Introducción
Wazuh puede enviar alertas por correo electrónico cuando se disparan reglas específicas. Para ello necesitas configurar un servidor de correo local (Postfix) que reenvíe a través de SMTP de Gmail o Microsoft 365. En este artículo configuramos todo paso a paso.
Video: Alertas por Correo
18 minutos - Postfix + Gmail/Microsoft
Ver en el Curso WazuhAccede al video completo con el curso de Wazuh
Paso 1: Crear contraseña de aplicación en Gmail
Gmail no permite usar tu contraseña normal para SMTP. Necesitas una contraseña de aplicación:
Requisito previo
Debes tener la verificación en dos pasos activada en tu cuenta de Google. Sin esto, no podrás crear contraseñas de aplicación.
- Ve a myaccount.google.com/security
- Activa la Verificación en dos pasos si no la tienes
- Accede directamente a Contraseñas de aplicaciones
- Escribe un nombre descriptivo (ej: "Wazuh SIEM") y haz clic en "Crear"
- Guarda la contraseña de 16 caracteres que te genera (sin espacios)
Paso 2: Instalar y configurar Postfix
Instala Postfix y los módulos SASL para autenticación:
apt update && apt install -y postfix libsasl2-modulesDurante la instalación, selecciona "Internet Site" y escribe el nombre de tu servidor.
Configurar relay a Gmail
Edita /etc/postfix/main.cf y añade al final:
relayhost = [smtp.gmail.com]:587
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_security_options = noanonymous
smtp_tls_security_level = encrypt
smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crtCrear fichero de credenciales
nano /etc/postfix/sasl_passwdAñade esta línea (con tu email y contraseña de aplicación):
[smtp.gmail.com]:587 tucuenta@gmail.com:contraseña_de_16_caracteresProtege el fichero y genera el hash:
chmod 600 /etc/postfix/sasl_passwd
postmap /etc/postfix/sasl_passwd
systemctl restart postfixConfiguración para Microsoft 365
Si usas Microsoft en lugar de Gmail, cambia el relayhost:
relayhost = [smtp.office365.com]:587Y en /etc/postfix/sasl_passwd:
[smtp.office365.com]:587 tucuenta@tudominio.com:tu_contraseñaPaso 3: Configurar alertas en Wazuh
En el servidor Wazuh, edita /var/ossec/etc/ossec.conf y configura las alertas por correo:
<global>
<email_notification>yes</email_notification>
<smtp_server>localhost</smtp_server>
<email_from>wazuh@tuservidor.com</email_from>
</global>Alertas personalizadas por regla
Puedes enviar alertas específicas a destinatarios diferentes según la regla:
<!-- Alerta para regla 100072: Usuario Juan elimina fichero -->
<email_alerts>
<email_to>ResponsableDeInformacion@tudominio.com</email_to>
<rule_id>100072</rule_id>
<format>full</format>
</email_alerts>
<!-- Alerta para regla 100073: IP específica modifica fichero -->
<email_alerts>
<email_to>sistemasTI@tudominio.com</email_to>
<rule_id>100073</rule_id>
<format>full</format>
</email_alerts>Explicación:
email_to: Destinatario del correorule_id: ID de la regla que dispara la alertaformat: "full" incluye todos los detalles del evento
Reinicia el manager:
systemctl restart wazuh-managerProbar el envío
Prueba que Postfix envía correctamente:
echo "Prueba de Wazuh" | mail -s "Test Postfix" tucorreo@ejemplo.comVerifica el log de Postfix:
tail -f /var/log/mail.logResumen
| Proveedor | SMTP Server | Puerto |
| Gmail | smtp.gmail.com | 587 |
| Microsoft 365 | smtp.office365.com | 587 |
Cumplimiento ISO 27001:2022
Configurar alertas por correo en Wazuh contribuye directamente al cumplimiento de varios controles del Anexo A de ISO 27001:2022:
| Control | Nombre | Cómo ayudan las alertas |
| A.5.24 | Planificación y preparación de gestión de incidentes | Notificación inmediata al equipo responsable cuando ocurre un incidente |
| A.5.25 | Evaluación y decisión sobre incidentes | Información detallada en el correo permite evaluar la severidad rápidamente |
| A.5.26 | Respuesta a incidentes de seguridad | Reducción del tiempo de respuesta gracias a alertas en tiempo real |
| A.8.15 | Registro de eventos (Logging) | Los correos sirven como registro secundario de eventos críticos |
| A.8.16 | Actividades de monitorización | Monitorización activa con notificación automática a responsables |
Cumplimiento ENS (Esquema Nacional de Seguridad)
Para organizaciones sujetas al ENS (RD 311/2022), las alertas por correo son fundamentales para cumplir con:
| Medida | Nombre | Cómo ayudan las alertas |
| op.mon.1 | Detección de intrusión | Notificación inmediata cuando se detecta actividad sospechosa |
| op.mon.3 | Vigilancia | Sistema de vigilancia activo con escalado a responsables |
| op.exp.7 | Gestión de incidentes | Proceso automatizado de notificación para gestión de incidentes |
| op.exp.9 | Registro de la gestión de incidentes | Los correos proporcionan evidencia documental de las alertas generadas |
Tiempos de respuesta ENS
El ENS establece tiempos máximos de respuesta según la categoría del sistema. Las alertas por correo permiten cumplir con op.mon.3 al garantizar que el personal de seguridad recibe notificaciones en tiempo real, reduciendo drásticamente el tiempo de detección y respuesta.
¿Por qué son importantes las alertas por correo?
- Respuesta rápida: El equipo de seguridad recibe notificaciones inmediatas sin necesidad de revisar el dashboard constantemente
- Escalado automático: Puedes enviar alertas a diferentes responsables según el tipo de incidente
- Evidencia documental: Los correos sirven como registro secundario para auditorías
- Disponibilidad 24/7: Las alertas llegan aunque nadie esté monitorizando activamente
- Cumplimiento normativo: Demuestra que existe un sistema de notificación de incidentes operativo
Próximos pasos
En el curso de Wazuh también vemos cómo configurar alertas a Discord y Slack mediante webhooks. Accede al curso completo.