CORREO DE PLATAFORMA SEGURA EN DEBIAN

POR:

Vanessa Valenzuela Sandra Carvajal

Lina Tobon Ana Carrillo Erika Uribe

Danilo Gutiérrez Andrés Deossa

Grupo: Network Evolution

Presentado a:

Camilo Andrés zapata Fernando Alonso Quintero

Mauricio Ortiz Morales Nicolás Gallego

Servicio nacional de aprendizaje Regional Antioquia

2009

INDICE

Introducción…………………………………………………….2

Justificación………………………………………………………3

Objetivos…………………………………………………………..4

Marco Teórico……………………………………………………5

Instalación y configuración de postfix…………………7

Host virtuales y dominios virtuales…………………….63

Conclusiones……………………………………………………..69

Net grafía………………………………………………………….70

1

INTRODUCCIÓN

Este proyecto busca servir como guía para la instalación y configuración de

una plata forma de correo segura, utilizando postfix, dovecot, amavis,

entre otros. Además instalar y configurar un servidor de directorio para

autenticar y almacenar la base de datos de los usuarios. El servicio de

directorio que utilizaremos es el MDS (Mandriva directory server) y la base

de datos de OPENLDAP.

Para la realización de este manual se tuvieron en cuenta múltiples

manuales que nos sirvieron de ayuda para lograr este objetivo. El servidor

de correo hoy en día es un servicio muy utilizado ya que en los años

anteriores era utilizado el correo en papel hoy en día aun se utiliza pero

no con la misma frecuencia con que se hacía en un pasado el correo

electrónico tiene la ventaja de ser instantáneo solo tarda unos minutos en

llegar a su destino mientras el correo en papel puede demorar días.

Con este proyecto se busca dar un vistazo al funcionamiento de un

sistema de correo.

2

JUSTIFICACION

Este proyecto se pensó hacer con los siguientes fines, adquirir

conocimiento en la parte administrativa de sistemas de correos, conocer

su funcionalidad sin dejar a un lado que fue un trabajo para lograr unas

metas propuestas por los instructores que nos va dejar conocimientos

para la parte empresarial. Nos dejo una experiencia para desarrollar en la

empresa en la parte de intranet un sistema de correo ya que funciona

tanto en la internet como intranet, no olvidemos que se debe aprender el

funcionamiento y como está compuesto un sistema de correo.

3

Objetivos

Objetivo general Diseñar, implementar y gestionar una plataforma de correo segura en un sistema operativo Linux. Objetivos específicos:

Aprender a trabajar en equipo

Solucionar problemas

Implementar MDS

Conocer el funcionamiento de un servidor de correo

Adquirir conocimientos en el montaje de un servidor de correo

Hacer pruebas con miras a implementar en la empresa

4

MARCO TEORICO

Postfix: Hasta la fecha el servidor de correo más utilizado en Internet venía siendo sendmail ( el cual incorpora RedHat por defecto ). Postfix proporciona una alternativa a sendmail convirtiéndose en un software de diseño más simple, más modular y más fácil de configurar y administrar. Sendmail sigue siendo una aplicación muy poderosa, estable y ampliamente desarrollada, pero la curva de aprendizaje y los diferentes agujeros de seguridad encontrados, han hecho que muchos administradores valoren otras alternativas. NNTP: (Network News Transport Protocol) es un protocolo inicialmente creado para la lectura y publicación de artículos de noticias en Usenet. Su traducción literal al español es "protocolo para la transferencia de noticias en red". SMTP: (Simple Mail Transfer Protocol) o protocolo simple de transferencia de correo. Protocolo de red basado en texto utilizado para el intercambio de mensajes de correo electrónico entre computadoras u otros dispositivos (PDA's, teléfonos móviles, etc.). IMAP: (Internet Message Access Protocol) Protocolo de Acceso a Mensajes de Internet, el cual se usa para coordinar el estado de los correos electrónicos (leído, eliminado, movido) a través de múltiples clientes de correo electrónico. Con IMAP, se guarda una copia de cada mensaje en el servidor, de manera que esta tarea de sincronización se pueda completar. POP3: (Post Office Protocol) Protocolo de Oficina de Correo, el más antiguo de los dos, que se usa para recuperar el correo electrónico y, en algunos casos, dejar una copia en el servidor. MUA: (Mail User Agent) es un programa que permite leer y escribir correos. Suelen tener muchas funcionalidades que superan la estricta lectura y composición de mensajes, como el mantenimiento de libretas de direcciones, gestión de anexos, gestión de múltiples carpetas para organizar el correo, filtros de correo para borrarlo, responderlo, o

5

redirigirlo a carpetas determinadas, todo ello automáticamente y en función de las características del mensaje, etc. Nombres habituales de MUAs son: mail, elm, pine, kmail (entorno KDE), Netscape Messenger, Microsoft Outlook Express. MTA: (Mail Transport Agent) es un programa encargado de recoger mensajes y enviarlos, comunicando para ello con otros MTA según sea preciso. Lo normal es que funcione como

servicio (es decir, de modo continuo, esperando peticiones de los MUAs o

de otros MTAs y atendiéndolas). En Unix/Linux se implementan como uno

o más demonios. El MTA más famoso y utilizado es sendmail; otros MTAs

son Postfix, QMail.

6

SERVIDOR DE CORREO POSTFIX EN DEBIAN

Dentro de este archivo de configuración pico /etc/hosts vamos a

especificarle el nombre del equipo y el dominio, para esto ingresamos con

un editor de texto así: # nano /etc/hosts

En este fichero esta especificado el nombre de nuestro equipo, dominio y dirección ip.

En nuestro caso sería:

Dominio: evolution.com

Nombre de host: server1

Direccion ip: 192.168.0.10

Ahora ejecutamos el comando echo para que nos redireccione el nombre

de nuestra maquina al fichero /etc/hostname.

7

Ejecutamos el comando reboot para reiniciar el Equipo, esto es con el fin de que nuestra maquina coja los cambios

efectuados anteriormente.

8

Comprobamos que efectivamente al reiniciar nuestra maquina, haya

cogido los cambios que anteriormente le realizamos a nuestra maquina.

Ahora procedamos a configurar el fichero: /etc/fstab

#nano /etc/fstab

En este archivo de configuración vamos a añadir la opción “acl” en el

punto de montaje donde los directorios de SAMBA se almacenaran y los

usuarios de samba tendrán su propia casa. En mi caso la “/”

– el contenido debe ser parecido a este:

9

Ejecutando: # mount –o remount /

Nos remonta los cambios a la raíz.

10

Ejecutando este comando podemos visualizar si el acl va bien en el punto

de montaje.

Posteriormente ingresaremos al archivo:

#nano /etc/apt/sources.list En este archivo de configuración ingresaremos

los repositorios que necesitamos para implementar mds y postfix.

11

Seguidamente actualizamos la lista de repositorios ejecutando: #apt-get

update

En el momento de actualizar nuestros repositorios, Nos pedirá la llave que

nos permitirá descargar todos paquetes del repositorio backports. Se la

ingresamos y dejamos que termine de actualizar la lista de repositorios.

12

Completada la actualización de nuestros repositorios procedamos a

instalar los paquetes que se necesitan para el Mds y el postfix, con la

herramienta APT.

Como se puede apreciar, a medida que se van descargando los paquetes

que se necesitan, nos va mostrando el respectivo procedimiento Durante

la instalación de los nuevos paquetes, tendremos que dar respuesta a las

preguntas que allí se nos hagan, para poder culminar con dicha

instalación.

13

Ingresamos una contraseña para el administrador LDAP.

En este punto se nos piden una contraseña para el usuario administrador,

el cual es el encargado de administrar nuestro directorio ldap. Se nos

pedirá repetir la contraseña.

14

Aquí nos advierte de una posible falla de direccionamiento ip, de parte del

servidor dhcp, si estamos de acuerdo con lo expresado allí, le damos

aceptar.

En este paso nos piden Ingresar el nombre de dominio en mi caso:

evolution.com.

15

Seleccione "No" cuando se le pregunte si smb.conf si no queremos que se

modifique la configuración WINS desde DHCP, de lo contrario se puede

decir que sí. En nuestro caso es NO.

Damos aceptar, si estamos de acuerdo con lo que allí se nos indica.

16

El tipo genérico de configuración escogemos la opción sitio de internet.

Se nos pide Ingresar el nombre completo del dominio donde server1 es el

nombre de la maquina donde está el servidor de correo y evolution.com

que es el nombre del dominio.

17

Ingresar el URI (identificador uniforme de recursos) del servidor LDAP, el

cual será: "ldap://127.0.0.1/".

Especificamos el nombre distintivo de la base de búsqueda, es como

quedara ordenado en el árbol jerárquico del ldap.

18

Se nos pide Escoger la versión del LDAP que vamos a utilizar. En nuestro

caso será el 3.

Ingresamos el DN (nombre distintivo) para la cuenta con privilegios de

root con la cual vamos a administrar LDAP. El cual será el admin.

19

Escogeremos las contraseña la cual se utiliza cuando la cuenta root intente

autenticarse al LDAP.

Aquí confirmamos la contraseña para el root en ldap.

20

Le damos aceptar para que modifique el fichero /etc/nsswitch.conf para

que utilice una fuente de datos ldap.

Aquí damos la opción no para que todos los usuarios puedan ver la base

de datos del ldap.

21

Aquí damos la opción no para que todos los usuarios del ldap puedan ser

autenticados.

Ingrese "cn=admin,dc=evolution,dc=com" como cuenta root LDAP.

22

Ingrese la contraseña para el administrador LDAP.

Ahora procedemos a la instalación del servicio dovecot.

Copiamos los archivos del esquema para MMC, mail, SAMBA, printer, DNS y DHCP en el directorio de esquema de LDAP. -cp /usr/share/doc/python-mmc-base/contrib/ldap/mmc.schema /etc/ldap/schema/ -cp /usr/share/doc/python-mmc-base/contrib/ldap/mail.schema /etc/ldap/schema/

23

-zcat/usr/share/doc/python-mmc-base/contrib/ldap/samba.schema.gz /etc/ldap/schema/samba.schema -zcat/usr/share/doc/python-mmc-base/contrib/ldap/printer.schema.gz /etc/ldap/schema/printer.schema -zcat/usr/share/doc/python-mmc-base/contrib/ldap/dnszone.schema.gz /etc/ldap/schema/dnszone.schema -zcat/usr/share/doc/python-mmc-base/contrib/ldap/dhcp.schema.gz /etc/ldap/schema/dhcp.schema

Aquí se incluyen los archivos de esquema en la configuración del ldap.

En este paso damos la clave del administrador ldap para que la encripte.

24

Se des comenta rootdn y se agrega roopw que es el resultado de la

contraseña que encriptamos anteriormente.

25

Se des comenta la línea del indexing… y agregamos las líneas del índex y se

comenta el index objec.

Borramos esta línea:

access to attrs=userPassword,shadowLastChange

Y se remplaza por esta:

access to attrs=userPassword,sambaLMPassword,sambaNTPassword

26

En este archivo de configuración se coloca “127.0.0.1” y se copia el

nombre del dominio.

Reiniciamos el demonio de LDAP para mirar si todo el archivo de

configuración esta bien.

27

Paramos el servicio samba.

Copie el archivo de configuración SAMBA de ejemplo en el directorio

SAMBA...

28

Modificamos los valores subrayados en el archivo en la sección [global].

A demás se agregan las siguientes líneas y cambiamos la opción por no de

la línea ldap delete dn = no.

Agregue la siguiente línea a la sección [homes]: hide files = /Maildir/, y en

la sección public se modifica por samba.

29

En la sección archives se agrega samba.

Aquí se agregan toda la línea del write en el “print”.

Se agrega la última línea del profiles y se agrega toda la sección del

portage.

30

Se da este comando para saber si todo el archivo de configuración del pico

/etc/samba/smb.conf esta bien configurado.

Se da este comando y contraseña del ldap y debería sacar el dominio.

31

Damos el siguiente comando con el nombre del grupo que ya

especificamos en el archivo de configuración /etc/samba/smb.conf y el

comando que vamos a dar es para generar el sid grupo.

32

Con este comando verificamos si reconoce el dominio en el samba.

Reiniciamos el samba para ver si nos muestra un error en algún archivo de

configuración.

33

En el siguiente archivo colocamos el dominio y las contraseñas.

En este archivo de configuración colocamos el SID que nos saco para el

grupo en el ldap igualmente dentro el mismo archivo de configuración

cambiamos algunas cosas como por ejemplo donde esta el dominio como

lo muestra la imagen.

34

Aquí se creara la cuenta para el administrador de igual forma nos pedirá la

contraseña.

Aquí se modifica el uid para la cuenta y adicionalmente será agregado en

el grupo domain users.

35

En este paso configuramos el sistema para usar el directorio ldap para

obtener listas de usuarios y grupos.

Se crean los directorios necesarios para el ldap:

mkdir -p /home/samba/shares/public/

mkdir /home/samba/netlogon/

mkdir /home/samba/profiles/ mkdir /home/samba/partage/ mkdir /home/samba/archives/

36

Se dan los permisos:

Aquí

se agrega el soporte del ldap al pam

En el siguiente archivo de configuración se agregan las siguientes líneas.

37

En el archivo de configuración /etc/pam.d/common-password le vamos

agregar y modificar las siguientes líneas.

Se agrega el archivo de configuración y se organizan las dos últimas líneas.

38

Reiniciamos el equipo con el siguiente comando.

reboot Se da este comando y se le coloca evolution que en este caso es nuestro dominio y pide la contraseña.

Vamos agregar dentro del archivo de configuración /etc/ssl/mail.cnf las

siguientes líneas.

39

Este comando se da para crear el certificado SSL.

Este es el permiso para la llave de modo que solamente el root le sea

permitido leerla.

40

Este directorio se crea para que el postfix sea capaz de autentificar contra

el servidor ldap.

Al siguiente archivo de configuración /etc/default/saslauthd le agregamos

las siguientes líneas.

41

En este archivo de configuración se le cuadra el dominio como se ve a

continuación.

Dentro de este archivo de configuración se le agregan las dos líneas.

42

Mediante este comando se agrega el postfix al grupo sasl.

Reiniciamos el salsauthd.

43

Con este comando creamos los usuarios virtuales.

En este archivo de configuración /etc/postfix/main.cf se especifica el

dominio y el nombre de la maquina.

44

Aquí se edita la configuración del alias ldap y se le coloca el domino.

Dentro de este archivo de configuración /etc/postfix/master.cf se le

agregan todas las líneas mencionadas.

45

Reiniciamos el servidor postfix.

46

Se le da este comando para re direccionar el dovecot.conf.

En este archivo de configuración se le agrega el dominio.

Este comando se da para re direccionar.

47

Este archivo de configuración debe cambiarle el dominio y dejar lo de mas

como esta.

Este comando seda para darle los permisos al dovecot.

48

Reiniciamos el dovecot.

Esta es la configuración del amavis por donde el servidor de correo

mandara primero los correos para ser revisados.

49

Este archivo de configuración es para descomprimir toda la información

que pasa por el use strict.

Luego con este comando agregamos el usuario clamav al grupo amavis.

50

Reiniciamos el amavis para mirar que todo esté bien dentro de la

configuración.

Reiniciamos el clamav-daemon para mirar si todo marcha bien dentro de

la configuración.

51

Reiniciamos el clamav-freshclam.

En este archivo de configuración se comentaron las dos líneas y se agrego

lo demás.

52

En el siguiente archivo de configuración /etc/spamassassin/v310 se des

comenta la primera línea y se mira que si estén las otras.

loadplugin Mail::SpamAssassin::Plugin::DCC

loadplugin Mail::SpamAssassin::Plugin::Pyzor

loadplugin Mail::SpamAssassin::Plugin::Razor2

loadplugin Mail::SpamAssassin::Plugin::SpamCop

loadplugin Mail::SpamAssassin::Plugin::AWL

loadplugin Mail::SpamAssassin::Plugin::AutoLearnThreshold loadplugin

Mail::SpamAssassin::Plugin::WhiteListSubject loadplugin

Mail::SpamAssassin::Plugin::MIMEHeader

En este paso el archivo de configuración del named.conf que fue

descargado en la siguiente ruta cp /usr/share/doc/python-mmc-

base/contrib/bind/named.conf /etc/bind/ se copia en la esta /etc/bind/.

53

Iniciamos el spamassassin y reiniciamos el amavis:

/etc/init.d/spamassassin start

/etc/init.d/amavis restart

con este comando modificamos el punto de inicio de slapd para que

arranque antes que bind.

update-rc.d -f slapd remove && update-rc.d slapd start 14 2 3 4 5 . update-rc.d-f slapd eliminar & & update-rc.d iniciar slapd 14 2 3 4 5. stop 86 0 1 6 . Parada 86 0 1 6. En este archivo debemos tener configurado el dns que vamos a utilizar para que nos resuelva.

54

Se copia el archivo de configuración modificado en el directorio dhcp3.

cp /usr/share/doc/python-mmc-base/contrib/dhcpd/dhcpd.conf

/etc/dhcp3/

Esta es la copia que se hizo y luego se modifica de acuerdo con la imagen.

En este archivo de configuración se crea el host virtual para la redirección,

al cual se le coloca el domino.

55

Se crea el directorio para apache/ssl

mkdir /etc/apache2/ssl/

Con este comando el certificado ssl es usado por mmc para la interfaz

web.

En este archivo de configuración vamos a colocar el puerto del ssl.

56

Se dan los permisos al apache2 chmod 600/etc/apache2/ssl/server.key

Reiniciamos el apache para mirar que error tenemos en el archivo de configuración. /etc/init.d/apache2 restart Se coloca en el dn el dominio y se le da la contraseña del administrador

del ldap.

En el vDomaiDN se coloca el dominio y se des comenta la línea para

entrega del dovecot.

57

En este archivo se configura la red para la mmc.

58

En este archivo de configuración se le coloca el dominio.

Se reinicia el mmc-agent start.

59

Se reinicia el bind9 para ver si algún archivo de configuración presenta

algún error.

https://server1/evolution.com/ este ya es nuestra consola administrativa

de mandriva.

En este entorno grafico vamos a configurar los servicios gráficamente. Que

sería la consola para la administración de mandriva.

60

En esta imagen muestra que el dns esta bien configurado.

Con el siguiente comando creamos el enlace para el squirrelmail y el

apache2.conf.

ln –s /usr/share/squirrelmail/config/apache.conf

/etc/apache2/conf.d/apache.conf

Así queda configurado el squirrelmail.

61

Aquí como podemos ver nuestro servidor de correo quedo funcionando.

62

HOST VIRTUALES Y DOMINIOS VIRTUALES

En este archivo de configuración /usr/share/doc/python-mmc-

base/contrib/postfix/with-virtual-domains copiamos todos menos main.cf,

y los otros los copiamos en /etc/postfix.

Quedara así, ahora vamos a empezar a modificarlos de tal manera que

queden con el dominio evolution.com.

63

En esta imagen miraremos como se crea el alias para el correo.

Aquí nos confirma que los cambios fueron actualizados con éxito.

Como podemos ver en esta imagen estamos creando el dominio virtual.

64

Esto nos saldrá si hemos creado bien el dominio virtual.

En este archivo de configuración comentamos la línea del chomp($my-

domain=´head…. Y agregamos la siguiente línea que se encuentra

subrayada en la imagen.

65

En este archivo de configuración se des comentaron las líneas del final…

Que están en la parte de debajo de la imagen.

En este archivo de configuración se coloco lo que esta en el recuadro que

es el nivel del spam.

66

En este archivo de configuración se des comentan las líneas subrayadas en

la imagen para cuando llega un spam y dentra marcado

******SPAM******.

67

En esta imagen observamos la palabra “VIAGRA” porque en el servicio de

correo él lo toma como spam.

68

Conclusiones

Durante la instalación del servidor de correo surgieron errores de

instalación y configuración que con la ayuda de manuales y de nuestros

compañeros se lograron resolver de forma exitosa.

En la realización del proyecto en equipo es importante llevar a cabo un

cronograma de trabajo el cual nos permitía delegar tareas y administrar el

tiempo de forma adecuada.

Al término de la realización del proyecto podemos concluir que se han

logrado los objetivos planteados al inicio del proyecto, se han resuelto

muchas dudas, se ha realizado un gran trabajo en equipo y se ha logrado

entender concepto de los cuales no se tenía conocimiento.

69

NET GRAFIA

http://www.howtoforge.com/mandriva-directory-server-on-debian-etch

70