MDaemon Servidor de Correo 24.0

 

OpenPGP es un protocolo estándar de la industria para intercambiar datos encriptados; existe una variedad de complementos OpenPGP para clientes de correo que permiten a los usuarios enviar y recibir mensajes encriptados. MDPGP es el componente OpenPGP de MDaemon que puede proporcionar encripción, desencripción y servicios básicos de manejo de llaves para sus usuarios sin requerir que utilicen un complemento con el cliente de correo.

MDPGP encripta y desencripta correos utilizando un sistema de llaves pública/privada. Para hacer esto, cuando desee utilizar MDPGP para enviar un mensaje privado y seguro a alguien, MDPGP encriptará ese mensaje utilizando una "llave" que usted habrá obtenido previamente de esa persona (i.e. su "llave pública") y la habrá importado a MDPGP. Alternativamente, si el remitente desea enviarle un mensaje privado, entonces él debe encriptar el mensaje utilizando su llave pública, que habrá obtenido de usted. Es absolutamente necesario dar la llave pública al remitente porque si ella él no podrá enviarle un mensaje encriptado de tipo OpenPGP. Su llave pública única debe ser utilizada para encriptar el mensaje porque su llave privada única es lo que utilizará MDPGP para desencriptar el mensaje cuando llegue.

A fin de que MDPGP firme, encripte y desencripte mensajes, mantiene dos almacenes de llaves (i.e. llaveros) —uno de llaves públicas y uno de llaves privadas. MDPGP puede generar las llaves de sus usuarios automáticamente si se requiere o usted puede crearlas manualmente para usuarios en específico. También puede importar llaves que fueron creadas en otra instancia. Más aun, MDaemon puede buscar las llaves públicas adjuntas a mensajes autentificados de usuarios locales y luego importar esas llaves automáticamente. De esa manera el usuario puede solicitarle a alguien su llave pública y luego enviar esa llave a sí mismo de manera que MDPGP la detecte e importe a su llavero público. MDPGP nunca almacena múltiples copias de la misma llave, pero puede haber múltiples llaves diferentes para una misma dirección. Finalmente, siempre que llegue un mensaje proveniente de una dirección que cuenta con una llave en un llavero, MDPGP lo firmará, encriptará o desencriptará como sea necesario, de acuerdo con sus ajustes. Si una dirección cuenta con múltiples llaves, MDPGP utilizará la que se haya designado como llave preferida para encriptar el mensaje. Si no se ha definido una llave preferida, entonces MDPGP utilizará la primera. Al desencriptar un mensaje, MDaemon intentará con cada una.

Puede configurar los servicios de firma y encripción de MDPGP para operar ya sea en automático o manualmente. Cuando se configura para operar automáticamente, MDPGP firmará y encriptará los mensajes en automático siempre que sea posible. Cuando se configura para operar manualmente, MDPGP solo firmará o encriptará los mensajes cuando el usuario remitente inserte un comando especial en el Asunto de esos mensajes. En cualquier caso, los mensajes solo se firmarán o encriptarán (o desencriptarán) cuando la cuenta tenga permiso de utilizar esos servicios.

Habilitar MDPGP

Habilitar MDPGP

MDPGP está habilitado por omisión, pero no firmará, encriptará o desencriptará ningún mensaje hasta que usted genere o importe llaves al llavero o hasta que utilice la opción siguiente para que MDPGP Genere llaves automáticamente.

Habilitar servicios de encripción & firmado

Por omisión los mensajes se pueden firmar y encriptar cuando las llaves requeridas se encuentran en el llavero. Deshabilite esta opción si no desea permitir que MDPGP firme o encripte mensajes.

Habilitar servicios de desencripción & verificación

Por omisión los mensajes encriptados entrantes serán desencriptados si se conoce la llave privada del destinatario. Así mismo, MDPGP también verificará las firmas integradas en los mensajes no encriptados. Note, sin embargo, que tanto el destinatario como el remitente deben estar autorizados para utilizar los servicios de desencripción&verificación, ya sea a través de la opción "Autorizar a todos..." o "Configurar exactamente quien..." (todos están autorizados por omisión). Deshabilite esta opción si no desea verificar firmas incrustadas o permitir que MDPGP desencripte cualquier mensaje, por ejemplo, si desea que todos los usuarios manejen su propia desencripción vía un cliente complementario. Al deshabilitar esta opción, cualquier mensaje entrante encriptado se manejará como mensaje normal y se colocará en el buzón del destinatario.

Recolectar llaves públicas del DNS (pka1) y guardar en caché por [xx] horas

Habilite esta opción si desea que MDPGP consulte las llaves públicas del destinatario en el DNS utilizando PKA1. Esto es útil porque automatiza el proceso de obtener las llaves públicas de algunos destinatarios, previniendo que usted o sus usuarios tengan que obtenerlas e importarlas manualmente a fin de enviar mensajes encriptados. Cuando se realizan consultas PKA1, cualquier llave URI encontrada se recolecta inmediatamente, se valida y agrega al llavero. Las llaves recolectadas e importadas exitosamente al llavero utilizando este método, se rastrean en un archivo llamado fetchedkeys.txt y estas llaves expiran en automático luego de un número de horas especificado en esta opción o de acuerdo con el valor TTL del registro PKA1 que las refirió, cualquiera que sea el valor mayor. Por esto, el valor especificado aquí es la duración mínima que esa llave permanecerá en caché. El valor por omisión es 12 horas y el valor permitido menor es 1 hora.

 

Intercambiar llaves públicas utilizando HTTP (Webmail)

Habilite esta opción si desea utilizar WorldClient como servidor básico de llaves públicas: WorldClient respetará las peticiones de llaves públicas de sus usuarios. El formato de la URL para hacer la petición se ve así: "http://<WorldClient-URL>/WorldClient.dll?View=MDPGP&k=<Key-ID>". Donde <WorldClient-URL> es la ruta de su servidor WorldClient (por ejemplo, "http://wc.example.com") y <Key-ID> es el id de llave de 16 caracteres de la llave que usted desea (por ejemplo, "0A1B3C4D5E6F7G8H").  El id de llave se construye con los últimos 8 bytes de la huella de la llave - 16 caracteres en total.

Intercambiar llaves públicas durante sesiones de correo SMTP (MDaemon)

Marque esta casilla si desea habilitar la transmisión automática de llaves públicas como parte del proceso SMTP de entrega de mensajes. Para hacerlo, el servidor SMTP de MDaemon respetará el comando SMTP denominado RKEY. Al enviar un mensaje de correo a un servidor que soporta RKEY, MDaemon ofrecerá transmitir la llave pública preferida actual del remitente hacia el otro host. Este responderá indicando ya sea que ya cuenta con esa llave ("250 2.7.0 Key already known") o que la necesita, en cuyo caso la llave se transfiere inmediatamente en formato armadura-ASCII ("354 Enter key, end with CRLF.CRLF") como cualquier otro mensaje de correo. Las llaves que han expirado o han sido revocadas nunca se transmiten. Si MDaemon cuenta con múltiples llaves para el remitente siempre enviará la llave marcada en ese momento como preferida. Si no existe una llave preferida entonces se enviará la primera que se encuentre. Si no ha llaves válidas entonces no se hace nada. Solo se ofrecen llaves públicas que pertenecen a usuarios locales.

Las transferencias de llaves públicas ocurren como parte de la sesión SMTP de correo que entrega el mensaje proveniente del usuario. A fin de que las llaves públicas se transmitan de manera que sean aceptadas, la llave pública debe enviarse junto con un mensaje que lleve Firma DKIM del dominio del propietario de la llave con el valor i= definido como la dirección del propietario de la llave, que también debe coincidir exactamente con la dirección del encabezado From:, del cual solo debe existir uno. El "propietario de la llave" se toma de la llave misma. Así mismo, el mensaje debe llegar proveniente de un host en la ruta SPF del remitente. Finalmente, el propietario de la llave (o su dominio completo, vía el uso de comodines) debe ser autorizado por RKEY agregando un registro apropiado en el archivo de reglas MDPGP (existen instrucciones para esto en el archivo de reglas9 indicando que el dominio es confiable para intercambiar llaves. Toda esta verificación se realiza automáticamente, sin embargo, usted debe tener habilitados DKIM y Verificación SPF o no se podrá hacer nada.

El registro de transacciones MDPGP muestra el resultado y detalles de todas las llaves importadas o eliminadas y el registro de sesiones SMTP también rastrea esta actividad. Este proceso rastrea la eliminación de llaves existentes y la selección de nuevas llaves preferidas y actualiza a todos los servidores participantes a los que envía correo, cuando se modifican valores.

Autorizar a todos los usuarios locales de MDaemon a utilizar todos los servicios

Por omisión las cuentas locales de MDaemon están autorizadas para utilizar cualquiera de los servicios MDPGP que tenga habilitados: firma, encripción, desencripción y verificación. Si hay usuarios específicos a los que no desea permitir utilizar uno o más de estos servicios, puede utilizarla opción "Configurar exactamente quien puede o no utilizar servicios MDPGP" para excluirlos. Deshabilite esta opción si solo desea autorizar a usuarios locales específicos. En ese caso utilice la opción "Configurar exactamente quien puede o no utilizar servicios MDPGPP" para dar acceso a quién usted disponga.

Autorizar a todos los usuarios no locales (externos) en los servicios de desencripción/verificación

Por omisión cualquier mensaje entrante encriptado para un destinatario local, proveniente de un remitente no-local puede ser desencriptado si MDPGP conoce la llave privada del destinatario local. De manera similar, MDPGP verificará las firmas incrustadas en los mensajes entrantes de usuarios no-locales. Si existen ciertos remitentes no-locales cuyos mensajes no desea desencriptar o verificar puede utilizar la opción siguiente: "Configurar exactamente quién puede o no utilizar servicios MDPGP" para restringir a esos remitentes en esos servicios. Deshabilite esta opción si no desea desencriptar mensajes o verificar firmas incrustadas cuando el remitente sea una dirección no-local. En ese caso puede utilizar la opción "Configurar exactamente quién puede o no utilizar servicios MDPGP" para especificar excepciones a esa restricción.

Configurar exactamente quién puede o no utilizar servicios MDPGP

Dé clic en este botón para abrir el archivo rules.txt para configurar los permisos de usuario para MDPGP. Utilizando este archivo puede especificar quién tiene permiso de firmar mensajes, encriptar mensajes y recibir mensajes desencriptados. También puede restringir específicamente a algunos usuarios de estas opciones. Por ejemplo, puede utilizar la regla "+*@example.com" para permitir a todos los usuarios de example.com encriptar mensajes y luego agregar "-frank@example.com" para impedir específicamente que frank@example.com lo pueda hacer. Vea el texto al inicio del archivo rules.txt para ejemplos e instrucciones.

Rules.txt Notas y Sintaxis

•Solo el correo SMTP autentificado de usuarios de este servidor MDaemon es elegible para el servicio de encripción. Sin embargo, puede especificar las direcciones no locales que desea restringir del servicio de encripción, significando que MDPGP no encriptará mensajes hacia ellos, aun cuando se conozca la llave pública.

•Si existe un conflicto entre los ajustes en el archivo rules.txt y la opción global "Autorizar a todos los usuarios locales de MDaemon para todos los servicios MDPGP", se utiliza el ajuste en rules.txt.

•Si existe un conflicto entre los ajustes en rules.txt y la opción global "Autorizar a todos los usuarios no locales en los servicios de desencripción/verificación", se utilizará el ajuste en el archivo rules.txt.

•El texto después de # en una línea e ignora.

•Separe múltiples direcciones de correo en la misma línea con un espacio.

•Se permiten comodines (* y ?) en las direcciones de correo.

•Aun cuando los mensajes encriptados MDPGP siempre van firmados, el otorgar permisos de encripción a un usuario no le otorga permisos de firmar mensajes desencriptados. A fin de firmar mensajes desencriptados, la cuenta debe contar con permisos de firma.

•Cada dirección de correo debe tener un prefijo con alguna de las siguientes etiquetas:

   + (más) - la dirección puede utilizar el servicio de encripción MDPGP.

- (menos) - las direcciones no pueden utilizar el servicio de encripción MDPGP.

! (exclamación) - la dirección puede utilizar el servicio de desencripción MDPGP.

~ (tilde) - la dirección no puede utilizar el servicio de desencripción MDPGP.

^ (caret) - la dirección puede utilizar el servicio de firmado MDPGP.

= (igual) - la dirección no puede utilizar el servicio de firmado MDPGP.

$ (dólar) - la dirección puede utilizar el servicio de verificación MDPGP.

& (ampersand) - la dirección no puede utilizar el servicio de verificación MDPGP.

Ejemplos:

+*@* — todos los usuarios de todos los dominios pueden encriptar.

!*@* — todos los usuarios de todos los dominios pueden desencriptar.

^*@* — todos los usuarios de todos los dominios pueden firmar.

^*@example.com — todos los usuarios de example.com pueden firmar.

+frank@example.com ~frank@example.com — el usuario puede encriptar, pero no desencriptar.

+GROUP:EncryptingUsers — Miembros del grupo EncryptingUsers de MDaemon pueden encriptar.

^GROUP:Signers — Miembros del grupo Signers de MDaemon pueden firmar.

Modos de Encripción/Firma

Modo Automático

Utilice la opción Ajustes para configurar MDPGP para firmar y encriptar mensajes automáticamente para cuentas que tengan permiso para hacerlo. Cuando una cuenta envía un mensaje autentificado y MDPGP conoce la llave requerida, el mensaje será firmado o encriptado de acuerdo con los ajustes siguientes.

Ajustes

Encriptar el correo automáticamente si se conoce la llave privada del destinatario

Por omisión, si una cuenta tiene permiso de encriptar mensajes, MDPGP los encriptará en automático si conoce la llave privada de la cuenta del destinatario. Deshabilite esta opción si no desea que se encripten en automático; los mensajes se pueden encriptar manualmente utilizando los códigos especiales descritos en la sección Modo Manual descrita abajo.

Firmar el correo automáticamente si se conoce la llave pública del remitente

Dé clic en esta opción si desea que MDPGP firme en automático los mensajes cuando se conoce la llave privada de la cuenta remitente, si la cuenta tiene permitido firmar mensajes. Aun cuando esta opción está deshabilitada, los mensajes se pueden firmar manualmente utilizando los códigos especiales descritos en la sección Modo Manual descrita abajo.

Encriptar/Firmar correo entre usuarios del mismo dominio

Cuando MDPGP se configura para encriptar o firmar mensajes en automático, esta opción hace que MDPGP lo haga aun cuando los mensajes se envíen entre usuarios del mismo dominio, suponiendo que se conocen las llaves requeridas. Esta opción se encuentra habilitada por omisión.

Encriptar/Firmar correo entre usuarios de dominios locales de MDaemon

Cuando MDPGP se configura para encriptar o firmar mensajes en automático, esta opción hace que MDPGP lo haga aun cuando los mensajes se envíen entre usuarios de dominios locales de MDaemon, suponiendo que se conocen las llaves requeridas Por ejemplo si sus dominios de MDaemon incluyen "example.com" y "example.net," entonces los mensajes enviados entre los usuarios de esos dominios se encriptarán o firmarán automáticamente Esta opción está habilitada por omisión.

Encriptar/firmar correo enviado a uno mismo

Cuando MDPGP se configura para encriptar o firmar mensajes automáticamente, esto se hará aun cuando el usuario de MDaemon esté enviando un mensaje a sí mismo (ej. frank@example.com envía a frank@example.com). Por esto, si la cuenta tiene permiso de utilizar tanto encripción como desencripción (los ajustes por omisión) MDPGP aceptará el mensaje del usuario, lo encriptará e inmediatamente lo desencriptará y colocará en el buzón del mismo usuario. Si, sin embargo, la cuenta no está configurada para desencripción, esto hará que el mensaje se encripte y luego se coloque en el buzón del mismo usuario aun encriptado. Esta opción está deshabilitada por omisión.

Modo Manual

Cuando ha deshabilitado las opciones Firmar correo automáticamente... y Encriptar correo automáticamente... descritas arriba, estará utilizando MDPGP en Modo Manual. MDPGP no firmará o encriptará ningún mensaje excepto aquellos que sean autentificados y contengan alguno de los siguientes códigos en el encabezado Asunto del mensaje:

Administración de Llaves

Las llaves Públicas y Privadas se administran utilizando las opciones la mitad inferior del diálogo MDPGP. Existe una entrada para cada llave y puede dar clic derecho a cualquier registro y exportar la llave, eliminarla o habilitar/deshabilitarla, configurarla como Llave Preferida (vea "Intercambiar llaves públicas durante las sesiones SMTP, arriba) o configurarla como llave del Dominio (ver abajo). Cuando dé clic en Exportar llave, esta se grabará en la carpeta \MDaemon\Pem\_mdpgp\exports\ y opcionalmente usted puede enviar la llave pública a una dirección de correo. Las opciones "Mostrar Local/Remota" y "Filtrar" se proporcionan para ayudarle a localizar ciertas direcciones o grupos.

Utilizar una Llave de Dominio

Opcionalmente puede utilizar una sola llave para encriptar todos los mensajes dirigidos a un dominio específico, sin importar quién sea el remitente. Esto es útil si, por ejemplo, uno de sus dominios y un dominio hospedado en otra ubicación desean encriptar todos los correos que se envían entre ellos, pero no desean configurar y administrar llaves de encripción individuales para cada cuenta de usuario en ambos dominios. Existen múltiples maneras de lograr esto:

•Si ya cuenta con una llave pública para otro dominio y desea utilizarla para encriptar todos los mensajes salientes que se dirigen a él, dé clic en la llave y dé clic en Configurar como llave del Dominio. Luego registre el nombre de dominio y dé clic en OK. Esto creará una regla en el Filtro de Contenido que hará que todos los mensajes dirigidos a ese dominio sean encriptados utilizando la llave definida.

•Si le han proporcionado la llave pública del dominio pero no se encuentra aún en la lista, dé clic en Importar la Llave de Dominio, registre el nombre de dominio y dé clic en OK, luego navegue al archivo del dominio public.asc y dé clic en Abrir. Esto también creará una regla en el Filtro de Contenido para encriptar mensajes a ese dominio.

•Personalice sus reglas del Filtro de Contenido como lo requiera para modificar exactamente qué mensajes se deben encriptar antes de enviar a los dominios.

•Para crear una llave nueva para uno de sus dominios, para entregarla a otro dominio para encriptar los mensajes que le envíen, siga las instrucciones en "Crear llaves para un usuario específico" descrita abajo, seleccionando "_Domain Key (domain.tld)_ <anybody@domain.tld>" en la lista.

 

Enviar por correo detalles de los fallos de encripción al remitente (comando --pgpe)

Cuando alguien utiliza el comando --pgpe para enviar correo encriptado y la encripción falla (por ejemplo, porque no se encontró llave de encripción), entonces esta opción generará el envío de un correo de notificación al remitente informándole del fallo. Esta opción se encuentra deshabilitada por omisión, lo que significa que no se enviarán mensajes de notificación de fallos.

Enviar por correo llaves públicas cuando se envía correo a uno mismo (comando --pgpk)

Cuando un usuario envía un correo a sí mismo con el asunto "--pgpk<email address>" (ej. --pgpk<frank@example.com>). Si existe una llave pública para <email address> se le enviará por correo a quién la solicitó.

Autoimportar llaves públicas enviadas de usuarios autentificados

Por omisión, cuando un usuario autentificado envía un mensaje de correo con una llave pública como adjunto en formato ASCII, MDPGP importará esa llave pública al llavero. Esta es una manera sencilla para que el usuario incorpore las llaves públicas de sus contactos en el llavero de MDPGP, enviando por correo la llave pública a sí mismo como archivo adjunto. Deshabilite esta opción si no desea autoimportar llaves.

Crear llaves automáticamente

Habilite esta opción si desea que MDPGP cree pares de llaves pública/privada para cada usuario de MDaemon. En lugar de generar todas al mismo tiempo, sin embargo, MDPGP las creará a lo largo del tiempo, creando el par para cada usuario en la siguiente ocasión en que se procese un mensaje para ese usuario. Esta opción está deshabilitada por omisión para conservar recursos y evitar generación innecesaria de llaves para cuentas que puede ser nunca utilicen MDPGP.

Tamaño de la Llave

Utilice esta opción para especificar el tamaño de la llave para las llaves que genera MDPGP. Puede configurar el tamaño de la llave a 1024, 2048, o 4096. El valor por omisión es de llaves de 2048 bits.

Expira en [xx] días (0=nunca)

Utilice esta opción para especificar el número de días que será válida una llave generada por MDPGP desde su fecha de creación hasta que expire. Configure esta opción en "0" si no desea que las llaves expiren. El valor por omisión es 0.

Crear llaves para un usuario específico

Para generar manualmente un par de llaves para una cuenta:

1.Dé clic en Crear llaves para un usuario en específico.

2.Seleccione la cuenta de la lista desplegable. Si desea crear una única llave para aplicar a todas las cuentas del dominio, elija la opción "_Domain Key (domain.tld)_ <anybody@domain.tld>" de la lista.

3.Opcional: Marque la caja Enviar la llave pública al propietario de la llave... si desea enviar la llave al usuario con adjunto en un correo.

4.Dé clic en OK.

Encriptar mensajes salientes con base en la IP destino

Si desea utilizar una llave de encripción específica para encriptar todos los mensajes destinados a cierta dirección IP, habilite esta opción y dé clic en Configurar para abrir el archivo de Encripción de Transporte de Mensajes de MDaemon, en el que puede enlistar las direcciones IP y llaves ID asociadas. Cualquier sesión SMTP saliente para entregar un mensaje a una de las IPs enlistadas encriptará el mensaje utilizando la llave asociada, justo antes de la transmisión. Si el mensaje ya fue encriptado por alguna otra llave, este paso se omitirá.

Importar llaves

Si desea importar manualmente una llave hacia MDPGP, dé clic en este botón, localice el archivo de la llave y dé clic en Abrir. Al importar el archivo de una llave privada, no necesita importar la llave pública correspondiente ya que está incluida en la llave privada. Si está importando una llave privada protegida con contraseña entonces MDPGP le solicitará capturar la contraseña. Sin ésta, no podrá importar la llave privada. Luego de importar la llave privada, MDaemon modificará la contraseña de esa llave a cualquiera contraseña que MDPGP esté utilizando.

Importar llave de Dominio

Si le han proporcionado una llave de encripción para encriptar todos los mensajes que se envían a cierto dominio, dé clic en este botón, registre el nombre de dominio, dé clic en OK y luego navegue al archivo del dominio public.asc y dé clic en Abrir. Esto agregará la llave pública del Dominio a la lista y creará una regla en el Filtro de Contenido para encriptar todos los mensajes salientes para ese dominio, sin importar el remitente.

Modificar contraseña

Las llaves privadas se encuentran protegidas en todo momento por una contraseña. Al intentar importar una llave privada, de registrar su contraseña. Al exportar una llave privada, esa llave exportada estará protegida con la contraseña y no podrá ser utilizada o importada en ningún otro lugar, sin ella. La contraseña por omisión de MDPGP es MDaemon. Por razones de seguridad deberá modificarla cuando empiece a utilizar MDPGP, porque hasta que lo haga, cada llave creada o importada exitosamente por MDPGP tendrá configurada o modificará su contraseña a MDaemon. Puede modificar la contraseña en cualquier momento dando clic en Modificar contraseña en la pantalla MDPGP. Cuando modifique la contraseña, cada llave privada en el llavero se actualizará a esta nueva contraseña.

Respaldar archivos de datos

Dé clic en este botón para respaldar sus llaveros actuales Keyring.private y Keyring.public. Por omisión los archivos de respaldo se copiarán a: "\MDaemon\Pem\_mdpgp\backups" y contendrán la fecha y la extensión .bak incorporada en los nombres de archivo.