Guía básica de configuraciones para WHM. Parte 3 (Correo electrónico)

Un elemento crítico en nuestro servidor es el correo electrónico. Aquí veremos una serie de configuraciones para evitar spam y tener un buen servicio de correo.

El correo electrónico es un dolor de cabeza cuando presenta problemas, sobre todo cuando el servidor cae a una lista negra por spam, o bien porque los clientes utilizan sistemas operativos muy antiguos y requieren una gran flexibilidad para no usar SSL o no soportan TLS y hay que buscar la manera de darles soportes sin dejar desprotegido al servidor.

Vamos a empezar por las configuraciones generales del correo electrónico.

Configuración del servidor

Dentro del WHM nos dirigimos a

Configuración del servidor -> Ajustar las configuraciones -> Mail

Y vamos a revisar las siguientes directivas:

Max hourly emails per domain

El máximo número de correos que pueden enviar por hora por dominio. Si llega al al límite entonces se bloquea el dominio para enviar correo y regresará un correo con el error indicando un bloqueo. Se puede esperar a que pase sea la siguiente hora para enviar correo o bien, en edición de la configuración de la cuenta del dominio se puede aumentar el valor solo para ese dominio determinado.

Esta es una excelente medida en contra del spam. Recomiendo tener un número bajo, como 200; y para cuentas con un alto volumen de envío de correo, entonces se pone un número más alto pero solo para la cuenta. Esto se verá más abajo.

Maximum percentage of failed or deferred messages a domain may send per hour

Esta directiva indica el número de porcentaje de correos que son rechazados por cualquier causa.

Por ejemplo, que el destinatario no exista, que tenga la cuota de su buzón lleno o que por alguna otra razón no llegue el correo a su destino.

Si el porcentaje de correo indicado en esta directiva ha sido rechazado en una hora, entonces se bloquean los correos por el resto de la hora.

Es una buena medida en contra del spam.

Lo recomendable es poner un número alrededor del 70%

Enable BoxTrapper spam trap

Esta opción genera unos correos de manera oculta al usuario, y si algún correo es recibido en esa cuenta, ya que nadie sabía de su existencia, entonces lo más seguro es que haya sido un spammer quien lo haya enviando, por lo que se agrega a una lista negra.

Debería ser recomendado que estuviese activado por defecto, pero cuando instalamos CSF, en la revisión de seguridad nos indica que en general, tener activado esta opción es contraproducente, por lo cual procedemos a desactivarlo.

Administrador de configuración de exim

En esta sección podemos hacer uso de la configuración del correo de salida.

Para poder accesar a esta sección debemos dirigirnos a:

Configuración del servicio -> Administrador de configuración de exim

Reject remote mail sent to the server’s hostname

Cada cuenta en el WHM al darse de alta se le asigna un correo, éste correo no se puede eliminar. Para que esté funcionando nuestro servidor, requiere una cuenta principal.

Aquí definimos si el correo predeterminado de la cuenta principal puede recibir correo o no.

Si la cuenta principal sólo la tenemos para dar soporte al servidor y los NS, entonces puede que no requiramos que llegue correo a esa cuenta. ¿Por qué no dejarla? Porque cuando pase un tiempo y veamos la cuenta, notaremos que tendrá varios gigas de correo basura.

Si no lo requerimos, mejor habilitamos que rechace el correo.

Send mail from the account’s IP address

Esta opción nos dará la posibilidad de que, si tenemos algún dominio con una IP exclusiva, es decir, que no comparte la IP principal del servidor, entonces cuando mande correo lo haga desde esa IP asignada al dominio en cuestión, no de la compartida.

Predeterminadamente, todas las cuentas de correo de todos los dominios en un servidor, envían correo con la IP compartida del servidor. Si una cuenta tien su propia IP, aún así envía desde la IP compartida.

Si alguna cuenta envía spam y cae en lista negra, entonces ese bloqueo afecta a todas las cuentas que tengan la misma IP, es decir, todas.

Si se asigna una IP libre a un dominio, y se habilita esta opción, entonces cada cuenta que no esté con la IP compartida, sino con una IP exclusiva, enviará correo desde la IP que tiene asignada.

Si alguna cuenta con IP compartida manda spam y cae en lista negra, no afecta al dominio con IP exclusiva. De igual manera si la IP de ese dominio cae en lista negra, no afecta a la IP compartida.

Se recomienda activar esta opción.

Log sender rates in the exim mainlog. This can be helpful for tracking problems and/or spammers.

El título describe muy bien lo que realiza.

En el arcivo /var/log/exim_mainlog guarda información que pueda ayudar a detectar spammers.

Se recomienda activarlo.

EXPERIMENTAL: Rewrite From: header to match actual sender

Esta opción permite sobreescribir el encabezado de un correo. Una práctica común de los spammers es que envían un correo haciéndose pasar por otra cuenta de correo.

Con esto, ayuda a sobreescribir el encabezado mostrando la verdadera cuenta desde donde se está enviando el correo.

Sender Verification

Esta opción permite verificar que e dominio exista. Algunos dominios corporativos utilizan un enmascaramiento para evitar a su vez a spammers, pero con ello falla la verificación y entonces los correos no se pueden entregar.

Si no se requiere, se aconseja dejarlo activado.

Require clients to connect with SSL or issue the STARTTLS command before they are allowed to authenticate with the server.

Esta es una buena medida para la seguridad en correo electrónico, lo malo es que en muchas versiones de Outlook no es compatible, sobre todo porque muchas personas siguen utilizando sistemas operativos muy antiguos como Windows 7.

Si Outllook falla en el envío o recepción, habrá que deshabilitar esta opción. Se pierde un poco de seguridad, pero se gana compatibilidad.

Options for OpenSSL

Esta opción también es para compatibilidad. Sucede lo mismo con versiones antiguas de Windows y con versiones de Outllook.

Para compatibilidad y soporte de hasta Windows 7 la mejor opción es colocar:

+no_sslv2 +no_sslv3

SSL/TLS Cipher Suite List

Siguiendo por la misma línea, no podremos enviar o recibir correo en Windows antiguos ni oitlook, a menos que cambiamos esta opción por:

ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:!DSS

Nota: No va a ser compatible con Windows XP, si le diéramos esa compatibilidad, entonces el servidor quedaría vulnerable en extremo con respecto al correo electrónico.

Apache SpamAssassin™: Forced Global ON

Esta opción es para combatir el spam.

Fuerza a todos los cPanels de las cuentas a tener habilitado el filtro de SpamAssassin.

Se recomienda tenerlo activado.

Ahora vamos a ver la configuración de correo electrónico pero de salida.

Para ello nos dirigimos a:

Configuración de servicio -> Configuración del servidor de correo

Lista de cifrado de la SSL

También es una opción que nos dará compatibilidad para Windows 7 en adelante y sus versiones de outllook.

Para ello cambiamos la opción predeterminada y colocamos:

ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:-LOW:-SSLv2:-EXP

SSL Minimum Protocol

Para la compatbilidad cambiamos la opción predeterminada y elegimos:

SSLv3

Greylisting

Es una buena idea para combatir contra el spam. Los correos llegan a una lista gris el cual bloquea su entrega en el servidor. El servidor de correo origen intenta enviarlo de nuevo y es cuando se entrega. De esta manera se verifica que es un servidor con correo legítimo.

Se encuentra en:

Correo electrónico -> Greylisting

Pero hay 2 problemas.

1.- Cuando el spammer da con la contraseña de una cuenta está enviando spam desde un servidor legítimo y aunque cae en lista gris, al volverlo a intentar pasa como legítimo.

2.- Los correos legítimos tienen una latencia en llegar, puesto que primero son rechazados hasta que el servidor origen vuelve a intentarlo. En casos donde la comunicación debe ser en tiempo real es algo que nos afecta mucho.

Aunque se pueden poner en lista blanca los dominios, no podemos estar todos los días agregando a lista blanca los dominios que son rechazados en su primer intento, además que para poder hacerlo, el cliente primero se debe quejar que sus correos están llegando tarde.

Se recomienda desactivarlo

ConfigServer MailManage

Es una herramienta de terceros que nos permite administrar las cuentas de correo sin necesidad de entrar al cPanel de cada cuenta para accesar a su configuración.

Es muy útil si se van a realizar varias acciones sobre el correo electrónico del servidor.

Para instalarlo necesitamos acceso root al servidor y ejecutar los siguientes comandos:

d /usr/src
rm -fv /usr/src/cmm.tgz
wget http://download.configserver.com/cmm.tgz
tar -xzf cmm.tgz
cd cmm
sh install.sh
rm -Rfv /usr/src/cmm*

Una vez instalado, podemos accesar desde WHM en la sección “Programas adicionales”

ConfigServer Mail Queues

Es una herramienta también de ConfigServer y es muy útil para el manejo de correos en cola.

Nos permite ver los correos que hay en cola y si hay muchos, podemos detectar que se está enviando spam o bien que hay algún problema que impide que salgan.

Además podemos eliminarlos o forzar su salida, así como forzar la salida de todos los correos en cola.

Muy útil para el día a día en un servidor de correo electrónico.

Para poder instalarlo necesitamos acceso root y sólo hay que ejecutar los siguientes comandos:

cd /usr/src
rm -fv /usr/src/cmq.tgz
wget http://download.configserver.com/cmq.tgz
tar -xzf cmq.tgz
cd cmq
sh install.sh
rm -Rfv /usr/src/cmq*