Mòdul 9: Seguretat en el Correu Electrònic
Guia integral des de l'arquitectura teòrica fins a la posada en producció segura en el món real.
Arquitectura i Agents
A diferència de la web (HTTP), el correu és un sistema descentralitzat on diferents agents s'encarreguen de "passar el relleu" al missatge:
MTA (Mail Transport Agent)
El "transportista" que envia i rep correus entre dominis. Un cop troba el destí via DNS (MX), entrega el missatge.
Exemples: Postfix, Exim, Sendmail.
MDA (Mail Delivery Agent)
Rep el correu de l'MTA i el desa físicament a la bústia local de l'usuari (sistema de fitxers).
Exemples: Dovecot, Procmail.
MUA (Mail User Agent)
El client final que usa l'usuari per interactuar amb el seu correu.
Exemples: Thunderbird, Outlook, Gmail Web.
📥 Protocols de Lectura (Recuperació de Missatges)
IMAP (Ports 143 / 993)
Gestió remota: El correu es manté al servidor. Ideal per sincronitzar múltiples dispositius alhora.
POP3 (Ports 110 / 995)
Descarrega i esborra: Pensat per a usuaris amb un sol dispositiu. En desús majoritari.
Seguretat de Transport (SSL vs STARTTLS)
El correu original (SMTP port 25) viatja en text pla. Per protegir-lo hi ha dues estratègies fonamentals:
🛡️ SSL/TLS Implícit
Es crea un canal xifrat abans de començar qualsevol dada. És més robust perquè si el xifrat falla, la connexió es talla immediatament i no hi ha fugida de dades.
Ports estàndard: 465 (SMTPS), 993 (IMAPS), 995 (POPS).
⚡ STARTTLS (TLS Oportunista)
La connexió comença en text pla i "s'eleva" a segur mitjançant una comanda. És compatible amb sistemes antics.
Ports estàndard: 587 (Submission) i 25.
Risc d'Atac: Downgrade (STRIPTLS)
Un atacant (Man-in-the-Middle) pot eliminar o bloquejar la comanda STARTTLS
durant la fase inicial. Això força els servidors a seguir parlant en text pla sense que
l'usuari ho sospiti, permetent la captura de contrasenyes.
Mecanismes Antifrau (DNS)
La part més crítica per evitar el Spoofing. Són registres
de tipus TXT que permeten al receptor validar qui ets:
SPF (Sender Policy Framework)
Llista blanca d'IPs. Exemple: v=spf1 ip4:1.2.3.4 -all.
Diu que només la IP 1.2.3.4 pot enviar correu pel teu domini.
DKIM (DomainKeys Identified Mail)
Signatura digital a la capçalera. Si el contingut del correu canvia durant el viatge, la signatura es trenca, garantint la integritat.
DMARC
L'orquestrador. Defineix la política de seguretat: p=reject (rebutja si
falla SPF/DKIM) o p=quarantine (envia a Spam).
Protecció de Contingut i Hardening
🛡️ Blindatge del Servidor (Hardening)
No n'hi ha prou amb xifrar, cal configurar el programari (Postfix/Dovecot) correctament:
- 🚫 No Open Relay: Només permetre enviar correus a usuaris que s'hagin autenticat prèviament (SMTP Auth).
- �️ Fail2ban: Monitoritza els logs d'error i bloqueja automàticament IPs que intenten fer força bruta contra les bústies.
- 📊 Monitoring: Analitzar fitxers de log periòdicament:
/var/log/mail.logojournalctl -u postfix.
Antivirus (ClamAV)
Analitza binaris i adjunts buscant malware. Es testeja amb la signatura estàndard EICAR.
Antispam (SpamAssassin)
Usa filtres de puntuació per detectar patrons de brossa i consulta Blacklists (RBL) en temps real.
Requisits de Producció (Món Real)
En producció, el servidor necessita un "currículum" impecable per no ser bloquejat:
- IP Estàtica i Neta: Imprescindible. Els grans proveïdors bloquegen el port 25 per defecte per evitar "spambots" en núvols.
- Registre PTR (Reverse DNS): Vital. La IP ha de resoldre al nom del teu servidor de correu (ex: 1.2.3.4 -> mail.elteudomini.com).
- Registre MX: Configurar el DNS per indicar al món que el teu servidor és qui rep el correu del domini.
Solucions en Contenidors (Docker)
Configurar Postfix+Dovecot+Spam+Virus a mà és extremadament complex. Per això usem solucions "stack" d'una sola peça:
| Solució | Enfocament | Admin UI |
|---|---|---|
| Mailu.io | Modular (un contenidor per servei) | Web interface moderna i ràpida |
| Docker-mailserver | Stack clàssica en una sola imatge | Línia de comandes (CLI) robusta |