Cambios en la versión 8.13 de sendmail

Cambios en la versión 8.13 de `sendmail`

Aunque esta versión de sendmail proporciona muchas funciones nuevas, la opción FallBackSmartHost es la agregación más significativa. Gracias a esta opción, ya no es necesario utilizar main.cf ni subsidiary.cf. El archivo main.cf se usaba en entornos que admitían registros MX. El archivo subsidiary.cf se usaba en entornos que no contaban con un DNS totalmente operativo. En este tipo de entornos, se usaba un host inteligente en lugar de registros MX. La opción FallBackSmartHost proporciona una configuración unificada. Esta opción funciona como un registro MX que se usa como la última referencia posible para todos los entornos. Para garantizar la entrega de correo a los clientes, esta opción, cuando está activada, proporciona un host conectado (o inteligente) que sirve como copia de seguridad (o sistema de conmutación por error) para los registros MX que fallan.

Para obtener más información sobre la versión 8.13, consulte las secciones siguientes:

Opciones de línea de comandos adicionales en la versión 8.13 de sendmail
Opciones de archivo de configuración revisadas y adicionales en la versión 8.13 de sendmail
Declaraciones FEATURE() revisadas y adicionales en la versión 8.13 de sendmail

Además, SMTP puede funcionar con la seguridad de la capa de transporte (TLS). Consulte la siguiente descripción.

Compatibilidad para ejecutar SMTP con TLS en la versión 8.13 de `sendmail`

Las comunicaciones entre servidores y clientes SMTP, normalmente, no se controlan ni se consideran de confianza en cada extremo. Esta falta de seguridad puede permitir que un tercero supervise e incluso altere una comunicación entre un servidor y un cliente. SMTP puede utilizar la seguridad de la capa de transporte (TLS) en la versión 8.13 de sendmail para resolver este problema. Este servicio ampliado para servidores y clientes SMTP proporciona lo siguiente:

Comunicaciones autenticadas y privadas por medio de Internet
Protección contra intrusos y atacantes

Nota - La implementación de TLS se basa en el protocolo de capa de sockets seguros (SSL).

STARTTLS es la palabra clave de SMTP que inicia una conexión SMTP segura mediante TLS. Esta conexión segura puede ocurrir entre dos servidores o entre un servidor y un cliente. Una conexión segura se define de la siguiente manera:

La dirección de correo electrónico de origen y la dirección de destino están cifradas.
El contenido del mensaje de correo electrónico está cifrado.

Cuando el cliente emite el comando STARTTLS, el servidor responde con una de las siguientes acciones:

220 Ready to start TLS
501 Syntax error (no parameters allowed)
454 TLS not available due to temporary reason

La respuesta 220 requiere que el cliente inicie la negociación TLS. La respuesta 501 nota que el cliente emitió incorrectamente el comando STARTTLS. STARTTLS se emite sin parámetros. La respuesta 454 exige que el cliente aplique valores de conjunto de reglas para determinar si va a aceptar o mantener la conexión.

Tenga en cuenta que para mantener la infraestructura SMTP de Internet, los servidores de uso público no deben requerir una negociación TLS. Sin embargo, un servidor que se utiliza de manera privada puede requerir que el cliente efectúe una negociación TLS. En esos casos, el servidor devuelve esta respuesta:

530 Must issue a STARTTLS command first

La respuesta 530 indica al cliente que emita el comando STARTTLS para establecer una conexión.

El servidor o el cliente puede rechazar una conexión si el nivel de autenticación y privacidad no es adecuado. Asimismo, dado que la mayoría de las conexiones SMTP no son seguras, el servidor y el cliente pueden mantener una conexión no segura. La configuración del servidor y el cliente determina si se debe mantener o rechazar una conexión.

La compatibilidad para ejecutar SMTP con TLS no se encuentra activada de manera predeterminada. La TLS se activa cuando el cliente SMTP emite el comando STARTTLS. Antes de que el cliente SMTP pueda emitir este comando, debe configurar los certificados que permiten que sendmail utilice TLS. Consulte Cómo configurar SMTP para que utilice TLS. Tenga en cuenta que este procedimiento incluye la definición de nuevas opciones de archivo de configuración y la reconstrucción del archivo sendmail.cf.

Opciones de archivo de configuración para ejecutar SMTP con TLS

En la siguiente tabla, se describen las opciones de archivo de configuración que se utilizan para ejecutar SMTP con TLS. Si declara cualquiera de estas opciones, use una de las siguientes sintaxis:

O OptionName=argument # for the configuration file
-O OptionName=argument # for the command line
define(`m4Name',argument) # for m4 configuration

Tabla 3-12 Opciones de archivo de configuración para ejecutar SMTP con TLS

Opción	Descripción
`CACertFile`	Nombre de `m4`: `confCACERT` Argumento: `filename` Valor predeterminado: sin definir Identifica el archivo que contiene un certificado de autoridad de certificación.
`CACertPath`	Nombre de `m4`: `confCACERT_PATH` Argumento: `ruta` Valor predeterminado: sin definir Identifica la ruta al directorio que contiene certificados de autoridades de certificación.
`ClientCertFile`	Nombre de `m4`: `confCLIENT_CERT` Argumento: `filename` Valor predeterminado: sin definir Identifica el archivo que contiene el certificado del cliente. Tenga en cuenta que este certificado se utiliza cuando `sendmail` actúa como cliente.
`ClientKeyFile`	Nombre de `m4`: `confCLIENT_KEY` Argumento: `filename` Valor predeterminado: sin definir Identifica el archivo que contiene la clave privada que pertenece al certificado del cliente.
`CRLFile`	Nombre de `m4`: `confCRL` Argumento: `filename` Valor predeterminado: sin definir Identifica el archivo que contiene el estado de revocación del certificado, que se utiliza para la autenticación X. 509v3.
`DHParameters`	Nombre de `m4`: `confDH_PARAMETERS` Argumento: `filename` Valor predeterminado: sin definir Identifica el archivo que contiene los parámetros Diffie-Hellman (DH).
`RandFile`	Nombre de `m4`: `confRAND_FILE` Argumento: `file:filename` o `egd:socket UNIX` Valor predeterminado: sin definir Utiliza el prefijo `file:` para identificar el archivo que contiene datos aleatorios o utiliza el prefijo `egd:` para identificar el socket de UNIX. Tenga en cuenta que, debido a que el SO Oracle Solaris admite el dispositivo generador de números `random`, no es necesario especificar esta opción. Consulte la página del comando man `random`(7D).
`ServerCertFile`	Nombre de `m4`: `confSERVER_CERT` Argumento: `filename` Valor predeterminado: sin definir Identifica el archivo que contiene el certificado del servidor. Este certificado se utiliza cuando `sendmail` actúa como servidor.
`Timeout.starttls`	Nombre de `m4`: `confTO_STARTTLS` Argumento: `cantidad de tiempo` Valor predeterminado: `1h` Establece la cantidad de tiempo que el cliente SMTP espera una respuesta para el comando `STARTTLS`.
`TLSSrvOptions`	Nombre de `m4`: `confTLS_SRV_OPTIONS` Argumento: `V` Valor predeterminado: sin definir Determina si el servidor solicita un certificado al cliente. Si esta opción está establecida en `V`, no se realiza la verificación del cliente.

Para que sendmail admita el uso de TLS del SMTP, las siguientes opciones se deben definir:

CACertPath
CACertFile
ServerCertFile
ClientKeyFile

Otras opciones no son necesarias.

Macros para ejecutar SMTP con TLS

En la tabla siguiente, se describen las macros utilizadas por el comando STARTTLS.

Tabla 3-13 Macros para ejecutar SMTP con TLS

Macro	Descripción
`${cert_issuer}`	Contiene el nombre distinguido (DN) de la autoridad de certificación (CA), que es la emisora del certificado.
`${cert_subject}`	Contiene el DN del certificado que se denomina asunto de certificado.
`${cn_issuer}`	Contiene el nombre común (CN) de la autoridad de certificación (CA), que es la emisora del certificado.
`${cn_subject}`	Contiene el CN del certificado que se denomina asunto de certificado.
`${tls_version}`	Contiene la versión de TLS que se utiliza para la conexión.
`${cipher}`	Contiene un conjunto de algoritmos criptográficos (conocido como conjunto de cifrado) que se utiliza para la conexión.
`${cipher_bits}`	Contiene en bits la longitud de clave del algoritmo de cifrado simétrico que se utiliza para la conexión.
`${verify}`	Contiene el resultado de la verificación del certificado que se ha presentado. Los valores posibles son los siguientes: `OK`: la verificación se completó con éxito. `NO`: no se presentó ningún certificado. `NOT`: no se solicitó ningún certificado. `FAIL`: el certificado que se presentó no se pudo verificar. `NONE`: `STARTTLS` no se ha realizado. `TEMP`: se produjo un error temporal. `PROTOCOL`: se produjo un error de SMTP. `SOFTWARE`: el protocolo de enlace de `STARTTLS` falló.
`${server_name}`	Contiene el nombre del servidor con la conexión SMTP saliente actual.
`${server_addr}`	Contiene la dirección del servidor con la conexión SMTP saliente actual.

Conjuntos de reglas para ejecutar SMTP con TLS

En la siguiente tabla, se describen los conjuntos de reglas que determinan si una conexión SMTP que utiliza TLS se debe aceptar, debe continuar o se debe rechazar.

Tabla 3-14 Conjuntos de reglas para ejecutar SMTP con TLS

Conjunto de reglas	Descripción
`tls_server`	Al actuar como un cliente, `sendmail` utiliza este conjunto de reglas para determinar si el servidor es actualmente admitido por TLS.
`tls_client`	Al actuar como un servidor, `sendmail` utiliza este conjunto de reglas para determinar si el cliente es actualmente admitido por TLS.
`tls_rcpt`	Este conjunto de reglas requiere la verificación del MTA del destinatario. Este restricción del destinatario hace que los ataques, como la falsificación del DNS, sean imposibles.
`TLS_connection`	Este conjunto de reglas comprueba el requisito especificado por el RHS del mapa de acceso con los parámetros reales de la conexión TLS actual.
`try_tls`	`sendmail` utiliza este conjunto de reglas para determinar la viabilidad de utilizar `STARTTLS` al conectarse a otro MTA. Si el MTA no puede implementar correctamente `STARTTLS`, `STARTTLS` no se utiliza.

Para obtener más información, consulte http://www.sendmail.org/m4/starttls.html.

Consideraciones de seguridad relacionadas con la ejecución de SMTP con TLS

Como un protocolo de correo estándar que define servicios de envío de correo que se ejecutan por medio de Internet, SMTP no es un mecanismo de extremo a extremo. Debido a la limitación de este protocolo, la seguridad TLS mediante SMTP no incluye agentes de usuario de correo. Los agentes de usuario de correo actúan como una interfaz entre los usuarios y un agente de transferencia de correo, como sendmail.

Además, el correo podría ser enrutado mediante varios servidores. Para obtener una seguridad SMTP completa, toda la cadena de conexiones SMTP debe admitir TLS.

Por último, se debe tener en cuenta el nivel de autenticación y privacidad negociadas entre cada par de servidores o un par de cliente y servidor. Para obtener más información, consulte Servicios de autenticación de Administración de Oracle Solaris 11.1: servicios de seguridad.

Opciones de línea de comandos adicionales en la versión 8.13 de `sendmail`

En la siguiente tabla, se describen opciones de línea de comandos adicionales que están disponibles en la versión 8.13 de sendmail. Otras opciones de línea de comandos se describen en la página del comando man sendmail(1M).

Tabla 3-15 Opciones de línea de comandos disponibles en la versión 8.13 de sendmail

Opción	Descripción
`-D` `logfile`	Envía la salida de depuración al archivo de registro (`logfile`) indicado, en lugar de incluir esta información con la salida estándar.
`-q[!]Qsubstr`	Especifica el procesamiento de trabajos en cuarentena que tienen esta subcadena (`substr`), que es una subcadena del motivo (`reason`) en cuarentena. Consulte la descripción de la opción `-Qreason`. Si ! se agrega, esta opción procesa los trabajos en cuarentena que no tienen esta subcadena (`substr`).
`-Qreason`	Pone en cuarentena un elemento de cola normal con este motivo (`reason`). Si no se especifica ningún motivo (`reason`), el elemento de la cola en cuarentena se quita de la cuarentena. Esta opción funciona con la opción `-q[!]Qsubstr`. `substr` es una parte (o subcadena) de `reason`.

Opciones de archivo de configuración revisadas y adicionales en la versión 8.13 de `sendmail`

En la siguiente tabla, se describen las opciones de archivo de configuración revisadas y agregadas. Si declara cualquiera de estas opciones, use una de las siguientes sintaxis.

O OptionName=argument          # for the configuration file
-O OptionName=argument         # for the command line
define(`m4Name',argument)     # for m4 configuration

Tabla 3-16 Opciones de archivo de configuración disponibles en la versión 8.13 de sendmail

Opción	Descripción
`ConnectionRateWindowSize`	Nombre de `m4`: `confCONNECTION_RATE_WINDOW_SIZE` Argumento: `número` Valor predeterminado: `60` Define el número de segundos para las conexiones entrantes que se deben mantener.
`FallBackSmartHost`	Nombre de `m4`: `confFALLBACK_SMARTHOST` Argumento: `hostname` Para garantizar la entrega de correo a los clientes, esta opción proporciona un host conectado que sirve como copia de seguridad (o sistema de conmutación por error) para los registros MX que fallan.
`InputMailFilters`	Nombre de `m4`: `confINPUT_MAIL_FILTERS` Argumento: `filename` Muestra los filtros de correo de entrada para el daemon `sendmail`.
`PidFile`	Nombre de `m4`: `confPID_FILE` Argumento: `filename` Valor predeterminado: `/system/volatile/sendmail.pid` Como en las versiones anteriores, el nombre del archivo es expandido de macro antes de abrirse. Además, en la versión 8.13, el archivo se desvincula cuando `sendmail` se cierra.
`QueueSortOrder`	Nombre de `m4`: `confQUEUE_SORT_ORDER` Argumento agregado: `none` En la versión 8.13, `none` se utiliza para especificar que no hay ningún orden de clasificación.
`RejectLogInterval`	Nombre de `m4`: `confREJECT_LOG_INTERVAL` Argumento: `period-of-time` Valor predeterminado: `3h`, que representa tres horas. Cuando una conexión de daemon se rechaza para el período (`period-of-time`) especificado, la información se registra.
`SuperSafe`	Nombre de `m4`: `confSAFE_QUEUE` Nombre corto: `s` Argumento agregado: `postmilter` Valor predeterminado: `true` Si `postmilter` está configurado, `sendmail` aplaza la sincronización del archivo de cola hasta que todas las `milters` hayan indicado la aceptación del mensaje. Para que este argumento sea útil, `sendmail` debe ejecutarse como un servidor SMTP. De lo contrario, `postmilter` funcionaría como si se estuviera utilizando el argumento `true`.

Declaraciones `FEATURE()` revisadas y adicionales en la versión 8.13 de `sendmail`

En la siguiente tabla, se describen las declaraciones FEATURE() revisadas y agregadas. Esta macro m4 utiliza la siguiente sintaxis.

FEATURE(`name', `argument')

Tabla 3-17 Declaraciones FEATURE() disponibles en la versión 8.13 de sendmail

Nombre de `FEATURE()`	Descripción
`conncontrol`	Funciona con el conjunto de reglas `access_db` para comprobar el número de conexiones SMTP entrantes. Para obtener detalles, consulte `/etc/mail/cf/README`.
`greet_pause`	Agrega el conjunto de reglas `greet_pause`, que activa la protección contra el proxy abierto y el slamming de SMTP. Para obtener detalles, consulte `/etc/mail/cf/README`.
`local_lmtp`	El argumento predeterminado sigue siendo `mail.local`, que es la aplicación de correo compatible con LMTP en esta versión de Oracle Solaris. Sin embargo, en la versión 8.13, si se utiliza una aplicación de correo compatible con LMTP diferente, el nombre de la ruta se puede especificar como un segundo parámetro, y los argumentos que se transfieren al segundo parámetro se pueden especificar en el tercer parámetro. Por ejemplo: FEATURE(`local_lmtp', `/usr/local/bin/lmtp', `lmtp')
`mtamark`	Proporciona compatibilidad experimental para la marcación de agentes de transferencia de correo en DNS invertido con registros de recursos TXT (MTAMark). Para obtener detalles, consulte `/etc/mail/cf/README`.
`ratecontrol`	Funciona con el conjunto de reglas `access_db` para controlar tasas de conexión para hosts. Para obtener detalles, consulte `/etc/mail/cf/README`.
`use_client_ptr`	Si esta `FEATURE()` está activada, el conjunto de reglas `check_relay` sustituye su primer argumento con este argumento, `$&{client_ptr}`.

Omitir Vínculos de navegación
Salir de la Vista de impresión
	Gestión de servicios sendmail en Oracle Solaris 11.1 Oracle Solaris 11.1 Information Library (Español)

Compatibilidad para ejecutar SMTP con TLS en la versión 8.13 de sendmail