{"id":18969,"date":"2026-04-12T15:05:59","date_gmt":"2026-04-12T13:05:59","guid":{"rendered":"https:\/\/webhosting.de\/blog-mailserver-tls-konfiguration-cipher-auswahl-optimierung-server\/"},"modified":"2026-04-12T15:05:59","modified_gmt":"2026-04-12T13:05:59","slug":"blog-servidor-de-correo-configuracion-tls-seleccion-de-cifrado-optimizacion-servidor","status":"publish","type":"post","link":"https:\/\/webhosting.de\/es\/blog-mailserver-tls-konfiguration-cipher-auswahl-optimierung-server\/","title":{"rendered":"Configuraci\u00f3n TLS del servidor de correo y selecci\u00f3n de cifrado: Gu\u00eda definitiva"},"content":{"rendered":"<p>Te mostrar\u00e9 c\u00f3mo <strong>Servidor de correo TLS<\/strong> en Postfix y seleccionar fuertes suites de cifrado para que las conexiones SMTP est\u00e9n siempre protegidas. Bas\u00e1ndome en par\u00e1metros probados y comprobados para TLS 1.2\/1.3, DANE, MTA-STS y pares de claves modernos, le guiar\u00e9 paso a paso a trav\u00e9s de la configuraci\u00f3n, las pruebas y la puesta a punto para que su <strong>seguridad del correo<\/strong> se agarra limpiamente.<\/p>\n\n<h2>Puntos centrales<\/h2>\n\n<ul>\n  <li><strong>Postfix<\/strong> Configure de forma segura: Activar TLS, restringir protocolos, configurar el registro.<\/li>\n  <li><strong>Cifrado<\/strong> priorizar: ECDHE + GCM\/CHACHA20, aplicar PFS, bloquear los datos heredados.<\/li>\n  <li><strong>Certificados<\/strong> mantener limpio: RSA+ECDSA, cadena completa, curvas fuertes.<\/li>\n  <li><strong>DANE\/MTA-STS<\/strong> utilizar: Directrices de anclaje y reducci\u00f3n de los riesgos de rebaja.<\/li>\n  <li><strong>Pruebas<\/strong> y supervisi\u00f3n: compruebe regularmente OpenSSL, el esc\u00e1ner TLS y los registros MTA.<\/li>\n<\/ul>\n\n\n<figure class=\"wp-block-image size-full is-resized\">\n  <img fetchpriority=\"high\" decoding=\"async\" src=\"https:\/\/webhosting.de\/wp-content\/uploads\/2026\/04\/mailserver-konfiguration-4721.png\" alt=\"\" width=\"1536\" height=\"1024\"\/>\n<\/figure>\n\n\n<h2>SMTP mediante TLS: lo que est\u00e1 realmente protegido<\/h2>\n\n<p>Aseguro SMTP con <strong>STARTTLS<\/strong>, para que el transporte del correo electr\u00f3nico no se realice en texto plano. TLS oportunista mediante <strong>smtpd_tls_security_level = may<\/strong> garantiza que las conexiones entrantes utilicen el cifrado en cuanto la estaci\u00f3n remota lo ofrezca. Para las salientes, utilizo <strong>smtp_tls_security_level = dane<\/strong> Comprobaciones de pol\u00edticas compatibles con DNSSEC para dificultar los ataques de downgrade. Sin TLS, los correos electr\u00f3nicos podr\u00edan ser le\u00eddos y manipulados en tr\u00e1nsito, lo que resulta especialmente peligroso para formularios, pedidos o datos de cuentas. Con TLS activo en todo momento, reduzco significativamente el riesgo de escuchas y MITM, y consigo mejores tasas de entrega porque los grandes proveedores valoran favorablemente las conexiones seguras.<\/p>\n\n<h2>Claves, certificados y protocolos en Postfix<\/h2>\n\n<p>Tengo dos certificados preparados: uno <strong>RSA<\/strong>-certificado y un certificado ECDSA para que los MTA antiguos y nuevos est\u00e9n conectados de forma \u00f3ptima. Configuro las rutas en Postfix claramente, por ejemplo <strong>smtpd_tls_cert_file<\/strong> para RSA y <strong>smtpd_tls_archivo_eccert<\/strong> para ECDSA, cada uno con una clave coincidente. Para una autenticaci\u00f3n limpia, presto atenci\u00f3n a la cadena completa, un CN\/SAN que coincida exactamente con el host, y una curva como <strong>secp384r1<\/strong> para la clave ECDSA. Desactivo estrictamente los protocolos m\u00e1s antiguos, es decir, SSLv2 y SSLv3, para evitar que se fuercen las actualizaciones. Si est\u00e1 sopesando el tipo de certificado, un vistazo r\u00e1pido a <a href=\"https:\/\/webhosting.de\/es\/tls-certificates-dv-ov-ev-hosting-comparacion-de-seguridad\/\">DV, OV o EV<\/a>, para que elijas el nivel de confianza adecuado.<\/p>\n\n\n<figure class=\"wp-block-image size-full is-resized\">\n  <img decoding=\"async\" src=\"https:\/\/webhosting.de\/wp-content\/uploads\/2026\/04\/tls_configuration_guide_4928.png\" alt=\"\" width=\"1536\" height=\"1024\"\/>\n<\/figure>\n\n\n<h2>Selecci\u00f3n de cifrado: Prioridades para TLS 1.2\/1.3<\/h2>\n\n<p>Doy prioridad a las suites de cifrado con <strong>PFS<\/strong>, es decir, ECDHE antes que DHE, y utilizar GCM o CHACHA20-POLY1305. Bajo TLS 1.3, la pila te libera de muchos problemas heredados, mientras que TLS 1.2 todav\u00eda requiere una lista clara. Las suites inseguras o d\u00e9biles como <strong>RC4<\/strong>, Borro 3DES, CAMELLIA, aNULL, eNULL. Para Postfix utilizo <strong>smtpd_tls_ciphers = alto<\/strong> y una restrictiva <em>tls_high_cipherlist<\/em>, para que no se cuelen algoritmos obsoletos. Si se profundiza, el <a href=\"https:\/\/webhosting.de\/es\/tls-suites-de-cifrado-alojamiento-seguridad-serverboost\/\">Gu\u00eda de suites de cifrado<\/a> una categorizaci\u00f3n f\u00e1cil de entender y sin lastres.<\/p>\n\n<table>\n  <thead>\n    <tr>\n      <th>Versi\u00f3n TLS<\/th>\n      <th>Suites de cifrado favoritas<\/th>\n      <th>Estado<\/th>\n      <th>Nota<\/th>\n    <\/tr>\n  <\/thead>\n  <tbody>\n    <tr>\n      <td><strong>TLS 1.3<\/strong><\/td>\n      <td>TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256, TLS_AES_128_GCM_SHA256<\/td>\n      <td>activo<\/td>\n      <td>Selecci\u00f3n firmemente en el protocolo, no m\u00e1s problemas de legado.<\/td>\n    <\/tr>\n    <tr>\n      <td><strong>TLS 1.2<\/strong><\/td>\n      <td>ECDHE-ECDSA-AES256-GCM-SHA384, ECDHE-RSA-AES256-GCM-SHA384, ECDHE-ECDSA-CHACHA20-POLY1305<\/td>\n      <td>activo<\/td>\n      <td>Dar prioridad al SFP, preferir GCM\/CHACHA.<\/td>\n    <\/tr>\n    <tr>\n      <td><strong>Obsoleto<\/strong><\/td>\n      <td>RC4, 3DES, CAMELLIA, AES128-SHA, aNULL\/eNULL<\/td>\n      <td>bloqueado<\/td>\n      <td>Desactivar completamente por razones de seguridad.<\/td>\n    <\/tr>\n  <\/tbody>\n<\/table>\n\n<h2>Postfix: par\u00e1metros concretos para main.cf<\/h2>\n\n<p>Establezco una configuraci\u00f3n clara para que el MTA hable con seguridad tanto de entrada como de salida. Para ECDH ef\u00edmero, utilizo <strong>smtpd_tls_eecdh_grade<\/strong> y desactivo la compresi\u00f3n para evitar ataques tipo CRIME. Un archivo DH fuerte con 4096 bits evita negociaciones DHE d\u00e9biles. Pongo duras restricciones a los protocolos e impongo una alta calidad de cifrado, favoreciendo TLS 1.3. Al principio, un nivel de registro moderado me ayuda a comprobar los handshakes sin inundar el diario.<\/p>\n\n<pre><code># Activaci\u00f3n y pol\u00edtica\nsmtpd_tls_security_level = may\nsmtp_tls_security_level = dane\n\nCertificados # (rutas de ejemplo)\nsmtpd_tls_cert_file = \/etc\/ssl\/certs\/mail.ejemplo.de.cer\nsmtpd_tls_key_file = \/etc\/ssl\/private\/mail.example.de.key\nsmtpd_tls_eccert_file = \/etc\/ssl\/certs\/mail.ejemplo.de_ecc.cer\nsmtpd_tls_eckey_file = \/etc\/ssl\/private\/mail.example.de_ecc.key\n\nProtocolos y cifrados #\nsmtpd_tls_protocols = !SSLv2, !SSLv3\nsmtpd_tls_mandatory_protocols = !SSLv2, !SSLv3\nsmtpd_tls_ciphers = alto\ntls_high_cipherlist = !aNULL:!eNULL:!RC4:!3DES:!CAMELLIA:HIGH:@STRENGTH\ntls_ssl_options = NO_COMPRESSION\nsmtpd_tls_eecdh_grade = ultra\n\nPar\u00e1metros DH #\nsmtpd_tls_dh1024_param_file = \/etc\/postfix\/dh_4096.pem\n\n# DNSSEC\/DANE (si est\u00e1 disponible)\nsmtp_dns_support_level = dnssec\n\n# Registro\nsmtpd_tls_loglevel = 1\n<\/code><\/pre>\n\n<p>Mantengo la cadena de certificados completa, presto atenci\u00f3n a los derechos correctos para <strong>privado<\/strong> y compruebo los registros despu\u00e9s de la recarga. Si se requiere TLS 1.2 para socios heredados, me atengo estrictamente a GCM\/CHACHA y bloqueo todo lo dem\u00e1s. Para TLS 1.3, conf\u00edo en los est\u00e1ndares de la pila y evito las rutas especiales que dificultan el mantenimiento. El engrapado OCSP s\u00f3lo desempe\u00f1a un papel con SMTP si un proxy aguas arriba lo proporciona, por lo que s\u00f3lo lo compruebo para las configuraciones correspondientes. Despu\u00e9s de cada cambio, hago una validaci\u00f3n con OpenSSL para reconocer los efectos secundarios desde el principio y asegurarme de que la versi\u00f3n <strong>encriptaci\u00f3n del correo electr\u00f3nico<\/strong> consistentemente.<\/p>\n\n\n<figure class=\"wp-block-image size-full is-resized\">\n  <img decoding=\"async\" src=\"https:\/\/webhosting.de\/wp-content\/uploads\/2026\/04\/mailserver-tls-guide-cipher-tips-6954.png\" alt=\"\" width=\"1536\" height=\"1024\"\/>\n<\/figure>\n\n\n<h2>Autenticidad del transporte con DANE, MTA-STS, SPF, DKIM y DMARC<\/h2>\n\n<p>Combino TLS con <strong>DANE<\/strong>, publicando registros TLSA firmados bajo DNSSEC. Adem\u00e1s, configuro MTA-STS para que los pares remotos sepan que mi host requiere TLS y a qu\u00e9 MX deben adherirse. Para la vinculaci\u00f3n de identidades, firmo los correos salientes con <strong>DKIM<\/strong> y entrega segura de dominios mediante reglas SPF. Por \u00faltimo, DMARC define c\u00f3mo deben tratar los destinatarios las desviaciones, lo que hace mucho m\u00e1s dif\u00edcil la suplantaci\u00f3n de identidad. Estos componentes funcionan conjuntamente: TLS protege el transporte, mientras que la autenticaci\u00f3n refuerza al remitente y aumenta notablemente la tasa de entrega.<\/p>\n\n<p>Si el rendimiento es un cuello de botella, optimizo la reanudaci\u00f3n de la sesi\u00f3n, las caracter\u00edsticas del hardware y el propio apret\u00f3n de manos. Puedes iniciarte en los trucos pr\u00e1cticos con <a href=\"https:\/\/webhosting.de\/es\/optimizar-el-rendimiento-del-protocolo-de-enlace-tls-con-quicboost\/\">El apret\u00f3n de manos TLS es m\u00e1s r\u00e1pido<\/a>, para reducir la latencia al establecer una conexi\u00f3n. Importante: Mantengo el equilibrio entre la selecci\u00f3n de cifrado y la reanudaci\u00f3n, porque los compromisos d\u00e9biles no compensan en t\u00e9rminos de seguridad. La negociaci\u00f3n r\u00e1pida de TLS aporta ahorros significativos, especialmente con grandes vol\u00famenes de correo. De este modo <strong>Rendimiento<\/strong> y seguridad en equilibrio.<\/p>\n\n<h2>Pruebas, control y auditor\u00edas<\/h2>\n\n<p>Compruebo los apretones de manos localmente con <strong>openssl<\/strong> y comprueba la versi\u00f3n del protocolo, el cifrado y la cadena del certificado. El comando <em>openssl s_client -connect mail.ejemplo.de:25 -starttls smtp<\/em> me muestra en directo lo que est\u00e1 negociando el servidor remoto. Despu\u00e9s de los cambios de configuraci\u00f3n, utilizo <em>comprobaci\u00f3n postfix<\/em> y examinar espec\u00edficamente <strong>smtpd_tls_loglevel<\/strong>, para aislar patrones de error. Los esc\u00e1neres TLS externos ayudan a categorizar la visibilidad p\u00fablica, especialmente tras los cambios de certificado. Un ciclo de auditor\u00eda regular protege contra el deterioro progresivo, por ejemplo si un cambio de biblioteca afecta a las prioridades de cifrado.<\/p>\n\n\n<figure class=\"wp-block-image size-full is-resized\">\n  <img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/webhosting.de\/wp-content\/uploads\/2026\/04\/mailserver_tls_guide_nacht_4523.png\" alt=\"\" width=\"1536\" height=\"1024\"\/>\n<\/figure>\n\n\n<h2>Frecuentes errores de configuraci\u00f3n y soluciones r\u00e1pidas<\/h2>\n\n<p>A menudo veo cifrados anticuados como <strong>AES128-SHA<\/strong>, que siguen activos y evitan el PFS. Aqu\u00ed ayuda una cadena de cifrado estricta y el bloqueo claro de LOW\/MD5\/RC4\/3DES. Segundo patr\u00f3n: faltan certificados intermedios, lo que impide que las estaciones remotas verifiquen la cadena; a\u00f1ado el archivo bundle y vuelvo a probar. En dispositivos como Synology, establezco el perfil TLS en moderno y elimino las opciones heredadas para que el servidor SMTP hable en moderno. En el caso de Microsoft Exchange, compruebo espec\u00edficamente las pol\u00edticas TLS 1.2\/1.3, la asignaci\u00f3n de certificados por conector y cualquier anulaci\u00f3n de cifrado en la configuraci\u00f3n del host para que el <strong>Apret\u00f3n de manos<\/strong>-la selecci\u00f3n es correcta.<\/p>\n\n<h2>Vista previa: TLS 1.3, 0-RTT y Post-Quantum<\/h2>\n\n<p>Prefiero TLS 1.3 porque el apret\u00f3n de manos es m\u00e1s corto y se omiten las opciones antiguas, lo que reduce las superficies de ataque. La selecci\u00f3n de la <strong>cifrado<\/strong> No utilizo 0-RTT en el contexto SMTP, ya que los ataques de repetici\u00f3n conllevan riesgos innecesarios. De cara al futuro, no pierdo de vista los procedimientos h\u00edbridos poscu\u00e1nticos, que podr\u00edan abrirse camino en el entorno del correo tan pronto como maduren la normalizaci\u00f3n y el soporte. Sigue siendo importante que configure las pol\u00edticas y la supervisi\u00f3n de forma que los nuevos procedimientos puedan integrarse m\u00e1s adelante sin interrupciones.<\/p>\n\n\n<figure class=\"wp-block-image size-full is-resized\">\n  <img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/webhosting.de\/wp-content\/uploads\/2026\/04\/mailserver_tls_guide_7492.png\" alt=\"\" width=\"1536\" height=\"1024\"\/>\n<\/figure>\n\n\n<h2>Rendimiento y tasa de entrega de un vistazo<\/h2>\n\n<p>Mido el <strong>Latencia<\/strong> del apret\u00f3n de manos TLS y optimizar las cach\u00e9s para permitir su reutilizaci\u00f3n. La reanudaci\u00f3n de sesi\u00f3n (tickets\/IDs) reduce la carga computacional y acelera las conexiones recurrentes entre MTAs. Para la revocaci\u00f3n de certificados, conf\u00edo en la informaci\u00f3n apilable en el proxy ascendente, si est\u00e1 disponible, para ahorrar accesos adicionales. Los grandes destinatarios valoran favorablemente los transportes seguros, lo que aumenta la tasa de entrega, mientras que las rutas inseguras aumentan el riesgo de spam y rechazo. Con una pol\u00edtica TLS clara, entradas DNS s\u00f3lidas y una cadena de firmas limpia, creo una base fiable para <strong>Entregabilidad<\/strong>.<\/p>\n\n<h2>Mi programa de instalaci\u00f3n<\/h2>\n\n<p>Empiezo obteniendo el certificado de una CA de confianza, genero ECDSA y RSA y almaceno ambos limpiamente en el host. Luego personalizo el <strong>main.cf<\/strong> con los par\u00e1metros TLS, establecer cifrados fuertes y desactivar protocolos antiguos. Se a\u00f1ade un archivo DH nuevo con 4096 bits, seguido de una recarga y las primeras comprobaciones de OpenSSL. A continuaci\u00f3n, configuro DANE, a\u00f1ado MTA-STS y verifico la validez de SPF\/DKIM\/DMARC. Por \u00faltimo, ejecuto pruebas contra objetivos externos, compruebo los registros durante el funcionamiento y programo auditor\u00edas peri\u00f3dicas para que el <strong>Configuraci\u00f3n<\/strong> sigue siendo seguro a largo plazo.<\/p>\n\n\n<figure class=\"wp-block-image size-full is-resized\">\n  <img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/webhosting.de\/wp-content\/uploads\/2026\/04\/tls-einstellungen-leitfaden-8421.png\" alt=\"\" width=\"1536\" height=\"1024\"\/>\n<\/figure>\n\n\n<h2>M\u00f3dulos que faltan: Presentaci\u00f3n, SMTPS y SNI<\/h2>\n\n<p>No s\u00f3lo protejo el puerto 25, sino tambi\u00e9n el de env\u00edo (587) y, opcionalmente, el SMTPS (465). En el caso del env\u00edo, aplico el cifrado y la autenticaci\u00f3n para que las contrase\u00f1as de los usuarios nunca se env\u00eden en texto plano. En <em>master.cf<\/em> Activo los servicios y establezco anulaciones espec\u00edficas:<\/p>\n\n<pre><code>Env\u00edo # (puerto 587) con STARTTLS y obligaci\u00f3n de autenticaci\u00f3n\nsubmission inet n - y - - smtpd\n  -o syslog_name=postfix\/submission\n  -o smtpd_tls_security_level=encriptar\n  -o smtpd_tls_auth_only=yes\n  -smtpd_sasl_auth_enable=yes\n  -o milter_macro_daemon_name=ORIGINATING\n\n# SMTPS (puerto 465) como modo wrapper, si es necesario\nsmtps inet n - y - - smtpd\n  -o syslog_name=postfix\/smtps\n  -o smtpd_tls_wrappermode=yes\n  -o smtpd_sasl_auth_enable=yes\n  -o milter_macro_daemon_name=ORIGINATING\n<\/code><\/pre>\n\n<p>Si doy servicio a varios dominios de correo en un mismo host con mis propios certificados, utilizo <strong>SNI<\/strong>. Utilizo un mapa SNI para asignar la ruta de certificado adecuada para cada host de destino y garantizar que los clientes MUA tambi\u00e9n vean el certificado correcto. As\u00ed es como garantizo la separaci\u00f3n de clientes con una identidad TLS coherente.<\/p>\n\n<h2>Pol\u00edticas por dominio: control detallado<\/h2>\n\n<p>Adem\u00e1s de la pol\u00edtica global, tambi\u00e9n gestiono <strong>smtp_tls_policy_maps<\/strong> Excepciones y endurecimiento por dominio de destinatario. Esto me permite migrar gradualmente a los socios heredados o aplicar requisitos especialmente estrictos a objetivos sensibles.<\/p>\n\n<pre><code># main.cf\nsmtp_tls_policy_maps = hash:\/etc\/postfix\/tls_policy\n\n# \/etc\/postfix\/tls_policy (entradas de ejemplo)\nejemplo.org s\u00f3lo-dane\nlegacy.example.net may\nsecure.ejemplo.com secure\n<\/code><\/pre>\n\n<p><em>s\u00f3lo para daneses<\/em> refuerza la protecci\u00f3n DANE sin dependencia de CA, <em>seguro<\/em> requiere una cadena CA v\u00e1lida y rechaza la entrega de texto plano, <em>mayo<\/em> sigue siendo oportunista. Despu\u00e9s de los cambios, construyo el mapa con <em>postmap<\/em> y recargar Postfix.<\/p>\n\n<h2>DANE y MTA-STS: aplicaci\u00f3n concreta<\/h2>\n\n<p>Para <strong>DANE<\/strong> Publico registros TLSA bajo DNSSEC. Prefiero utilizar DANE-EE (3 1 1) porque permite fijar la clave p\u00fablica y facilita los cambios de certificado con la misma clave. Un ejemplo de registro TLSA bajo <em>_25._tcp.mail.example.de<\/em> se ve as\u00ed:<\/p>\n\n<pre><code>_25._tcp.mail.example.de. IN TLSA 3 1 1\n<\/code><\/pre>\n\n<p>Genero el hash a partir del certificado ECDSA o RSA y me aseguro de rotarlo antes de que caduque. Es importante que la zona DNS est\u00e9 firmada y que la cadena de delegaciones est\u00e9 validada sin lagunas.<\/p>\n\n<p>Para <strong>MTA-STS<\/strong> Alojo el archivo de pol\u00edtica a trav\u00e9s de HTTPS y a\u00f1ado la entrada DNS TXT. De esta forma, especifico que los pares remotos hablan TLS y s\u00f3lo se aceptan con un MX definido. Un archivo de pol\u00edticas minimalista:<\/p>\n\n<pre><code>versi\u00f3n: STSv1\nmodo: enforce\nmx: mail.ejemplo.de\nmax_age: 604800\n<\/code><\/pre>\n\n<p>Se a\u00f1ade una entrada TXT en el DNS bajo <em>_mta-sts.example.de<\/em> con la versi\u00f3n actual. Opcionalmente configuro <em>TLS-RPT<\/em> a trav\u00e9s de TXT en <em>_smtp._tls.ejemplo.de<\/em> para recibir informes sobre infracciones de las pol\u00edticas. Esta telemetr\u00eda me ayuda a reconocer fallos, rebajas y certificados defectuosos en una fase temprana.<\/p>\n\n<h2>Protocolos m\u00e1s estrictos, cifrado espec\u00edfico<\/h2>\n\n<p>Refuerzo los l\u00edmites de los protocolos e impongo la preferencia del servidor. TLS 1.0\/1.1 son prescindibles hoy en d\u00eda; s\u00f3lo permito TLS 1.2 y 1.3 en profundidad y de forma saliente. Para TLS 1.2, defino una lista positiva expl\u00edcita para excluir las existencias mixtas de cifrados antiguos:<\/p>\n\n<pre><code># Endurecimiento adicional (main.cf)\nsmtpd_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1\nsmtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1\nsmtp_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1\nsmtp_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1\n\n# Lista expl\u00edcita de cifrado TLS 1.2 (s\u00f3lo PFS + AEAD)\ntls_high_cipherlist = ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:!aNULL:!eNULL:!MD5:!RC4:!3DES:!CAMELLIA\n\n# Utilizar preferencia de servidor\ntls_preempt_cipherlist = yes\n<\/code><\/pre>\n\n<p>Me aseguro de que ECDHE es el preferido y DHE es s\u00f3lo una alternativa. Mantengo mi archivo DH actualizado; bajo TLS 1.3 no juega ning\u00fan papel, pero sigue siendo \u00fatil para acciones DHE raras.<\/p>\n\n<h2>Reanudaci\u00f3n de sesi\u00f3n y cach\u00e9s<\/h2>\n\n<p>Para acelerar las cosas, activo cach\u00e9s de sesi\u00f3n para el cliente y el servidor para que las reconexiones sean m\u00e1s favorables. La carga de la CPU y la latencia se reducen notablemente, sobre todo con un alto rendimiento del correo:<\/p>\n\n<pre><code># Cach\u00e9 de sesi\u00f3n (main.cf)\nsmtpd_tls_session_cache_database = btree:\/var\/lib\/postfix\/smtpd_scache\nsmtp_tls_session_cache_database = btree:\/var\/lib\/postfix\/smtp_scache\nsmtp_tls_connection_reuse = yes\n<\/code><\/pre>\n\n<p>Controlo el porcentaje de aciertos en los registros y me aseguro de que ninguno sea demasiado corto. <em>ticket_lifetimes<\/em> en la biblioteca TLS para ralentizar la reanudaci\u00f3n. Importante: La reanudaci\u00f3n no debe debilitar la pol\u00edtica; me atengo a los mismos requisitos de cifrado.<\/p>\n\n<h2>Empresa certificada: Rotaci\u00f3n y mantenimiento de la cadena<\/h2>\n\n<p>Automatizo la renovaci\u00f3n y recarga del MTA para que ning\u00fan certificado caducado acabe en funcionamiento. Despu\u00e9s de cada renovaci\u00f3n, compruebo si la hoja y los certificados intermedios est\u00e1n completamente en el paquete. Para el funcionamiento dual ECDSA\/RSA, me aseguro de que ambos pares rotan antes de que un cambio masivo cause problemas a los clientes. Compruebo la ruta SNI y el env\u00edo por separado porque los MUA pueden mostrar patrones de error diferentes a los de los MTA.<\/p>\n\n<h2>Profundizar en el registro y el diagn\u00f3stico<\/h2>\n\n<p>Aumento temporalmente la profundidad del registro cuando se produce un problema y utilizo herramientas de a bordo para comprobaciones cruzadas:<\/p>\n\n<pre><code># registro espec\u00edfico (main.cf)\nsmtp_tls_loglevel = 1\nsmtp_tls_note_starttls_offer = yes\n<\/code><\/pre>\n\n<p>Con <em>posttls-finger target.ejemplo.com<\/em> Compruebo qu\u00e9 pol\u00edtica espera un MTA remoto y qu\u00e9 cifrados\/protocolos se negocian. Utilizo <em>postconf -n | grep tls<\/em>, para ver s\u00f3lo los par\u00e1metros TLS configurados expl\u00edcitamente; de esta forma puedo encontrar m\u00e1s r\u00e1pidamente las desviaciones de los valores predeterminados. En los registros, busco t\u00e9rminos como <em>sin cifrado compartido<\/em>, <em>fallo en la verificaci\u00f3n del certificado<\/em> o <em>versi\u00f3n del protocolo<\/em>, que indican directamente desajuste de cifrado, problemas de cadena o l\u00edmites de protocolo demasiado estrictos\/demasiado laxos.<\/p>\n\n<h2>Gestionar la compatibilidad sin sacrificar la seguridad<\/h2>\n\n<p>Planifico las transiciones conscientemente: profundizo con <em>mayo<\/em>, para evitar perder correos de servidores heredados en todos los \u00e1mbitos, pero registro las entregas de texto sin formato. En cuanto al correo saliente, sigo siendo estricto (DANE\/MTA-STS\/seguro) y utilizo <em>smtp_tls_policy_maps<\/em> para casos individuales. Si los socios individuales s\u00f3lo pueden gestionar TLS 1.2 con AES-GCM, es aceptable; yo gestiono todo lo que est\u00e1 por debajo de esto mediante excepciones acordadas con un tiempo de ejecuci\u00f3n limitado, las documento y las incluyo en la planificaci\u00f3n de la migraci\u00f3n. Esto mantiene el nivel general alto sin bloquear las operaciones comerciales.<\/p>\n\n<h2>Los valores predeterminados TLS del sistema de un vistazo<\/h2>\n\n<p>Tenga en cuenta que Postfix utiliza la biblioteca TLS del sistema. Las actualizaciones de OpenSSL\/LibreSSL pueden cambiar las prioridades de cifrado y el comportamiento de TLS 1.3. Por lo tanto, despu\u00e9s de las actualizaciones del sistema, compruebo aleatoriamente los handshakes y comparo la salida de <em>postconf -n<\/em> con mis valores objetivo. Un conjunto <em>nivel_compatibilidad<\/em> en Postfix ayuda a mantener valores por defecto estables, pero yo no conf\u00edo ciegamente en \u00e9l y documento desviaciones expl\u00edcitas en main.cf\/master.cf.<\/p>\n\n<h2>Resumen breve para administradores<\/h2>\n\n<p>Me gustar\u00eda hacer hincapi\u00e9 en que los cifrados fuertes con PFS, los certificados limpios y las pol\u00edticas claras son esenciales para <strong>SMTP<\/strong> crucial. TLS 1.3 le libera de los problemas heredados, mientras que TLS 1.2 requiere una lista de cifrado disciplinada. DANE y MTA-STS endurecen la ruta de transporte, SPF\/DKIM\/DMARC aseguran la identidad y los informes. Las pruebas peri\u00f3dicas y los an\u00e1lisis de registros muestran desde el principio si un cambio tiene efectos secundarios no deseados. Con esta gu\u00eda, podr\u00e1 configurar su servidor de correo para que sea seguro, eficaz y preparado para el futuro, sin necesidad de <strong>Riesgos<\/strong>.<\/p>","protected":false},"excerpt":{"rendered":"<p>Configuraci\u00f3n TLS del servidor de correo y selecci\u00f3n de cifrado: configuraci\u00f3n tls smtp para una seguridad \u00f3ptima del correo y alojamiento con cifrado de correo electr\u00f3nico. Gu\u00eda completa para expertos.<\/p>","protected":false},"author":1,"featured_media":18962,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_crdt_document":"","inline_featured_image":false,"footnotes":""},"categories":[708],"tags":[],"class_list":["post-18969","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-email"],"acf":[],"_wp_attached_file":null,"_wp_attachment_metadata":null,"litespeed-optimize-size":null,"litespeed-optimize-set":null,"_elementor_source_image_hash":null,"_wp_attachment_image_alt":null,"stockpack_author_name":null,"stockpack_author_url":null,"stockpack_provider":null,"stockpack_image_url":null,"stockpack_license":null,"stockpack_license_url":null,"stockpack_modification":null,"color":null,"original_id":null,"original_url":null,"original_link":null,"unsplash_location":null,"unsplash_sponsor":null,"unsplash_exif":null,"unsplash_attachment_metadata":null,"_elementor_is_screenshot":null,"surfer_file_name":null,"surfer_file_original_url":null,"envato_tk_source_kit":null,"envato_tk_source_index":null,"envato_tk_manifest":null,"envato_tk_folder_name":null,"envato_tk_builder":null,"envato_elements_download_event":null,"_menu_item_type":null,"_menu_item_menu_item_parent":null,"_menu_item_object_id":null,"_menu_item_object":null,"_menu_item_target":null,"_menu_item_classes":null,"_menu_item_xfn":null,"_menu_item_url":null,"_trp_menu_languages":null,"rank_math_primary_category":null,"rank_math_title":null,"inline_featured_image":null,"_yoast_wpseo_primary_category":null,"rank_math_schema_blogposting":null,"rank_math_schema_videoobject":null,"_oembed_049c719bc4a9f89deaead66a7da9fddc":null,"_oembed_time_049c719bc4a9f89deaead66a7da9fddc":null,"_yoast_wpseo_focuskw":null,"_yoast_wpseo_linkdex":null,"_oembed_27e3473bf8bec795fbeb3a9d38489348":null,"_oembed_c3b0f6959478faf92a1f343d8f96b19e":null,"_trp_translated_slug_en_us":null,"_wp_desired_post_slug":null,"_yoast_wpseo_title":null,"tldname":null,"tldpreis":null,"tldrubrik":null,"tldpolicylink":null,"tldsize":null,"tldregistrierungsdauer":null,"tldtransfer":null,"tldwhoisprivacy":null,"tldregistrarchange":null,"tldregistrantchange":null,"tldwhoisupdate":null,"tldnameserverupdate":null,"tlddeletesofort":null,"tlddeleteexpire":null,"tldumlaute":null,"tldrestore":null,"tldsubcategory":null,"tldbildname":null,"tldbildurl":null,"tldclean":null,"tldcategory":null,"tldpolicy":null,"tldbesonderheiten":null,"tld_bedeutung":null,"_oembed_d167040d816d8f94c072940c8009f5f8":null,"_oembed_b0a0fa59ef14f8870da2c63f2027d064":null,"_oembed_4792fa4dfb2a8f09ab950a73b7f313ba":null,"_oembed_33ceb1fe54a8ab775d9410abf699878d":null,"_oembed_fd7014d14d919b45ec004937c0db9335":null,"_oembed_21a029d076783ec3e8042698c351bd7e":null,"_oembed_be5ea8a0c7b18e658f08cc571a909452":null,"_oembed_a9ca7a298b19f9b48ec5914e010294d2":null,"_oembed_f8db6b27d08a2bb1f920e7647808899a":null,"_oembed_168ebde5096e77d8a89326519af9e022":null,"_oembed_cdb76f1b345b42743edfe25481b6f98f":null,"_oembed_87b0613611ae54e86e8864265404b0a1":null,"_oembed_27aa0e5cf3f1bb4bc416a4641a5ac273":null,"_oembed_time_27aa0e5cf3f1bb4bc416a4641a5ac273":null,"_tldname":null,"_tldclean":null,"_tldpreis":null,"_tldcategory":null,"_tldsubcategory":null,"_tldpolicy":null,"_tldpolicylink":null,"_tldsize":null,"_tldregistrierungsdauer":null,"_tldtransfer":null,"_tldwhoisprivacy":null,"_tldregistrarchange":null,"_tldregistrantchange":null,"_tldwhoisupdate":null,"_tldnameserverupdate":null,"_tlddeletesofort":null,"_tlddeleteexpire":null,"_tldumlaute":null,"_tldrestore":null,"_tldbildname":null,"_tldbildurl":null,"_tld_bedeutung":null,"_tldbesonderheiten":null,"_oembed_ad96e4112edb9f8ffa35731d4098bc6b":null,"_oembed_8357e2b8a2575c74ed5978f262a10126":null,"_oembed_3d5fea5103dd0d22ec5d6a33eff7f863":null,"_eael_widget_elements":null,"_oembed_0d8a206f09633e3d62b95a15a4dd0487":null,"_oembed_time_0d8a206f09633e3d62b95a15a4dd0487":null,"_aioseo_description":null,"_eb_attr":null,"_eb_data_table":null,"_oembed_819a879e7da16dd629cfd15a97334c8a":null,"_oembed_time_819a879e7da16dd629cfd15a97334c8a":null,"_acf_changed":null,"_wpcode_auto_insert":null,"_edit_last":null,"_edit_lock":null,"_oembed_e7b913c6c84084ed9702cb4feb012ddd":null,"_oembed_bfde9e10f59a17b85fc8917fa7edf782":null,"_oembed_time_bfde9e10f59a17b85fc8917fa7edf782":null,"_oembed_03514b67990db061d7c4672de26dc514":null,"_oembed_time_03514b67990db061d7c4672de26dc514":null,"rank_math_news_sitemap_robots":null,"rank_math_robots":null,"_eael_post_view_count":"512","_trp_automatically_translated_slug_ru_ru":null,"_trp_automatically_translated_slug_et":null,"_trp_automatically_translated_slug_lv":null,"_trp_automatically_translated_slug_fr_fr":null,"_trp_automatically_translated_slug_en_us":null,"_wp_old_slug":null,"_trp_automatically_translated_slug_da_dk":null,"_trp_automatically_translated_slug_pl_pl":null,"_trp_automatically_translated_slug_es_es":null,"_trp_automatically_translated_slug_hu_hu":null,"_trp_automatically_translated_slug_fi":null,"_trp_automatically_translated_slug_ja":null,"_trp_automatically_translated_slug_lt_lt":null,"_elementor_edit_mode":null,"_elementor_template_type":null,"_elementor_version":null,"_elementor_pro_version":null,"_wp_page_template":null,"_elementor_page_settings":null,"_elementor_data":null,"_elementor_css":null,"_elementor_conditions":null,"_happyaddons_elements_cache":null,"_oembed_75446120c39305f0da0ccd147f6de9cb":null,"_oembed_time_75446120c39305f0da0ccd147f6de9cb":null,"_oembed_3efb2c3e76a18143e7207993a2a6939a":null,"_oembed_time_3efb2c3e76a18143e7207993a2a6939a":null,"_oembed_59808117857ddf57e478a31d79f76e4d":null,"_oembed_time_59808117857ddf57e478a31d79f76e4d":null,"_oembed_965c5b49aa8d22ce37dfb3bde0268600":null,"_oembed_time_965c5b49aa8d22ce37dfb3bde0268600":null,"_oembed_81002f7ee3604f645db4ebcfd1912acf":null,"_oembed_time_81002f7ee3604f645db4ebcfd1912acf":null,"_elementor_screenshot":null,"_oembed_7ea3429961cf98fa85da9747683af827":null,"_oembed_time_7ea3429961cf98fa85da9747683af827":null,"_elementor_controls_usage":null,"_elementor_page_assets":[],"_elementor_screenshot_failed":null,"theplus_transient_widgets":null,"_eael_custom_js":null,"_wp_old_date":null,"_trp_automatically_translated_slug_it_it":null,"_trp_automatically_translated_slug_pt_pt":null,"_trp_automatically_translated_slug_zh_cn":null,"_trp_automatically_translated_slug_nl_nl":null,"_trp_automatically_translated_slug_pt_br":null,"_trp_automatically_translated_slug_sv_se":null,"rank_math_analytic_object_id":null,"rank_math_internal_links_processed":"1","_trp_automatically_translated_slug_ro_ro":null,"_trp_automatically_translated_slug_sk_sk":null,"_trp_automatically_translated_slug_bg_bg":null,"_trp_automatically_translated_slug_sl_si":null,"litespeed_vpi_list":null,"litespeed_vpi_list_mobile":null,"rank_math_seo_score":null,"rank_math_contentai_score":null,"ilj_limitincominglinks":null,"ilj_maxincominglinks":null,"ilj_limitoutgoinglinks":null,"ilj_maxoutgoinglinks":null,"ilj_limitlinksperparagraph":null,"ilj_linksperparagraph":null,"ilj_blacklistdefinition":null,"ilj_linkdefinition":null,"_eb_reusable_block_ids":null,"rank_math_focus_keyword":"Mailserver TLS","rank_math_og_content_image":null,"_yoast_wpseo_metadesc":null,"_yoast_wpseo_content_score":null,"_yoast_wpseo_focuskeywords":null,"_yoast_wpseo_keywordsynonyms":null,"_yoast_wpseo_estimated-reading-time-minutes":null,"rank_math_description":null,"surfer_last_post_update":null,"surfer_last_post_update_direction":null,"surfer_keywords":null,"surfer_location":null,"surfer_draft_id":null,"surfer_permalink_hash":null,"surfer_scrape_ready":null,"_thumbnail_id":"18962","footnotes":null,"_links":{"self":[{"href":"https:\/\/webhosting.de\/es\/wp-json\/wp\/v2\/posts\/18969","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/webhosting.de\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/webhosting.de\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/webhosting.de\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/webhosting.de\/es\/wp-json\/wp\/v2\/comments?post=18969"}],"version-history":[{"count":0,"href":"https:\/\/webhosting.de\/es\/wp-json\/wp\/v2\/posts\/18969\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/webhosting.de\/es\/wp-json\/wp\/v2\/media\/18962"}],"wp:attachment":[{"href":"https:\/\/webhosting.de\/es\/wp-json\/wp\/v2\/media?parent=18969"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/webhosting.de\/es\/wp-json\/wp\/v2\/categories?post=18969"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/webhosting.de\/es\/wp-json\/wp\/v2\/tags?post=18969"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}