# Esfuerzos de estandarizacin en autenticacin de correo > [! nota]- > El contenido de esta página se ha generado a partir de la transcripción de audio/vídeo y la transformación del texto del contenido y los enlaces de esta fuente. Fuente: [https://fosdem.org/2025/schedule/event/fosdem-2025-4888-authentication-and-autoconfig-for-email-update-on-standardization-efforts/](https://fosdem.org/2025/schedule/event/fosdem-2025-4888-authentication-and-autoconfig-for-email-update-on-standardization-efforts/) <video src=«https://video.fosdem.org/2025/k4601/fosdem-2025-4888-authentication-and-autoconfig-for-email-update-on-standardization-efforts.av1.webm» controls></video> ## Resumen y aspectos destacados: **Resumen breve** La sesión aborda los avances en la estandarización de la autenticación y autoconfiguración de correos electrónicos, centrándose en la eliminación de contraseñas mediante el uso de OAuth2 y Passkeys. Se discuten los desafíos actuales y las propuestas para mejorar la interoperabilidad y seguridad en clientes de correo. **Autenticación y Autoconfiguración** La sesión destaca los esfuerzos de estandarización para la autoconfiguración y autenticación de dos factores (2FA) en correos electrónicos. Se analizan los borradores de RFC actuales y las decisiones estratégicas que favorecen a proveedores de correo o clientes de correo. Se invita al público a participar en encuestas sobre estas decisiones. **Problemas con OAuth2** Se identifican múltiples problemas con OAuth2, como la necesidad de registro de clientes, la expiración de tokens y la falta de un protocolo definido. Estas complicaciones dificultan su implementación en clientes de correo, especialmente para pequeños proveedores y usuarios preocupados por la privacidad. **Propuesta de Passkeys** Se presenta una alternativa usando Passkeys, que ofrece una autenticación más segura y menos dependiente de navegadores web. Sin embargo, se necesita desarrollo adicional para implementar gestores de Passkeys en sistemas operativos, especialmente en Linux. **Conclusiones y Llamado a la Acción** La sesión concluye con un llamado a la comunidad para desarrollar soluciones de autenticación más abiertas y accesibles, que promuevan la interoperabilidad y la competencia justa entre proveedores de servicios de correo. ## Importancia para una transformación ecosocial La sesión es altamente relevante para la transformación ecosocial, ya que promueve prácticas de seguridad más sostenibles y accesibles que pueden reducir la dependencia de grandes corporaciones tecnológicas. Los diseñadores ecosociales pueden aplicar estas soluciones para crear herramientas de comunicación más seguras y respetuosas con la privacidad. Sin embargo, se enfrentan a retos técnicos como la implementación de estándares abiertos y la integración de soluciones en diferentes plataformas, así como a desafíos sociales y políticos relacionados con la adopción de nuevas tecnologías y la resistencia de actores establecidos. ## Slides: | | | | --- | --- | | ![[FOSDEM 2025/assets/Authentication-and-autoconfig-for-email-Update-on-/preview_001.jpg\|300]] | La primera diapositiva introduce el tema de la autenticación multifactor para clientes de correo, planteando la pregunta de cómo eliminar las contraseñas. El presentador, Ben Bucksch, aborda los problemas actuales con las contraseñas y sugiere alternativas más seguras. | ![[FOSDEM 2025/assets/Authentication-and-autoconfig-for-email-Update-on-/preview_002.jpg\|300]] | La segunda diapositiva ofrece información sobre Ben Bucksch, destacando su experiencia en la infraestructura de autenticación de Thunderbird, su papel en la creación del estándar de autoconfiguración y sus diversas implementaciones de OAuth2 para clientes de correo. También se menciona su contribución al proyecto Thunderbird y su experiencia como consultor. | ![[FOSDEM 2025/assets/Authentication-and-autoconfig-for-email-Update-on-/preview_003.jpg\|300]] | La tercera diapositiva enumera los requisitos desde el punto de vista del usuario final para la configuración de correo electrónico. Destaca la necesidad de una configuración sencilla con dirección de correo y autenticación, la continuidad en la recepción de correos sin interrupciones y la seguridad contra accesos no autorizados. | ![[FOSDEM 2025/assets/Authentication-and-autoconfig-for-email-Update-on-/preview_004.jpg\|300]] | La cuarta diapositiva explica cómo la autoconfiguración ha funcionado durante 15 años, utilizada por más de 10 clientes de correo y numerosos dominios. Se menciona que la autoconfiguración es un borrador adoptado por el IETF y que se espera que pronto se convierta en un RFC. Se anuncian dos sitios web, ISPDB y autoconfigure.email, para facilitar la configuración. | ![[FOSDEM 2025/assets/Authentication-and-autoconfig-for-email-Update-on-/preview_005.jpg\|300]] | La quinta diapositiva proporciona un ejemplo de configuración XML para autoconfiguración de correo utilizando OAuth2, mostrando cómo se estructuran los datos como el nombre de host, el tipo de servidor y los detalles de autenticación. Se incluye un enlace a la especificación completa. | ![[FOSDEM 2025/assets/Authentication-and-autoconfig-for-email-Update-on-/preview_006.jpg\|300]] | La sexta diapositiva introduce PACC, una propuesta de autoconfiguración que utiliza DNS SRV y JSON. Aunque asume algunas 'mejores prácticas', como que el nombre de usuario de IMAP sea igual a la dirección de correo electrónico, requiere que los proveedores de correo adapten su configuración, lo que limita su aplicabilidad. | ![[FOSDEM 2025/assets/Authentication-and-autoconfig-for-email-Update-on-/preview_007.jpg\|300]] | La séptima diapositiva discute la necesidad de eliminar las contraseñas en favor de la autenticación multifactor. Se señalan los problemas de OAuth2 para clientes de correo y se menciona Passkey como una posible solución. | ![[FOSDEM 2025/assets/Authentication-and-autoconfig-for-email-Update-on-/preview_008.jpg\|300]] | La octava diapositiva detalla los principales problemas de OAuth2, como la configuración, el registro de clientes y la expiración de tokens. Se resalta que OAuth2 es un marco suelto y no un protocolo, lo que complica su estandarización. | ![[FOSDEM 2025/assets/Authentication-and-autoconfig-for-email-Update-on-/preview_009.jpg\|300]] | La novena diapositiva aborda cómo OAuth2 no especifica cómo obtener la configuración necesaria, lo que resulta en URLs codificadas que solo funcionan con grandes proveedores como Google y Microsoft. Se sugieren soluciones como OpenID Connect y autoconfiguración. | ![[FOSDEM 2025/assets/Authentication-and-autoconfig-for-email-Update-on-/preview_010.jpg\|300]] | La décima diapositiva trata sobre las dificultades del registro de clientes en OAuth2, calificándolo de anticompetitivo ya que los ISPs pueden complicar o imposibilitar el registro, lo que va en contra de la filosofía del código abierto. | ![[FOSDEM 2025/assets/Authentication-and-autoconfig-for-email-Update-on-/preview_011.jpg\|300]] | La undécima diapositiva critica la dependencia de OAuth2 en navegadores web interactivos, lo que excluye a muchos clientes que no tienen interfaz de usuario. Se sugiere una solución basada en desafío/respuesta para evitar esta dependencia. | ![[FOSDEM 2025/assets/Authentication-and-autoconfig-for-email-Update-on-/preview_012.jpg\|300]] | La duodécima diapositiva señala la falta de fiabilidad de OAuth2, ya que no especifica un inicio de sesión real y carece de garantías sólidas. Los usuarios tienden a culpar a la interfaz de usuario o al cliente de correo por los problemas. | ![[FOSDEM 2025/assets/Authentication-and-autoconfig-for-email-Update-on-/preview_013.jpg\|300]] | La décimotercera diapositiva discute los problemas de expiración de tokens en OAuth2, lo que puede interrumpir tareas como la copia de correos electrónicos. Esto hace que los clientes de correo necesiten manejar complejas APIs de biblioteca. | ![[FOSDEM 2025/assets/Authentication-and-autoconfig-for-email-Update-on-/preview_014.jpg\|300]] | La decimocuarta diapositiva aborda el manejo de errores en OAuth2, destacando la falta de mensajes de error detallados y específicos para el usuario final, lo que deja al cliente de correo sin saber cómo proceder. | ![[FOSDEM 2025/assets/Authentication-and-autoconfig-for-email-Update-on-/preview_015.jpg\|300]] | La decimoquinta diapositiva compara contraseñas y OAuth2, destacando la simplicidad y previsibilidad de las contraseñas. Se menciona la necesidad de un 2FA definido para clientes de correo, proponiendo Mauth y autoconfiguración. | ![[FOSDEM 2025/assets/Authentication-and-autoconfig-for-email-Update-on-/preview_016.jpg\|300]] | La decimosexta diapositiva presenta un borrador de perfil de OAuth para clientes públicos abiertos, que define el flujo exacto del cliente y requiere un registro dinámico de clientes, estableciendo los alcances de OAuth2. | ![[FOSDEM 2025/assets/Authentication-and-autoconfig-for-email-Update-on-/preview_017.jpg\|300]] | La decimoséptima diapositiva introduce MAuth, similar a los clientes públicos abiertos, pero con un ID de cliente codificado. No tiene expiración y define códigos de error detallados y alcances específicos para IMAP y SMTP. | ![[FOSDEM 2025/assets/Authentication-and-autoconfig-for-email-Update-on-/preview_018.jpg\|300]] | La decimoctava diapositiva discute Passkey como un estándar SASL, señalando la necesidad de implementaciones gratuitas para evitar el bloqueo por parte de los proveedores. | ![[FOSDEM 2025/assets/Authentication-and-autoconfig-for-email-Update-on-/preview_019.jpg\|300]] | La decimonovena diapositiva explica el flujo de trabajo de SASL Passkey, que incluye la creación de Passkeys en el sitio del ISP y el uso de APIs del sistema operativo para la autenticación en aplicaciones de correo. | ![[FOSDEM 2025/assets/Authentication-and-autoconfig-for-email-Update-on-/preview_020.jpg\|300]] | La vigésima diapositiva llama a la acción para desarrollar software necesario como APIs y librerías para Passkeys en sistemas operativos, destacando la falta de soporte en Linux y la necesidad de evitar el bloqueo de proveedores. ## Enlaces [Slides](https://fosdem.org/2025/events/attachments/fosdem-2025-4888-authentication-and-autoconfig-for-email-update-on-standardization-efforts/slides/238147/OAuth2_an_BjAPFHn.pdf) [Video recording (MP4)](https://video.fosdem.org/2025/k4601/fosdem-2025-4888-authentication-and-autoconfig-for-email-update-on-standardization-efforts.av1.mp4) [Video recording (AV1/WebM)](https://video.fosdem.org/2025/k4601/fosdem-2025-4888-authentication-and-autoconfig-for-email-update-on-standardization-efforts.av1.webm)