8. El Correo Electrónico#

8.1. ¿De qué va este tema?#

Se trata de usar un servicio de correo electrónico, conociendo los protocolos, la estructura del mensaje y usando clientes y servidores.

8.2. Clases#

Le dedicaremos unas 16 sesiones de clase

8.2.1. El correo electrónico #

El correo Electrónico
1. Origen (email vs smail)
2. La Dirección de correo Electrónico: usuario at dominio (registro mx )
Funcionamiento del servicio
Protocolos:
1. SMTP (el principal)
2. IMAP (recepción). Antes POP
Clientes .
1. En consola
2. Escritorio / App
3. Webmail
Servidores
1. Transportan información de un equipo a otro (son carteros)
2. A veces son clientes, a veces servidores
3. No siempre se relacionan directamente con el usuario

Actividad. Revisar la documentación

Revisa la documentación de la clase

Actividad. Instala un cliente de correo electrónico

Instala un cliente de correo electrónico de escritorio ( que tenga una buena funcionalidad ) para usar con tu/s proveedor/es ( por ejemplo con gmail ).

Yo uso Mozilla Thunderbird .

8.2.2. El Mensaje de correo#

Escritura de un Mensaje
Estructura : RFC 5322
1. Cabecera
2. Cuerpo
Cabecera de un email:
1. Campos ( IANA Message Headers )
2. Valores
Cuerpo de un mensaje:
1. texto
2. y uso de MIME
Analizar un mensaje de correo:
1. ¿Cómo veo un mensaje de correo completo?: depende del cliente (hay hay servicios web que lo hacen)
2. Tiene varios campos y valores: Understanding an Email Header
¿Cómo es un buzón de correo de un usuario? Formatos de Almacenamiento:
1. Archivo mbox . Un solo documento.
2. Directorio Maildir . Un mensaje -> un archivo.
3. Sistemas propietarios, por ejemplo PST

Actividad. Analizar la estructura de un mensaje

Analizar un mensaje completo (por ejemplo este)

¿Quién origina el mensaje?
¿Quién es el destino? ¿Hay más de un destino?
¿Cual es el texto del mensaje?
¿Tiene algún archivo adjunto? ¿Cuántos?
¿Por cuantos servidores ha pasado?
¿Cuánto tiempo tardó en entregarse?
Si respondo al mensaje, ¿quien lo recibe?
¿En qué RFC puedo buscar el campo DKIM-Signature?
¿Qué tipo de archivo adjunto iba en el mensaje?
¿Qué cliente de correo usa el remitente?

8.2.3. El cliente de correo electrónico#

Usa un cliente con IMAP
Clientes WebMail
- Muy útiles: desde cualquier parte y dispositivo
- Con algunas trampas: privacidad y productividad
Configurar mi cuenta de correo (básico):
1. Servidor Saliente (SMTP): Proceso de envío de un mensaje
2. Servidor Entrante (IMAP): Proceso de recepción de un mensaje
3. Y datos genéricos: usuario/contraseña, nombre de la cuenta, dirección de correo, etc
Configurar mi cuenta de correo (avanzado)
1. Funcionalidad extra en los servidores
2. Almacenamiento: carpetas, disco, archivo, etc
3. Redaccion (citas, firmas, …) y Contactos (local o remoto)
El cliente mail (en consola):
1. Ideal para probar el sistema
2. Ideal para programación (scripting)
3. Revisa la variable MAIL (donde se almacena el mensaje)
¿ Cual es el mejor ? Depende.

Actividad. Usa un cliente de correo electrónico (Escritorio)

Revisa toda la funcionalidad que puedas de un cliente de correo (el que quieras, pero que tenga una buena funcionalidad), algunas tareas concretas:

Configurar varias cuentas de correo (en un sólo cliente)
Configurar un filtro que guarde en una carpeta automáticamente (SI es de X dirección guardar en X carpeta)
Buscar los mensajes de una dirección concreta entre un rango de fechas
Ver la conversación y/o contexto de un mensaje
Buscar una extensión (plugin) de una funcionalidad extra que te interese

Actividad. Usa un cliente de correo electrónico (Consola)

Envía un mail, con copia, usando sólo la consola
Envía un mail con la fecha actual del sistema
Envía un mail con todos los paquetes instalados (dpkg -l)
Envía un mail, cada 15 minutos, con los procesos que están corriendo en el sistema
Envía un correo, cada hora, con las últimas 20 líneas de tu servidor SSH

8.2.4. Seguridad en el Mensaje#

Necesidades:
1. Firmado:
  1. Autenticación (quien soy)
  2. Integridad (no se puede modificar) y
  3. no repudio (quien lo envió)
2. Cifrado:
  1. Confidencialidad
  2. Privacidad
Problemas con el mensaje:
1. no deseado SPAM . Grave (p.ej spam en España )
2. falso ( bulo ). Preocupante
3. engaños ( phising ). Preocupante
Recomendaciones Incibe (básicas)
Sistemas:
1. Con certificación ( S/MIME ). Recomendado (pero menos flexible)
2. Sin certificación ( openPGP ). Más flexible (pero ¿quien eres realmente?)
Configuración ( Uso de Certificados FNMT ):
1. Administrar credenciales (certificados o claves)
2. Añadir firmar y/o cifrado al mensaje
Ejemplo de servicio seguro: ProtonMail
1. Correo Seguro (incluso fuera de su ámbito)
2. Equilibrio seguridad vs usabilidad

Actividad. Uso de Firma Electrónica

Envíame un correo electrónico con una firma electrónica válida.
Envíame un correo electrónico, encriptado y firmado ¿Qué nos haría falta?

8.2.5. Productividad con el Correo Electrónico#

Escribir (bien) un correo electrónico
Los diez mandamientos del email
Vacía tu Bandeja de Entrada (Inbox Zero): La Técnica BARA:
1. Borrar
2. Archivar
3. Responder
4. Apuntar
No engancharse ( Reinforcing Machine ) y Apagarlo
Usar el canal adecuado (síncrono o asíncrono y presencial o electrónico) según la necesidad real
1. Mejor comunicación (la humana, por la información no verbal). Síncrona y Real
2. Menos costosa (la electrónica, por la conectividad). Asíncrona (en general)
3. La intermedia (mensajería instantánea): la peor (pero útil a veces). Síncrona pero no Real

Actividad. Vacía tu bandeja de entrada

Usa la técnica BARA para Vacía tu Bandeja de Entrada o declárate en quiebra (borra todo).

8.2.6. El protocolo SMTP#

El servidor de correo
1. El protocolo SMTP (RFC 5321)
2. El mensaje (RFC 5322) . En buzones maildir
Los actores en el proceso (envío y recepción):
1. MUA. Mail User Agent
2. MSA . Mail Submission Agent
3. MTA . Mail Transport Agent
4. MDA . Mail Delivery Agent
Ejemplo de una comunicación SMTP
Códigos de Estado SMTP ( SMTP Status Codes )

Actividad. Entender una sesión SMTP

Analizar una sesión SMTP y entender los códigos de estado (ejemplo de log SMTP)

Analizar un registro de logs (ejemplos postfix/dovecot error / warn / log):

8.2.7. Asegurar SMTP#

Problemas con el servicio (complejo)
1. En el servicio:
  1. Permitir recibir mensajes (no enviar)
  2. Ojo con no dejarlo abierto (Open relay)
  3. Usar sólo si hay un control del acceso (usando SMTP Auth )
2. En el mensaje:
  1. Complejo: Confidencialidad / Privacidad / Spam / Bulos / Phising
  2. Equilibrio Seguridad vs Usabilidad (depende del servicio)
Técnicas:
1. Configuración:
  1. Auditorías Externas: pruebas
  2. Usar listas externas anti spam (p.ej SpamHaus Project )
2. Uso TLS (smtp e imap)
3. Registro SPF
4. DKIM
Legislación
1. Almacenamiento de Mensajes
2. Contenido
3. Protección de datos

Actividad. Asegurar Servicio SMTP

Instalar un servicio de correo electrónico

8.2.8. El protocolo IMAP#

IMAP4v1 (RFC 2060)
Usar IMAP (frente a POP3)
1. Aunque necesitas conectividad
2. Y recordar que sincroniza (debes configurar donde descargarlo)

Actividad. Analizar Logs

Analizar un registro de logs (ejemplos postfix/dovecot error / warn / log):

8.2.9. Instalar un servicio de correo electrónico#

Fases de Instalación:

Instalación, Configuración y Pruebas:
1. en local en una máquina virtual. Añadiendo dominio local (dnsmasq, por ejemplo)
2. en máquina pública, pero en interfaz loopback (127.0.0.1)
Producción. En máquina pública y en interfaz de red pública.
Práctica completa en Instalar un servicio de correo electrónico

Actividad. Preparar el dominio del correo y la máquina que lo va a gestionar

¿En qué dominio está el servicio?
¿Quién es mi gestor de registros DNS?
¿En qué máquina configurarás el servicio?
¿Cual es su nombre de host? Nombre completo (FQDN)
¿Cual es su dominio?
¿Puedo conectarme al equipo? ¿Está disponible?
¿Habrá varios dominios de correo gestionados? (Dominios Virtuales)

Actividad. Instalar un servicio SMTPs

¿Donde vas a almacenar los mensajes y con qué formato? Maildir
¿Qué software vas a utilizar? Postfix (p.ej.)
¿En que puertos e interfaces lo vas a montar? 25 (y 587 -> smtp auth).
¿Quien va a poder enviar y recibir correos? Usuarios para buzones y usuarios para envíos
¿Algún usuario virtual y/o alias? Un buzón = varios usuarios
¿Cuales son los requisitos de instalación (no estándar)?
¿Donde están los logs?

Actividad. Instalar Servicio IMAPss

Primero en local y luego abierto al público:

¿En qué máquina configurarás el servicio?
¿Donde están los mensajes y con qué formato?
¿Qué software vas a utilizar?
¿En que puertos e interfaces lo vas a montar?
¿Quien va a poder recoger sus mensajes?
¿Cómo es el sistema de autenticación?
¿Donde están los logs?

8.2.10. El servicio Webmail #

Es una aplicación web que hace de cliente de correo (IMAP y SMTP)
Arquitectura:
1. Servicio de Correo:
  1. Servidor SMTP (p.ej postfix)
  2. Servidor IMAP (p.ej dovecot)
2. Servicio de Aplicaciones Web:
  1. Servidor Web (p.ej. Apache)
  2. Aplicación Web (p.ej PHP)
  3. Base de Datos de Usuarios (p.ej. MariaDB)
3. Interfaz de usuario (Web)
Requisitos ( Ejemplo Roundcube ):
1. Servidor web Apache, Ngnix, Lighttpd o Cherokee
2. Versión de PHP 5.2.1 o superior
3. PostgreSQL, SQLite o base de datos de MySQL, MariaDB
4. Servidor IMAP con soporte IMAP4 rev1
5. Un servidor SMTP (recomendado) o PHP configurado para la entrega de correo
Existen diferentes alternativas (ejemplo de Top 10 )

Actividad. Instalar un servicio webmail

Instalar un servicio de webmail

8. El Correo Electrónico#

8.1. ¿De qué va este tema?#

8.2. Clases#

8.2.1. El correo electrónico#

8.2.2. El Mensaje de correo#

8.2.3. El cliente de correo electrónico#

8.2.4. Seguridad en el Mensaje#

8.2.5. Productividad con el Correo Electrónico#

8.2.6. El protocolo SMTP#

8.2.7. Asegurar SMTP#

8.2.8. El protocolo IMAP#

8.2.9. Instalar un servicio de correo electrónico#

8.2.10. El servicio Webmail#

8.2.1. El correo electrónico #

8.2.10. El servicio Webmail #