Protección de su webmail y del correo mediante certificados SSL/TLS
Cuando se usa el servicio de correo, es posible que esté expuesto a su posible intercepción y lectura o que alguien obtenga sus credenciales, lo que pone en riesgo la seguridad de la información confidencial. Es por este motivo que le instamos a proteger las conexiones de correo con certificados SSL/TLS. En este tema se detallan las conexiones que debería proteger y el proceso para protegerlas.
Desde que un remitente envía un email hasta que este llega a su destinatario, existen varios puntos donde puede ponerse en riesgo la seguridad. Los certificados SSL/TLS protegen los datos confidenciales mediante el cifrado de conexiones. Si desea disfrutar de una protección óptima cuando use el servicio de correo, use certificados SSL/TLS para proteger toda la cadena de transmisión de los emails, que está formada por lo siguiente:
- La conexión entre el navegador de un usuario y el webmail que se ejecuta en el servidor web. Por motivos de simplicidad, lo denominaremos «protección de webmail».
- La conexión entre el servidor de correo Plesk y el MTA del remitente. Por motivos de simplicidad, lo denominaremos «protección del servidor de correo Plesk».
1 Protección de webmail
Cuando accede a su buzón mediante el servicio de webmail, se establece una conexión entre su navegador y el webmail que se ejecuta en un servidor web. Para proteger los emails transferidos y las credenciales de la cuenta de correo, el servicio de webmail se protege por defecto con el mismo certificado SSL/TLS autofirmado usado para proteger Plesk. Este certificado cifra los datos transferidos, si bien cada vez que usted accede a su webmail podrá ver un mensaje de advertencia sobre la existencia de un certificado SSL/TLS en el cual no se confía. Si no desea volver a ver este mensaje, proteja el webmail con un certificado SSL/TLS válido.
Para proteger el webmail con un certificado SSL/TLS:
-
Obtenga un certificado SSL/TLS wildcard o bien un certificado SAN que permita la configuración de
webmail.<domain>
en SAN. Para ello:- Obtenga un certificado wildcard gratuito de Let’s Encrypt. Si opta por esta opción, omita el paso 2.
Nota: Le recomendamos optar por esta opción, puesto que un certificado wildcard protege todas las conexiones de correo necesarias.
-
Vaya a Correo > pestaña «Configuración de correo», haga clic en nombre del dominio, seleccione el certificado SSL/TLS para el webmail y haga clic en ACEPTAR.
2 Protección del servidor de correo en Plesk
Pregunte a su proveedor de hosting si ha protegido el servidor de correo Plesk con un certificado SSL/TLS válido (no con el certificado SSL/TLS autofirmado usado para proteger el servidor de correo de forma predeterminada). Este cifra la conexión entre el servidor de correo Plesk y el MTA del remitente, impidiendo así que sus emails puedan ser interceptados.
De todos modos, a menos que haya contratado un servidor dedicado, existe un problema. Cada vez que accede a su buzón verá un mensaje que le informa sobre la no seguridad de un certificado SSL/TLS. Esto se debe a que el cliente de correo detecta que el nombre de dominio al que se ha asignado el certificado (el nombre de dominio del servidor Plesk) no coincide con el nombre de dominio de correo. Como consecuencia, la mayoría de clientes de correo interpretan que el certificado del servidor de correo no es de confianza.
Si usa un cliente de correo Postfix o Dovecot (en Plesk para Linux) o MailEnable (en Plesk para Windows), puede corregir esta discrepancia asignando un certificado SSL/TLS a su correo individual para un dominio.
En el caso de otros clientes de correo (como por ejemplo Qmail o Courier), en este momento no es posible asignar otro certificado SSL/TLS para su correo individual para un dominio. El hecho de que el servidor de correo se proteja o no depende de la forma en la que su cliente de correo gestiona los certificados que no considera de confianza:
- El cliente de correo conectado al servidor de correo mediante SSL/TLS (si bien puede que se muestre un mensaje sobre la presencia de un certificado que no es de confianza). En este caso, se cifra la conexión entre su correo y un remitente y se transfieren los emails protegidos para que no puedan ser interceptados.
- El cliente de correo rechazó conectarse al servidor de correo mediante SSL/TLS y tuvo que usar una conexión no cifrada. En este caso, los emails que transfirió pueden ser interceptados. Le recomendamos que cambie su cliente de correo y use uno que permita la conexión mediante SSL/TLS aunque el certificado no sea de confianza.
Nota: Existe otra forma de corregir la no coincidencia de los certificados. Si usa el servidor de correo en Plesk, puede configurar su cliente de correo para que use el nombre de dominio del servidor. Por ejemplo, el dominio del servidor es server.com
y su dominio individual es example.com
. Si el servidor de correo se encuentra protegido con un certificado SSL/TLS asignado a server.com
, cambie el nombre de dominio del servidor de correo de mail.exemple.com
a server.com
en la configuración de su cliente de correo.
3 Asignación de un certificado SSL/TLS al correo para un dominio
Si usa los clientes de correo Postfix y Dovecot (en Plesk para Linux) o MailEnable (en Plesk para Windows), puede proteger el correo de un dominio con un certificado SSL/TLS individual. Le recomendamos esta opción si su cliente de correo muestra una advertencia donde se informa de que el certificado SSL/TLS que protege el servidor de correo no puede ser verificado. Una vez haya protegido el correo para un dominio con un certificado SSL/TLS individual, el servidor de correo devolverá el certificado que protege su correo en vez del certificado a nivel del servidor asignado por su proveedor de hosting. Como resultado, ya no verá ninguna advertencia.
Nota: Un certificado SSL/TLS que protege el correo de un dominio solo cifrado la conexión en el caso de que el servidor de correo de Plesk también esté protegido por un certificado SSL/TLS. Pregunta a su proveedor de hosting si ha protegido el servidor de correo Plesk con un certificado SSL/TLS válido.
Para proteger el correo para un dominio con un certificado SSL/TLS:
-
Obtenga un certificado SSL/TLS wildcard o bien un certificado SAN que permita la configuración de
mail.<domain>
en SAN. Para ello:Nota: Si ya obtuvo un certificado SSL/TLS wildcard cuando protegió el webmail, vaya al paso 2 para proteger el correo para su dominio con este certificado.
Nota: Le recomendamos obtener un certificado wildcard SSL/TLS gratuito de Let’s Encrypt, puesto que este certificado no solo protege el correo para un dominio, sino también el webmail, el propio dominio y múltiples subdominios (de ser necesario).
-
Vaya a Correo > pestaña «Configuración de correo», haga clic en nombre del dominio, seleccione el certificado SSL/TLS para el correo y haga clic en ACEPTAR.