24/11/2015 Instalación y configuración de Postfix y Dovecot con soporte para TLS y autenticación. ­ Alcance Libre

http://www.alcancelibre.org/staticpages/index.php/como­postfix­tls­y­auth 1/11

Si algunos de nuestros foros, manuales, ALDOS, paquetería o proyectos te han resultado de ayuda, apreciaremos mucho nos apoyes con un donativo.

Instalación y configuración de Postfix y Dovecot con soporte para TLS y autenticación.

Autor: Joel Barrios DueñasCorreo electrónico: darkshram en gmail punto comSitio de Red: http://www.alcancelibre.org/Jabber ID: darkshram@jabber.org

Creative Commons Reconocimiento‐NoComercial‐CompartirIgual 2.1

Introducción.

Es imprescindible primero estudiar y comprender, los conceptos descritos en el documento titulado «Introducción alos protocolos de correo electrónico.»

Acerca de Postfix.

Postfix, originalmente conocido por los nombres VMailer e IBM Secure Mailer, es un popular agente de transporte decorreo (MTA o Mail Transport Agent), creado con la principal intención de ser una alternativa más rápida, fácil deadministrar y segura que Sendmail. Fue originalmente escrito por Wietse Venema durante su estancia en el Thomas J.Watson Research Center de IBM.

URL: http://www.postfix.org/.

Acerca de Dovecot.

Dovecot es un servidor de POP3 e IMAP de fuente abierta que funciona en Linux y sistemas basados sobre Unix™ ydiseñado con la seguridad como principal objetivo. Dovecot puede utilizar tanto el formato mbox como maildir y escompatible con las implementaciones de los servidores UW‐IMAP y Courier IMAP.

URL: http://dovecot.procontrol.fi/.

Acerca de SASL y Cyrus SASL.

SASL (Simple Authentication and Security Layer) es un estructura para la seguridad de datos en protocolos deInternet. Desempareja mecanismos de la autenticación desde protocolos de aplicaciones, permitiendo, en teoría,cualquier mecanismo de autenticación soportado por SASL para ser utilizado en cualquier protocolo de aplicación quecapaz de utilizar SASL. Actualmente SASL es un protocolo de la IETF (Internet Engineering Task Force) que ha sidopropuesto como estándar. Está especificado en el RFC 2222 creado por John Meyers en la Universidad CarnegieMellon.

Cyrus SASL es una implementación de SASL que puede ser utilizada del lado del servidor o del lado del cliente y queincluye como principales mecanismos de autenticación soportados a ANONYMOUS, CRAM‐MD5, DIGEST‐MD5, GSSAPI yPLAIN. El código fuente incluye también soporte para los mecanismos LOGIN, SRP, NTLM, OPT y KERBEROS_V4.

URL: http://asg.web.cmu.edu/sasl/sasl‐library.html.

Acerca de DSA.

DSA (Digital Signature Algorithm o Algoritmo de Firma digital) es un algoritmo creado por el NIST (National Instituteof Standards and Technology o Instituto Nacional de Normas y Tecnología de EE.UU.), publicado el 30 de agosto de

Buscar...

Sondeo

Escritorios alternativosLinux

¿Cuál prefieres?

Voto Resultados

Otros sondeos | 7,631 voters | 2comentarios

Conectados...

Archundiadaniela pizarMisael Rodriguez Usuarios invitados: 1,995

   Nuevo Usuario |  Entrar La libertad del conocimiento al alcance de quien la busca.

 Portada  Foros  Manuales  Descargas  ALDOS  Servicios  Cursos Linux

© 1999‐2015 Joel Barrios Dueñas. Usted es libre de copiar, distribuir y comunicar públicamente la obra y hacer obras derivadas bajo lascondiciones siguientes: a) Debe reconocer y citar al autor original. b) No puede utilizar esta obra para fines comerciales (incluyendo supublicación, a través de cualquier medio, por entidades con fines de lucro). c) Si altera o transforma esta obra o genera una obra derivada,sólo puede distribuir la obra generada bajo una licencia idéntica a ésta. Al reutilizar o distribuir la obra, tiene que dejar bien claro lostérminos de la licencia de esta obra. Alguna de estas condiciones puede no aplicarse si se obtiene el permiso del titular de los derechos deautor. Los derechos derivados de usos legítimos u otras limitaciones no se ven afectados por lo anterior. Licencia completa en castellano. Lainformación contenida en este documento y los derivados de éste se proporcionan tal cual son y los autores no asumirán responsabilidadalguna si el usuario o lector hace mal uso de éstos.

 Xfce

 LXDE

 Razor‐qt

 Enlightenment 0.17

24/11/2015 Instalación y configuración de Postfix y Dovecot con soporte para TLS y autenticación. ­ Alcance Libre

http://www.alcancelibre.org/staticpages/index.php/como­postfix­tls­y­auth 2/11

1991, como propuesta para el proceso de firmas digitales. Se utiliza para firmar información, más no para cifrar ésta.

URL: http://es.wikipedia.org/wiki/DSA

Acerca de RSA.

RSA, acrónimo de los apellidos de sus autores, Ron Rivest, Adi Shamir y Len Adleman, es un algoritmo para elciframiento de claves públicas que fue publicado en 1977, patentado en EE.UU. en 1983 por el el Instituto Tecnológicode Michigan (MIT). RSA es utilizado ampliamente en todo el mundo para los protocolos destinados para el comercioelectrónico.

URL: http://es.wikipedia.org/wiki/RSA

Acerca de X.509.

X.509 es un estándar ITU‐T (estandarización de Telecomunicaciones de la International Telecommunication Union )para infraestructura de claves públicas (PKI o Public Key Infrastructure). Entre otras cosas, establece los estándarespara certificados de claves públicas y un algoritmo para validación de ruta de certificación. Este último se encarga deverificar que la ruta de un certificado sea válida bajo una infraestructura de clave pública determinada. Es decir,desde el certificado inicial, pasando por certificados intermedios, hasta el certificado de confianza emitido por unaAutoridad Certificadora (CA o Certification Authority).

URL: http://es.wikipedia.org/wiki/X.509

Acerca de OpenSSL.

OpenSSL es una implementación libre, de código abierto, de los protocolos SSL (Secure Sockets Layer o Nivel deZócalo Seguro) y TLS (Transport Layer Security o Seguridad para Nivel de Transporte). Está basado sobre el extintoproyecto SSLeay, iniciado por Eric Young y Tim Hudson, hasta que éstos comenzaron a trabajar para la división deseguridad de EMC Corporation.

URL: http://www.openssl.org/

Equipamiento lógico necesario.

Instalar los paquetes postfix, dovecot, cyrus‐sasl y cyrus‐sasl‐plain:

yum ‐y install postfix dovecot cyrus‐sasl cyrus‐sasl‐plain

Si acaso estuviese instalado, elimine el paquete cyrus‐sasl‐gssapi, ya que este utiliza el método de autenticaciónGSSAPI, mismo que requeriría de la base de datos de cuentas de usuario de un servidor Kerberos:

yum remove cyrus‐sasl‐gssapi

De igual manera, si estuviese instalado, elimine el paquete cyrus‐sasl‐md5, ya que este utiliza los métodos deautenticación CRAM‐MD5 y Digest‐MD5, mismos que requerían asignar las claves de acceso para SMTP a través delmandato saslpasswd2. Outlook carece de soporte para estos métodos de autenticación.

yum remove cyrus‐sasl‐md5

Procedimientos.

Todos los procedimientos deben realizarse como el usuario root.

Definiendo Postfix como agente de transporte de correo predeterminado.

El mandato alternatives, con la opción alternatives‐‐config mta, se utiliza para conmutar el servicio de correoelectrónico del sistema y elegir que paquete utilizar. Sólo es necesario utilizar éste si previamente estaban instaladosSendmail o Exim. Sí este es el caso, ejecute lo siguiente desde una terminal y defina Postfix como agente detransporte de correo (MTA, Mail Transport Agent), seleccionado éste.

alternatives ‐‐config mta

Lo anterior devolverá una salida similar a la siguiente, donde deberá elegir entre postfix y sendmail como MTApredeterminado del sistema:

24/11/2015 Instalación y configuración de Postfix y Dovecot con soporte para TLS y autenticación. ­ Alcance Libre

http://www.alcancelibre.org/staticpages/index.php/como­postfix­tls­y­auth 3/11

Hay 2 programas que proporcionan 'mta'.

  Selección    Comando‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐*+ 1           /usr/sbin/sendmail.postfix   2           /usr/sbin/sendmail.sendmail

Presione Intro para mantener la selección actual[+] o escriba el número de la selección:  1

Si estuviera presente sendmail, detenga éste (es el MTA predeterminado en CentOS 5 y Red Hat Enterprise Linux 5)e inicie postfix:

service sendmail stopchkconfig sendmail offservice postfix startchkconfig postfix on

SELinux y Postfix.

A fin de que SELinux permita a Postfix escribir el el directorio de entrada de correo electrónico (/var/spool/mail/), esnecesario habilitar la siguiente política:

setsebool ‐P allow_postfix_local_write_mail_spool 1

Solo en CentOS 5 y Red Hat Enterpise Linux 5, a fin de que SELinux permita la lectura de correo electrónico, esnecesario habilitar la siguiente política:

setsebool ‐P mail_read_content 1

En CentOS 6 y Red Hat Enterpise Linux 6, esta política dejó de existir, pues se volvió innecesaria.

Configuración de Postfix.

Generando firma digital y certificado para ambos servicios.

Acceda al directorio /etc/pki/tls/.

cd /etc/pki/tls/

La creación de la firma digital y certificado requiere utilizar una clave con algoritmo RSA de 4096 octetos (bits), conestructura X.509 y sin DES. En el ejemplo a continuación, se establece una validez por 1825 días (cinco años) para elcertificado creado:

openssl req ‐sha256 ‐x509 ‐nodes ‐newkey rsa:4096 ‐days 1825 \    ‐out certs/dominio.tld.crt ‐keyout private/dominio.tld.key

Lo anterior solicitará se ingresen varios datos:

Código de dos letras para el país.

Estado o provincia.

Ciudad.

Nombre de la empresa o razón social.

Unidad o sección.

Nombre del anfitrión.

Dirección de correo.

La salida debe devolver algo similar a lo siguiente:

24/11/2015 Instalación y configuración de Postfix y Dovecot con soporte para TLS y autenticación. ­ Alcance Libre

http://www.alcancelibre.org/staticpages/index.php/como­postfix­tls­y­auth 4/11

Generating a 1024 bit DSA private keywriting new private key to 'smtp.key'‐‐‐‐‐You are about to be asked to enter information that will beincorporated into your certificate request.What you are about to enter is what is called a Distinguished Nameor a DN.There are quite a few fields but you can leave some blankFor some fields there will be a default value,If you enter '.', the field will be left blank.‐‐‐‐‐Country Name (2 letter code) [GB]:MXState or Province Name (full name) [Berkshire]:Distrito FederalLocality Name (eg, city) [Newbury]:MexicoOrganization Name (eg, company) [My Company Ltd]:Empresa, S.A. de C.V.Organizational Unit Name (eg, section) []:Direccion ComercialCommon Name (eg, your name or your server's hostname) []:*.dominio.tldEmail Address []:webmaster@dominio.com

Si definió un nombre de anfitrión absoluto (ejemplo: mail.dominio.tld), el certificado sólo será válido cuando elservidor de correo electrónico sea invocado con el nombre definido en el campo Common Name. Es decir, sólo podráutilizarlo cuando se defina mail.dominio.tld como servidor SMTP/IMAP/POP3 con soporte TLS desde el cliente decorreo electrónico. Funcionará incorrectamente si se invoca al servidor como, por mencionar un ejemplo,correo.dominio.tld. Es por eso que se sugiere utilizar *.dominio.com si se planea acceder hacia el mismo servidorcon diferentes subdominios del mismo dominio.

A fin de facilitar a los clientes de correo electrónico el poder gestionar una futura actualización de certificado,conviene añadir una huella distintiva indubitable (fingerprint) al certificado.

openssl x509 ‐subject ‐fingerprint ‐noout ‐in certs/dominio.tld.crt

Es indispensable que todos los archivos de claves y certificados tengan permisos de acceso de sólo lectura para elusuario root:

chmod 400 certs/dominio.tld.crt private/dominio.tld.key

Regrese al directorio de inicio del usuario root.

cd

Archivo de configuración /etc/postfix/master.cf.

Editar el archivo /etc/postfix/master.cf:

vim /etc/postfix/master.cf

Si utiliza CentOS 5 o Red Hat Enterprise Linux 5, debe descomentar las siguientes líneas resaltadas en negrita:

smtp      inet  n       ‐       n       ‐       ‐       smtpdsubmission inet n       ‐       n       ‐       ‐       smtpd  ‐o smtpd_enforce_tls=yes  ‐o smtpd_sasl_auth_enable=yes  ‐o smtpd_client_restrictions=permit_sasl_authenticated,rejectsmtps     inet  n       ‐       n       ‐       ‐       smtpd  ‐o smtpd_tls_wrappermode=yes  ‐o smtpd_sasl_auth_enable=yes  ‐o smtpd_client_restrictions=permit_sasl_authenticated,reject

Si utiliza CentOS 6 o Red Hat Enterprise Linux 6, debe descomentar las siguientes líneas resaltadas en negrita:

24/11/2015 Instalación y configuración de Postfix y Dovecot con soporte para TLS y autenticación. ­ Alcance Libre

http://www.alcancelibre.org/staticpages/index.php/como­postfix­tls­y­auth 5/11

smtp      inet  n       ‐       n       ‐       ‐       smtpdsubmission inet n       ‐       n       ‐       ‐       smtpd  ‐o smtpd_tls_security_level=encrypt  ‐o smtpd_sasl_auth_enable=yes  ‐o smtpd_client_restrictions=permit_sasl_authenticated,reject  ‐o milter_macro_daemon_name=ORIGINATINGsmtps     inet  n       ‐       n       ‐       ‐       smtpd  ‐o smtpd_tls_wrappermode=yes  ‐o smtpd_sasl_auth_enable=yes  ‐o smtpd_client_restrictions=permit_sasl_authenticated,reject  ‐o milter_macro_daemon_name=ORIGINATING

Archivo de configuración /etc/postfix/main.cf.

A continuación, se debe editar el archivo /etc/postfix/main.cf:

vim /etc/postfix/main.cf

Respetando el resto del contenido original de este archivo y asumiendo que el nombre de anfitrión del servidor esmail.dominio.com y que se va a utilizar para gestionar el correo electrónico de dominio.com, solo se deben localizary configurar los siguientes parámetros:

# Todo lo siguiente solo requiere descomentarse o bien modificar la línea # correspondiente que esté descomentada.

# Definir el nombre de anfitrión del sistema (hostname).myhostname = mail.dominio.com

# Definir el dominio principal a gestionar.mydomain = dominio.com

myorigin = $mydomain

# Definir se trabaje por todas las interfaces.# De modo predeterminado solo trabaja por la interfaz de retorno del sistema# (loopback), es decir, solo escucha peticiones a través de sobre 127.0.0.1 #inet_interfaces = localhostinet_interfaces = all

# Si se van a manejar más dominios de correo electrónico, añadirlos también.mydestination = $myhostname, $mydomain, localhost.localdomain, localhost

# Definir tus redes locales, ejemplo asume que tu LAN es 192.168.1.0/24mynetworks = 192.168.1.0/24, 127.0.0.0/8

# Si se van a manejar más dominios de correo electrónico, añadirlos también.relay_domains = $mydestination

# Importante para poder utilizar procmail para filtrar correo.mailbox_command = /usr/bin/procmail

# Todo lo siguiente está ausente en la configuración.# Añadir todo al final del archivo main.cf#smtpd_tls_security_level = may# Sólo se utiliza si se adquiere un certificado con un CA# smtpd_tls_CAfile = /etc/pki/tls/certs/ca‐bundle.crt# Las rutas deben corresponder a las del certificado y firma digital creados.smtpd_tls_key_file = /etc/pki/tls/private/dominio.tld.keysmtpd_tls_cert_file = /etc/pki/tls/certs/dominio.tld.crtsmtpd_tls_auth_only = nosmtp_use_tls = yessmtpd_use_tls = yessmtp_tls_note_starttls_offer = yessmtpd_tls_loglevel = 1smtpd_tls_received_header = yessmtpd_tls_session_cache_timeout = 3600stls_random_source = dev:/dev/urandomsmtpd_tls_protocols = !SSLv2,!SSLv3smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3smtp_enforce_tls = yes

# Soporte para autenticar a través de SASL.# smtpd_sasl_local_domain = # Solo como referencia.smtpd_sasl_auth_enable = yessmtpd_sasl_security_options = noanonymousbroken_sasl_auth_clients = yessmtpd_sasl_path = private/authsmtpd_sasl_authenticated_header = yessmtpd_recipient_restrictions = permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination

A fin de ahorrar tiempo realizando búsqueda de los parámetros anteriores, todo lo anterior también se puedeconfigurar utilizando el mandato postconf, del siguiente modo:

24/11/2015 Instalación y configuración de Postfix y Dovecot con soporte para TLS y autenticación. ­ Alcance Libre

http://www.alcancelibre.org/staticpages/index.php/como­postfix­tls­y­auth 6/11

postconf ‐e 'myhostname = mail.dominio.com'postconf ‐e 'mydomain = dominio.com'postconf ‐e 'myorigin = $mydomain'postconf ‐e 'inet_interfaces = all'postconf ‐e 'mydestination = $myhostname, $mydomain, localhost.localdomain, localhost'postconf ‐e 'mynetworks = 192.168.1.0/24, 127.0.0.0/8'postconf ‐e 'relay_domains = $mydestination'postconf ‐e 'mailbox_command = /usr/bin/procmail'postconf ‐e 'smtpd_tls_key_file = /etc/pki/tls/private/dominio.tld.key'postconf ‐e 'smtpd_tls_cert_file = /etc/pki/tls/certs/dominio.tld.crt'postconf ‐e 'smtpd_tls_auth_only = no'postconf ‐e 'smtp_use_tls = yes'postconf ‐e 'smtpd_use_tls = yes'postconf ‐e 'smtp_tls_note_starttls_offer = yes'postconf ‐e 'smtpd_tls_loglevel = 1'postconf ‐e 'smtpd_tls_received_header = yes'postconf ‐e 'smtpd_tls_session_cache_timeout = 3600s'postconf ‐e 'tls_random_source = dev:/dev/urandom'postconf ‐e 'smtpd_tls_protocols = !SSLv2,!SSLv3'postconf ‐e 'smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3'postconf ‐e 'smtp_enforce_tls = yes'postconf ‐e 'smtpd_sasl_auth_enable = yes'postconf ‐e 'smtpd_sasl_security_options = noanonymous'postconf ‐e 'broken_sasl_auth_clients = yes'postconf ‐e 'smtpd_sasl_path = private/auth'postconf ‐e 'smtpd_sasl_authenticated_header = yes'postconf ‐e 'smtpd_recipient_restrictions = permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination'

Archivo de configuración /etc/aliases.

Se debe editar también el archivo /etc/aliases:

vim /etc/aliases

Se debe definir que el correo del usuario root se entregue al cualquier otro usuario del sistema. El objetivo de esto esque jamás se tenga necesidad de utilizar la cuenta del usuario root y se prefiera en su lugar una cuenta de usuario sinprivilegios. Solo se requiere descomentar la última línea de este archivo, que como ejemplo entrega el correo delusuario root al usuario marc y definir un usuario existente en el sistema

#root:  marcroot:  fulano

Al terminar, se ejecuta el mandato postalias para generar el archivo /etc/aliases.db que será utilizado por Postfix:

postalias /etc/aliases

Configuración de Dovecot en CentOS 5 y Red Hat Enterprise Linux 5.

Parámetros del archivo /etc/dovecot.conf.

Editar el archivo /etc/dovecot.conf:

vim /etc/dovecot.conf

En el parámetro protocols, se deben activar todos los servicios (imap, imaps, pop3 y pop3s).

protocols = imap imaps pop3 pop3s

De modo predeterminado, el soporte SSL de Dovecot está activo. Verifique que el parámetro ssl_disable tenga elvalor no o bien solo esté comentado.

#ssl_disable = no

Y se especifican las rutas del certificado y clave a través de los parámetros ssl_cert_file y ssl_key_file, del siguientemodo:

ssl_cert_file = /etc/pki/tls/certs/dominio.tld.crtssl_key_file = /etc/pki/tls/private/dominio.tld.key

Configuración de Dovecot en CentOS 6 y Red Hat Enterprise Linux 6.

CentOS 6 y Red Hat Enterprise Linux 6 utilizan la versión 2.0 de Dovecot y por lo cual cambia radicalmente laconfiguración respecto de la versión 1.0.x, utilizada en CentOS 5 y Red Hat Enterprise Linux 5.

24/11/2015 Instalación y configuración de Postfix y Dovecot con soporte para TLS y autenticación. ­ Alcance Libre

http://www.alcancelibre.org/staticpages/index.php/como­postfix­tls­y­auth 7/11

Parámetros del archivo /etc/dovecot/dovecot.conf.

Edite el archivo /etc/dovecot/dovecot.conf y descomente el parámetro protocolos, estableciendo como valor pop3imap lmtp.

# Protocols we want to be serving.protocols = imap pop3

Parámetros del archivo /etc/dovecot/conf.d/10‐mail.conf.

Alrededor de la línea 30 del archivo /etc/dovecot/conf.d/10‐mail.conf, establezcambox:~/mail:INBOX=/var/mail/%u como valor del parámetro mail_location.

mail_location = mbox:~/mail:INBOX=/var/mail/%u

Parámetros del archivo /etc/dovecot/conf.d/10‐ssl.conf.

En el archivo /etc/dovecot/conf.d/10‐ssl.conf, descomente las siguientes líneas resaltadas en negrita:

# SSL/TLS support: yes, no, required. <doc/wiki/SSL.txt>ssl = yes

# PEM encoded X.509 SSL/TLS certificate and private key. They're opened before# dropping root privileges, so keep the key file unreadable by anyone but# root. Included doc/mkcert.sh can be used to easily generate self‐signed# certificate, just make sure to update the domains in dovecot‐openssl.cnfssl_cert = </etc/pki/tls/certs/dominio.tld.crtssl_key = </etc/pki/tls/private/dominio.tld.key

Localice lo siguiente al final del archivo:

# SSL protocols to use#ssl_protocols = !SSLv2 !SSLv3

Por razones de seguridad es buena idea deshabilitar el soporte para SSLv2 y SSLv3. El protocolo SSLv3 es muy inseguroy susceptible a la tristemente célebre vulnerabilidad conocida como POODLE. Si atacantes explotan exitosamente estavulnerabilidad sólo necesitan hacer alrededor de 256 solicitudes SSL 3.0 para revelar datos de las conexiones cifradas.Lo más inteligente que puede hacer cualquier administrador de sistemas es deshabilitar el soporte para SSLv3.

# SSL protocols to usessl_protocols = !SSLv2 !SSLv3

Iniciar servicios y añadir éstos al arranque del sistema.

Se deben añadir al arranque del sistema e iniciar (o reiniciar) los servicios saslauthd, dovecot y postfix:

chkconfig saslauthd onchkconfig dovecot onchkconfig postfix onservice saslauthd startservice dovecot startservice postfix restart

Soporte para LMTP.

Si utiliza CentOS 6 o Red hat Enterprise Linux 6, es decir Dovecot 2.0 y Postfix 2.6.6, podrá utilizar LMTP (LocalMail Transfer Protocol) o protocolo de transporte local de correo. Este protocolo esta basado sobre el protocolo SMTPy está diseñado como una alternativa a SMTP para situaciones donde el lado receptor carece de cola de correo (queuemail), como un MTA que entiende conversaciones SMTP. Puede ser utilizado como una forma alternativa y máseficiente para el transporte de correo entre Postfix y Dovecot.

Edite el archivo /etc/dovecot/dovecot.conf y añada lmtp a los valores del parámetro protocolos, de la siguienteforma.

# Protocols we want to be serving.protocols = imap pop3 lmtp

24/11/2015 Instalación y configuración de Postfix y Dovecot con soporte para TLS y autenticación. ­ Alcance Libre

http://www.alcancelibre.org/staticpages/index.php/como­postfix­tls­y­auth 8/11

A fin de poder hacer uso de LMTP de manera apropiada, es necesario añadir las siguientes dos opciones en el archivo/etc/postfix/main.cf:

mailbox_transport = lmtp:unix:/var/run/dovecot/lmtpvirtual_transport = lmtp:unix:/var/run/dovecot/lmtp

O bien ejecutar lo siguiente:

postconf ‐e 'virtual_transport = lmtp:unix:/var/run/dovecot/lmtp'postconf ‐e 'mailbox_transport = lmtp:unix:/var/run/dovecot/lmtp'

Y reiniciar los servicios dovecot y postfix.

service dovecot restartservice postfix restart

Modificaciones necesarias en el muro cortafuegos.

Si se utiliza un cortafuegos con políticas estrictas, como por ejemplo Shorewall, es necesario abrir, además de lospuertos 25, 110, 143 y 587 por TCP (SMTP, POP3, IMAP y Submission, respectivamente), los puertos 465, 993 y 995por TCP (SMTPS, IMAP y POP3S, respectivamente).

Editar el archivo /etc/shorewall/rules:

vim /etc/shorewall/rules

Las reglas para el archivo /etc/shorewall/rules de Shorewall correspondería a algo similar a lo siguiente:

#ACTION SOURCE  DEST  PROTO   DEST    SOURCE#        PORT    PORT(S)1ACCEPT  net  fw  tcp  25,110,143,465,587,993,995#LAST LINE ‐‐ ADD YOUR ENTRIES BEFORE THIS ONE ‐‐ DO NOT REMOVE

Para que tomen efecto los cambios, hay que reiniciar el servicio Shorewall.

service shorewall restart

Requisitos en la zona de reenvío en el servidor DNS.

Es indispensable que exista un DNS que resuelva correctamente el dominio y apunte el servicio de correo electrónicohacia la IP del servidor de correo electrónico recién configurado. Asumiendo que se hizo correctamente todo lomencionado en este documento, la única forma en que se imposibilitaría la llegada y/o salida del correo electrónicose esté utilizando un enlace ADSL con IP dinámica (restringido por le proveedor para utilizar el puerto 25) o bien queel servidor DNS que resuelve el dominio, esté apuntando hacia otra dirección IP para el servicio de correo electrónico.En el DNS se requieren al menos los siguientes registros, donde xx.xx.xx.xx corresponde a la IP del servidor de correoelectrónico.

$TTL 86400@  IN  SOA  dns1.isp.com  alguien.algo.com (    2010061901 ; Número de serie    28800 ; Tiempo de refresco    7200 ; Tiempo entre reintentos    604800 ; tiempo de espiración    86400 ; Tiempo total de vida    )@  IN    NS  dns1.isp.com.@  IN    NS  dns2.isp.com.@  IN    A  a.b.c.d@  IN    MX  10  mail@  IN    TXT  "v=spf1 a mx ‐all"mail  IN    A  xx.xx.xx.xxwww  IN    A  a.b.c.dftp  IN    A  a.b.c.d

Comprobaciones.

24/11/2015 Instalación y configuración de Postfix y Dovecot con soporte para TLS y autenticación. ­ Alcance Libre

http://www.alcancelibre.org/staticpages/index.php/como­postfix­tls­y­auth 9/11

A través de terminal.

Realice una conexión con el mandato nc (netcat) o bien el mandato telnet, al puerto 25 del sistema. Ingrese elmandato EHLO con el dominio configurado. La salida deberá devolver, entre todas las funciones del servidor, unalínea que indica STARTTLS. La salida puede ser similar a la siguiente:

nc 127.0.0.1 25220 emachine.alcancelibre.org ESMTP PostfixEHLO dominio.com250‐mail.dominio.com250‐PIPELINING250‐SIZE 10240000250‐VRFY250‐ETRN250‐STARTTLS250‐AUTH PLAIN LOGIN250‐AUTH=PLAIN LOGIN250‐ENHANCEDSTATUSCODES250‐8BITMIME250 DSNQUIT

Para salir, solo escriba QUIT y pulse la tecla ENTER.

A través de clientes de correo electrónico.

Utilice cualquier cliente de correo electrónico con soporte para TLS/SSL y configure éste para conectarse hacia elsistema a través de IMAPS (puerto 993) o bien POP3S (puerto 995). Tras aceptar el certificado del servidor, elsistema deberá permitir autenticar, con nombre de usuario y clave de acceso y realizar la lectura del correoelectrónico.

Configuración de GNOME Evolution.

Para GNOME Evolution, la configuración de IMAP o POP3, se realiza seleccionando el tipo de servidor, definiendo elnombre del servidor utilizado para crear el certificado, nombre de usuario y usar encriptación segura TLS.

Configuración IMAP, en GNOME Evolution.

Se hace lo mismo para la configuración de SMTP (utilizar conexión segura TLS), pero considerando además quetambién se puede utilizar el puerto 587 (submission) en caso de que el proveedor de acceso a Internet del cliente hayarestringido el uso del puerto 25 (smtp).

24/11/2015 Instalación y configuración de Postfix y Dovecot con soporte para TLS y autenticación. ­ Alcance Libre

http://www.alcancelibre.org/staticpages/index.php/como­postfix­tls­y­auth 10/11

Configuración SMTP, GNOME Evolution.

Configuración Mozilla Thunderbird.

Para Mozilla Thunderbird, se define el nombre del servidor utilizado para crear el certificado, usuario y usar conexiónsegura TLS.

Configuración IMAP, Mozilla Thunderbird.

Se hace lo mismo para la configuración de SMTP (utilizar conexión segura TLS), pero considerando además quetambién se puede utilizar el puerto 587 (submission) en caso de que el proveedor de acceso a Internet del cliente hayarestringido el uso del puerto 25 (smtp).

Configuración SMTP, Mozilla Thunderbird.

Modificaciones necesarias en el muro cortafuegos.

Si se utiliza un cortafuegos con políticas estrictas, como por ejemplo Shorewall, es necesario abrir, además de los

24/11/2015 Instalación y configuración de Postfix y Dovecot con soporte para TLS y autenticación. ­ Alcance Libre

http://www.alcancelibre.org/staticpages/index.php/como­postfix­tls­y­auth 11/11

puertos 25, 110, 143 y 587 por TCP (SMTP, POP3, IMAP y Submission, respectivamente), los puertos 465, 993 y 995por TCP (SMTPS, IMAP y POP3S, respectivamente).

La regla para el archivo /etc/shorewall/rules de Shorewall correspondería a algo similar a lo siguiente:

#ACTION SOURCE  DEST  PROTO   DEST    SOURCE#        PORT    PORT(S)1ACCEPT  all  fw  tcp  25,110,143,465,587,993,995#LAST LINE ‐‐ ADD YOUR ENTRIES BEFORE THIS ONE ‐‐ DO NOT REMOVE

Última Edición: 22/04/2015, 00:34 | Hits: 105,273

 Derechos de autor © 2015 Joel Barrios Dueñas Todas las marcas y logotipos mencionados en este sitio de Internet son propiedad de sus respectivos dueños.© 1999‐2015 Joel Barrios Dueñas. Salvo que se indique lo contrario, todo el contenido está disponible bajo lostérminos de la licencia Creative Commons Reconocimiento 2.5.¿Necesita servicio de soporte técnico en Linux o cotizar algún servicio relacionado con Linux?Informes: (52) (961) 125‐0890 (Tuxtla Gutiérrez, Chiapas, México)

de lunes a viernes de 10:00‐19:00 GMT ‐06:00.

SUBIR