AI SECURITY logo AI SECURITY
Background
Wazuh Alertas Postfix Gmail SMTP Correo

Configurar Alertas por Correo en Wazuh con Postfix y Gmail/Microsoft

Configura Postfix con SMTP de Gmail o Microsoft 365 para enviar alertas de Wazuh. Contraseña de aplicación, email_alerts por regla y destinatarios personalizados.

AI Security
12 min lectura
Background

Introducción

Wazuh puede enviar alertas por correo electrónico cuando se disparan reglas específicas. Para ello necesitas configurar un servidor de correo local (Postfix) que reenvíe a través de SMTP de Gmail o Microsoft 365. En este artículo configuramos todo paso a paso.

Video: Configurar Alertas por Correo
Contenido del curso

Video: Alertas por Correo

18 minutos - Postfix + Gmail/Microsoft

Ver en el Curso Wazuh

Accede al video completo con el curso de Wazuh

Paso 1: Crear contraseña de aplicación en Gmail

Gmail no permite usar tu contraseña normal para SMTP. Necesitas una contraseña de aplicación:

Requisito previo

Debes tener la verificación en dos pasos activada en tu cuenta de Google. Sin esto, no podrás crear contraseñas de aplicación.

  1. Ve a myaccount.google.com/security
  2. Activa la Verificación en dos pasos si no la tienes
  3. Busca Contraseñas de aplicaciones
  4. Selecciona "Correo" y "Otro (nombre personalizado)" → escribe "Wazuh"
  5. Guarda la contraseña de 16 caracteres que te genera

Paso 2: Instalar y configurar Postfix

Instala Postfix y los módulos SASL para autenticación:

apt update && apt install -y postfix libsasl2-modules

Durante la instalación, selecciona "Internet Site" y escribe el nombre de tu servidor.

Configurar relay a Gmail

Edita /etc/postfix/main.cf y añade al final:

relayhost = [smtp.gmail.com]:587
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_security_options = noanonymous
smtp_tls_security_level = encrypt
smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt

Crear fichero de credenciales

nano /etc/postfix/sasl_passwd

Añade esta línea (con tu email y contraseña de aplicación):

[smtp.gmail.com]:587 tucuenta@gmail.com:contraseña_de_16_caracteres

Protege el fichero y genera el hash:

chmod 600 /etc/postfix/sasl_passwd
postmap /etc/postfix/sasl_passwd
systemctl restart postfix

Configuración para Microsoft 365

Si usas Microsoft en lugar de Gmail, cambia el relayhost:

relayhost = [smtp.office365.com]:587

Y en /etc/postfix/sasl_passwd:

[smtp.office365.com]:587 tucuenta@tudominio.com:tu_contraseña

Paso 3: Configurar alertas en Wazuh

En el servidor Wazuh, edita /var/ossec/etc/ossec.conf y configura las alertas por correo:

<global>
  <email_notification>yes</email_notification>
  <smtp_server>localhost</smtp_server>
  <email_from>wazuh@tuservidor.com</email_from>
</global>

Alertas personalizadas por regla

Puedes enviar alertas específicas a destinatarios diferentes según la regla:

<!-- Alerta para regla 100072: Usuario Juan elimina fichero -->
<email_alerts>
  <email_to>ResponsableDeInformacion@tudominio.com</email_to>
  <rule_id>100072</rule_id>
  <format>full</format>
</email_alerts>

<!-- Alerta para regla 100073: IP específica modifica fichero -->
<email_alerts>
  <email_to>sistemasTI@tudominio.com</email_to>
  <rule_id>100073</rule_id>
  <format>full</format>
</email_alerts>

Explicación:

  • email_to: Destinatario del correo
  • rule_id: ID de la regla que dispara la alerta
  • format: "full" incluye todos los detalles del evento

Reinicia el manager:

systemctl restart wazuh-manager

Probar el envío

Prueba que Postfix envía correctamente:

echo "Prueba de Wazuh" | mail -s "Test Postfix" tucorreo@ejemplo.com

Verifica el log de Postfix:

tail -f /var/log/mail.log

Resumen

Proveedor SMTP Server Puerto
Gmail smtp.gmail.com 587
Microsoft 365 smtp.office365.com 587

Próximos pasos

En el curso de Wazuh también vemos cómo configurar alertas a Discord y Slack mediante webhooks. Accede al curso completo.

Background
Volver al blog