Requisitos mínimos

Antes poder mejorar el nivel de protección de las conexiones SMTP mediante DANE para un dominio en concreto, deberá hacer lo siguiente:

• Proteger las conexiones al servidor de correo usando un certificado SSL/TLS.
• Activar DNSSEC para el dominio.

Protección de las conexiones SMTP del servidor

Una vez activado DNSSEC para un dominio, puede proceder. Puede mejorar el nivel de protección de las conexiones mediante cualquier protocolo de aplicación que ya esté protegido usando un certificado SSL/TLS a través de la combinación correspondiente de puerto y protocolo de transporte (como por ejemplo «TCP/25» para SMTP, «TCP/443» para HTTPS, etc).

La mejora de la protección de conexiones mediante un determinado protocolo de aplicación consiste en dos pasos:

• En primer lugar debe generar un hash de la clave pública del certificado SSL/TLS. Si bien también puede usar una clave pública sin hash o el hash de todo el certificado, en este ejemplo usaremos un hash de clave pública.
• A continuación debe añadir un registro DNS TLSA que indique distintos parámetros necesarios, incluyendo el hash.

Debe repetir estos pasos para cada protocolo de aplicación cuyo nivel de protección desee mejorar.

En el ejemplo que se muestra a continuación proporcionamos los pasos necesarios para mejorar el nivel de protección de conexiones SMTP al servidor de correo para un dominio en concreto. Puede usar dichos pasos como referencia para mejorar la protección de otras conexiones, si así lo desea.

Generación del hash de clave pública del certificado

1. Acceso a Plesk.

2. Vaya a Sitios web y dominios y localice el dominio en cuestión.

3. Haga clic en Certificados SSL/TLS.

4. Localice el certificado que protege el servidor de correo (el marcado con «Protege el correo») y haga clic en el icono para descargar el certificado como un archivo *.pem.

5. Sitúe el archivo *.pem en una máquina Linux y ejecute el comando detallado a continuación. Compruebe que de antemano ha cambiado el directorio de trabajo al que contiene el archivo y que ha reemplazado «certificate.pem» por el nombre de archivo actual:

   openssl x509 -in certificate.pem -pubkey -noout | openssl rsa -pubin -outform der | sha256sum | awk '{print $1}'
   

La salida resultante (por ejemplo, 499e42e36d7b04529725a1f8036e0f7cf1030b4e25a3fa1988f2572e1ce70d28) es el hash SHA-256 que usará cuando cree el registro DNS TLSA.

Adición de un registro DNS TLSA

1. Acceso a Plesk.
2. Vaya a Sitios web y dominios y localice el dominio en cuestión.
3. Vaya a la pestaña Hosting y DNS y haga clic en DNS.
4. Haga clic en Añadir registro.
5. Seleccione «TLSA» en el menú desplegable «Tipo de registro».
6. (Opcional) Indique un TTL para el registro. Si no está seguro sobre el TTL óptimo, deje el campo «TTL» en blanco. En este caso, se usará el valor TTL predeterminado.
7. Indique el puerto «25». No añada el guion bajo, puesto que se añadirá automáticamente.
8. Indique el protocolo «tcp». No añada el guion bajo, puesto que se añadirá automáticamente.
9. Indique «mail» en el campo «Nombre de dominio».
10. Seleccione «3, DANE-EE» en el menú desplegable «Uso».
11. Seleccione «1, SPKI» en el menú desplegable «Selector».
12. Seleccione «1, SHA-256» en el menú desplegable «Tipo de coincidencia».
13. Pegue el hash de la clave pública del certificado generado anteriormente al campo «Datos de asociación del certificado».
14. Haga clic en ACEPTAR y a continuación haga clic en Actualizar para aplicar los cambios a la zona DNS.

Se añade un registro DNS TLSA y se aplican los cambios efectuados en la zona DNS. Una vez propagados los cambios (esto suele tardar unas 24 horas), DANE pasará a estar activo para las conexiones SMTP al dominio.