He estado configurando una instalación de Discourse para activistas comunitarios. La privacidad es fundamental; no somos terroristas, pedófilos ni delincuentes, sino ciudadanos preocupados y activos —¡legalmente!— en temas ambientales y otros asuntos, pero nuestra actividad es del tipo que puede atraer la atención de gobiernos, corporaciones y fuerzas policiales. El foro se alojará en un VPS con acceso root privado y, en ese sentido, es razonablemente seguro, aunque entiendo que la seguridad al 100% es más o menos imposible. Además, hoy en día estamos bastante expuestos de todos modos, como demostró ampliamente Edward Snowden.
Necesito definir mi estrategia para el correo electrónico. Este aspecto me parece el eslabón más débil. Debemos canalizar la información de los usuarios a través de: 1) el método que elijamos para nuestro propio servidor de correo y 2) el servidor de correo de los propios usuarios.
Ayer abrí una cuenta con Mailjet y me detuvieron en seco al solicitar mi pasaporte, licencia de conducir o documento de identidad. No recuerdo que me hayan pedido esto antes en un servicio que no fuera una transacción financiera. Por supuesto, no me gustó nada y no lo proporcioné. Además, ¿cómo puedo saber qué hace Mailjet, o cualquier otro servicio similar, con los datos de nuestros usuarios? Voy a instalar iRedmail para tener mayor control sobre esto.
Nuestros usuarios tendrán correo electrónico en una amplia gama de proveedores. ¿Cómo afecta esto a nuestra seguridad general?
Aún no tengo una instalación en funcionamiento… así que podría descubrir que ya existen soluciones integradas para este aspecto… ¿?
¿Alguien tiene alguna reflexión al respecto? Gracias.
Puedes habilitar la configuración “correo electrónico privado”, de modo que los correos no tengan contenido de texto y se utilicen únicamente como notificación de nuevo contenido.
Las contraseñas se almacenan con hash en la base de datos y, siempre que utilices HTTPS, se cifran durante la transmisión. Los usuarios no pueden usar contraseñas débiles obvias gracias a la opción bloquear contraseñas comunes; más allá de eso, todo depende de cómo configures longitud mínima de contraseña y caracteres únicos de contraseña.
También vale la pena mencionar que ofrecemos soporte integral para la autenticación en dos factores (2FA), que incluye tanto aplicaciones de autenticación para smartphones como claves de autenticación por hardware. Esto también se puede hacer obligatorio mediante la configuración del sitio.
Gracias @codinghorror, respondido por Stephen
Gracias @Stephen, lo tengo.
Me encanta Discourse y ni siquiera está instalado aún.
Servidor iRedmail instalado y en ejecución…
Mañana Discourse.
Autohospedar el correo electrónico no es una tarea sencilla. Reenviar correos desde un nuevo dominio ya puede ser desafiante; al ejecutar tu propio servidor de correo, es probable que recibas un curso intensivo sobre la entregabilidad del correo. Los grandes proveedores de correo alojado no confiarán inicialmente en dominios nuevos ni en las direcciones IP de origen, y la lucha será significativamente más difícil si el propietario anterior de tu IP hizo algo remotamente inapropiado.
Dependiendo de cuánto tiempo tengas para dedicarle a esto, te recomendaría que reflexiones más a fondo sobre el asunto.
También me di cuenta de que no mencioné el modo anónimo, los mensajes personales cifrados y el soporte U2F. Dependiendo de tu disposición para la complejidad, el discurso del sombrero de papel de aluminio incluye muchas formas de proteger tanto tu sitio como a tus usuarios.
Gracias @Stephen, aprecio mucho que hayas tomado el tiempo y todo…
Vale, sí, nunca había administrado un servidor de correo antes (lo intenté una vez hace unos años y lo dejé) y no había considerado tus puntos al respecto. Lo pensaré. Quizás, ahora que ired está instalado y funcionando, y ha entregado con éxito mi correo de prueba hasta ahora, podría darle una buena prueba. Mis puntuaciones en www.mail-tester están mejorando a medida que trabajo en ello.
Esas funciones de privacidad adicionales suenan excelentes. Tengo un sombrero de papel de aluminio que uso cuando es apropiado Personalmente emplearía las funciones de seguridad de manera extensa… pero los usuarios del sitio no son todos tan técnicos y, por supuesto, habrá que encontrar un equilibrio.
Personalmente emplearía las funciones de seguridad de manera extensa… pero los usuarios del sitio no son todos tan técnicos y, por supuesto, habrá que encontrar un equilibrio.