WAZUH - EMAIL ALERTS

📌 ¿Qué son las email alerts por SMTP en Wazuh empleando Postfix?

Las email alerts por SMTP en Wazuh son un mecanismo que permite que Wazuh envíe notificaciones por correo electrónico cuando se genera una alerta que cumple con ciertas condiciones predefinidas (por ejemplo, un intento de acceso no autorizado, un cambio en un archivo crítico, la detección de malware, etc.).

👉 Estas notificaciones permiten que el equipo de sistemas o de seguridad esté informado en tiempo real de los incidentes más importantes, sin necesidad de estar consultando constantemente el panel de Wazuh o el SIEM.

Cuando empleamos Postfix, estamos usando este popular agente de transporte de correo (MTA, Mail Transfer Agent) para enviar esos correos desde el propio servidor donde está instalado Wazuh o desde un relay de correo configurado para tal fin.

⚙️ ¿Cómo funciona el envío de alertas por correo en Wazuh + Postfix?

El flujo básico es el siguiente:

1️⃣ Wazuh detecta un evento de interés:

Por ejemplo, un intento fallido de inicio de sesión, un cambio en un archivo monitorizado por FIM, un archivo malicioso detectado por VirusTotal.

2️⃣ El rules engine de Wazuh genera una alerta:

Esta alerta se registra y se clasifica con un nivel de severidad.

3️⃣ El módulo de notificación por email de Wazuh prepara el mensaje:

Si la alerta coincide con las reglas configuradas para envío de email (por ejemplo, alertas con nivel >= 10), se genera un correo con la información de la alerta.

4️⃣ Postfix actúa como agente de transporte:

Wazuh invoca Postfix (u otro MTA configurado) para entregar el correo al destinatario especificado, utilizando el protocolo SMTP.

5️⃣ El correo llega al destinatario:

El responsable de seguridad o sistemas recibe el aviso en su bandeja de entrada.

📝 ¿Qué contiene el correo de alerta?

El correo enviado por Wazuh suele incluir:

• ID de la alerta.

• Fecha y hora del evento.

• Nivel de la alerta (severity).

• Descripción de la alerta.

• IPs o usuarios implicados.

• Ruta de los archivos afectados (en alertas FIM).

• Enlace al panel de Wazuh o instrucciones de respuesta (opcional).

🌐 ¿Qué es Postfix y por qué se usa con Wazuh?

Postfix es un agente de transporte de correo (MTA) muy utilizado en servidores Linux para enviar y recibir correos electrónicos.

👉 En el contexto de Wazuh, Postfix se emplea para:

• Envío local de correos generados por el servidor (no se necesita un servicio externo como Gmail o un servidor Exchange).

• Usar el servidor Wazuh como relay para enviar los correos a través de un servidor de correo externo (por ejemplo, el de la organización).

• Garantizar la entrega mediante protocolos estándar (SMTP) y permitir control y registro del envío.

🌟 Ventajas de usar Postfix para email alerts en Wazuh

✅ Autonomía: el servidor Wazuh puede enviar alertas directamente sin depender de servicios externos.

✅ Flexibilidad: Postfix permite enrutar los correos como quieras (por ejemplo, usar un relay corporativo).

✅ Seguridad: puedes cifrar el envío, autenticarte frente al servidor de destino y registrar toda la actividad.

✅ Integración sencilla con Wazuh: Wazuh está preparado para trabajar con MTAs estándar como Postfix.

⚠️ Limitaciones o consideraciones

• 🌐 El servidor debe estar autorizado a enviar correos (si no, tus mensajes pueden ser rechazados como spam).

• ⚙️ Requiere configuración adecuada de DNS (SPF, DKIM, DMARC) si quieres enviar correos directamente a Internet.

• 📥 Las alertas por correo deben estar bien filtradas para evitar inundar la bandeja de entrada con mensajes irrelevantes.

✅ Resumen

Las email alerts por SMTP en Wazuh usando Postfix permiten que el servidor de Wazuh envíe notificaciones automáticas por correo electrónico cuando se producen alertas relevantes. Esto se logra mediante la configuración de Postfix como MTA en el servidor, combinando la capacidad de detección de Wazuh con el envío seguro y controlado de mensajes hacia los administradores de seguridad o sistemas.

⚙️ Estructura de red