Para configurar alertas por correo en Wazuh necesitas instalar Postfix como relay SMTP local y conectarlo a Gmail o Microsoft 365 mediante una contraseña de aplicación. Después, configuras en ossec.conf qué reglas disparan el correo y a qué destinatario.
¿Por qué Wazuh necesita Postfix para enviar correos?
Wazuh puede enviar alertas por correo electrónico cuando se disparan reglas específicas. Para ello necesitas configurar un servidor de correo local (Postfix) que reenvíe a través de SMTP de Gmail o Microsoft 365. En este artículo configuramos todo paso a paso.
Video: Alertas por Correo
18 minutos - Postfix + Gmail/Microsoft
Ver en el Curso WazuhAccede al video completo con el curso de Wazuh
¿Cómo crear la contraseña de aplicación en Gmail?
Gmail no permite usar tu contraseña normal para SMTP. Necesitas una contraseña de aplicación:
Requisito previo
Debes tener la verificación en dos pasos activada en tu cuenta de Google. Sin esto, no podrás crear contraseñas de aplicación.
- Ve a myaccount.google.com/security
- Activa la Verificación en dos pasos si no la tienes
- Accede directamente a Contraseñas de aplicaciones
- Escribe un nombre descriptivo (ej: "Wazuh SIEM") y haz clic en "Crear"
- Guarda la contraseña de 16 caracteres que te genera (sin espacios)
¿Cómo instalar y configurar Postfix?
Instala Postfix y los módulos SASL para autenticación:
apt update && apt install -y postfix libsasl2-modulesDurante la instalación, selecciona "Internet Site" y escribe el nombre de tu servidor.
¿Cómo configurar el relay a Gmail?
Edita /etc/postfix/main.cf y añade al final:
relayhost = [smtp.gmail.com]:587
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_security_options = noanonymous
smtp_tls_security_level = encrypt
smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt¿Cómo crear el fichero de credenciales?
nano /etc/postfix/sasl_passwdAñade esta línea (con tu email y contraseña de aplicación):
[smtp.gmail.com]:587 tucuenta@gmail.com:contraseña_de_16_caracteresProtege el fichero y genera el hash:
chmod 600 /etc/postfix/sasl_passwd
postmap /etc/postfix/sasl_passwd
systemctl restart postfix¿Cómo configurar Postfix con Microsoft 365?
Si usas Microsoft en lugar de Gmail, cambia el relayhost:
relayhost = [smtp.office365.com]:587Y en /etc/postfix/sasl_passwd:
[smtp.office365.com]:587 tucuenta@tudominio.com:tu_contraseña¿Cómo configurar las alertas por correo en Wazuh?
En el servidor Wazuh, edita /var/ossec/etc/ossec.conf y configura las alertas por correo:
<global>
<email_notification>yes</email_notification>
<smtp_server>localhost</smtp_server>
<email_from>wazuh@tuservidor.com</email_from>
</global>¿Cómo enviar alertas personalizadas por regla a destinatarios diferentes?
Puedes enviar alertas específicas a destinatarios diferentes según la regla:
<!-- Alerta para regla 100072: Usuario Juan elimina fichero -->
<email_alerts>
<email_to>ResponsableDeInformacion@tudominio.com</email_to>
<rule_id>100072</rule_id>
<format>full</format>
</email_alerts>
<!-- Alerta para regla 100073: IP específica modifica fichero -->
<email_alerts>
<email_to>sistemasTI@tudominio.com</email_to>
<rule_id>100073</rule_id>
<format>full</format>
</email_alerts>Explicación:
email_to: Destinatario del correorule_id: ID de la regla que dispara la alertaformat: "full" incluye todos los detalles del evento
Reinicia el manager:
systemctl restart wazuh-manager¿Cómo probar que el envío de correo funciona?
Prueba que Postfix envía correctamente:
echo "Prueba de Wazuh" | mail -s "Test Postfix" tucorreo@ejemplo.comVerifica el log de Postfix:
tail -f /var/log/mail.logResumen
| Proveedor | SMTP Server | Puerto |
| Gmail | smtp.gmail.com | 587 |
| Microsoft 365 | smtp.office365.com | 587 |
¿Qué controles de ISO 27001:2022 cubre esta configuración?
Configurar alertas por correo en Wazuh contribuye directamente al cumplimiento de varios controles del Anexo A de ISO 27001:2022:
| Control | Nombre | Cómo ayudan las alertas |
| A.5.24 | Planificación y preparación de gestión de incidentes | Notificación inmediata al equipo responsable cuando ocurre un incidente |
| A.5.25 | Evaluación y decisión sobre incidentes | Información detallada en el correo permite evaluar la severidad rápidamente |
| A.5.26 | Respuesta a incidentes de seguridad | Reducción del tiempo de respuesta gracias a alertas en tiempo real |
| A.8.15 | Registro de eventos (Logging) | Los correos sirven como registro secundario de eventos críticos |
| A.8.16 | Actividades de monitorización | Monitorización activa con notificación automática a responsables |
¿Qué medidas del ENS cubre el sistema de alertas por correo?
Para organizaciones sujetas al ENS (RD 311/2022), las alertas por correo son fundamentales para cumplir con:
| Medida | Nombre | Cómo ayudan las alertas |
| op.mon.1 | Detección de intrusión | Notificación inmediata cuando se detecta actividad sospechosa |
| op.mon.3 | Vigilancia | Sistema de vigilancia activo con escalado a responsables |
| op.exp.7 | Gestión de incidentes | Proceso automatizado de notificación para gestión de incidentes |
| op.exp.9 | Registro de la gestión de incidentes | Los correos proporcionan evidencia documental de las alertas generadas |
Tiempos de respuesta ENS
El ENS establece tiempos máximos de respuesta según la categoría del sistema. Las alertas por correo permiten cumplir con op.mon.3 al garantizar que el personal de seguridad recibe notificaciones en tiempo real, reduciendo drásticamente el tiempo de detección y respuesta.
¿Por qué son importantes las alertas por correo en Wazuh?
- Respuesta rápida: El equipo de seguridad recibe notificaciones inmediatas sin necesidad de revisar el dashboard constantemente
- Escalado automático: Puedes enviar alertas a diferentes responsables según el tipo de incidente
- Evidencia documental: Los correos sirven como registro secundario para auditorías
- Disponibilidad 24/7: Las alertas llegan aunque nadie esté monitorizando activamente
- Cumplimiento normativo: Demuestra que existe un sistema de notificación de incidentes operativo
Próximos pasos
En el curso de Wazuh también vemos cómo configurar alertas a Discord y Slack mediante webhooks. Accede al curso completo.