¿Cómo puedo comprobar si mi SMTP es seguro?

Ante el aumento de los ataques de ransomware en la década de 2020
, ¿es seguro el correo electrónico, nuestro principal canal de comunicación en Internet?

Los servidores SMTP constituyen una infraestructura especialmente sensible.
Pueden distribuir mensajes de correo electrónico en nuestro nombre,
que nuestros destinatarios aceptan como procedentes de remitentes de confianza
ya que el servidor de envío los autentifica correctamente.

Los servidores SMTP constituyen una infraestructura especialmente sensible.
Difunden mensajes de correo electrónico en nuestro nombre,
que nuestros destinatarios aceptan como procedentes de remitentes de confianza
porque están debidamente autenticados por el servidor SMTP del remitente.

¿Qué ocurre si otra persona utiliza tu servidor SMTP?
¿Cómo puedo comprobar si mi servidor SMTP es seguro?

El uso de infraestructuras sensibles en Internet
requiere un alto nivel de protección para evitar abusos.

Alerta de seguridad crítica

Si intentas enviar mensajes a través de smtp.gmail.com
, serás bloqueado y recibirás esta «Alerta de seguridad crítica»:

Aplicación menos segura bloqueada  
Google ha bloqueado la aplicación que intentabas utilizar 
porque no cumple con nuestros estándares de seguridad. [...]

La única alternativa es utilizar OAuth2, un protocolo que no comparte datos de contraseñas
sino que utiliza tokens de autorización para verificar la identidad.

Los servidores de correo más utilizados en Internet (datos de agosto de 2021) son:
Exim (58 %), Postfix (35 %), Sendmail (4 %)

Para seguir utilizando tu propio servidor de correo
y reducir así el riesgo de sufrir un ataque informático, los requisitos mínimos que debes comprobar son:

  1. Aceptar únicamente autenticación segura
    El nombre de usuario y la contraseña deben transmitirse a través de conexiones seguras,
    Normalmente, el puerto 587 con TLS , el puerto 25 con TLS o el puerto 465 con SSL
    Las comunicaciones de datos confidenciales en texto sin cifrar están desactivadas

  2. Se debe comprobar la dirección «Mail-From» (el remitente),
    solo podrán pasar aquellos a los que hayas autorizado

  3. Configura Fail2ban para bloquear todos los ataques externos
    y evitar así los intentos de forzar tus medidas de seguridad.
    En concreto, Fail2ban debería bloquear todos los intentos repetidos:

  • intentar iniciar sesión con un nombre de usuario o una contraseña incorrectos
  • para enviar correos electrónicos con un remitente no autorizado
  • para interrumpir la conexión SMTP durante el proceso de autenticación
    (las conexiones interrumpidas repetidas hacen que el servicio SMTP no esté disponible para los usuarios legítimos)

El bloqueo suele producirse tras entre tres y diez intentos
y bloquea la dirección IP de origen durante un periodo de entre tres y veinticuatro horas.

Es bastante fácil comprobar estos puntos y decidir si
tu infraestructura SMTP necesita una actualización de seguridad.

Fail2ban protege tu servidor contra ataques de fuerza bruta y DDoS.
Funciona como si, cuando un desconocido llama a la puerta,
tras un cierto número de golpes, la puerta desapareciera.

Logotipo de Fail2ban

Un testimonio de Hacker News:

Llevo varios años gestionando mi propio servidor de correo y creo que muchos otros aquí 
utilizan soluciones como Mail-in-a-box, mailcow, Mailu, etc.

Hasta la pandemia del coronavirus nunca había tenido grandes problemas con mi servidor de correo, pero en las últimas semanas 
he recibido un volumen de tráfico entrante muy elevado, que ha sido demasiado para mi servidor y me ha obligado a reiniciarlo manualmente cada vez...

[...] Edición: He cambiado la configuración de fail2ban y he descubierto que era el objetivo principal 
de ataques de fuerza bruta, contra los que debería poder protegerme con herramientas como fail2ban

Fail2ban es una aplicación de análisis de registros que supervisa los registros del sistema
en busca de indicios de un ataque automatizado.

Cuando se detecta un intento de ataque, utilizando los parámetros definidos,
Fail2ban añade una nueva regla al cortafuegos (iptables o firewalld)
para bloquear la dirección IP del atacante, ya sea durante un periodo de tiempo determinado o de forma permanente.
Fail2ban también puede avisarte por correo electrónico de que se está produciendo un ataque.

Fail2ban se centra principalmente en los ataques SSH, aunque se puede configurar adicionalmente
para que funcione con cualquier servicio que utilice archivos de registro y pueda ser objeto de un ataque.

Se utiliza mucho. Si lo buscas en Google, es fácil encontrar
ejemplos de configuración para proteger los servidores de correo.