El correo electrónico nació en una internet inocente, sin cifrado: los mensajes viajaban en texto claro, legibles para cualquiera que los interceptara en el camino. Hoy eso es inaceptable, y TLS —el mismo cifrado que protege los sitios web— también protege el correo. Pero el correo lo hace a su manera, con dos estilos distintos de activar el cifrado y con puertos propios para cada fase. Configurar el correo sin entender esto lleva a dos malos finales: creer que estás cifrado cuando no lo estás, o pelear sin saber por qué no conecta. Este artículo cierra el círculo entre el viaje del correo y el cifrado TLS.
Por qué cifrar el correo (dos momentos distintos)
Hay que separar dos cosas que la gente confunde. TLS en el correo protege el mensaje mientras viaja entre tu dispositivo y el servidor, y entre servidores. Eso evita que alguien en la red —un WiFi público, un punto intermedio— lea o robe tus mensajes y, sobre todo, tus credenciales al conectarte. Lo que TLS no hace es cifrar el mensaje guardado en el buzón ni garantizar que el destinatario final lo reciba cifrado de punta a punta —eso es otra tecnología (cifrado de extremo a extremo, como S/MIME o PGP)—. TLS protege el transporte, que ya es muchísimo y es lo mínimo indispensable.
Los dos estilos: implícito y STARTTLS
Aquí está el punto que confunde a todos. Hay dos formas de que una conexión de correo use TLS:
- TLS implícito. La conexión va cifrada desde el primer segundo. Se conecta a un puerto dedicado que asume cifrado siempre. Es directo y sin ambigüedad: o cifra, o no conecta.
- STARTTLS. La conexión empieza en texto claro y luego se "actualiza" a cifrada mediante un comando (STARTTLS) que le dice al servidor "cambiemos a TLS ahora". Si ambos lados lo soportan, la conexión se cifra a partir de ahí. Su ventaja histórica: permite usar el mismo puerto para conexiones cifradas y no cifradas. Su riesgo: si está mal configurado o alguien fuerza que "falle" la actualización, la conexión podría quedarse en texto claro sin que te des cuenta.
Ninguno es "el malo": ambos, bien configurados, cifran correctamente. Lo importante es exigir el cifrado (que el cliente no acepte quedarse en claro) y usar versiones modernas de TLS.
El mapa de puertos (para no configurar a ciegas)
Cada fase del correo tiene sus puertos, y saber cuál es cuál evita horas de frustración. Los de uso común hoy:
- Envío (SMTP submission): puerto 587 con STARTTLS (el recomendado para que tu cliente envíe), o 465 con TLS implícito. El viejo 25 queda para la entrega entre servidores, no para que tu cliente envíe.
- Recoger con IMAP: 993 con TLS implícito (recomendado), o 143 con STARTTLS.
- Recoger con POP: 995 con TLS implícito (recomendado), o 110 con STARTTLS.
La regla mnemotécnica: los puertos "cifrados desde el inicio" (465, 993, 995) son los números altos; sus contrapartes con STARTTLS (587, 143, 110) permiten empezar en claro. Cuando configures una cuenta, usar los puertos cifrados y verificar que el cliente exige TLS es lo que te mantiene protegido.
La conexión con la entregabilidad
Un beneficio extra de tener bien el TLS del correo: cada vez más servidores prefieren —y algunos exigen— cifrado en la entrega entre servidores, y el conjunto de tu higiene técnica (TLS, autenticación, PTR) construye tu reputación. Cifrar bien no solo protege: es parte de verse como un remitente serio y no como uno sospechoso. Montar el correo con todo esto resuelto es lo que distingue a un correo empresarial bien hecho de uno improvisado.