Teoria del Correu Electrònic
1. Introducció General
El correu electrònic és una de les tecnologies més antigues i fonamentals d'Internet, però també una de les més complexes quan la mirem des del punt de vista tècnic. Mentre que per a un usuari final enviar un correu és tan simple com escriure un missatge i prémer un botó, al darrere d'aquesta acció aparentment senzilla hi ha una orquestració sofisticada de diversos components que treballen conjuntament per assegurar que el missatge arriba al seu destí de manera segura i fiable.
Quan parlem de muntar un servidor de correu electrònic modern, estem parlant en realitat de configurar i integrar diversos serveis diferents que han d'interactuar perfectament entre ells. Cada un d'aquests serveis té una funció específica i crítica dins del sistema global. Aquesta complexitat és precisament el motiu pel qual les solucions integrades com Mailcow han guanyat tanta popularitat: ens permeten desplegar tots aquests components de manera coordinada i amb una configuració ja optimitzada.
En aquesta introducció, explorarem detalladament cadascun dels components queformen un sistema de correu complet, entendrem com interactuen entre ells, i veurem com es relacionen amb els protocols estàndard que fan possible la comunicació entre diferents servidors de correu arreu del món. També examinarem els mecanismes de seguretat que són absolutament imprescindibles en l'actualitat per evitar que els nostres correus siguin rebutjats o marcats com a spam.
2. Components d'un Sistema de Correu
Un sistema de correu electrònic complet està format per diversos components que podem dividir en tres grans categories: agents de transferència, agents d'emmagatzematge i lliurament, i components de suport i seguretat. Cadascun d'aquests components té un rol específic i ben definit dins del sistema global.
2.1. MUA - Mail User Agent
MUA (Mail User Agent) és el client de correu electrònic. És una aplicació o un lloc web que utilitzes per enviar o rebre missatges de correu electrònic.
2.2. MSA - Mail Submission Agent
MSA (Mail Submission Agent) rep els correus electrònics del client de correu, comprova els encapçalaments i verifica que les adreces estan ben informades.
2.3. MTA - Mail Transfer Agent (Agent de Transferència de Correu)
El MTA és el cor del sistema de correu electrònic i actua com el servei postal que transporta els missatges entre diferents servidors. Quan envies un correu a algú que està en un domini diferent al teu, és el MTA qui s'encarrega de contactar amb el servidor de correu del destinatari i lliurar-li el missatge. Aquest component és absolutament fonamental perquè sense ell, els correus no podrien sortir del teu servidor.
El MTA més utilitzat en sistemes Linux és Postfix, que és conegut per la seva robustesa, seguretat i facilitat de configuració relativa. Postfix va ser dissenyat des del principi amb la seguretat com a prioritat, cosa que el converteix en l'elecció preferida per a entorns de producció. Altres alternatives populars són Exim, que s'utilitza molt en sistemes Debian, i Sendmail, que és el MTA més antic però també el més complex de configurar.
El MTA escolta normalment al port 25 per rebre correus d'altres servidors (aquest és el port SMTP estàndard definit per les especificacions originals del protocol), i també als ports 587 per a la submissió de correus autenticats des de clients i 465 per a SMTP sobre SSL/TLS directe. Aquests dos últims ports són els que utilitzaran els teus usuaris quan configurin el seu client de correu per enviar missatges.
2.4. MDA - Mail Delivery Agent (Agent de Lliurament de Correu)
Un cop el correu ha arribat al servidor destinatari gràcies al MTA, necessitem algú que agafi aquest missatge i el posi a la bústia de l'usuari corresponent. Aquesta és la funció del MDA. Pensa en el MDA com el carter que deixa les cartes a les bústies individuals després que el camió de correus les ha portat al barri.
El MDA s'encarrega de diverses tasques importants més enllà del simple lliurament. Pot aplicar filtres per classificar els missatges en diferents carpetes segons regles definides per l'usuari, pot executar scripts o accions automàtiques quan arriba un correu amb certes característiques, i pot rebutjar o redirigir missatges basant-se en quotes d'emmagatzematge o altres criteris.
En molts sistemes de correu, el mateix programari actua alhora com a MDA i com a servidor IMAP/POP3, cosa que simplifica l'arquitectura perquè un sol servei gestiona tant el lliurament com l'accés a les bústies.
2.5. Servidor IMAP/POP3
Els protocols IMAP i POP3 són els mecanismes estàndard que permeten als usuaris accedir als seus correus emmagatzemats al servidor. Encara que tots dos serveixen per recuperar correus, funcionen de maneres molt diferents i tenen casos d'ús diferents.
POP3 és el protocol més antic i simple dels dos. Quan un client es connecta amb POP3, descarrega tots els correus nous del servidor a l'ordinador local i, per defecte, els elimina del servidor. Aquest model va ser dissenyat en una època on l'emmagatzematge al servidor era car i limitat, i quan els usuaris normalment només accedien al correu des d'un sol ordinador. Avui en dia, POP3 s'utilitza cada cop menys perquè no s'adapta bé a l'ús modern del correu des de múltiples dispositius.
IMAP, en canvi, manté tots els correus al servidor i només sincronitza l'estat amb els clients. Això significa que pots accedir als mateixos correus des del teu ordinador, el teu mòbil i la interfície web, i tots veuran exactament el mateix estat. Si marques un correu com a llegit al mòbil, apareixerà com a llegit a l'ordinador. Si l'elimines des de la web, desapareixerà de tots els dispositius. Aquest és el comportament que els usuaris moderns esperen i és per això que IMAP s'ha convertit en l'estàndard de facto.
Existeixen múltiples implementacions d'aquest servei, tant a Linux com a Windows, cadascuna amb les seves particularitats de configuració i rendiment. Moltes d'elles inclouen funcionalitats avançades com el suport per a Sieve, un llenguatge estandarditzat per crear filtres de correu del costat del servidor. Les guies d'instal·lació concretes es tracten a les pàgines d'Instal·lació a Linux i d'Instal·lació a Windows.
2.4. Webmail (Forma part del que es considera MUA)
El webmail és la interfície web que permet als usuaris accedir al seu correu electrònic des de qualsevol navegador sense necessitat d'instal·lar cap programa específic. És l'equivalent a serveis com Gmail o Outlook.com, però allotjat al teu propi servidor.
Existeixen múltiples solucions de webmail (per exemple SOGo, Roundcube o Outlook Web App), cadascuna amb el seu propi conjunt de funcionalitats. Les més completes no només ofereixen accés al correu, sinó que també inclouen calendari, llibreta d'adreces i funcionalitats de treball col·laboratiu, amb suport per a estàndards com CalDAV i CardDAV per sincronitzar calendaris i contactes amb aplicacions natives dels diferents sistemes operatius.
2.5. Base de Dades
Un sistema de correu modern necessita emmagatzemar molta informació més enllà dels propis missatges. Ha de guardar informació sobre els usuaris del sistema com els seus noms d'usuari, contrasenyes encriptades i quotes d'emmagatzematge. També ha de mantenir els dominis virtuals que el servidor gestiona, les polítiques de filtratge i antispam, els àlies de correu que redireccionen d'una adreça a una altra, i moltes altres dades de configuració.
Aquesta informació sol emmagatzemar-se en un sistema de bases de dades relacional (per exemple MariaDB o PostgreSQL), que permet als diferents components del sistema consultar-la i modificar-la de manera estructurada, eficient i concurrent.
2.6. Sistema de Filtratge d'Spam i Virus
Un dels reptes més grans de gestionar un servidor de correu modern és protegir els usuaris del correu brossa (spam) i dels virus o malware que poden arribar per correu electrònic. Aquests sistemes analitzen cada missatge que entra al servidor abans que arribi a la bústia de l'usuari.
Aquests sistemes de filtratge no es limiten a un simple filtre d'spam: són motors d'anàlisi de correus que examinen desenes de característiques diferents de cada missatge. Comproven la reputació de la IP d'origen consultant diverses llistes negres, analitzen el contingut del missatge utilitzant tècniques estadístiques i d'aprenentatge automàtic, verifiquen les signatures DKIM del remitent, comproven que el missatge compleix amb les polítiques SPF del domini, i assignen una puntuació final que determina si el missatge és legítim o no. Sovint també s'encarreguen de signar els correus sortints amb DKIM.
Per a la detecció de virus, s'integren motors antivirus de codi obert o comercials especialment dissenyats per escanejar correus electrònics i fitxers adjunts, amb bases de dades de signatures que s'actualitzen constantment per detectar la majoria de malware conegut.
2.7. Servidor Web i Proxy Invers
Per proporcionar accés web al sistema, tant per a la interfície d'administració com per al webmail, necessitem un servidor web que actuï com a proxy invers, un component que rep totes les peticions HTTP/HTTPS dels clients i les redirigeix al servei intern corresponent.
Aquesta arquitectura amb proxy invers té diversos avantatges importants. Permet gestionar múltiples serveis diferents al mateix servidor compartint els mateixos ports 80 i 443, cosa que simplifica molt la configuració de DNS i tallafocs. També permet gestionar els certificats SSL/TLS de manera centralitzada, cosa que facilita molt la integració amb Let's Encrypt per obtenir certificats gratuïts. A més, pot fer de capa de seguretat addicional protegint els serveis interns de certes formes d'atac.
2.8. Sistema de Caché
Un sistema d'emmagatzematge de dades en memòria pot utilitzar-se com a caché per millorar el rendiment del sistema. Quan diversos components necessiten accedir repetidament a les mateixes dades, la caché les guarda en memòria RAM per proporcionar un accés molt més ràpid que si haguessin d'anar cada vegada a la base de dades.
Per exemple, quan el MTA necessita verificar si un usuari existeix, primer pot consultar la caché, i només si la informació no hi és farà la consulta més lenta a la base de dades. Això redueix significativament la càrrega de la base de dades i accelera el processament de correus.
3. Flux de Funcionament del Correu Electrònic
Ara que coneixem els components individuals, és fonamental entendre com interactuen entre ells durant el procés d'enviar i rebre correus. El flux complet implica diversos passos i verificacions que asseguren que els missatges arribin de manera segura i fiable.
3.1. Enviament d'un Correu (Outbound)
Quan un usuari vol enviar un correu electrònic, el procés comença al seu client de correu, que pot ser un programa instal·lat al seu ordinador com Thunderbird o Outlook, una aplicació mòbil, o la interfície webmail del servidor. El client estableix una connexió amb el servidor SMTP del nostre sistema utilitzant el port 587 o 465. És molt important que aquesta connexió utilitzi SMTP autenticat, és a dir, que l'usuari proporcioni el seu nom d'usuari i contrasenya abans de poder enviar correus. Aquesta autenticació és absolutament crítica per evitar que el nostre servidor sigui utilitzat per enviar spam.
Un cop l'usuari s'ha autenticat correctament, el client de correu envia el missatge al nostre MTA, que és Postfix. En aquest moment, Postfix fa diverses verificacions importants abans d'acceptar el missatge. Comprova que l'usuari té permís per enviar correus des del domini que està utilitzant com a remitent, verifica que el missatge no supera els límits de mida configurats, i pot aplicar polítiques de taxa d'enviament per evitar que un usuari compromès pugui enviar milers de correus ràpidament.
Si el missatge passa totes aquestes verificacions, Postfix l'accepta i ara ha de lliurar-lo al destinatari. Si el destinatari està al mateix servidor, és un procés relativament simple que veurem més endavant. Però si el destinatari està en un altre domini, Postfix ha de fer una sèrie de passos per trobar el servidor de correu del destinatari i lliurar-li el missatge.
Primer, Postfix consulta els registres DNS del domini destinatari per trobar els seus registres MX. Aquests registres especifiquen quins servidors de correu accepten correus per a aquest domini i en quin ordre s'han de provar. Normalment hi ha diversos registres MX amb diferents prioritats per proporcionar redundància en cas que el servidor principal no estigui disponible.
Abans d'enviar el missatge, Rspamd el processa per signar-lo amb DKIM. La signatura DKIM és com un segell digital que demostra que el missatge realment prové del nostre servidor i que no ha estat modificat durant el trànsit. Aquesta signatura és fonamental per assegurar que el nostre correu serà acceptat pel servidor destinatari i no serà marcat com a spam.
Finalment, Postfix estableix una connexió SMTP amb el servidor destinatari al port 25 i li transmet el missatge. El servidor destinatari pot acceptar-lo immediatament, rebutjar-lo si considera que és spam, o retornar un error temporal si està massa ocupat. Si el servidor destinatari no està disponible o retorna un error temporal, Postfix mantindrà el missatge a la seva cua i intentarà reenviar-lo periòdicament durant diversos dies abans de desistir.
sequenceDiagram
participant U as Usuari
participant C as Client de Correu
participant P as Postfix (MTA)
participant R as Rspamd
participant D as DNS
participant E as Servidor Extern
U->>C: Escriu i envia correu
C->>P: Connexió SMTP (port 587/465)
C->>P: Autenticació (usuari/contrasenya)
P->>P: Verifica credencials
C->>P: Transmet missatge
P->>P: Verifica permisos i límits
P->>R: Processa missatge
R->>R: Signatura DKIM
R->>P: Retorna missatge signat
P->>D: Consulta registres MX destinatari
D->>P: Retorna servidors de correu
P->>E: Connexió SMTP (port 25)
P->>E: Transmet missatge
E->>P: Confirmació d'acceptació
P->>C: Missatge enviat correctament
3.2. Recepció d'un Correu (Inbound)
El procés de rebre un correu és similar però amb verificacions addicionals de seguretat, ja que estem rebent missatges de servidors que no coneixem i hem de protegir els nostres usuaris contra spam i malware.
Quan un servidor extern vol enviar-nos un correu, estableix una connexió amb el nostre Postfix al port 25. Abans d'acceptar el missatge, Postfix fa una sèrie de verificacions preliminars. Comprova si la IP del servidor remitent està en alguna llista negra coneguda de spammers, verifica que el servidor remitent presenta un nom d'host vàlid i que aquest nom coincideix amb la IP de la connexió, i comprova que el domini remitent existeix i té registres MX configurats.
Si el servidor passa aquestes verificacions inicials, Postfix accepta el missatge i el passa a Rspamd per a una anàlisi molt més profunda. Rspamd examina desenes de característiques diferents del missatge. Verifica que la signatura DKIM sigui vàlida si n'hi ha, comprova que el servidor remitent està autoritzat a enviar correus per aquest domini segons el registre SPF, analitza el contingut del missatge utilitzant filtres bayesians i altres tècniques estadístiques, consulta la reputació de la IP remitent en diverses bases de dades públiques, examina els enllaços del missatge per veure si apunten a llocs coneguts per distribuir malware, i finalment assigna una puntuació global d'spam al missatge.
Si la puntuació d'spam supera un cert llindar configurat, el missatge pot ser rebutjat directament, marcat amb capçaleres especials que indiquin que probablement és spam, o posat en una carpeta de correu brossa. Els missatges amb adjunts també passen per ClamAV per verificar que no contenen virus coneguts.
Els missatges que passen tots aquests controls de seguretat són lliurats finalment al MDA. Aquest examina el destinatari del missatge, comprova que l'usuari existeix al sistema i que té espai disponible a la seva quota, i guarda el missatge a la bústia corresponent. Si l'usuari té regles de filtratge configurades mitjançant Sieve, el MDA les aplica en aquest moment per classificar el missatge a la carpeta apropiada.
Un cop el missatge està emmagatzemat, l'usuari pot accedir-hi immediatament des del seu client IMAP o des de la interfície webmail.
AC0375/05/02 — Miniactivitat
RA5 · CA5a, CA5f
Configura un client de correu (Thunderbird o similar) amb un compte real o de prova, tant per IMAP com per POP3, i envia't un correu a tu mateix. Compara com es comporta cada protocol: què passa amb el missatge al servidor després de llegir-lo des del client en cada cas.
sequenceDiagram
participant E as Servidor Extern
participant P as Postfix (MTA)
participant R as Rspamd
participant C as ClamAV
participant D as MDA
participant B as Bústia Usuari
E->>P: Connexió SMTP (port 25)
P->>P: Verificacions inicials (IP, hostname)
E->>P: Transmet missatge
P->>R: Envia per anàlisi
R->>R: Verifica DKIM, SPF
R->>R: Analitza contingut
R->>R: Consulta reputació IP
R->>C: Escaneja adjunts
C->>R: Resultat escaneix virus
R->>R: Calcula puntuació spam
R->>P: Retorna veredicte
alt Missatge legítim
P->>D: Lliura missatge
D->>D: Aplica filtres Sieve
D->>B: Guarda a bústia
else Spam o virus
P->>P: Rebutja o marca com spam
P->>E: Notifica rebuig
end
3.3. Accés als Correus per Part de l'Usuari
Un cop els correus estan emmagatzemats a les bústies dels usuaris, aquests necessiten una manera d'accedir-hi. Aquest accés es pot fer de diverses maneres diferents, totes proporcionades pel servidor IMAP/POP3.
Si l'usuari utilitza un client de correu tradicional com Thunderbird, Apple Mail o Outlook, el client estableix una connexió IMAP o POP3 amb el servidor. Per a IMAP, el client es connecta al port 993 utilitzant una connexió segura SSL/TLS, s'autentica amb el nom d'usuari i contrasenya de l'usuari, i després sincronitza l'estat de la bústia. El client descarrega les capçaleres dels missatges i pot descarregar el contingut complet dels missatges quan l'usuari els vol llegir. Qualsevol canvi que l'usuari faci, com marcar un correu com a llegit, moure'l a una carpeta o eliminar-lo, es sincronitza immediatament amb el servidor.
Si l'usuari prefereix utilitzar la interfície web, accedeix a SOGo des del seu navegador. SOGo és una aplicació web que s'executa al servidor i que utilitza IMAP internament per accedir als correus de l'usuari. Des del punt de vista de l'usuari, SOGo proporciona una experiència similar a Gmail o Outlook.com, amb una interfície moderna i responsiva.
sequenceDiagram
participant U as Usuari
participant C as Client/Navegador
participant S as SOGo (si webmail)
participant D as Servidor IMAP
participant B as Bústia
U->>C: Accedeix al correu
alt Via Client IMAP
C->>D: Connexió IMAP (port 993)
C->>D: Autenticació
D->>D: Verifica credencials
D->>B: Consulta bústia
B->>D: Retorna llista missatges
D->>C: Sincronitza estat
U->>C: Llegeix/modifica correus
C->>D: Actualitza estat
D->>B: Aplica canvis
else Via Webmail
C->>S: Accés HTTP (navegador)
S->>S: Autenticació web
S->>D: Connexió IMAP interna
D->>B: Consulta bústia
B->>D: Retorna missatges
D->>S: Proporciona dades
S->>C: Mostra interfície web
U->>C: Interacciona amb interfície
C->>S: Accions usuari
S->>D: Actualitza via IMAP
D->>B: Aplica canvis
end
4. Protocols de Comunicació
Els protocols són les llengües que parlen els diferents components entre ells i amb servidors externs. És fonamental entendre aquests protocols per poder diagnosticar problemes i configurar correctament el sistema.
4.1. SMTP (Simple Mail Transfer Protocol)
SMTP és el protocol estàndard per a la transferència de correu electrònic entre servidors i va ser definit originalment l'any 1982. Tot i ser relativament antic, continua sent el protocol universal que utilitzen tots els servidors de correu del món per comunicar-se entre ells.
SMTP és un protocol basat en text que funciona sobre TCP. Les comandes i respostes són llegibles per humans, cosa que facilita molt la depuració de problemes. Una sessió SMTP típica consisteix en una salutació inicial on el client i el servidor s'identifiquen, una fase d'autenticació si cal, la transmissió de les dades del missatge incloent remitent, destinataris i contingut, i finalment el tancament de la connexió.
El protocol SMTP original no incloïa cap mecanisme de seguretat, cosa que el feia vulnerable a escoltes i modificacions. Per això s'han desenvolupat extensions com STARTTLS, que permet establir una connexió xifrada després de la salutació inicial, i SMTP AUTH, que proporciona autenticació d'usuari. SMTP utilitza diversos ports segons el context. El port 25 és el port estàndard per a la comunicació entre servidors, el port 587 és el port recomanat per a la submissió de correus des de clients autenticats, i el port 465 s'utilitza per SMTP sobre SSL/TLS directe.
4.2. IMAP (Internet Message Access Protocol)
IMAP és el protocol modern per accedir al correu emmagatzemat en un servidor i va ser dissenyat per superar les limitacions de POP3. La versió actual és IMAP4, definida a la RFC 3501 de l'any 2003, encara que ha tingut diverses extensions posteriors que n'han ampliat les capacitats.
IMAP permet als clients accedir als correus sense necessitat de descarregar-los completament, cosa que és especialment útil quan es treballa amb connexions lentes o amb mòbils. Els clients poden descarregar només les capçaleres dels missatges i després descarregar el contingut complet només dels missatges que l'usuari vol llegir. IMAP també suporta múltiples carpetes i la sincronització de l'estat dels missatges entre diferents clients, cosa que és essencial per a l'ús modern del correu des de diversos dispositius.
Una característica molt potent d'IMAP és el suport per a cerca de missatges al servidor. Els clients poden fer cerques complexes utilitzant diversos criteris com remitent, destinatari, assumpte, data o contingut, i el servidor retorna només els missatges que coincideixen. Això és molt més eficient que descarregar tots els missatges i cercar-los localment.
IMAP utilitza el port 143 per a connexions no xifrades i el port 993 per a connexions segures amb SSL/TLS. A la pràctica, només s'haurien d'acceptar connexions al port 993 per motius de seguretat.
4.3. POP3 (Post Office Protocol version 3)
POP3 és el protocol més antic per accedir al correu i és molt més simple que IMAP. El seu model de funcionament es basa en descarregar tots els correus nous del servidor a l'ordinador local i, opcionalment, eliminar-los del servidor després de la descàrrega.
Tot i que POP3 és més simple, això també significa que és menys flexible. No suporta múltiples carpetes al servidor, només la bústia d'entrada, i no sincronitza l'estat dels missatges entre diferents clients. Per això POP3 està en desús i la majoria d'usuaris moderns utilitzen IMAP.
POP3 utilitza el port 110 per a connexions no xifrades i el port 995 per a connexions segures.
4.4. HTTP/HTTPS (Webmail)
Per a l'accés web al correu, s'utilitzen els protocols estàndard HTTP i HTTPS. La interfície webmail és essencialment una aplicació web que utilitza IMAP internament per accedir als correus i els presenta a l'usuari mitjançant una interfície gràfica al navegador.
HTTPS és fonamental per al webmail perquè totes les interaccions de l'usuari, incloent les seves credencials i el contingut dels correus, viatgen per la xarxa. Utilitzar HTTP sense xifrar seria un risc de seguretat enorme.
AC0375/05/01 — Miniactivitat
RA5 · CA5a
Amb telnet servidor 25 o openssl s_client -connect servidor:143, estableix manualment una sessió SMTP i una sessió IMAP escrivint les comandes a mà (EHLO, MAIL FROM, RCPT TO, DATA per SMTP; LOGIN, SELECT INBOX, FETCH per IMAP). Documenta els codis de resposta rebuts en cada pas.
5. Mecanismes de Seguretat i Autenticació
La seguretat és probablement l'aspecte més crític d'un servidor de correu modern. Sense els mecanismes de seguretat adequats, el nostre servidor pot ser utilitzat per enviar spam, els nostres correus poden ser rebutjats per altres servidors, o podem convertir-nos en víctimes de phishing i malware.
5.1. SPF (Sender Policy Framework)
SPF és un mecanisme que permet als propietaris de dominis especificar quins servidors estan autoritzats a enviar correus en nom del seu domini. Es configura mitjançant un registre TXT al DNS del domini.
Quan un servidor rep un correu que diu venir de un cert domini, pot consultar el registre SPF d'aquest domini per verificar si la IP del servidor remitent està autoritzada. Si no ho està, això és un fort indicador que el correu pot ser fraudulent i el servidor receptor pot decidir rebutjar-lo o marcar-lo com a sospitós.
Un registre SPF típic té aquest aspecte:
Aquest registre significa que estan autoritzats a enviar correus els servidors especificats als registres MX del domini, els servidors especificats al registre A del domini, i la IP específica indicada. El modificador tilde all indica que tots els altres servidors probablement no estan autoritzats però que el receptor hauria d'acceptar el correu igualment encara que marqui-lo com a sospitós.
5.2. DKIM (DomainKeys Identified Mail)
DKIM és un sistema de signatures digitals que permet verificar que un correu realment prové del domini que diu i que no ha estat modificat durant el trànsit. És com un segell de qualitat que garanteix l'autenticitat del missatge.
El funcionament de DKIM es basa en criptografia de clau pública. El servidor que envia el correu el signa amb una clau privada i inclou aquesta signatura com a capçalera del missatge. La clau pública corresponent es publica al DNS del domini. Quan un servidor rep el correu, pot recuperar la clau pública del DNS i verificar que la signatura és vàlida.
DKIM no només verifica l'autenticitat del remitent, sinó que també assegura que el missatge no ha estat alterat, ja que qualsevol modificació del contingut invalidaria la signatura. Això és especialment important perquè alguns servidors intermedis poden modificar els missatges de maneres subtils, com afegir disclaimers o modificar el format, i DKIM permet detectar aquestes modificacions.
5.3. DMARC (Domain-based Message Authentication, Reporting and Conformance)
DMARC és un protocol que s'apoia en SPF i DKIM per proporcionar una capa addicional de protecció i informació. Permet als propietaris de dominis especificar què haurien de fer els servidors receptors amb correus que fallen les verificacions SPF o DKIM, i també proporciona un mecanisme per rebre informes sobre qui està intentant enviar correus en nom del teu domini.
Un registre DMARC típic té aquest aspecte:
Aquest registre indica que els correus que fallen les verificacions haurien de ser posats en quarantena, que els informes agregats s'han d'enviar a l'adreça especificada, i que aquesta política s'aplica al cent per cent dels missatges.
DMARC és especialment útil per protegir-se contra el phishing, ja que dificulta molt que els atacants puguin falsificar correus que semblin venir del teu domini. Els informes DMARC també et permeten detectar si algú està intentant suplantar la teva identitat.
AC0375/05/04 — Miniactivitat
RA5 · CA5d, CA5h
Consulta amb dig TXT els registres SPF i DMARC d'un domini real (per exemple gmail.com o el teu propi institut) i localitza el seu selector DKIM (prova dig TXT selector._domainkey.domini). Interpreta el contingut de cada registre: quins servidors autoritza l'SPF, i quina política aplica el DMARC als correus que fallen la verificació.
5.4. DNS Invers (PTR)
El registre PTR o DNS invers és la resolució contrària a la normal: en lloc de resoldre un nom de domini a una IP, resol una IP a un nom de domini. Aquest registre és fonamental per als servidors de correu.
Molts servidors de correu verificaran que la IP que els està enviant un correu té un registre PTR configurat i que aquest registre apunta a un nom de domini vàlid que coincideix amb el que el servidor remitent ha dit que és. Si aquesta verificació falla, és un indicador que la IP pot pertànyer a una connexió domèstica o a un servidor mal configurat, i el correu pot ser rebutjat.
El registre PTR normalment l'ha de configurar el teu proveïdor d'hosting o d'Internet, ja que requereix control sobre el bloc d'IPs. És un dels primers passos que has de fer quan configures un servidor de correu.
5.5. TLS/SSL
El xifrat de les comunicacions és absolutament essencial per protegir la privacitat dels correus i les credencials dels usuaris. TLS és el protocol estàndard per establir connexions xifrades i s'utilitza en diversos contextos dins d'un servidor de correu.
Per a les connexions SMTP entre servidors, s'utilitza STARTTLS, que comença amb una connexió no xifrada i després la actualitza a xifrada. Per a les connexions dels clients IMAP, POP3 i SMTP de submissió, s'utilitzen ports dedicats que sempre utilitzen TLS des del principi. Per a l'accés web, s'utilitza HTTPS.
Els certificats TLS són emesos per autoritats de certificació i demostren que el servidor realment és qui diu ser. Let's Encrypt proporciona certificats gratuïts i automatitzats que són perfectament vàlids i acceptats per tots els navegadors i clients de correu moderns.
AC0375/05/05 — Miniactivitat
RA5 · CA5g, CA5h
Genera un parell de claus GPG i signa digitalment un correu de prova (sense xifrar-lo encara). Verifica amb el teu client de correu (o amb gpg --verify) que la signatura és vàlida, i explica quina garantia aporta la signatura que no aporta el simple remitent del missatge.
graph TB
subgraph "Mecanismes de Seguretat"
SPF[SPF<br/>Verifica IP autoritzada]
DKIM[DKIM<br/>Signatura digital]
DMARC[DMARC<br/>Política i informes]
PTR[PTR<br/>DNS invers]
TLS[TLS/SSL<br/>Xifrat connexions]
end
subgraph "Verificacions Entrada"
V1[Verifica registre PTR]
V2[Consulta registre SPF]
V3[Verifica signatura DKIM]
V4[Aplica política DMARC]
V5[Connexió xifrada TLS]
end
subgraph "Accions Sortida"
A1[Configura PTR al proveïdor]
A2[Publica registre SPF]
A3[Signa amb DKIM]
A4[Publica política DMARC]
A5[Utilitza TLS/STARTTLS]
end
PTR --> V1
SPF --> V2
DKIM --> V3
DMARC --> V4
TLS --> V5
PTR --> A1
SPF --> A2
DKIM --> A3
DMARC --> A4
TLS --> A5
style SPF fill:#e1f5ff
style DKIM fill:#e1f5ff
style DMARC fill:#e1f5ff
style PTR fill:#fff3e0
style TLS fill:#f3e5f5
6. Referències i Documentació
Documentació oficial dels protocols i eines de verificació de correu electrònic: consulta la secció Correu Electrònic a la pàgina d'Annexos · Recursos.
Aquesta documentació cobreix tots els aspectes teòrics necessaris per entendre com funciona un sistema de correu electrònic modern. El següent pas seria procedir amb la instal·lació pràctica, tant a Linux (Postfix/Dovecot, Mailcow) com a Windows (Exchange/Microsoft 365).