logo-IRIS
  
> Inicio
> Sitemap
> Contacto
> Buscador
  



< Servicios < Correo electrónico

Servicio Correo Electrónico RedIRIS
Diseño de un Servicio de correo electrónico

Plan de direccionamiento · Topología del servicio · Medidas de prevención · Política de uso · Politica de RedIRIS

Servicio Correo Electrónico RedIRIS

Introducción

El diseño de una Servicio de correo electrónico está íntimamente relacionado con la topología física (red) de la organización y por lo tanto debe intentar acoplarse a ella. La estructuración idónea de este servicio es un encaminamiento de correo centralizado. Basicamente, consiste un serie de servidores locales de correo distribuidos a lo largo de la red y centralizados en una Estafeta central, la cual será responsable de encaminar todo el correo hacia y desde el exterior.

Antes de diseñar una estructura corporativa del servicio de correo electrónico hay que crear un "Plan de direccionamiento del sistema de correo electrónico para la organización". El Plan de direccionamiento y encaminamiento de correo de estra imbricado con la estructura de un servicio de directorio, tal y como se ha comentado con anterioridad.

Plan de direccionamiento del sistema de correo electrónico

Un plan de direcciones debe de tener en cuenta los siguientes principios elementales:

  • Una dirección de correo no debe de ser excesivamente larga pero tampoco excesivamente críptica.

  • La parte identificadora del usuario debe intentar de contener dos campos que definan nombre y el primer apellido del responsable del buzón.Habria que definir un limite máximo del número de caracteres. Estilo: nombre.apellidos. Ejemplo: carles.subirats.

  • Ha de reflejar la estructura organizativa de la institución con objeto que la dirección de un usuario pueda deducirse facilmente conociendo sus datos personales y los de la unidad administrativa a la que pertenece. No habría que abusar de la jerarquÌa mas allá del tercer nivel. Estilo: nombre.apellidos@OU1.O.es. ( OU=Unidad de organización, O=Organización). Ejemplo: jesus.heras@rediris.es

  • Debería de ser flexible y capaz de absorver potenciales cambios organizativos dentro de la propia institución.

  • Es muy importante que el diseño del direccionamiento sea jerárquico y no plano pues puede tener repercusiones en una hipotética organización del Servicio de Directorio.

Topología de un Servicio de Correo Electrónico

Definición de términos

Es importante definir una serie de sencillos conceptos a la hora de intentar definir un modelo de encaminamiento de correo electrónico en un Organización.

  • Encaminamiento directo. Es el que permite que cualquiera de los servidores de correo locales establezcan contacto con las máquinas remotas, responsables del buzón destino.

  • Encaminamiento indirecto. Es el que utilizan máquinas intermedias como almacenes para el reenvio, para lo cual debe de existir cierta consistencia de la topología.

  • Estafeta (MTA o servidor de correo). Es una máquina configurada de tal forma que sea capaz de ofrecer servicio de correo al espacio de direcciones de las que es responsable. Ejemplo: sendmail, PMDF etc.

  • Cliente de correo (UA o Agente de Usuario). Es el paquete de software que interactua con la Estafeta y ayuda al usuario a gestionar el correo electrónico. Ejemplo: Eudora, Communicator etc.

Modelo propuesto

El modelo que se propone, Figura 3., es un modelo basado en encaminamiento indirecto que dará lugar a una topología centralizada en un Servicio de correo electrónico. El elemento clave que articula todo el Servicio es la Estafeta Central de correo a través de la cual deberá encaminarse todo el correo entrante y saliente. Esta Estafeta será el motor de una estructura jerárquica de servidores (Nivel 2, Nivel 3 etc) que configurarán completamente el mapa de encaminamiento de un Servicio de Correo Electrónico.

En ciertas circustancias, este modelo puede ser flexibe e implementar cierto de grado de encaminamiento directo. Esta opción debe ser coordinada por el equipo de personas responsable del Servicio. Se deberá evitar la aparición de servidores de correo con encaminamiento directo en centros, departamentos, delegaciones etc pertenecientes a la propia organización que ofrece el Servicio. Esta situación produciría un incremento de ÓislasÓ que desvirtuarían y degradarían el Servicio.

El mapa topológico de Estafetas secundarias (Nivel 2) deberá ser un reflejo de la estructura física de la Intranet de la organización. Es decir, cada red de área local deberá de tener un servidor de correo de Nivel 2 que ofreciera servicio a sus usuarios .Estas Estafetas secundarias estarán configuradas de tal forma para que trabaje de forma cooperativa con la Estafeta central.

Evidentemente este modelo centralizado supone un grado superior de recursos y por lo tanto, estará condicionado por parámetros como disponibilidad del personal, máquinas etc. Si por cualquier motivo no es posible una estructura centralizada es muy aconsejable que los responsables del Servicio supervisen y aprueben las configuraciones de servidores de correo locales para una mejor gestión.

La Estafeta Central, como tal, no interviene en la distribución de correo electrónico intradominio.

Nota impotante: Es imprescindible para el correcto desarrollo de un Servicio de Correo Electrónico disponer de una Estafeta Central de repuesto (backup) interna para el caso en que no esté operativa por muy diversos motivos (fallos del sistema, alimentacón, red, ataques etc). Esta máquina de repuesto debe de estar siempre preparada, configurada y actualizada para cuando necesite actuar.

Funciones de la Estafeta Central

Las dos principales funciones de una Estafeta Central deben ser:

  • Correo entrante desde Internet. Recoger todos los mensajes dirigidos al dominio de la Organización y encaminarlos hacia las Estafetas sencundarias y/o, si los hubiera, clientes de correo (UA).

  • Correo saliente hacia Internet. Habria dos posibilidades:

    1. Estafetas secundarias con encaminamiento indirecto (opción deseable). Estos servidores estarán configurados para que todo el correo exterior sea encaminado a través de la Estafeta Central.

    2. Estafetas secundarias con encaminamiento directo (opción no deseable).

    Estos servidores de nivel 2, estarán configurados para poder encaminar el correo exterior usando directamente los registros de tipo MX del DNS y establecer una conexión directa con la Estafeta destino.

    Evidentemente y para optimizar recursos, una Estafeta central o secundaria no sólo tiene que ser dedicada en exclusividad a una labor de encaminamiento. Una Estafeta deberá de usarse para ofrecer servicio a los usuarios locales mas cercanos.

    Si existen direcciones del tipo nombre.apellido@organizacion.es (sin subdominio) es la Estafeta principal la encargada de resolverlas localmente, bien por medio de cuentas locales o por otros mecanismos.

    Todo el correo intradominio es enviado por la Estafeta Central a las secundarias sin tener en cuenta el manejador asignado (MX) en Domain Name System (DNS).


Ventajas de una topología centralizada

Partiendo de una Estafeta central perfectamente configurada, diseñada, gestionada y dimensionada, podemos ennumerar las siguientes ventajas de una estructura centralizada para un Servico de correo electrónico local.

  • Centrar recursos humanos y técnicos en una sola máquina que permita configurarla y gestionarla de forma óptima para tenerla siempre operativa.

    Este apartado es especialmente importante para proteger la máquina contra todo tipo de ataques de seguridad a través del correo, como los descritos en el Apartado 1.

  • Mejorar la fiabilidad de entrega del correo destinado a usuarios locales (desde Internet) y externos (hacia Internet) al ser una máquina de alta disponibilidad.

  • Mejorar la gestión de cara al usuario. Habría un único punto informativo, que facilitaría al usuario las solicitudes de consejo y ayuda sobre el Servicio de correo electrónico.

    Este tipo de gestión al usuario puede estar distribuido entre los responsables de las Estafetas secundarias. Pero siempre manteniendo unas directrices de coordinación, con objeto de ofrecer un Servicio homogéneo. De igual forma la imagen de servicio desde el exterior seria mas elegante y operativa.

  • Simplificar la gestión de las máquinas servidores de correo al implementar configuraciones semejantes, conocidas y por tanto controladas.

Servicio de operación

Un Servicio de correo centralizado necesita una serie de requisitos mínimos para su correcto mantenimiento, entre los que podemos destacar.

  • Equipo humano de gestión del servicio. Responsable de la estafeta central y de la coordinación de la gestión de otros servidores de correo secundarios repartidos a lo largo de la toda la organización.

    Este equipo de gestión debe de estar accesible a través de un buzón universal:

    postmaster@organizacion.es

    el cual debe de ser atendido de forma frecuente, pues es a través de él donde los usuarios internos y externos podrán canalizar sus dudas y/o propuestas. Es aconsejable que este buzón vaya acompañado de un teléfono de contacto y fax.

  • La máquina responsable del servicio deberá de estar operativa 24 horas al dia 365 dias al año, exceptuando las habituales operaciones de mantenimiento que deberían de interumpir mínimamente el propio servicio.

  • Se dispondrá de un servidor de reserva para el caso que la principal tuviera algun tipo de problemas. Esta máquina deberá de estar en perfecto estado de operación y configuración.

  • Servicio de Domain Name System (DNS). Para el correcto funcionamiento del servicio es importante un estrecha coordinación con los responsables del DNS, fundamentalmente en los registros de tipo MX, donde los responsables del correo deberían dictar de forma estricta este tipo de registros.

Implementación de una topología centralizada

Nivel de red
Para recoger beneficios con la implantación de una topología centralizada es necesario la utilización de medidas expeditivas como es el filtro del puerto 25 en el conmutador que da acceso a Internet.

El filtro en el puerto 25 define una política de correo centralizada, pues permite que sólo la máquina que realiza las labores de Estafeta Central y la máquina de reserva, si la hubiera, sean accesibles desde Internet a través del puerto 25 responsable del protocolo de tranferencia de correo electrónico (SMTP). Es decir ninguna máquina servidora de correo de la organización debería de poder recibir correo directo desde Internet.

De la misma forma este filtro, debe de impedir que las máquinas locales puedan enviar correo directamente via SMTP. Se debe el encaminamiento de datagramas originados o destinados a máquinas diferentes de la Estafeta. Con este mecanismo lo que en verdad se está implementando, es lo que en Internet se denomina firewall o cortafuergos. Se ha comentado anteriormente la gran utilidad de este filtro para la implementación de mecanismos de seguridad. Esto permitirá concentrar todos los recuros humanos y técnicos en hacer de la Estafeta central la máquina mas segura de la red local.

Nivel DNS
El DNS o Domain Name System es el núcleo de todas las aplicaciones de Internet. Es el sistema empleado en la Red para poder asignar y usar de forma universal nombres unívocos para referirse a los equipos conectados a la red. De esta forma, tanto los usuarios humanos como las aplicaciones pueden emplear nombres de DNS en lugar de direcciones numéricas de red IP.

De todos los tipos de registros de DNS el que más nos interesa son los de tipo MX (Mail eXchange) que es el va a indicar cual es la Estafeta responsable de un determinado buzón. Los registros de tipo MX deben de ser definidos por los responsables del Servicio de Correo y se debe de seguir la siguiente política:

"Se ha de definir un registro de tipo MX para cada una de las máquinas susceptibles de recibir correo electrónico (Estafetas de correo)"

Para reflejar lo topología centralizada del Servicio de correo electrónico es necesario:

  • Definir un único registro de tipo MX de prioridad máxima y otro de prioridad menor (estafeta de reserva) para cada una de las direcciones del espacio de direccionamiento definido por la organización.

  • Definir un registro de tipo MX para el acrónimo de la organización, aunque sólo sea para dar cobertura a la dirección postmaster@ogz.es.

  • En el caso de alias de máquinas implementar registros de tipo A antes que de tipo CNAME.

Ejemplo
Partimos de los siguientes datos:

  • Una organización hipotética con el acrónimo ogz en el dominio es.

  • La dirección de la Estafeta es: mail.ogz.es

  • La dirección de la Estafeta de reserva es: bib.ogz.es.

  • Un departamento con un espacio de direcciones: nombre.apellido@bib.ogz.es.

  • Este departamento tiene un servidor de correo con el nombre de máquina cervantes (Estafeta secundaria) con la dirección: bib.ogz.es.

La configuración del DNS sería:


  ogz.es		IN	MX	10	mail.ogz.es
  ogz.es		IN	MX	20 	bib.ogz.es

  bib.ogz.es		IN	MX	10	mail.ogz.es
  bib.ogz.es		IN	MX	20	bib.ogz.es
  cervantes.ogz.es	IN	A	 	148.195.290.2
Importante: No deben de implementarse registros del estilo:

*.ogz.es	IN	MX	10	mail.ogz.es
pues sólo se deben de reflejar direcciones susceptibles de recibir de correo. Estas entradas invalidades en el caso de existir registros de tipo Address (A) intentando establecerse conexiones a través del puerto 25.
webbered
Actualizado el 23/02/2001
RedIRIS © 1994-2007
 ^