Estamos experimentando dificultades. Nuestros ingenieros están trabajando. Consulte status.mailgun.com para obtener actualizaciones en tiempo real.

Preguntas frecuentes: El próximo cambio de la API de dominios eliminará la contraseña SMTP el 1 de noviembre de 2021

Índice
Resumen
Preguntas frecuentes
    ¿Cómo me afecta este cambio?
    ¿Este cambio afectará a mi cuenta de Mailgun?
    ¿Este cambio afectará a los emails que envíe a través de Mailgun?
    ¿Este cambio afectará a la aplicación que tengo integrada con Mailgun?
    No estoy seguro de si mis aplicaciones utilizan la API de dominios para este fin. ¿Cómo puedo averiguarlo?
    ¿En qué consiste exactamente el cambio? ¿Podéis mostrarme un "antes y después"?
    ¿Podéis dar más detalles sobre el motivo de este cambio?
    Genial, pero ¿qué tengo que hacer?
    Antes del 1 de noviembre de 2021, ¿cómo puedo ver mi contraseña SMTP actual?
    Después del 1 de noviembre de 2021, ¿cómo puedo ver mi contraseña SMTP actual?
    He restablecido mi contraseña, pero es demasiado larga para mi aplicación. ¿Puedo acortar o personalizar mi contraseña?
    ¿Podéis hacer esto* por mí? (*personalizar mi contraseña, mostrar qué contraseña estoy usando, arreglar mi aplicación)?
¿Tienes preguntas?

Resumen

A partir del 1 de noviembre de 2021, la API de dominios de Mailgun ya no mostrará el valor de la contraseña dentro del campo smtp_password, que está presente en dos llamadas de API:

  • GET /domains
  • GET /domains/<domain>

Por lo tanto, la contraseña SMTP devuelta en esas llamadas a la dirección postmaster@ de cada uno de tus dominios ya no será visible en texto sin formato, ya que el valor estará encriptado en formato hash. 

En Mailgun nos tomamos en serio la seguridad. Por eso este cambio es parte de nuestros esfuerzos continuos por mantener los máximos niveles de seguridad posibles para proteger a nuestros clientes. El resto de este artículo consta de preguntas frecuentes para abordar cualquier duda o consulta que puedas tener sobre lo que significa para ti este cambio.

Preguntas frecuentes

¿Cómo me afecta este cambio?

Únicamente si tienes alguna aplicación que utilice la API de dominios para ver las contraseñas SMTP de tus credenciales SMTP de Mailgun, esta funcionalidad dejará de ser posible a partir del 1 de noviembre de 2021.

Nota: El plugin WordPress de Mailgun no se ve afectado por este próximo cambio.

 

¿Este cambio afectará a mi cuenta de Mailgun?

No.  Las contraseñas SMTP no se utilizan para la gestión de cuentas. Tu cuenta no se desactivará repentinamente ni se restringirá el inicio de sesión como consecuencia de este cambio.

Nota: El plugin WordPress de Mailgun no se ve afectado por este próximo cambio.

 

¿Este cambio afectará a los emails que envíe a través de Mailgun?

Tampoco.  Las contraseñas actualmente configuradas y almacenadas dentro de Mailgun no cambian como consecuencia de esta modificación. Mailgun no va a cambiar el valor de tus contraseñas SMTP.

Nota: El plugin WordPress de Mailgun no se ve afectado por este próximo cambio.

 

¿Este cambio afectará a la aplicación que tengo integrada con Mailgun?

La respuesta corta: tal vez, pero lo más probable es que no.

Como se mencionó anteriormente en el artículo, este cambio se centra estrictamente en la información que se devuelve al hacer dos solicitudes específicas a la API de dominios.  Si tus aplicaciones no hacen estas llamadas de API, no les afectará; sin embargo, si tus aplicaciones hacen estas llamadas, es posible que la forma en que tu aplicación utiliza los datos facilitados, en concreto el campo smtp_password, haga que este cambio le afecte.

Si se viera afectada, concretamente la forma en que aparecen los errores variará según la aplicación.  Según cómo procese tu aplicación los datos resultantes de estas solicitudes, las posibilidades incluyen la presencia de mensajes de error o páginas/ventanas en blanco en partes de tu aplicación.  Normalmente, si los programas encuentran errores de datos, verás errores 500-599 en la pantalla o en los registros de solución de problemas, y habrá secciones de páginas o de paneles de control que no se mostrarán.

Aunque no podemos ver tu aplicación y, por tanto, entender todo lo que puede hacer, el ejercicio siguiente te servirá para evaluar las posibles consecuencias.

En primer lugar, ¿alguna de tus aplicaciones hace esas llamadas a la API de dominios de Mailgun?

  • Si no lo sabes con seguridad, consulta primero la pregunta siguiente, "No estoy seguro de si mis aplicaciones utilizan la API de dominios para este fin. ¿Cómo puedo averiguarlo?".
  • Si la respuesta es que no, las aplicaciones no se verán afectadas.
  • Si es que sí, hagamos otra pregunta.

En segundo lugar, ¿esas solicitudes de API, junto con cualquier código/lógica posterior en tus aplicaciones que capturen las respuestas, utilizan el campo smtp_password para cualquier procesamiento posterior?

  • Si no estás seguro, esto deberá investigarse más a fondo y confirmarse definitivamente por los recursos técnicos que ayudaron a integrar Mailgun en tu aplicación.
  • Si la respuesta es que no, es muy probable que las aplicaciones no se vean afectadas.
  • En caso afirmativo, es bastante probable que sí se vean afectadas.

Aunque nuestro equipo no puede especificar la configuración exacta o los cambios de programación que puede necesitar cualquier aplicación, podemos destacar que la tarea fundamental será ajustar cualquier código que dependa del campo smtp_password para cualquier funcionalidad de la aplicación.  

Nota: El plugin WordPress de Mailgun no se ve afectado por este próximo cambio.

 

No estoy seguro de si mis aplicaciones utilizan la API de dominios para este fin. ¿Cómo puedo averiguarlo?

La mejor fuente para confirmar esta información será la persona o personas que integraron Mailgun en tus aplicaciones de envíos.  Podría tratarse de un consultor, un desarrollador, tu equipo de TI o un proveedor de servicios (como una plataforma de CRM o un host de servidor).

Nota: El plugin WordPress de Mailgun no se ve afectado por este próximo cambio.

 

¿En qué consiste exactamente el cambio? ¿Podéis mostrarme un "antes y después"?

La funcionalidad de estos dos puntos de conexión de la API de dominios está cambiando la forma en que los datos del campo smtp_password se presentan en la respuesta de la API:

  • GET /domains
  • GET /domains/<domain>

El campo smtp_password de la respuesta de la API contendrá un valor vacío en lugar del valor en texto sin formato de la contraseña SMTP.  Por lo tanto, si tus aplicaciones de envíos han confiado en llamar a estos puntos de conexión para obtener o comprobar las contraseñas SMTP de tus credenciales SMTP de Mailgun, esto ya no será posible a partir de 1 de noviembre de 2021.

Así que recomendamos encarecidamente guardar de forma segura todas las contraseñas SMTP actualmente configuradas, a poder ser mediante el uso de una aplicación de gestión de contraseñas sólida.

Este es el aspecto de la respuesta de la API cuando se envían solicitudes a los dos puntos de conexión:

{
            "created_at": "Wed, 16 Jun 2021 22:47:38 GMT",
            "id": "************************",
            "is_disabled": false,
            "name": "sample.mailgun.com",
            "require_tls": false,
            "skip_verification": false,
            "smtp_login": "postmaster@sample.mailgun.com",
           "smtp_password": "supersecretpassword",
            "spam_action": "disabled",
            "state": "unverified",
            "type": "custom",
            "web_prefix": "email",
            "web_scheme": "http",
            "wildcard": false
        },

Este es el aspecto que tendrá la respuesta de la API el 1 de noviembre de 2021, cuando se envíen solicitudes a los dos puntos de conexión:

{
            "created_at": "Wed, 16 Jun 2021 22:47:38 GMT",
            "id": "************************",
            "is_disabled": false,
            "name": "sample.mailgun.com",
            "require_tls": false,
            "skip_verification": false,
            "smtp_login": "postmaster@sample.mailgun.com",
            "smtp_password": "",
            "spam_action": "disabled",
            "state": "unverified",
            "type": "custom",
            "web_prefix": "email",
            "web_scheme": "http",
            "wildcard": false
        },

Como se ve al comparar los dos ejemplos, el primero muestra el campo smtp_password como una cadena que contiene la contraseña en texto sin formato, mientras que el segundo muestra el campo smtp_password como una cadena vacía.

 

¿Podéis dar más detalles sobre el motivo de este cambio?

Para mejorar nuestras prácticas de seguridad, estamos pasando las contraseñas SMTP al formato hash, al igual que hacemos con todas las demás contraseñas en nuestra plataforma. Debido a esta nueva norma, no podremos mostrar las contraseñas en texto sin formato (y, por tanto, en el campo smtp_password) una vez que se les aplique el formato hash y se almacenen en nuestra base de datos segura.

 

Genial, pero ¿qué tengo que hacer?

En pocas palabras: asegúrate de que tus contraseñas sean conocidas y estén guardadas de forma segura. A continuación, si procede, actualiza tus aplicaciones para dejar de utilizar la contraseña SMTP de texto sin formato devuelta en las dos llamadas de API.

La primera tarea es identificar y luego guardar de forma segura las contraseñas SMTP de todas las credenciales SMTP que existen en tus dominios de Mailgun.  A partir del 1 de noviembre de 2021, no habrá ningún método disponible para ver tus contraseñas SMTP actualmente configuradas.  Además, es posible que desees cotejar los valores de las contraseñas guardados en Mailgun con los valores guardados en tus aplicaciones de envíos o gestores de contraseñas. Si tus aplicaciones enmascaran la contraseña, es posible que desees volver a introducir la contraseña de Mailgun en tu aplicación de envíos.  En resumen, después de guardar de forma segura tu contraseña SMTP, tendrás que actualizar cualquier sistema dependiente.

La segunda tarea es completar la evaluación guiada que se encuentra arriba en la pregunta "¿Este cambio afectará a la aplicación que tengo integrada con Mailgun?".  Si se determina que es probable que así sea debido a que las aplicaciones esperan que la contraseña de texto sin formato esté presente en el campo smtp_password, entonces la aplicación tendrá que actualizarse para no depender más de esa contraseña para funcionar correctamente.  Por lo tanto, será indispensable asegurarse de que tus recursos técnicos actualicen las aplicaciones antes del 1 de noviembre de 2021.

 

Antes del 1 de noviembre de 2021, ¿cómo puedo ver mi contraseña SMTP actual?

Si bien no es posible ver la contraseña SMTP actual dentro del panel de control de Mailgun, es posible mediante el uso de la API de dominios y estos dos puntos de conexión:

  • GET /domains
  • GET /domains/<domain>

Sin embargo, las únicas contraseñas que son visibles con este método son las contraseñas de postmaster@ para tus dominios.  Las contraseñas de cualquier otra credencial SMTP que hayas creado no son visibles por ningún medio.

Por ejemplo, la siguiente petición HTTP GET a la API de dominios recuperará la contraseña SMTP de todos tus dominios dentro de la región especificada (EE. UU. o la UE):

# para todos los dominios de la región de EE. UU.
curl -s --user 'api:TU_CLAVE_DE_API' -G \N
https://api.mailgun.net/v3/domains

# para todos los dominios de la región de la UE
curl -s --user 'api:TU_CLAVE_DE_API' -G \N
https://api.eu.mailgun.net/v3/domains

Este ejemplo (disponible en varios lenguajes de programación) puede encontrarse en nuestra documentación de API (el primer ejemplo).

Para ver la contraseña SMTP de un solo dominio se necesitará una petición HTTP GET diferente:


# si el dominio reside en la región de EE. UU.
curl -s --user 'api:TU_CLAVE_DE_API' -G \
https://api.mailgun.net/v3/domains/TU_NOMBRE_DE_DOMINIO

# si el dominio reside en la región de la UE
curl -s --user 'api:TU_CLAVE_DE_API' -G \6 https://api.eu.mailgun.net/v3/domains/TU_NOMBRE_DE_DOMINIO

El anterior es el segundo ejemplo de la documentación de API mencionada.

 

Después del 1 de noviembre de 2021, ¿cómo puedo ver mi contraseña SMTP actual?

Ya no habrá forma de ver las contraseñas SMTP actuales, ya que estarán encriptadas en formato hash.  La única vez que podrás ver una contraseña SMTP es inmediatamente después de restablecerla. Aparecerá una ventana de notificación de color gris oscuro en la parte inferior derecha del panel de control que te permitirá copiar y pegar la contraseña en tu aplicación y en el gestor de contraseñas.

Para obtener una guía paso a paso para restablecer la contraseña SMTP, consulta la sección "Credenciales SMTP" de este artículo.

Nota: Solo los usuarios con privilegios de "Administrador" dentro de tu cuenta de Mailgun podrán restablecer las contraseñas SMTP.  Para obtener más información sobre las funciones de los usuarios, consulta este artículo.

 

He restablecido mi contraseña, pero es demasiado larga para mi aplicación. ¿Puedo acortar o personalizar mi contraseña?

Si bien no es posible acortar o personalizar la contraseña SMTP dentro del panel de control de Mailgun, es posible mediante el uso de la API de dominios.  Por ejemplo, la siguiente petición HTTP POST a la API de dominios crea un nuevo par de credenciales SMTP (contraseña personalizada incluida): 

# si el dominio y sus credenciales residen en la región de EE. UU.
curl -s --user 'api:TU_CLAVE_DE_API' \
  https://api.mailgun.net/v3/domains/TU_NOMBRE_DE_DOMINIO/credentials \
 -F login='alicia@TU_NOMBRE_DE_DOMINIO' \
  -F password='supersecreta'

# si el dominio y sus credenciales residen en la región de la UE
curl -s --user 'api:TU_CLAVE_DE_API' \
https://api.eu.mailgun.net/v3/domains/TU_NOMBRE_DE_DOMINIO/credentials \N
 -F login='alicia@TU_NOMBRE_DE_DOMINIO' \N
-F password='supersecreta'

Este ejemplo (disponible en varios lenguajes de programación) puede encontrarse en nuestra documentación de API (el sexto ejemplo).

Pero ¿qué ocurre si deseas actualizar un par de credenciales SMTP existentes en lugar de crear un nuevo par de credenciales SMTP? Para actualizar un par de credenciales SMTP existentes con una nueva contraseña personalizada, se necesitará una petición HTTP PUT:

# si el dominio y sus credenciales residen en la región de EE. UU.
curl -s --user 'api:TU_CLAVE_DE_API' -X PUT \
https://api.mailgun.net/v3/domains/TU_NOMBRE_DE_DOMINIO/credentials/alicia \
-F password='abc123'

# si el dominio y sus credenciales residen en la región de la UE
curl -s --user 'api:TU_CLAVE_DE_API' -X PUT \
https://api.eu.mailgun.net/v3/domains/TU_NOMBRE_DE_DOMINIO/credentials/alicia \
-F password='abc123'

El anterior es el séptimo ejemplo de la documentación de API mencionada.

Si Mailgun considera que la contraseña es demasiado corta, verás esta respuesta de la API:

{
"message": "Password is too short."
}

Y si Mailgun considera que la contraseña no es segura, verás esta respuesta de la API:

{
"message": "Password is not secure."
}

La solución en ambos casos es aumentar la complejidad de la contraseña. Para obtener más información sobre contraseñas y seguridad, consulta este artículo del blog.

 

¿Podéis hacer esto* por mí? (*personalizar mi contraseña, mostrar qué contraseña estoy usando, arreglar mi aplicación)

Por desgracia, estaría en contra de las buenas prácticas de seguridad que Mailgun recuperara la contraseña y luego la comunicara a través de nuestros canales de asistencia.  Por este motivo hemos incluido numerosas secciones en este artículo que describen los métodos con los cuales puedes realizar estas acciones. 

Si tienes problemas al utilizar estos métodos para obtener o personalizar tu contraseña, es fundamental que te pongas en contacto con la persona o personas que integraron Mailgun en tus aplicaciones de envíos.  Podría tratarse de un consultor, un desarrollador, tu equipo de TI o un proveedor de servicios (como una plataforma de CRM o un host de servidor).

Es especialmente importante contar con la ayuda de tus recursos técnicos para investigar y reconfigurar cualquier aplicación de envíos afectada. Aunque no podemos especificar la configuración exacta o los cambios de programación que puede necesitar una aplicación determinada, el objetivo principal será ajustar cualquier código que dependa del campo smtp_password para cualquier funcionalidad de la aplicación.  

¿Tienes preguntas?

¡Mailgun by Sinch tiene respuestas! Si todavía te queda alguna duda o pregunta, por favor, abre una incidencia a través de la página de asistencia dentro de tu panel de control de Mailgun.  Nuestro equipo de asistencia estará encantado de ayudarte.