Resolución 121/2017

RESOLUCIÓN No. 121/2017

POR CUANTO: El Acuerdo No. 7380 del Consejo de Ministros, de fecha 28 de fe-brero de 2013, en su numeral Tercero, del apartado Primero, establece que el Ministeriode Comunicaciones es el organismo encargado de proponer y, una vez aprobada, ejecutary controlar la política sobre el uso del ciberespacio, así como planificar, implementar,reglamentar, administrar y controlar el sistema de medidas necesarias para su defensa yrealizar las coordinaciones internacionales requeridas a ese fin.

POR CUANTO: La Resolución No. 127 del Ministro de Comunicaciones, de fecha 24 de julio de 2007, aprobó y puso en vigor el Reglamento de Seguridad para las Tec-nologías de la Información, en el que se establece que en todas las redes informáticasse tienen que implementar mecanismos de seguridad de forma tal que se garantice laprotección de las mismas, por lo que resulta procedente establecer las medidas básicaspara configurar los servidores de correo electrónico de las redes de datos del país.

POR TANTO: En el ejercicio de las atribuciones que me están conferidas en el inciso a),del artículo 100, de la Constitución de la República de Cuba,

R e s u e l v o :

PRIMERO: Establecer las medidas básicas para configurar los servidores de correoelectrónico que se deben implementar en las redes de datos del país debidamente autori-zadas, en lo adelante las redes, las cuales se refieren a continuación:

569

- 1.Control de acceso a los puertos 25, 443 y 587 en entrada/salida.

- 2.Implementación de reglas anti-relay (protección contra correos no solicitados).

- 3.Control de resolución inversa.

- 4.Política de trazas de auditoría.

- 5.Número máximo de destinatarios en una transacción SMTP (Simple Mail Transfer Protocol, en inglés – Protocolo para la transferencia simple de correo, en español).

- 6.Tamaño máximo de mensaje.

- 7.Definición de registros SPF (Sender Policy Framework, en inglés – Convenio deremitentes, en español).

- 8.Chequeo de registro SPF en el flujo de entrada.

- 9.Control de destinatarios existentes.

- 10.Control de flujo SMTP.

- 11.Sincronización de tiempo.

- 12.Acceso cifrado.

- 13.Servicio antivirus.

- 14.Autenticación.

- 15.Servicio de cambio de contraseña.

- 16.Servicio antispam (método para prevenir el correo basura).

Las aclaraciones requeridas relacionadas con la implementación de las medidas bási-cas para configurar los servidores de correo electrónico se establecen en el Anexo Únicode la presente Resolución como parte integrante de la misma.

SEGUNDO: El titular o representante legal de la red de datos es responsable por laimplementación en sus redes de las medidas básicas que por la presente se establecen paraconfigurar los servidores de correo electrónico.

TERCERO: A los efectos de la presente, los términos que se relacionan tienen el sig-nificado siguiente:

- 1.Ataque informático: Intento de acceso o acceso a una red informática mediante laexplotación de vulnerabilidades existentes en su seguridad.

- 2.Riesgo informático: Probabilidad de que una amenaza se materialice sobre unavulnerabilidad del sistema informático, causando un impacto negativo en las redes.

- 3.Red de datos: Red de telecomunicaciones cuya infraestructura de red está instalada enuna misma localidad o en distintas localidades geográficas e interconectadas entre sípor enlaces de telecomunicaciones públicos y propios, que satisface las necesidades detransmisión de datos de su titular.

- 4.Resolución inversa de IP: Proceso en que, a partir de la dirección IP de un dispositivo,se intenta llegar al nombre asociado a este.

- 5.Sistemas de Nombres de Dominios (DNS): Es el sistema empleado en Internet paraasignar y usar universalmente nombres unívocos para referirse a equipos, portales ositios conectados a la Red.

- 6.Servidor de nivel base: Servidor que presta el servicio de correo electrónico y almacenalos buzones de los usuarios de una red.

- 7.Servidor de primer nivel: Servidor encargado de recibir todo el correo electrónicodestinado a un grupo de dominios y distribuirlo a cada uno de los subdominios; deigual manera reciben el correo procedente de los subdominios y lo reenvían a losdestinatarios finales.

- 8.Vulnerabilidad informática: Aspecto de la aplicación que es susceptible de ser atacadoo de dañar la seguridad del mismo. Representan las debilidades o aspectos falibles oatacables en el sistema informático y califica su nivel de riesgo.

CUARTO: Los directores de las Oficinas Territoriales de Control, el Director de Inspec-ción, el Director General de la Oficina de Seguridad para las Redes Informáticas y el Director General de Informática del Ministerio de Comunicaciones, quedan encargados de instrumen-tar las medidas para el control y la fiscalización de lo dispuesto en la presente Resolución.

QUINTO: Los titulares de las redes privadas de los órganos de la Defensa se excep-túan del cumplimiento de lo establecido en la presente Resolución, y quedan sujetos a lodispuesto en sus normas jurídicas.

SEXTO: La presente Resolución entra en vigor a los noventa (90) días posteriores a lafecha de su publicación en la Gaceta Oficial de la República de Cuba.

NOTIFÍQUESE a los directores generales de Informática y de la Oficina de Seguridadpara las Redes Informáticas, a los directores territoriales de control y al director de Ins-pección, todos pertenecientes al Ministerio de Comunicaciones.

COMUNÍQUESE a los viceministros, al Director General de Comunicaciones, al Di-rector de Regulaciones y al Director del Centro de Comunicaciones, todos pertenecientesal Ministerio de Comunicaciones.

PUBLÍQUESE en la Gaceta Oficial de la República de Cuba.

ARCHÍVESE el original en la Dirección Jurídica del Ministerio de Comunicaciones.

DADA en La Habana, a los 5 días del mes de abril de 2017.

Maimir Mesa Ramos

Ministro de Comunicaciones

ACLARACIONES DE LAS MEDIDAS BÁSICAS PARA CONFIGURAR

LOS SERVIDORES DE CORREO ELECTRÓNICO

- 1.Control de acceso a los puertos 25, 443 y 587 en entrada/salida.

El puerto virtual 25 SMTP controla el acceso para el tráfico tanto de llegada como desalida. El puerto virtual 443 controla el tráfico de información sensible HTTPS (protocoloseguro de transferencia de hipertextos), utilizando cifrado basado en SSL (capa de puertosseguros) o TLS (seguridad en la capa de transporte) para los usuarios y claves. El puertovirtual 587 controla el acceso para SMTP autenticado sobre SSL o sobre TLS. El uso de lospuertos 443 y 587 antes mencionados son los recomendados por medidas de seguridad, uotro que se asigne, siempre que sea cifrado. La cantidad de servidores que puedenenviar o recibir correo debe limitarse en correspondencia con las necesidades realesde cada entidad y bajo el principio de la racionalidad. Las computadoras conectadas ala red que utilizan el servicio deben ser configuradas para que reciban/envíen correoselectrónicos únicamente a través del servidor establecido en cada entidad.

- 2.Implementación de reglas anti-relay.

La adopción de medidas anti-relay se considera uno de los pasos básicos para la puestaen marcha de un servicio de correo. De no cumplirse este criterio se corre el riesgo depublicación en múltiples repositorios en Internet, por configuración inadecuada delservicio, para que sea utilizado para el envío de spam.

Por lo anterior, el servicio de correo solo se brinda para la red predeterminada. Ladirección IP para este servicio está claramente definida y solo estas direcciones tienenprivilegios concedidos para usar el correo. Lo anterior implica que las direcciones IPde cada red, una vez definidas, pueden establecer conexión SMTP hacia el servidor,aceptando mensajes cuyo destino sea la propia red o dominios delegados.

3. Control de resolución inversa.

Debe definirse la resolución inversa de las direcciones IP asignadas al servicio de correode primer nivel, encargadas del encaminamiento de entrada y salida de cada red.

4. Política de trazas de auditoría.

Deben almacenarse y conservarse en cada red los ficheros de trazas (logs en inglés) deacuerdo con la legislación vigente, de forma que las mismas permitan la identificación

1 RFC2505/[RFC2635](http://rfc.net/rfc 2635.html).

2 RFC3172.

RFC (Request for comments, en inglés - Petición de comentarios, en español): publicaciones delgrupo de trabajo de ingeniería de Internet (IETF) relacionados con protocolos, procedimientos,etc.

estadísticos; deben contener al menos los datos siguientes: fecha y hora de latransacción, nombres de los servidores que reciben/envían, identificador (ID) delmensaje, dirección de origen/destino, nombre del servidor que actúa como relay decorreo, el estado de la transacción y el tamaño del mensaje.de posibles problemas o incidentes y sirvan como fuente de datos para estudios

5.Número máximo de destinatarios en una transacción SMTP.

Los servidores de correo electrónico deben configurarse para aceptar transaccionescon un máximo de 100 destinatarios (RCPT TO)en una sola conexión SMTP. Debenadoptarse las medidas técnicas necesarias para que se bloqueen las transaccionesSMTP con más de 100 destinatarios. Los límites (mínimo y máximo) de destinatariosen una sola conexión SMTP deben ser definidos y aprobados por la máxima direcciónde cada red privada, en dependencia de los recursos técnicos disponibles.

6. Tamaño máximo de mensaje.

El tamaño máximo del mensaje debe ser controlado, formando parte de la configuraciónde los servidores de primer nivel. El tamaño máximo del mensaje debe ser definido encada institución atendiendo a sus propias características.

7. Definición de registros SPF.

Debe definirse en cada red su zona del Sistema de Nombres de Dominio (DNS en inglés),los registros SPF (Sender Policy Framework - convenio de remitentes en español) detodos los dominios bajo su responsabilidad, asociándolos a los nodos de correo queefectúen el encaminamiento de salida SMTP (servidores de primer nivel).

Esto posibilita que se ponga a disposición de todos los servidores de correo con losque se intercambia mensajería la relación de servidores autorizados a estos fines.Lo anterior disminuye la probabilidad de materialización de posibles ataques y/o elaumento de la carga en el servicio por mensajes devueltos.

8.Chequeo de registro SPF en el flujo de entrada.

Deben configurarse en cada red los servidores de primer nivel para que se lleven acabo los correspondientes chequeos SPF del correo entrante. Este criterio estableceen todo caso la posibilidad de analizar los mensajes entrantes a la red para determinarsi se cumplen los registros SPF publicados por el responsable del dominio. Debenestablecerse de igual forma las acciones a ejecutar ante los mensajes que no superen eltest aplicado.

9. Control de destinatarios existentes.

Deben aplicarse en cada red los mecanismos de rechazo en los servidores de nivelbase para los mensajes dirigidos a destinatarios no existentes.

10.Control de flujo SMTP.

Debe disponerse en cada red de mecanismos de control de flujo en las transaccionesSMTP internas y externas. Estos mecanismos permiten controlar el número de correosenviados por una IP en un intervalo de tiempo determinado.

11. Sincronización de tiempo.

En el servicio de correo electrónico se configura correctamente la zona horaria ydeben sincronizarse todos los servidores de correo electrónico de las organizaciones,tanto de primer nivel como nodos intermedios y servidores de almacenamiento,conun servidor de la propia red u otro que ofrezca el servicio, se puede utilizar NTP(Network Time Protocol, en inglés - Protocolo de red de tiempo, en español).

12. Acceso cifrado.

Debe considerarse en cada red ofrecer el servicio basado en protocolos de recogidade mensajes con cifrado SSL/TLS(POPs, IMAPs)y un servicio de correo saliente

3 RFC2821.

4 RFC4408.

5 RFC3172/RFC4330.

6 SSL/TLS: Protocolos para establecer comunicaciones seguras usando certificados digitales.

7 POPs, IMAPs: Protocolos de internet que permiten el acceso a cuentas de correo de su espacioWEB.

externos; debiendo tramitar la aprobación, de conformidad con la legislación vigente,acerca de la utilización de cualquier tipo de aplicación o servicio soportado queimplique el cifrado de la información.SMTP con TLS, así como acceso al correo por Web vía HTTPs para los usuarios

13.Servicio antivirus.

Debe disponerse en cada red de un servicio antivirus que analice tanto los mensajesentrantes como los salientes en los servidores de correo. De igual forma, se debenestablecer las acciones a ejecutar en cada caso detectado (eliminación del adjuntoinfectado sustituyéndolo por un aviso, puesta en cuarentena del mensaje completo,eliminación, aviso al remitente, entre otras).

14. Autenticación.

Debe implementarse en cada red la autenticación con el fin de elevar los niveles deseguridad y eficacia del servicio de correo electrónico, prevenir la fuga de datos, asícomo disminuir la posibilidad de que su dominio sea utilizado como “puente” para elenvío de correos masivos. Puede implementarse SMTP.

15. Servicio de cambio de contraseña.

El servicio debe ofrecer al usuario la posibilidad de cambiar su contraseña, de formaautónoma e inmediata, sin intervención de un tercero y con el objetivo de garantizarla privacidad de la misma. De igual forma debe exigir los requisitos para la utilizaciónde contraseñas como método de autenticación establecidos en la legislación vigente.

16. Servicio antispam.

Debe disponerse en cada red de un servicio antispam que analice los mensajes entrantesy actúe sobre aquellos que considere spam según la política interna establecida y sucorrespondencia con la legislación vigente al respecto.

________________