Este proyecto utiliza una arquitectura distribuida que combina servicios en la nube y servidores propios para crear una infraestructura robusta y escalable. Los principales componentes incluyen:
- Cloudflare para gestión de DNS y túneles de seguridad
- AWS EC2 para alojar servicios críticos
- GitHub Pages para el despliegue de la página principal
- Servicios de correo, streaming y descargas alojados en instancias EC2
La configuración DNS es crucial para dirigir el tráfico a los servicios correctos. Utilizamos Cloudflare como nuestro proveedor de DNS principal debido a su rendimiento y características de seguridad.
| Tipo | Nombre | Valor | TTL |
|---|---|---|---|
| SOA | andreavet.cl | aaron.ns.cloudflare.com. dns.cloudflare.com. 2048670054 10000 2400 604800 3600 | 3600 |
| NS | andreavet.cl | aaron.ns.cloudflare.com olivia.ns.cloudflare.com | 86400 |
| A | andreavet.cl | 185.199.111.153 185.199.110.153 185.199.109.153 185.199.108.153 | 1 |
| A | mail.andreavet.cl | 23.20.243.69 | 1 |
| AAAA | andreavet.cl | 2606:50c0:8003::153 2606:50c0:8002::153 2606:50c0:8001::153 2606:50c0:8000::153 | 1 |
| CNAME | autodiscover.andreavet.cl | mail.andreavet.cl | 1 |
| CNAME | download.andreavet.cl | 3cae25fd-1a76-4375-ae3e-6d99650c99d5.cfargotunnel.com | 1 |
| CNAME | stream.andreavet.cl | 3cae25fd-1a76-4375-ae3e-6d99650c99d5.cfargotunnel.com | 1 |
| CNAME | www.andreavet.cl | billyflin.github.io | 1 |
| MX | andreavet.cl | 10 mail.andreavet.cl | 1 |
| TXT | andreavet.cl | "v=spf1 a mx ip4:23.20.243.69 ~all" | 3600 |
| TXT | _dmarc.andreavet.cl | "v=DMARC1; p=none; rua=mailto:[email protected]" | 1 |
| TXT | s20241223970._domainkey.andreavet.cl | "k=rsa; p=MIIBIjANBgkqhkiG9..." | 1 |
- El servidor de correo (mail.andreavet.cl) utiliza un certificado TLS gestionado por Let's Encrypt.
- El servidor de streaming utiliza un certificado de Google Trust Services.
- Estas diferencias en los certificados reflejan las distintas necesidades y configuraciones de cada servicio.
SPF (Sender Policy Framework)
El registro SPF (v=spf1 a mx ip4:23.20.243.69 ~all) especifica qué servidores están autorizados a enviar correos electrónicos en nombre del dominio. Esto ayuda a prevenir la suplantación de correo electrónico.
DKIM (DomainKeys Identified Mail)
El registro DKIM (s20241223970._domainkey) contiene la clave pública utilizada para verificar la firma digital en los correos electrónicos salientes. Esto asegura que los mensajes no han sido alterados en tránsito.
DMARC (Domain-based Message Authentication, Reporting, and Conformance)
El registro DMARC (v=DMARC1; p=none; rua=mailto:[email protected]) especifica cómo manejar los correos electrónicos que fallan en las verificaciones SPF o DKIM. En este caso, está configurado en modo de monitoreo (p=none) y envía informes a [email protected].
DMARC se agregó para mejorar la seguridad del correo electrónico y proteger contra la suplantación de identidad. Funciona en conjunto con SPF y DKIM para proporcionar una capa adicional de autenticación y reportes.
Cómo funciona DMARC:
- Cuando se recibe un correo electrónico, el servidor receptor verifica los registros SPF y DKIM.
- Luego, el servidor comprueba la política DMARC del dominio remitente.
- Basándose en esta política, el servidor decide qué hacer con el correo (rechazar, poner en cuarentena o permitir).
- DMARC también proporciona un mecanismo de retroalimentación, enviando informes sobre los correos electrónicos que fallan en la autenticación.
En nuestra configuración actual (p=none), DMARC está en modo de monitoreo, lo que nos permite recopilar datos sobre la autenticación de correos electrónicos sin afectar la entrega. Esto es útil para evaluar el impacto antes de implementar una política más estricta.