Arquitectura del servicio de correo electrónico de la UMH

El servicio de correo de la Universidad Miguel Hernández dispone de un único punto de entrada y salida desde el cual se redirigen los correos a los distintos servidores que mantienen los buzones de los usuarios.

Para esto, el uso del protocolo SMTP (puerto 25) esta limitado entre el interior y el exterior de la organización y en ambas direcciones. Solamente las máquinas que actúan como estafetas de primer nivel (relays) están autorizadas a establecer canales SMTP con el exterior. Ninguna otra máquina de la red interna puede establecer una conexión SMTP con un equipo externo. Ningún sistema externo puede contactar vía SMTP con ningún sistema de la intranet, excepto las máquinas que actúan de relays.

En un segundo nivel estan las estafetas de correo que gestionan los buzones de los usuarios.

Para facilitar la movilidad de los usuarios queda disponible el uso del puerto 587 (submission) entre el interior y el exterior de la organización.

En el siguiente esquema podemos ver el diseño del servicio de correo de la Universidad Miguel Hernández, pudiendo ver el camino recorrido por un correo hasta alcanzar el buzon del usuario:

El correo entrante pasa por el filtro antivirus y antispam, está basado en un cluster de dos equipos Fortinet, una vez pasados estos chequeos pasan a la estafeta de primer nivel, en la que se efectuan los siguientes chequeos:

  • Control de acceso: Este control permite el envio de correo, desde una maquina externa, a usuarios del dominio de la Universidad Miguel Hernández, y a usuarios externos a ésta siempre que se esté autentificado.
  • Control de correo no deseado: Los mecanismos usados en la estafeta para combatir el spam son los siguientes:
    • El primer filtro esta formado por postgrey, el cual implementa un mecanismo de listas grises, en virtud del cual la estafeta remota debe cumplir la RFC821 si desea enviar correos a la Universidad Miguel Hernández.
    • Cuando el correo remoto cumple el RFC821 se comprueba que no esté listado en ninguna lista negra (RBL). Las listas negras se alimentan de las denuncias que tramitan los usuarios finales, aqui disponeis de las listas negras utilizadas por la UMH: spamhausspamcop.
    • A parte de las listas negras y grises se aplican una serie de filtros al cuerpo del mensaje basados en patrones.
    • Comprobacion mediante el uso del protocolo SPF.

Una vez pasados todos estos chequeos el correo es redrigido a las estafetas de segundo nivel, que son las encargadas de almacenar el correo en sus respectivos buzones. La Universidad Miguel Hernández dispone de varias estafetas de segundo nivel para la gestión del correo institucional, más algunas estafetas departamentales que siguen en uso por razones históricas.

Esta arquitectura centralizada permite la definición de políticas coherentes sobre el servicio de correo, protege los servidores internos y evita el uso fraudulento de la infraestructura universitaria por parte de terceros (open-relay, zombies, etc). Este sistema de protección es la garantía para evitar que la Universidad Miguel Hernández se vea afectada por filtros basados en listas de reputación (listas negras), y que organizaciones que las utilizan rechacen nuestros correos.

El acceso a los buzones mediante protocolos POP3 e IMAP esta permitido desde cualquier punto de Internet, aconsejando por razones de seguridad el uso de clientes capaces de utilizar el protocolo de cifrado TLS/SSL.

El servicio de correo dispone de las siguientes direcciones de contacto:

  • postmaster@umh.es : Administrador del servicio de correo de la UMH
  • abuse@umh.es : Para dirigir consultas y quejas sobre incidentes originados en la UMH

POLÍTICA DE FILTRADO DE SPAM Y VIRUS

La Universidad Miguel Hernández dispone de un sistema antivirus/antispam que combina distintos métodos para su detección y eliminación.

Todos los mensajes entrantes y salientes de la Universidad Miguel Hernández son pasados por el filtro antivirus, en caso de detección, el mensaje será desechado. En caso de ser detectado como spam, el mensaje sera etiquetado en el asunto del mensaje con “posible correo no deseado”. El trafico de salida se analiza igualmente para evitar enviar spam hacia el exterior.

Los objetivos principales del sistema son:

  • Evitar o dificultar la infección de equipos de la Universidad por virus propagados por correo electrónico.
  • Evitar que equipos de la Universidad envíen mensajes con virus hacia otros equipos de dentro o fuera de la propia Universidad.
  • Localizar equipos internos infectados y avisar a sus propietarios.
  • Evitar que equipos de la Universidad se utilicen para hacer envíos masivos de spam
  • Limitar el correo basura recibido por nuestros usuarios y facilitar las tareas de clasificación y rechazo de estos mensajes.
  • Preservar el buen nombre de la institución, evitando los incidentes que impliquen a usuarios o equipos de la Universidad.