Solo para visitantes de nuestro blog Obtenga 3 meses adicionales gratis + 10% de descuento en el plan trianual YSBLOG10
Agarra el trato
Creador de sitios web Youdesign-ai-wp

Instalar y configurar el dispositivo de filtrado de correo electrónico (EFA) en 2026

Sanjeet Chauhan 8 minutos de lectura

Para instalar y configurar Email Filter Appliance (EFA), implemente la imagen/ISO de EFA en una máquina virtual compatible con Linux, asigne una IP pública estática y rDNSEjecute el asistente de configuración, agregue sus dominios aceptados, configure su servidor de correo interno como relé/destino, actualice las políticas (SpamAssassin/ClamAV) y publique la configuración correcta. DNS (MX, SPF, DKIM, DMARC) para el flujo de correo de producción.

Esta guía paso a paso muestra cómo instalar y configurar Email Filter Appliance (EFA) en 2026, desde la planificación y la implementación hasta DNSEnrutamiento, seguridad y ajuste de políticas. Ya sea que esté reemplazando una puerta de enlace antigua o reforzando una nueva infraestructura de correo, este tutorial convierte a EFA en un filtro de spam y virus de código abierto probado y listo para producción.

¿Qué es EFA y cómo funciona?

El dispositivo de filtrado de correo electrónico (EFA) es una puerta de enlace de seguridad de correo electrónico de código abierto construida alrededor de Postfix (MTA) con motores de filtrado como MailScanner, SpamAssassin y ClamAV, además de una interfaz de usuario web (MailWatch) para cuarentena e informes.

Instalar y configurar el dispositivo de filtrado de correo electrónico

Se encuentra entre Internet y su servidor de correo (Microsoft Exchange, M365 híbrido, Zimbra, Postfix/Dovecot) y escanea los mensajes entrantes y salientes en busca de spam, phishing y malware.

  • Entrante: Internet → EFA (filtro) → Su servidor de correo
  • Saliente: Su servidor de correo → EFA (política) → Internet/Host inteligente
  • Características principales: RBL/URIBL, comprobaciones SPF/DKIM/DMARC, antivirus, cuarentena, listas grises, limitación de velocidad

Prerrequisitos y planificación (Listo para 2026)

Antes de implementar EFA, planifique la red, DNS, ciclo de vida del sistema operativo y enrutamiento de correo. Esto evita bucles, problemas de entrega y una postura de seguridad débil.

Requisitos de hardware/máquina virtual

  • 2–4 voltiosCPU, 4–8 GB RAM Para 500–2,000 usuarios (se puede ampliar según la carga)
  • Almacenamiento SSD de 60 a 120 GB (dependiendo del volumen de cuarentena/retención de registros)
  • 1x NIC, estática IPv4; IPv6 si su entorno de correo lo admite

Red & DNS

  • IP pública estática con reversión DNS (PTR) Asignación a un nombre de host válido (por ejemplo, mailgw.example.com)
  • Firewall: permitir TCP 25 (SMTP), 465/587 (si se proporciona envío seguro), 80/443 (ACME/Let's Encrypt y UI)
  • Sincronización horaria (NTP) y zona horaria precisa para la validez de DKIM/DMARC

Sistema operativo e imagen

Descargue la última compilación/ISO estable de EFA del sitio web oficial del proyecto o del servidor espejo. Verifique las sumas de comprobación y lea las notas de la versión actual. Si la compilación se dirige a una base de Enterprise Linux anterior, proteja la máquina virtual con un firewall, aplique todas las actualizaciones de seguridad y planifique la migración futura cuando el proyecto lance una base más reciente.

Diseño del flujo de correo

  • Entrante: Internet → EFA → Servidor(es) de correo interno
  • Saliente: Servidor(es) de correo interno → EFA → Host inteligente de Internet o ISP
  • Validación del destinatario: LDAP/AD o lista local para rechazar usuarios desconocidos en el momento SMTP

Instalación paso a paso

1) Preparar la máquina virtual

  • Cree una nueva máquina virtual en Proxmox, VMware, Hyper-V o KVM
  • Adjunte el EFA ISO/OVA y un disco virtual de 60 a 120 GB
  • Asignar IP estática, puerta de enlace, DNS resolutores; reserve la IP en su enrutador/DHCP

2) Instalar la base OS/EFA

Arranca desde la ISO y sigue las instrucciones del instalador. Usa una contraseña segura de root/administrador, configura la zona horaria correcta y configura el particionamiento del disco con espacio para registros y cuarentena. Después de la instalación, reinicia e inicia sesión a través de la consola o SSH.

# Set a fully qualified hostname
hostnamectl set-hostname mailgw.example.com

# Configure static IP (example; adapt to your distro tooling)
nmcli con mod eth0 ipv4.addresses 203.0.113.25/29
nmcli con mod eth0 ipv4.gateway 203.0.113.29
nmcli con mod eth0 ipv4.dns "1.1.1.1 9.9.9.9"
nmcli con mod eth0 ipv4.method manual
nmcli con up eth0

# Update packages
yum update -y || dnf upgrade -y

3) Ejecute el Bootstrap/Asistente de EFA

  • Acepte la licencia e inicialice los componentes necesarios (Postfix, MailScanner, SpamAssassin, ClamAV, MailWatch)
  • Establecer credenciales de administrador para la interfaz web
  • Ingrese el nombre de host del sistema y el dominio principal
  • Habilitar actualizaciones automáticas y firmas para antivirus/antispam

4) Verificar servicios

systemctl status postfix
systemctl status mailscanner
systemctl status clamd
systemctl status httpd  # or nginx, depending on build
spamassassin -V         # confirm SA version

Configuración inicial de la interfaz de usuario web

Acceda a https://mailgw.example.com/ (o la IP) e inicie sesión con la cuenta de administrador creada anteriormente. Navegue por el panel para completar las políticas de referencia.

  • Agregar dominios aceptados/locales (ejemplo.com, ejemplo.org)
  • Establecer los servidores de correo de destino para el enrutamiento entrante (por ejemplo, exchange.internal:25)
  • Habilitar cuarentena y notificaciones; configurar programaciones de resúmenes
  • Seleccione y habilite DNSBL/URIBL con cuidado (evite listas demasiado agresivas)
  • Establecer el tamaño máximo de los mensajes y las políticas de archivos adjuntos

Publicar DNS: MX, SPF, DKIM, DMARC y rDNS

Corregir DNS Es fundamental para la entregabilidad. Apunte el registro MX a EFA, valide la identidad del remitente con SPF/DKIM y aplique la política DMARC.

1) Registro MX

; In your public DNS zone
@     3600  IN  MX   10 mailgw.example.com.
mailgw 3600  IN  A    203.0.113.25

2) Registro SPF

; Authorize E.F.A's IP and any other legitimate senders
@ 3600 IN TXT "v=spf1 ip4:203.0.113.25 include:_spf.your-saas-mailer.com -all"

3) Clave DKIM y DNS

Genere un par de claves DKIM en EFA o en su servidor de correo descendente (mantenga la clave privada en el firmante). Publique la clave pública en DNS:

; Example selector "m365" or "efa"
m365._domainkey 3600 IN TXT "v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0B...IDAQAB"

4) Política DMARC

_dmarc 3600 IN TXT "v=DMARC1; p=quarantine; rua=mailto:dmarc-aggregate@example.com; ruf=mailto:dmarc-forensic@example.com; adkim=s; aspf=s; pct=100"

5) Reverso DNS (PTR)

Solicite a su proveedor de servicios de Internet/nube que configure el PTR de 203.0.113.25 a mailgw.example.com. HELO/EHLO debe coincidir con una confirmación de reenvío y reversa. DNS para obtener la mejor reputación.

Configurar el enrutamiento entrante y saliente

Entrante (Internet → EFA → Servidor de correo)

  • Configure su servidor de correo interno como destino/retransmisión en EFA (host:puerto)
  • Habilite la verificación de destinatarios (VRFY/RCPT) a través de LDAP/AD para rechazar usuarios no válidos en el momento SMTP
  • Pruebe enviando un mensaje desde un buzón externo y verifique los registros/cuarentena

Saliente (Servidor de correo → EFA → Internet)

  • Apunte el host inteligente de su servidor de correo interno a EFA (mailgw.example.com:25 o 587)
  • En EFA, configure las IP de remitentes permitidos o la autenticación SMTP para correo saliente
  • Si su ISP requiere un relé, configure EFA para enrutar el correo saliente a través de ese host inteligente con credenciales
# Example Postfix outbound on your internal mail server
relayhost = [mailgw.example.com]:25
smtp_tls_security_level = may

Habilitar la validación de destinatarios de directorio/LDAP

La validación de destinatarios contra AD/LDAP bloquea las direcciones no válidas rápidamente, reduciendo el spam y ahorrando dinero. CPU.

  • Configurar el servidor LDAP (ldaps://dc1.example.com:636)
  • Vincular DN: CN=lector-ldap,OU=Servicio,DC=ejemplo,DC=com
  • DN base: DC=ejemplo,DC=com
  • Filtrar: buscar direcciones proxy/atributos de correo
(|(mail=%s)(proxyAddresses=smtp:%s)(proxyAddresses=SMTP:%s))

Ajustar las políticas de spam y virus

  • Habilite ClamAV con actualizaciones de firma frecuentes
  • Activar RBL/URIBL sanos: Spamhaus (servicio de consulta de datos), Abuse.ch, etc.
  • Lista gris: Útil para organizaciones pequeñas; evaluar el impacto del correo de gran volumen
  • Umbrales de cuarentena: Establecer una tasa baja de falsos positivos; notificar a los usuarios con resúmenes diarios
  • Utilice reglas personalizadas para la suplantación de marca, archivos adjuntos ejecutables y patrones basados ​​en el idioma.
# /etc/mail/spamassassin/local.cf (example)
required_score 5.0
rewrite_header Subject ***** SPAM *****
report_contact security@example.com
use_bayes 1
bayes_auto_learn 1

# Raise score for executable attachments
header   EXE_ATTACH Content-Type =~ /application\/(x-msdownload|x-exe|x-dosexec)/i
score    EXE_ATTACH 3.5
describe EXE_ATTACH Executable attachment type detected

TLS, certificados y SMTP seguro

Utilice certificados válidos para SMTP y la interfaz de administración para evitar riesgos de degradación y MITM. Automatice la renovación con Let's Encrypt si es posible.

# Install certbot (example; adjust for your distro)
yum install -y certbot || dnf install -y certbot
certbot certonly --standalone -d mailgw.example.com --agree-tos -m admin@example.com --non-interactive

# Postfix TLS settings
postconf -e "smtpd_tls_cert_file=/etc/letsencrypt/live/mailgw.example.com/fullchain.pem"
postconf -e "smtpd_tls_key_file=/etc/letsencrypt/live/mailgw.example.com/privkey.pem"
postconf -e "smtpd_tls_security_level=may"
postconf -e "smtp_tls_security_level=may"
systemctl reload postfix

Opcionalmente, publique MTA-STS y TLS-RPT para aplicar la seguridad SMTP moderna y obtener informes.

_smtp._tls 3600 IN TXT "v=TLSRPTv1; rua=mailto:tlsrpt@example.com"

Alta disponibilidad, copias de seguridad y actualizaciones

  • DECIR AH: Implementar dos nodos EFA detrás de un TCP equilibrador de carga or DNS carga basada con prioridades MX iguales; compartir política a través de la configuración manageción
  • Evite los MX secundarios con filtrado más débil, ya que invita a la omisión de spam.
  • Apoyo: Base de datos MailWatch, configuraciones de Postfix/MailScanner/SpamAssassin, claves DKIM y reglas personalizadas
  • Cadencia del parche: Actualizaciones del sistema operativo semanales; firmas/reglas diarias; lanzamientos de EFA según las directrices del proyecto.

Monitoreo y registros

  • Panel de MailWatch: Principales remitentes, recuentos de rechazados, tendencias de cuarentena
  • Registros del sistema: /var/log/maillog, /var/log/maillog.1, registros del servidor web
  • Alertando: Integración con Syslog/SIEM y alertas por correo electrónico para fallas del servicio
  • Límites de velocidad: Esté atento a las cuentas comprometidas que envían spam saliente
tail -f /var/log/maillog | egrep -i "reject|blocked|error|clam|spam"

Resolución de problemas comunes

  • Bucle de correo: MX apunta a EFA, pero EFA se retransmite a sí mismo. Fije el host de destino a la IP/nombre de host de su servidor de correo interno.
  • No se puede enviar saliente: El puerto 25 está bloqueado por el ISP/nube. Use 587 para acceder a un host inteligente autenticado o solicite el desbloqueo del puerto 25.
  • DKIM falla: Selector incorrecto o clave obsoleta. Regenerar y volver a publicar. DNS; verificar la alineación con el dominio From.
  • Altos falsos positivos: Bajar las puntuaciones de SpamAssassin, incluir en la lista blanca a los remitentes confiables, ajustar los RBL y aprovechar la capacitación por usuario.
  • Retrasos en la lista gris: Deshabilitar para dominios VIP o habilitar la lista blanca automática para remitentes confiables.

Lista de verificación para fortalecer la seguridad

  • Restringir SSH a manageIP de ment; solo autenticación basada en clave
  • Fail2ban o equivalente en SMTP y UI web
  • Deshabilitar servicios no utilizados y cuentas predeterminadas
  • Establecer HELO/EHLO en FCrDNS nombre de host coincidente
  • Bloquear países y redes conocidos como malos, si corresponde
  • Habilitar la aplicación de DMARC (p=cuarentena o p=rechazo) después de la supervisión

Ejecutar EFA en YouStable (Opcional)

Si necesita una reputación de IP limpia, rDNS configuración y puertos garantizados, implemente EFA en un YouStable VPS o Servidor Dedicado Nuestras soluciones comerciales manageEl firewall, la monitorización 24×7 y la red respaldada por SLA lo ayudan a mantener alta la capacidad de entrega de correo mientras usted se concentra en la política, no en la instalación.

Lista de verificación de validación de extremo a extremo

  • Entrante: Llega un correo electrónico de prueba externo; el spam se etiqueta o se pone en cuarentena
  • Saliente: El mensaje de prueba pasa la alineación SPF, DKIM y DMARC
  • DNS: MX/SPF/DKIM/DMARC/PTR verificados mediante MXToolbox o herramientas de código abierto
  • TLS: Se ofrece STARTTLS; cifrados modernos; se entrega TLS-RPT
  • Validación del destinatario: Usuario inexistente rechazado en RCPT TO
  • Informes: Resúmenes diarios de cuarentena y estadísticas del panel visibles

Preguntas Frecuentes

¿Sigue siendo la EFA una buena opción en 2026?

Sí, EFA sigue siendo una puerta de enlace de seguridad de correo electrónico práctica y de código abierto con un mantenimiento adecuado. Asegúrese de ejecutar la última versión compatible con la comunidad, aplicar actualizaciones del sistema operativo y de firmas, y reforzar la máquina virtual. Si necesita soporte comercial o agrupación en clústeres, compare alternativas como Proxmox Mail Gateway o servicios de seguridad de correo electrónico en la nube.

¿Qué puertos deben estar abiertos para la EFA?

Abra el puerto TCP 25 para SMTP, los puertos 80/443 para ACME y la interfaz web, y opcionalmente los puertos 465/587 si proporciona envío seguro. Restringir SSH (22) a manageSolo direcciones IP de ment. Se requieren direcciones de salida 25/80/443 para enviar correo y obtener actualizaciones.

¿Apunto MX a EFA o a mi servidor de correo?

Apuntar MX a EFAEFA retransmite el correo limpio a su servidor interno. Esto garantiza que todo el correo entrante se analice antes de su entrega, lo que mejora la seguridad y reduce la carga en sus servidores de correo.

¿Cómo puedo evitar los falsos positivos?

Comience con puntuaciones de SpamAssassin conservadoras (p. ej., 5.0), habilite listas blancas por usuario y ajuste el uso de RBL. Supervise las cuarentenas, libere y entrene correo no deseado/spam, y ajuste las reglas personalizadas. Revise los filtros de idioma y archivos adjuntos para evitar bloquear flujos de trabajo legítimos.

¿Debo ejecutar un MX secundario?

Evite un MX secundario más débil; los spammers suelen atacarlo. Si necesita redundancia, implemente dos nodos EFA detrás de un balanceador de carga o use registros MX de igual prioridad con filtros y políticas idénticos para evitar la omisión.

Con los pasos anteriores, puede instalar y configurar Email Filter Appliance (EFA) con confianza en 2026. Aproveche esta base con monitoreo continuo, ajuste de reglas y operaciones seguras para mantener una capacidad de entrega de primer nivel y protección contra amenazas de correo electrónico en constante evolución.

Compartir via:

Sanjeet Chauhan

Sanjeet Chauhan es bloguero y experto en SEO, dedicado a ayudar a los sitios web a crecer orgánicamente. Comparte estrategias prácticas, consejos prácticos y conocimientos para impulsar el tráfico, mejorar el posicionamiento y maximizar la presencia online.

Deja Tu Comentario

Su dirección de correo electrónico no será publicada. Las areas obligatorias están marcadas como requeridas *

Artículos Relacionados

Ir al Inicio