correo, basta configurar tu programa de correo para que utilize la puerta 587 con el protocolo SMTP (el de entrega de correo). ¡Atención! para utilizar la puerta 587 tiene que utilizarse también autentificación (SMTP AUTH).