Hace unos minutos me enteré que Gmail ahora advierte a los usuarios con un sello rojo cuando reciben un mensaje proveniente de un servidor de correo que no usó cifrado al transportar el mensaje.
El problema
Básicamente, esto quiere decir que el mensaje que envió el emisor fue transportado por la red hasta los servidores de correo de Google sin ningún tipo de encriptación, por lo cual el texto y datos del mensaje podrían ser intervenidos por un tercero.
La alerta es sin duda conveniente y necesaria. Lamentablemente me enteré que quien envió el correo fue un mecanismo automático que lleva años operando para notificarme la ejecución de respaldos a través de un servidor Postfix en la red interna.
El Origen
Esto me invitó a corregir la situación y compartir la resolución con otros que se estarán preguntando por qué sus servidores de correo están siendo etiquetados con un sello de color rojo por Gmail.
Si usted es administrador de servidores de correo saliente y recibe este aviso para los mensajes que envían, significa que su servidor no está negociando una comunicación con otros servidores de correo a través de un canal seguro.
La solución
A menos que esté usando un software de servidor de correo realmente antiguo, simplemente debería activar el uso de un transporte seguro para sus correos salientes, siendo TLS el más adoptado actualmente.
Para activar TLS, deberá disponer de un certificado y una llave privada usados para negociar un canal seguro, los cuales podrán estar auto-firmados (aceptable para este caso) o bien solicitarlos a través de una autoridad certificadora (CA).
Caso Postfix
Solucionar el problema no toma mucho tiempo si usa Postfix, pues hoy día es un proceso estrictamente necesario al configurar un servidor de correo, sin embargo fue algo que omití aplicar hace ya varios años.
Para aplicar la configuración de TLS para Postfix con todo detalle, lea la documentación oficial. Si desea hacerlo rápido, le sugiero este post, pues de paso también le refiere a un artículo para guiarlo en la creación de un certificado auto-firmado.
Ubuntu 14.04
En mi caso, usando Ubuntu 14.04 y Postfix 2.11.0, fue muy sencillo. Al instalar Ubuntu automáticamente es generado un par de llaves, el certificado auto-firmado y su llave privada, ubicados respectivamente en:
/etc/ssl/certs/ssl-cert-snakeoil.pem
/etc/ssl/private/ssl-cert-snakeoil.key
Por defecto, la configuración de Postfix en Ubuntu ya incorpora las referencias a estos ficheros y tiene parámetros de configuración para TLS pre-establecidos, por lo que sólo tuve que:
1. Agregar las siguientes líneas al fichero /etc/postfix/main.cf
smtpd_tls_security_level=may
smtpd_tls_loglevel=1
smtp_tls_security_level=may
smtp_tls_loglevel=1
2. Descomentar las siguientes líneas del fichero /etc/postfix/master.cf
submission inet n - - - - smtpd
-o smtpd_tls_security_level=encrypt
-o smtpd_sasl_auth_enable=yes
-o smtpd_client_restrictions=permit_sasl_authenticated,reject
Una vez reiniciado el servicio Postfix, ya la advertencia de Gmail desaparece para los subsecuentes mensajes enviados a los servidores de Google. De igual forma podrá verificar que al ver los detalles ahora indica que el mensaje fue cifrado.
