Introduccin

El diseo de una Servicio de correo electrnico est ntimamente relacionado con la topologa fsica (red) de la organizacin y por lo tanto debe intentar acoplarse a ella. La estructuracin idnea de este servicio es un encaminamiento de correo centralizado. Basicamente, consiste un serie de servidores locales de correo distribuidos a lo largo de la red y centralizados en una Estafeta central, la cual ser responsable de encaminar todo el correo hacia y desde el exterior. Antes de disear una estructura corporativa del servicio de correo electrnico hay que crear un "Plan de direccionamiento del sistema de correo electrnico para la organizacin". El Plan de direccionamiento y encaminamiento de correo de estra imbricado con la estructura de un servicio de directorio, tal y como se ha comentado con anterioridad. Plan de direccionamiento del sistema de correo electrnico Un plan de direcciones debe de tener en cuenta los siguientes principios elementales:

Una direccin de correo no debe de ser excesivamente larga pero tampoco excesivamente crptica. La parte identificadora del usuario debe intentar de contener dos campos que definan nombre y el primer apellido del responsable del buzn.Habria que definir un limite mximo del nmero de caracteres. Estilo: nombre.apellidos. Ejemplo: carles.subirats. Ha de reflejar la estructura organizativa de la institucin con objeto que la direccin de un usuario pueda deducirse facilmente conociendo sus datos personales y los de la unidad administrativa a la que pertenece. No habra que abusar de la jerarqua mas all del tercer nivel. Estilo: nombre.apellidos@OU1.O.es. ( OU=Unidad de organizacin, O=Organizacin). Ejemplo: jesus.heras@rediris.es Debera de ser flexible y capaz de absorver potenciales cambios organizativos dentro de la propia institucin. Es muy importante que el diseo del direccionamiento sea jerrquico y no plano pues puede tener repercusiones en una hipottica organizacin del Servicio de Directorio.

Topologa de un Servicio de Correo Electrnico

Definicin de trminos Es importante definir una serie de sencillos conceptos a la hora de intentar definir un modelo de encaminamiento de correo electrnico en un Organizacin.

Encaminamiento directo. Es el que permite que cualquiera de los servidores de correo locales establezcan contacto con las mquinas remotas, responsables del buzn destino. Encaminamiento indirecto. Es el que utilizan mquinas intermedias como almacenes para el reenvio, para lo cual debe de existir cierta consistencia de la topologa. 1

Estafeta (MTA o servidor de correo). Es una mquina configurada de tal forma que sea capaz de ofrecer servicio de correo al espacio de direcciones de las que es responsable. Ejemplo: sendmail, PMDF etc. Cliente de correo (UA o Agente de Usuario). Es el paquete de software que interactua con la Estafeta y ayuda al usuario a gestionar el correo electrnico. Ejemplo: Eudora, Communicator etc.

Modelo propuesto El modelo que se propone, Figura 3., es un modelo basado en encaminamiento indirecto que dar lugar a una topologa centralizada en un Servicio de correo electrnico. El elemento clave que articula todo el Servicio es la Estafeta Central de correo a travs de la cual deber encaminarse todo el correo entrante y saliente. Esta Estafeta ser el motor de una estructura jerrquica de servidores (Nivel 2, Nivel 3 etc) que configurarn completamente el mapa de encaminamiento de un Servicio de Correo Electrnico. En ciertas circustancias, este modelo puede ser flexibe e implementar cierto de grado de encaminamiento directo. Esta opcin debe ser coordinada por el equipo de personas responsable del Servicio. Se deber evitar la aparicin de servidores de correo con encaminamiento directo en centros, departamentos, delegaciones etc pertenecientes a la propia organizacin que ofrece el Servicio. Esta situacin producira un incremento de islas que desvirtuaran y degradaran el Servicio. El mapa topolgico de Estafetas secundarias (Nivel 2) deber ser un reflejo de la estructura fsica de la Intranet de la organizacin. Es decir, cada red de rea local deber de tener un servidor de correo de Nivel 2 que ofreciera servicio a sus usuarios .Estas Estafetas secundarias estarn configuradas de tal forma para que trabaje de forma cooperativa con la Estafeta central. Evidentemente este modelo centralizado supone un grado superior de recursos y por lo tanto, estar condicionado por parmetros como disponibilidad del personal, mquinas etc. Si por cualquier motivo no es posible una estructura centralizada es muy aconsejable que los responsables del Servicio supervisen y aprueben las configuraciones de servidores de correo locales para una mejor gestin. La Estafeta Central, como tal, no interviene en la distribucin de correo electrnico intradominio. Nota impotante: Es imprescindible para el correcto desarrollo de un Servicio de Correo Electrnico disponer de una Estafeta Central de repuesto (backup) interna para el caso en que no est operativa por muy diversos motivos (fallos del sistema, alimentacn, red, ataques etc). Esta mquina de repuesto debe de estar siempre preparada, configurada y actualizada para cuando necesite actuar.

Funciones de la Estafeta Central Las dos principales funciones de una Estafeta Central deben ser:

Correo entrante desde Internet. Recoger todos los mensajes dirigidos al dominio de la Organizacin y encaminarlos hacia las Estafetas sencundarias y/o, si los hubiera, clientes de correo (UA). Correo saliente hacia Internet. Habria dos posibilidades: 1. Estafetas secundarias con encaminamiento indirecto (opcin deseable). Estos servidores estarn configurados para que todo el correo exterior sea encaminado a travs de la Estafeta Central. 2. Estafetas secundarias con encaminamiento directo (opcin no deseable). Estos servidores de nivel 2, estarn configurados para poder encaminar el correo exterior usando directamente los registros de tipo MX del DNS y establecer una conexin directa con la Estafeta destino. Evidentemente y para optimizar recursos, una Estafeta central o secundaria no slo tiene que ser dedicada en exclusividad a una labor de encaminamiento. Una Estafeta deber de usarse para ofrecer servicio a los usuarios locales mas cercanos. Si existen direcciones del tipo nombre.apellido@organizacion.es (sin subdominio) es la Estafeta principal la encargada de resolverlas localmente, bien por medio de cuentas locales o por otros mecanismos. Todo el correo intradominio es enviado por la Estafeta Central a las secundarias sin tener en cuenta el manejador asignado (MX) en Domain Name System (DNS).

Ventajas de una topologa centralizada

Partiendo de una Estafeta central perfectamente configurada, diseada, gestionada y dimensionada, podemos ennumerar las siguientes ventajas de una estructura centralizada para un Servico de correo electrnico local.

Centrar recursos humanos y tcnicos en una sola mquina que permita configurarla y gestionarla de forma ptima para tenerla siempre operativa. Este apartado es especialmente importante para proteger la mquina contra todo tipo de ataques de seguridad a travs del correo, como los descritos en el Apartado 1.

Mejorar la fiabilidad de entrega del correo destinado a usuarios locales (desde Internet) y externos (hacia Internet) al ser una mquina de alta disponibilidad. Mejorar la gestin de cara al usuario. Habra un nico punto informativo, que facilitara al usuario las solicitudes de consejo y ayuda sobre el Servicio de correo electrnico. Este tipo de gestin al usuario puede estar distribuido entre los responsables de las Estafetas secundarias. Pero siempre manteniendo unas directrices de coordinacin, con objeto de ofrecer un Servicio homogneo. De igual forma la imagen de servicio desde el exterior seria mas elegante y operativa.

Simplificar la gestin de las mquinas servidores de correo al implementar configuraciones semejantes, conocidas y por tanto controladas.

Servicio de operacin Un Servicio de correo centralizado necesita una serie de requisitos mnimos para su correcto mantenimiento, entre los que podemos destacar.

Equipo humano de gestin del servicio. Responsable de la estafeta central y de la coordinacin de la gestin de otros servidores de correo secundarios repartidos a lo largo de la toda la organizacin. Este equipo de gestin debe de estar accesible a travs de un buzn universal: postmaster@organizacion.es el cual debe de ser atendido de forma frecuente, pues es a travs de l donde los usuarios internos y externos podrn canalizar sus dudas y/o propuestas. Es aconsejable que este buzn vaya acompaado de un telfono de contacto y fax.

La mquina responsable del servicio deber de estar operativa 24 horas al dia 365 dias al ao, exceptuando las habituales operaciones de mantenimiento que deberan de interumpir mnimamente el propio servicio. Se dispondr de un servidor de reserva para el caso que la principal tuviera algun tipo de problemas. Esta mquina deber de estar en perfecto estado de operacin y configuracin. Servicio de Domain Name System (DNS). Para el correcto funcionamiento del servicio es importante un estrecha coordinacin con los responsables del DNS, 4

fundamentalmente en los registros de tipo MX, donde los responsables del correo deberan dictar de forma estricta este tipo de registros. Implementacin de una topologa centralizada
Nivel de red

Para recoger beneficios con la implantacin de una topologa centralizada es necesario la utilizacin de medidas expeditivas como es el filtro del puerto 25 en el conmutador que da acceso a Internet. El filtro en el puerto 25 define una poltica de correo centralizada, pues permite que slo la mquina que realiza las labores de Estafeta Central y la mquina de reserva, si la hubiera, sean accesibles desde Internet a travs del puerto 25 responsable del protocolo de tranferencia de correo electrnico (SMTP). Es decir ninguna mquina servidora de correo de la organizacin debera de poder recibir correo directo desde Internet. De la misma forma este filtro, debe de impedir que las mquinas locales puedan enviar correo directamente via SMTP. Se debe el encaminamiento de datagramas originados o destinados a mquinas diferentes de la Estafeta. Con este mecanismo lo que en verdad se est implementando, es lo que en Internet se denomina firewall o cortafuergos. Se ha comentado anteriormente la gran utilidad de este filtro para la implementacin de mecanismos de seguridad. Esto permitir concentrar todos los recuros humanos y tcnicos en hacer de la Estafeta central la mquina mas segura de la red local.
Nivel DNS

El DNS o Domain Name System es el ncleo de todas las aplicaciones de Internet. Es el sistema empleado en la Red para poder asignar y usar de forma universal nombres unvocos para referirse a los equipos conectados a la red. De esta forma, tanto los usuarios humanos como las aplicaciones pueden emplear nombres de DNS en lugar de direcciones numricas de red IP. De todos los tipos de registros de DNS el que ms nos interesa son los de tipo MX (Mail eXchange) que es el va a indicar cual es la Estafeta responsable de un determinado buzn. Los registros de tipo MX deben de ser definidos por los responsables del Servicio de Correo y se debe de seguir la siguiente poltica: "Se ha de definir un registro de tipo MX para cada una de las mquinas susceptibles de recibir correo electrnico (Estafetas de correo)" Para reflejar lo topologa centralizada del Servicio de correo electrnico es necesario:

Definir un nico registro de tipo MX de prioridad mxima y otro de prioridad menor (estafeta de reserva) para cada una de las direcciones del espacio de direccionamiento definido por la organizacin. Definir un registro de tipo MX para el acrnimo de la organizacin, aunque slo sea para dar cobertura a la direccin postmaster@ogz.es. En el caso de alias de mquinas implementar registros de tipo A antes que de tipo CNAME.

Ejemplo

Partimos de los siguientes datos:

Una organizacin hipottica con el acrnimo ogz en el dominio es. La direccin de la Estafeta es: mail.ogz.es La direccin de la Estafeta de reserva es: bib.ogz.es. Un departamento con un espacio de direcciones: nombre.apellido@bib.ogz.es. Este departamento tiene un servidor de correo con el nombre de mquina cervantes (Estafeta secundaria) con la direccin: bib.ogz.es.

La configuracin del DNS sera:

ogz.es ogz.es bib.ogz.es bib.ogz.es cervantes.ogz.es *.ogz.es IN IN IN IN IN IN MX MX MX MX MX A 10 10 20 10 20 mail.ogz.es bib.ogz.es mail.ogz.es bib.ogz.es 148.195.290.2

Importante: No deben de implementarse registros del estilo:

mail.ogz.es

pues slo se deben de reflejar direcciones susceptibles de recibir de correo. Estas entradas invalidades en el caso de existir registros de tipo Address (A) intentando establecerse conexiones a travs del puerto 25.