Proxy SMTP: Encryption (Cifrado) STARTTLS
La Seguridad de Capa de Transporte (TLS) proporciona seguridad de datos adicional para SMTP. El protocolo TLS proporciona seguridad de comunicaciones a través de Internet y permite que las aplicaciones de cliente y servidor se comuniquen de una manera diseñada para evitar escuchas ilegales, alteraciones o falsificación de mensajes. El protocolo TLS se basa en el protocolo SSLv3, pero proporciona una seguridad de datos mejorada.
El Proxy SMTP es compatible tanto con TLS implícita como explícita. Para obtener información sobre la TLS implícita y explícita, consulte Acerca de la Seguridad en Capa de Transporte (TLS).
En la acción de proxy SMTP, los ajustes de Encryption (Cifrado) STARTTLS son para la TLS explícita y los ajustes de TLS son para la TLS implícita
Para obtener información sobre cómo configurar la TLS implícita en el proxy SMTP, consulte Proxy SMTP: TLS.
Acerca del Encryption (Cifrado) STARTTLS
Puede configurar el proxy SMTP para que utilice encryption (cifrado) TLS explícito y procese mensajes de correo electrónico que se envían desde un servidor de correo electrónico cliente (el remitente) a su servidor SMTP (el receptor). SMTP over TLS es una extensión segura para el servicio SMTP que le permite a un servidor y cliente SMTP usar TLS para brindar una comunicación privada y autenticada. Para la TLS explícita, esto usualmente implica el uso de palabras clave STARTTLS. La configuración de encryption (cifrado) TLS para el proxy SMTP tiene dos partes configurables: cuándo usar el encryption (cifrado) (canal de emisor o receptor) y cómo cifrar tráfico (protocolo SSL o TLS y el tipo de certificado). Puede utilizar esta configuración para especificar los ajustes de encryption (cifrado) para el tráfico entrante (correo electrónico remitente), para el tráfico desde su servidor SMTP (el destinatario) o para ambos.
ESMTP es necesario para el encryption (cifrado) TLS explícito. Si deshabilita ESMTP en la acción de proxy SMTP, el encryption (cifrado) STARTTLS se deshabilita automáticamente en la acción de proxy. Para más información, consulte Proxy SMTP: Ajustes ESMTP.
Acerca del Encryption (Cifrado) STARTTLS para SMTP en Fireware v12.1.x o Inferior
En Fireware v12.1.x, usted configura los ajustes TLS para la inspección de contenido SMTP explícito en la acción de proxy SMTP, no en un perfil TLS. Si usa Policy Manager v12.2 o superior para administrar un Firebox que ejecuta una versión de Fireware que no es compatible con los perfiles TLS para el proxy SMTP, configure los ajustes de inspección de contenido en un perfil TLS en Policy Manager. Cuando guarda la configuración en el Firebox, o usa el comando Archivo > Guardar > Como versión para guardar la configuración para una versión inferior de Fireware, Policy Manager cambia automáticamente la configuración para que sea compatible con la versión inferior de Fireware.
Acerca de los Certificados para el Encryption (Cifrado) TLS
Cuando está habilitada la inspección de contenido, la acción de proxy usa un certificado cuando vuelve a cifrar el tráfico después de la inspección.
- Para el tráfico entrante, la acción del proxy usa el certificado predeterminado del Servidor Proxy.
- Para el tráfico saliente, la acción de proxy usa el certificado de Autoridad de Proxy.
Para obtener más información acerca de estos certificados, consulte Acerca de los Certificados.
Acerca de las Reglas de Cifrado
Después de habilitar TLS encryption (cifrado) para la acción de proxy SMTP, usted agrega reglas para especificar los dominios del remitente y del destinatario, y los detalles de encryption (cifrado) requeridos para cada dominio. Cuando agrega reglas a la lista Reglas de Encryption (Cifrado), las reglas son evaluadas en orden desde la primera hasta la última en la lista. Asegúrese de colocar las reglas en un orden que le brinde más flexibilidad. Por ejemplo, si tiene más de un servidor de dominio SMTP, coloque la regla para el servidor SMTP principal primero en la lista, y las reglas para servidores SMTP de respaldo más abajo en la lista.
Cuando agrega reglas de cifrado, puede crear reglas para dominios emisores y receptores específicos. O para crear una regla global, puede utilizar un carácter comodín (*), ya sea para el dominio emisor o el receptor. Puede especificar la reglas de cifrado para el canal emisor, el receptor o ambos. Esto le permite establecer distintas reglas de cifrado para dominios específicos que envían correos electrónicos a su servidor SMTP. Cada regla de cifrado debe tener 200 bytes o menos de longitud.
Cifrado de Emisión
- Requerido — El servidor SMTP remitente debe negociar el encryption (cifrado) con el Firebox.
- Ninguno — El Firebox no negocia el encryption (cifrado) con los servidores SMTP remitentes.
- Opcional — El servidor SMTP remitente puede negociar el encryption (cifrado) con el servidor SMTP destinatario. El encryption (cifrado) TLS depende de las capacidades y la configuración de encryption (cifrado) del servidor SMTP del destinatario.
Cifrado de Recepción
- Requerido — El Firebox debe negociar el encryption (cifrado) con el servidor SMTP destinatario.
- Ninguno — El Firebox no negocia el encryption (cifrado) con el servidor SMTP destinatario.
- Preferido — El Firebox intenta negociar el encryption (cifrado) con el servidor SMTP destinatario.
- Permitido — El Firebox usa la conducta del servidor SMTP remitente para negociar el encryption (cifrado) con el servidor SMTP destinatario.
Si no desea agregar reglas para más de un dominio, puede establecer el Encryption (Cifrado) del Remitente a Opcional, Encryption (Cifrado) del Destinatario a Preferido y usar el carácter comodín (*) para la información de dominio. Con esta configuración de cifrado, la mayoría de los correos electrónicos se envía a su servidor SMTP de forma segura.
Si sus usuarios se conectan a su red mediante una conexión a Internet pública, WatchGuard recomienda que seleccione la opción Requerido para la configuración del Encryption (Cifrado) de Remitente. Si su servidor SMTP no admite el encryption (cifrado), WatchGuard recomienda que seleccione Opcional porque todavía se puede aceptar el correo electrónico que no está cifrado.
Si sus usuarios envían correos electrónicos a su servidor SMTP mediante su intranet corporativa protegida, tendrá la mayor flexibilidad si establece el Encryption (Cifrado) del Remitente a Opcional y el Encryption (Cifrado) del Destinatario a Ninguno.
Si agrega una regla que requiera siempre que el tráfico de un dominio emisor esté cifrado, también puede especificar que se use un protocolo TLS para la información del receptor, emisor y el cuerpo del correo electrónico.
Configurar los Ajustes de Encryption (Cifrado) STARTTLS
Para habilitar el TLS encryption (cifrado) y configurar las reglas para una acción de proxy SMTP:
- En los ajustes de acción de proxy SMTP, seleccione ESMTP > Encryption (Cifrado) STARTTLS.
Configuración de TLS Encryption (Cifrado) de Acción de Proxy SMTP en Fireware Web UI
Configuración de TLS Encryption (Cifrado) de Acción de Proxy SMTP en Policy Manager
- Marque la casilla de selección Habilitar STARTTLS para la Inspección de Contenido.
- En la lista desplegable Perfil TLS, seleccione el perfil TLS que desea usar.
Los ajustes para el perfil seleccionado aparecen en el Resumen de Inspección de Contenido. - Para editar el perfil TLS en Fireware Web UI, haga clic en Editar. Para editar el perfil TLS en Policy Manager, haga clic en . Los perfiles TLS predefinidos no son editables. Para cambiar los ajustes TLS predefinidos, haga clic en Clonar para hacer una copia editable del perfil TLS.
- Configure los ajustes del Perfil TLS según sea necesario para su red. Para más información, consulte Configurar los Perfiles TLS.
- Para agregar reglas de encryption (cifrado), en la sección Reglas haga clic en Agregar.
Aparece una nueva regla de cifrado en la lista de Reglas de Cifrado. - En el cuadro de texto Dominio Para el Destinatario, ingrese el nombre de dominio para su servidor SMTP y presione Enter.
- Para especificar el dominio del que puede provenir el tráfico del cliente, en la columna Dominio Desde el Remitente, haga doble clic en el ajuste predeterminado (*), escriba un nuevo ajuste en el cuadro de texto y presione Enter en su teclado.
Para permitir tráfico desde cualquier dominio, conserve el valor predeterminado (*). - Para cambiar la opción Encryption (Cifrado) del Destinatario, haga clic en el ajuste predeterminado (Preferido) y seleccione una opción de la lista desplegable.
- Para cambiar la opción Encryption (Cifrado) del Remitente, haga clic en el ajuste predeterminado Encryption (Cifrado) Opcional y seleccione una opción de la lista desplegable.
- Para modificar el orden en que se aplican las reglas, seleccione una regla en la lista Reglas de Encryption (Cifrado) y haga clic en Arriba o Abajo.
- Para deshabilitar una regla en la lista, desmarque la casilla de selección Habilitada para esa regla.
- Para eliminar una regla de la lista, haga clic en Eliminar.
- Para requerir que se use el protocolo TLS para el tráfico remitente cifrado, marque la casilla de selección Cuando se requiere el encryption (cifrado) del remitente, se debe usar TLS para la información del remitente, destinatario y contenido.
Esta opción se encuentra disponible solo si configura una regla con la configuración Encryption (Cifrado) del Remitente de Siempre Cifrado.
Para más información acerca de las reglas de acciones proxy, consulte Agregar, Cambiar o Eliminar Reglas. - Para cambiar la configuración para otra categoría en esta acción de proxy, consulte el tema para esa categoría.
- Guarde la configuración.
Si modificó una acción de proxy predefinida, cuando guarde los cambios se le solicitará clonar (copiar) sus ajustes a una acción nueva.
Para obtener más información sobre acciones del usuario predefinidas, consulte Acerca de las Acciones de Proxy.