Practica PostFix

M08- Serveis de xarxa

UF3- Servidor PostFix

Pràctica Linux Pàg. 1 de 81

Elaborat: Toni Soler El document vàlid està dipositat en el programa informàtic de gestió documental. Aquest document pot esdevenir obsolet.

INTRODUCCIÓN

Los servidores de correo nos permiten enviar mensajes de unos usuarios a otros con independencia de la red que se este utilizando. Para lograrlo se definen una serie de protocolos, cada uno con una finalidad:

1. SMTP: simple mail transport protocol – este se utiliza para que se intercambien los mensajes entre servidores de correo, es basado en un modelo cliente servidor. Una de las limitaciones del SMTP original es que no facilita métodos de autenticación a los emisores, así que en este manual pretende superarlo a través de PAM (`Pluggable Authentication Modules’ Modulo de Autenticación Enlazable). 2. POP: post office transport protocol – se utiliza para obtener / descargar los mensajes guardados en el servidor al usuario. 3. IMAP: internet message access protocol – su finalidad es la misma que POP aunque funciona diferente y vimos algunas ventajas como tiempos de respuesta rápida, acceso remoto a los mensajes, accesos simultáneos a múltiples clientes, vigilancia en el estado del mensaje, agilidad en las búsquedas, entre otras ventajas sobre el protocolo POP por lo cual nos basamos mas en IMAP.

Entonces es por eso que decimos que un servidor de correo consta en realidad de dos servidores el SMTP encargado de enviar y recibir mensajes, y un servidor POP/IMAP que será el que permite a los usuarios obtener sus mensajes; para esto los usuarios se sirven de clientes, es decir, programas que implementan un protocolo POP/IMAP que en algunas ocasiones el cliente se ejecuta en la máquina del usuario (como el caso de Mozilla Mail, Evolution, Outlook). Sin embargo existe otra posibilidad: que el cliente de correo no se ejecute en la máquina del usuario; es el caso de los clientes vía web, como Hotmail, Open Webmail o Terra. En ellos la arquitectura del servicio es más compleja: el cual no aplica en este manual.





IP ESTÁTICA

Lo primero que debemos tener en cuenta, es que utilizaremos una dirección IP estática para poder realizar todas las pruebas convenientes. Para evitar conflictos en la red lo que haremos es pedir una IP dinámica como siempre. Miraremos la IP que nos ha dado el servidor DHCP, y esa misma IP la pondremos estática en nuestro sistema. De esta manera, tendremos una IP estática y podremos descargarnos los paquetes que sean necesarios. Si alguien no se acuerda como se ponen las IP estáticas, puede mirar en la práctica que hicimos de DHCP.

INSTALACIÓN Y CONFIGURACIÓN DEL BIND Un paso previo a la instalación del servicio de correo electrónico, será configurar el Bind porque las direcciones de correo electrónico utilizan nombres en vez de IPs. Bind es el nombre del servicio de DNS. Se puede llamar BIND o NAMED. Instalamos el paquete de Bind9; en el caso que no lo tengamos instalado. $ sudo apt-get install bind9 Luego configuraremos este servicio. Si ya lo tenemos configurado, haremos antes una copia de seguridad del fichero de configuración, antes de modificarlo. $ sudo cp /etc/bind/named.conf.local /etc/bind/named.conf.local2 Ahora ya podemos modificar el fichero de configuración. # nano /etc/bind/named.conf.local Editaremos el archivo de configuración y definiremos nuestras zonas. En este ejemplo, nuestro dominio se llamara lucas.com, es tipo maestro y le damos la ruta donde estará el archivo de la zona directa e inversa. Nosotros, le podemos poner el nombre de dominio que queramos; no tiene porque ser lucas.com. Pero si le ponemos otro nombre diferente a lucas.com tendremos que tener en cuenta que siempre que en esta práctica se haga referencia a lucas.com, nos tendremos que acordar de cambiarlo al nombre de dominio que hayamos elegido. zone "lucas.com" { type master; file "/etc/bind/directa.db"; };





zone "1.168.192.in-addr.arpa" { type master; file "/etc/bind/inversa.db"; }; Ahora crearemos los archivos donde pondremos la configuración de las zonas. # sudo nano /etc/bind/directa.db

En este ejemplo, el servidor de correo tiene el nombre de regocorreo con la dirección IP 192.168.1.1. En nuestro caso, seguramente nuestro servidor no se llamará regocorreo; y nuestra IP no será 192.168.1.1. Por lo tanto, tendremos que ponerle el nombre de nuestro servidor en vez de regocorreo. Para saber el nombre de nuestro servidor podemos hacer: # hostname Con esto lo que estamos haciendo es que todas las peticiones de correo electrónico serán redireccionadas al host “regocorreo”.





Ahora crearemos la zona inversa: # nano /etc/bind/inversa.db

Hecho esto guardamos todos los cambios y reinicairemos nuestro servidor DNS # sudo /etc/init.d/bind9 restart Comprobamos que la sintaxis de los ficheros directa.db y inversa.db sea correcta: # named-checkzone lucas.com /etc/bind/directa.db # named-checkzone lucas.com /etc/bind/inversa.db La respuesta tiene que ser: Zone lucas.com/IN: loaded serial 10 Si la respuesta no es correcta, es posible que haya que hacer algún pequeño cambio sin importancia: @ IN NS ns (en vez de lucas.com.) ns IN A 192.168.1.1 Luego comprobaremos la respuesta del servidor. # nslookup > set q=any > lucas.com





Si lo hemos hecho bien nos tiene que mostrar algo parecido a lo siguiente:

Si no lo hemos hecho bien y no sale esto, es posible que en Internet exista un lucas.com, o el dominio que nos hayamos inventado. En ese caso, pondremos nuestra IP en /etc/resolv.conf ya que nosotros ya somos un servidor DNS con reenviadotes válidos en /etc/bind/named.conf.options. Con esto ya tenemos listo nuestro servidor DNS...si quisiéramos tener más de un servidor de correo o un servidor de correo de respaldo, sólo tendríamos que agregar algunas líneas más, y que cada una de estas tenga diferente prioridad. Por ejemplo: lucas.com. IN MX 10 regocorreo lucas.com. IN MX 20 regocorreo2 regocorreo IN A 192.168.1.1 regocorreo2 IN A 192.168.1.2 En este ejemplo, regocorreo2 será un servidor de respaldo de regocorreo.





INSTALACIÓN Y CONFIGURACIÓN DE POSTFIX

1. Introducción

Postfix es un servidor de correo (MTA) muy potente, programado por Wietse Venema, y cuya página web es http://www.postfix.org/. En este documento voy a explicar cómo instalar el MTA Postfix en un Ubuntu.

Cada vez que quieras comprobar que tu servidor está funcionando de manera correcta, tanto para enviar como para recibir, puedes enviar un mensaje de correo a la siguiente dirección: [email protected]. Cualquier mensaje que envíes a esta dirección te será devuelto.

2. Paquetes Ubuntu

Los paquetes más importantes de Postfix para Ubuntu son:

# apt-cache search postfix

postfix - A high-performance mail transport agent postfix-dev - Postfix loadable modules development environment postfix-doc - Postfix documentation postfix-ldap - LDAP map support for Postfix postfix-mysql - MYSQL map support for Postfix postfix-pcre - PCRE map support for Postfix postfix-snap - Postfix Mail Transport Agent - snaps hot release postfix-snap-dev - Postfix-snap loadable modules de velopment environment postfix-snap-doc - Postfix-snap documentation postfix-snap-ldap - LDAP map support for Postfix-sn ap postfix-snap-mysql - MYSQL map support for Postfix- snap postfix-snap-pcre - PCRE map support for Postfix-sn ap postfix-snap-tls - TLS and SASL support for Postfix snapshots postfix-tls - TLS and SASL support for Postfix

Voy a dar una explicación rápida de qué es cada paquete. Los paquetes necesarios están marcados con un asterisco (*).

• postfix. Este es el paquete principal de Postfix. (*) • postfix-dev. Entorno de desarrollo. • postfix-doc. Documentación. (*) • postfix-ldap. Soporte LDAP. • postfix-mysql. Soporte MySQL. • postfix-pcre. Soporte de expresiones regulares. (*) • postfix-snap-*. Versiones snapshot. Pueden ser inestables. • postfix-tls. Soporte TLS y SASL (SMTP autentificado).





3. Instalación

La instalación de los paquetes Ubuntu se puede realizar de manera sencilla con el comando

sudo apt-get install postfix postfix-doc postfix-pc re

Si existen dependencias con otros paquetes, apt-get también las instalará. Después de bajarse los paquetes de Internet, y antes de instalarlos, posiblemente se nos preguntarán una serie de cosas (relativas a la configuración). Responderemos a esas preguntas, ya que son muy sencillas y nos permitirán crear una configuración base. Luego podemos depurar más la configuración siguiendo esta guía.

Pregunta1: Escoja el tipo de configuración de correo que se ajusta más a sus necesidades. Respuesta1: Sitio en Internet Pregunta2: Nombre del sistema de correo: Respuesta2: lucas.com

Fijaros lo que pone al final de la instalación:

“Postfix is now set up with a default configuration. If you need to make changes, edit /etc/postfix/main.cf (and others) as needed. To view Postfix configuration values, see postconf(1).

After modifying main.cf, be sure to run ‘/etc/init.d/postfix reload’.”

El directorio donde se encuentran los ficheros de configuración de Postfix es /etc/postfix/ , y el fichero principal de configuración se llama main.cf .

4. Comandos básicos de Postfix

Existen varios comandos que nos pueden ser útiles mientras usemos Postfix. Una breve lista sería

• postfix stop. Este comando para el servidor. • postfix start. Este comando arranca el servidor. • postfix reload. Este comando hace que el servidor relea la configuración sin parar el servicio. • mailq. Para ver la cola de mensajes. • postfix flush. Fuerza el envío de mensajes de la cola de espera. • postmap. Este comando sirve para construir los ficheros auxiliares de Postfix. • postconf. Muestra toda la configuración de Postfix. • newaliases. Este comando reconstruye la base de datos de alias.





5. Configuración de PostFix

# sudo nano /etc/postfix/main.cf Este es el archivo principal de configuración dónde definiremos los parámetros que este servidor tendrá. Nos dirigimos a las últimas líneas donde se encontraran las variables a modificar. Estas variables pueden tener una lista de valores, pero nos tendremos que asegurar que existan y que uno de los elementos de la lista tenga al menos estos valores: myhostname regocorreo.lucas.com Este es el nombre del host que tiene el servidor de correo, recuerde que este nombre debe de ser el que hemos configurado en el DNS. Seguramente nuestro servidor no se llama regocorreo y lo tendremos que cambiar por el nombre de nuestro servidor. mydomain lucas.com Dominio para el cual recibiremos correos electrónicos. mydestination lucas.com Podremos recibir correos para la maquina local, donde realizaremos nuestras primeras pruebas. mynetworks 192.168.1.0/24, 127.0.0.0/8 Definiremos la dirección de red, de donde queramos que puedan salir o entrar los correos. Esta dirección de red tiene que ser la nuestra propia. Si nuestro servidor no tiene la IP 192.168.1.X, tendremos que modificar este parámetro.

Estas son las opciones básicas , pero recuerde que son muchas las variables que podremos definir que en el transcurso del manual iremos agregando.

Ahora reiniciamos el servidor para comprobar que no existan errores, y para que cargue la última configuración que realizamos # sudo /etc/init.d/postfix reload Con esto, tendremos nuestro MTA (Agente Transferencia Correo) Servidor de correo. Vale destacar que este servidor correrá por el puerto 25. Ahora lo que haremos será tratar de conectarnos al servidor de correo por medio de Telnet a través del puerto 25. # sudo telnet 127.0.0.1 25 Trying to 127.0.0.1. escape character is '^]'. 220 regocorreo.lucas.com ESMTP postfix (ubuntu)

Si al hacer telnet 127.0.0.1 25 nos da el error de “Connection Refused”, lo que haremos será:

Sudo apt-get update Sudo apt-get upgrade





Sudo apt-get remove postfix –purge Sudo apt-get install postfix

Probar el telnet ahora y si funciona, re-configurar de nuevo main.cf. Al conectarse por medio del puerto 25, identifica el servidor de correo y muestra el banner de bienvenida. Ahora lo que haremos será ver los módulos y los tipos de autenticaciones que soporta el servidor. # sudo telnet 127.0.0.1 25

Trying to 127.0.0.1. escape character is '^]'. 220 regocorreo.lucas.com ESMTP postfix (ubutu)

ehlo HOLA

Escribimos éste comando, que nos indica que abrimos una sección con este servidor a través del puerto 25, para verificar los módulos o soporte que tiene cargados. Si el resultado es este, significa que PostFix se está ejecutando correctamente en nuestro servidor.

Y el servidor deberá de respondernos con los módulos que este maneja. De igual manera nos damos cuenta que el servidor esta corriendo perfectamente y que no hay errores en su configuración.

Ahora ya tenemos configurado y funcionando nuestro servidor de correo. Para salir, escribiremos el comando quit





6. Modos de ejecución del servidor

Existen 2 modos de ejecución, por así decirlo. El modo internet site y el modo internet site with smarthost

6.1 internet site

El modo internet site se caracteriza porque el propio servidor se encarga de repartir los mensajes a sus destinatarios directamente, sin pasar por otro servidor predefinido. Para usar este modo, en el fichero de configuración /etc/postfix/main.cf NO debe estar definida la opción relayhost

relayhost =

Esta configuración es util para ordenadores individuales que no están en una red local o tienen conexión permanente a Internet (como ADSL, cable, ...).

6.2 internet site with smarthost

El modo internet site with smarthost se caracteriza porque el servidor no envía los mensajes directamente a sus destinatarios, sino que los envia a otro servidor de correo, y aquel ya se encargará de enviarlo. Para usar este modo, hay que definir la opción relayhost y ponerle como argumento la dirección IP o el nombre de host del servidor SMTP que queramos

relayhost = smtp.mi-red-local.com

Esta configuración se suele dar en redes locales que ya tienen un servidor SMTP o en conexiones esporádicas a Internet con módem, por ejemplo (el servidor definido sería el de tu proveedor).

6.3 Nosotros elegiremos la opción de internet site





PROVAR LOS MENSAJES Ahora probaremos enviándonos mensajes para comprobar que funcione nuestro servidor de correo. Primero instalamos un software con el cual podremos enviarnos correos y comprobar. $ sudo su # apt-get install mutt Ya tenemos listo el software para realizar pruebas. Abrimos el software mutt: # exit $ sudo mutt Es posible que salga la siguiente pregunta:

/home/root/Mail no existe. ¿Crearlo? ([sí]/no):

Nos está diciendo que el usuario root (o el usuario con el que hayamos ejecutado mutt) no tiene el directorio Mail creado y si queremos que lo cree. Le diremos que Sí.

En primera instancia, mutt aparecerá de esta forma ya que en el buzón de entrada no hay ningún mensaje. Con la tecla M podremos enviar un nuevo correo electrónico.





To: [email protected] (este será el usuario al que queremos que llegue el mensaje). Presionamos la tecla enter, para escribir el mensaje, nos aparecerá un editor de textos y allí escribimos el mensaje. Si el editor de textos es el nano, ya estamos acostumbrados a utilizarlo. Si el editor de textos es el que lleva mutt incorporado, tenemos que saber que para guardar los cambios tenemos que presionar las teclas Ctrl+K+X, nos dirá que si queremos guardar los cambios y presionamos la tecla Y (yes). Para ver con que opciones más contamos, podemos hacer Ctrl+K+H para ver la ayuda de este editor de textos.





Nos saldrá un encabezado con los parámetros principales para enviar el correo electrónico.

Ahora para enviar el correo, basta con presionar la tecla Y.





Ahora nos loguearemos como el usuario root (que es a quien le enviamos el mensaje) para comprobar si hemos recibido el mensaje o no. $ sudo su Y entraremos a mutt: # mutt

En la bandeja de entrada, veremos el correo que enviamos. Con esto podemos comprobar que nuestro servidor de correo Postfix esta funcionando correctamente. Y vemos en la bandeja de entrada que tenemos un mensaje....con las teclas direccionales podemos seleccionarlo y con enter entramos para ver el mensaje. Allí esta el mensaje que escribimos al usuario root... con esto nos damos cuenta de que el servidor de correo esta funcionando. Para salir del usuario root y volver al usuario toni (o el nuestro de siempre) haremos: # exit Si resulta que no tenemos ningún mensaje, es posible que tengamos que crear a mano los ficheros para guardar los mensajes de los usuarios: sudo nano /var/mail/toni El usuario toni será el usuario con el que entramos normalmente.





Y luego darle permisos de lectura y escritura: sudo chmod 777 /var/mail/toni





ALMACENAMIENTO Y TIPO DE CORREO El almacenamiento de los correos, es una parte importante que debemos de tener en cuenta, ya que es la manera de como serán almacenados nuestros correos, y como será el proceso tanto de lectura como escritura de este. Existen varios tipos de almacenamiento de correo, pero en este manual solo manejaremos 2 que serán Maildir y Mailbox. Primero de todo, debemos saber que estos tipos de almacenamiento están ligados al servidor de Pop e Imap, que utilicemos. Dovecot es un servidor que maneja Mailbox ya que los mensajes se guardan en un único archivo en el que se van encolando los mensajes a medida que van llegando al buzón.

Todos los correos electrónicos usando este servidor son almacenados en este directorio /var/mail/ dónde por cada usuario, se genera un fichero. La desventaja de este formato es que el proceso de lectura y escritura se hace mas lento, ya que toca buscar dentro del fichero correspondiente el correo, y en caso de que se llegase a borrar este fichero perderíamos TODOS nuestros correos, siendo vulnerable a posibles ataques. Courier y Cyrus son 2 servidores de Pop e Imap que utilizan Maildir como formato de almacenamiento.





Este formato, es muy diferente a Mailbox, ya que los correos no se almacenan en un único fichero, sino que se genera automáticamente un fichero por cada correo que sea recibido. Estos ficheros se almacenan en la ruta /var/spool/mail/ La ventaja principal de este formato, es que el proceso de lectura y escritura se realiza a gran velocidad, apto para condiciones donde el flujo tanto de lectura y escritura de correos es elevado. Tiene pocas desventajas, y una de ellas es que se necesita gran capacidad de almacenamiento en disco.





INSTALACIÓN Y CONFIGURACIÓN DE LOS PROTOCOLOS IMAP Y POP3

Ahora lo que haremos será instalar los protocolos de POP3 e IMAP, que son los encargados de descargar los correos, desde un cliente a través del servidor. Cabe destacar, que POP3 lo que hace es conectarse al servidor de correo a través del puerto 110 y descarga los correos hasta el cliente para poder visualizarlos, cosa contraria que pasa con IMAP que se conecta al servidor de correo a través del puerto 143 y podemos visualizar los correos remotamente desde el servidor sin la necesidad de descargarlos.

A CONTINUACIÓN TENEMOS QUE INSTALAR LOS SERVICIOS DE POP3 i/o IMAP. HAY VARIAS OPCIONES PARA INSTALAR ESTOS SERVICIOS; LAS MÁS CONOCIDAS SON:

A) DOVECOT B) COURIER

Y TENEMOS QUE ESCOGER UNA DE LAS DOS OPCIONES!! NO LAS DOS!! SI INSTALAMOS LAS DOS TENDREMOS CONFLICTOS CON LOS PUERTOS!! ESTA PRÁCTICA EXPLICA LAS DOS OPCIONES, PERO SE RECOMIENDA INSTALAR COURIER PORQUE TRABAJA CON MAILDIR (EN VEZ DE MAILBOX). POR LO TANTO, PODEIS INSTALAR DIRECTAMENTE COURIER I SALTAROS LA EXPLICACIÓN DE DOVECOT.





A) INSTALACIÓN Y CONFIGURACIÓN DE DOVECOT Esto lo haremos a través de DOVECOT, que es uno de los tantos servidores de POP3 e IMAP que existen. Lo que haremos será buscar en la cache de los repositorios para ver si se encuentren estos paquetes y luego instalarlos. # sudo apt-cache search dovecot Buscamos que tenga Dovecot soporte para los protocolos Pop e Imap.

Muy recientemente podemos encontrar el paquete dovecot-postfix. Este paquete es equivalente a instalar los paquetes dovecot-imapd y el dovecot-pop3d. Pero como que es tan reciente será mejor actualizar el repositorio antes. $ sudo apt-get update $ sudo apt-get install dovecot-postfix La forma en que autenticaremos nuestro servidor de correo será a través de un servidor como puede ser IMAP o POP3 contra PAM que es un mecanismo de autenticación que guarda los registros en el sistema local.





Vamos al archivo de configuración de dovecot, que se crea por defecto en el directorio /etc/dovecot/ El archivo principal de configuración será dovecot.conf # sudo nano /etc/dovecot/dovecot.conf Las líneas que descomentaremos, modificaremos o agregaremos en su defecto, serán: protocols: imap imaps pop3 pop3s (Será el protocolo o protocolos que manejará el servidor dovecot) Listen: * (Por cual puerto escuchara. Si ponemos un asterisco * es porque tomará el puerto por defecto) disable_plaintext_auth: no (Nos dice, que si queremos Deshabilitar la autenticación en texto plano, le decimos que no, porque utilizaremos la autenticación en texto plano) ssl: no ssl_diable yes (en el caso que esté esta directiva) (Si queremos deshabilitar SSL para transporte seguro ya que los datos viajaran encriptados.) mail_location: mbox:~/mail:INBOX=/var/mail/%u (El lugar donde se alojaran los correos electrónicos, que por defecto serán en /var/mail. Y la %u quiere donde se almacenaran los correos a determinado usuario) $ sudo /etc/init.d/dovecot restart Seguramente saldrá el siguiente mensaje: “If you trouble with authentification failures, enable auth_debug setting. See http://wiki.dovecot.org/WhyDoesItNotWork This message goes away after the first successful login.” Esto significa que si tenemos problemas con la autenticación de los usuarios, tendremos que habilitar auth_debug. Pero esto es un warning (aviso) no un error. Si nos aparece este mensaje no significa que esté funcionando mal. Pero de todas formas, haremos algo mejor: Configuraremos la autenticación por defecto auth_default.





AUTENTICANDO DOVECOT A TRAVÉS DE PAM Ahora habilitaremos la autenticación en texto plano. Al final del archivo dovecot.conf agregaremos unas líneas que nos permitirán autenticarnos. auth default {

mechanisms = plain login passdb pam { } userdb passwd { } socket listen {

client { # Assuming the default Postfix $queue_directory setting path = /var/spool/postfix/private/auth mode = 0660

# Assuming the default Postfix user and group user = postfix group = postfix

} }

} Para finalizar reinicamos el servicio para que guarde los cambios efectuados. $ sudo /etc/init.d/dovecot restart Mensaje de error: “Error: Error in configuration file /etc/dovecot/dovecot.conf. Authentication process already exists with the same name (section changed). Fatal: Invalid configuration in /etc/dovecot/dovecot.conf” Error!!!! Pero que pasó?? Claro, lo que pasa es que agregamos estas líneas al final, para entender mejor la sintaxis de como autentica Dovecot contra pam, pero estas líneas se encuentran descomentadas a lo largo de todo el archivo, por ende al tratar de reiniciar el servicio nos saca un error que nos indica que existe duplicado en las líneas. Entonces lo que haremos será comentar las líneas que se encuentran repetidas a lo largo del archivo. $ sudo nano /etc/dovecot/dovecot.conf Haremos Ctrl+W para buscar “auth default” dentro del fichero. Y todo lo que se encuentre entre las dos llaves de auth default deberá ser comentado. Y obviamente, reiniciaremos el servicio de nuevo:





$ sudo /etc/init.d/dovecot restart





B) INSTALACIÓN Y CONFIGURACION DE COURIER Courier es otro servidor de POP3 e IMAP, que nos permite acceder a los correos ya sea para visualizarlos remotamente o para descargarlos. La diferencia principal de Courier con respecto de Dovecot es el formato de almacenamiento, ya que el formato de Courier es MAILDIR almacena los correos en ficheros distintos con nombres únicos. Esto es una ventaja con respecto de Mailbox, ya que se accederá a los correos mas fácilmente y en caso de que se llegase a borrar un fichero de estos, sólo se perdería este mensaje en cambio mailbox al almacenar todos los correos en un único archivo por usuario es más susceptible a daños y el proceso de lectura de los correos, es mas lento. Lo primero que haremos será instalar Courier con los protocolos pop e imap. Si tenemos instalado otro servidor de protocolos de Pop e Imap, podremos tener conflictos con este, ya que los puertos por los que trabajas estos protocolos son siempre los mismos sin importar con que servidor lo estemos haciendo. Para comprobar que no este corriendo ningún protocolo, hacemos la prueba con telnet a los puertos # telnet 127.0.0.1 110 (Comprobar que Pop no este corriendo) Trying 127.0.0.1... telnet: Unable to connect to remote host: Connection refused # telnet 127.0.0.1 143 (Comprobar que Imap no esté corriendo) Trying 127.0.0.1... telnet: Unable to connect to remote host: Connection refused Ahora que sabemos que ninguno de estos 2 protocolos esta funcionando, procedemos con la instalación de Courier-imap NOTA: Si tenemos instalado algún servidor de POP e IMAP, podríamos tener conflictos y producir errores al tratar de correr el servicio, lo recomendable es desinstalarlo haciendo: $ sudo /etc/init.d/dovecot stop $ sudo apt-get remove dovecot-postfix $ sudo telnet 127.0.0.1 110 Una vez ya estamos seguros que los puertos 110 y 143 no están siendo utilizados por nadie, instalaremos el paquete de Courier-imap Pero antes buscaremos en el repositorio los paquetes que existen respecto a courier





$ sudo apt-cache search courier

$ sudo apt-get install courier-imap Durante la instalación nos preguntará:

¿Desea crear los directorios para la administración basada en web? Le responderemos que NO porque no tenemos el apache instalado. Después de que instalemos este paquete, vamos al archivo principal de Postfix y lo editamos de manera que pueda almacenar los correos en el formato Maildir. $ sudo nano /etc/postfix/main.cf Al final de este archivo, agregamos esta líneas: home_mailbox = Maildir/g mail_spool_directory = /var/spool/mail/ Y buscamos esta variable dentro del archivo para comentarla. #mailbox_command = procmail -a "$EXTENSION"





La verdad, esta variable no se encontró. Entonces lo que se hizo fue agregarla y comentarla. (omitir sino es necesario)





No nos olvidemos de reiniciar el servicio de Postfix $ sudo /etc/init.d/postfix restart Ahora lo que haremos será crear un fichero con las base de datos de los usuarios del sistema, ya que la autenticación que haremos será contra Pam. Pero antes crearemos algunos usuarios más para poder hacer pruebas: $ sudo adduser new $ sudo adduser new2 $ sudo adduser new3 Los passwords de los usuarios pueden ser los mismos que los nombres de los usuarios y así los recordaremos más fácilmente. Ahora ya podemos crear el fichero con la base de datos de los usuarios. $ sudo su # cd /etc/courier # pw2userdb > userdb Esto creara un archivo donde se encuentran todos los usuarios del sistema.

Y por seguridad borramos todos los usuarios, excepto los del sistema. Tras guardar userdb, le cambiamos los permisos y generamos el fichero de contraseñas # chmod 700 userdb





# makeuserdb Ahora editaremos unas opciones en el archivo principal de courier-imap, para que pueda funcionar el demonio. # cd /etc/courier # nano imapd IMAP_MAILBOX_SANITY_CHECK=0 (Cambiamos el 1 por un 0) Comprobamos que esta opción si está, y que se encuentre descomentada. Luego de esto, guardamos los cambios y salimos. Ahora pondremos el método de autenticación que será a través de PAM # nano authdaemonrc Buscamos la siguiente línea, y nos aseguramos que dentro de las comillas se encuentre el método de autenticación. authmodulelist="authpam" Ahora reiniciamos el servicio para que cargue los cambios efectuados, y comprobar que no existen errores. # /etc/init.d/courier-imap restart * Stopping Courier IMAP server... [OK]

* Startinf Courier IMAP server... [OK] # /etc/init.d/courier-authdaemon restart * Stopping Courier IMAP server... [OK] * Startinf Courier IMAP server... [OK] # telnet 127.0.0.1 143





Ahora podemos probar la recepción de correos a través de IMAP, los correos a través de un MUA, como puede ser Thunderbird de Linux, Evolution de Linux, Outlook Express de Windows XP o Live Mail de Windows 7. Vamos a ver como se configura Live Mail de Windows 7.





CONFIGURACIÓN DEL CLIENTE: LIVE MAIL DE WINDOWS 7 Lo primero que hay que hacer es comprobar que haya PING entre el cliente y el servidor. Y luego tenemos que configurar las cuentas de correo electrónico dentro de Mail de Windows 7. Herramientas >> Cuentas

Agregar …

Como que hemos migrado todos los usuarios del sistema dentro de Courier, los usuarios y las contraseñas son las mismas que utilizamos para entrar en nuestro servidor.





Mi servidor de correo entrante es IMAP porque hemos configurado Courier con IMAP. El servidor de correo entrante es la IP de nuestro servidor dónde está instalado Courier. El servidor de correo saliente es la IP de nuestro servidor dónde está instalado PostFix. En vez de poner la IP, podríamos poner el nombre FDQN; es decir: servidor.lucas.com (dónde servidor es el nombre de nuestro servidor). � No nos podemos olvidar de configurar las DNS en el cliente. Debemos poner como IP de DNS, la IP de nuestro servidor.

Finalizar





�� Estos pasos los tenemos que repetir para cada uno de los usuarios que tengamos creados en nuestro servidor; para así poder probar de enviar emails de un usuario a otro.





SEGURIDAD Hasta aquí hemos hecho la práctica instalando el servidor de correo SIN SEGURIDAD. A continuación vamos a configurar nuestro servidor para que sea seguro. Que nadie pueda enviar un email haciéndose pasar por otro, y que el propio mensaje no pueda ser leído, ni modificado en su viaje. Ahora que nuestro sistema de correo electrónico funciona sin seguridad, será importante que si implementamos la seguridad, tenemos que verificar cada cambio que hagamos en el cliente; y tirar marcha atrás si el último cambio no ha funcionado para ver porqué no ha funcionado. No pasar al paso siguiente, sin asegurar que el anterior funciona correctamente.

1. AUTENTICACIÓN

En este apartado, nos centraremos a configurar el servidor para que solo lo usen las personas que nosotros queremos, y no abusen de él para enviar spam.

1.1 Listas de bloqueo basadas en DNS

Las listas de bloqueo son unas listas de IP de servidores que supuestamente envian spam. Entre las listas más usadas se encuentran las RBL de mail-abuse.org o las SBL de spamhaus.org. Puede ver un listado completo de listas de bloqueo en http://www.declude.com/JunkMail/Support/ip4r.htm. Al configurar Postfix para que use estas listas significa que cada vez que llegue un correo a nuestro servidor, Postfix comprobará que la IP del servidor que nos envia el mensaje no se encuentra en esas listas. Una configuración típica en el main.cf sería

maps_rbl_domains = relays.ordb.org list.dsbl.org blackholes.mail-abuse.org dialups.mail-abuse.org relays.mail-abuse.org smtpd_client_restrictions = permit_mynetworks reject_maps_rbl check_relay_domains

Otro ejemplo, esta vez para Postfix 2.0

smtpd_client_restrictions = permit_mynetworks reject_non_fqdn_recipient hash:/etc/postfix/access reject_rbl_client sbl.spamhaus.org reject_rbl_client relays.ordb.org reject_rbl_client opm.blitzed.org reject_unauth_destination





NOTA . El uso de listas RBL puede producir el rechazo de mensajes legítimos. Antes de usar una lista RBL se recomienda encarecidamente comprobar cuáles son los criterios de dicha lista para incluir o no un determinado IP. Algunas listas (como SBL o DSBL) utilizan unos criterios muy claros y objetivos y producen pocos o ningún efecto indeseado, mientras que otras tienen unas normas mucho más agresivas y producen el bloqueo a veces de proveedores enteros, incluyendo un montón de usuarios legítimos.

1.2 Control de envíos

El control de envíos significa que se pueden definir qué direcciones de correo pueden enviar correo a través de nuestro servidor, y qué direcciones de correo no pueden enviar correo a nuestro servidor.

Por host o redes

Mediante la directiva mynetworks definimos qué redes o hosts pueden enviar correo a través de nuestro Postfix. Un ejemplo sería

mynetworks = 127.0.0.0/8, 192.168.2.0/24, 172.16.3. 4/32

Con esta configuración estamos definiendo:

• La red 127.0.0.0 puede enviar. Esta red siempre será nuestra propia máquina (localhost). • Los 254 hosts de la red 192.168.2.0 pueden usar nuestro servidor. • Solo el host 172.16.3.4 puede usar nuestro servidor, y ninguno más de la red 172.16.3.0. Por

ejemplo, el 172.16.3.14 no podría.

relay-host

Mediante el sistema relay-host definimos que direcciones de correo pueden enviar a través de nuestro servidor. Esto es útil si las personas que queremos que envíen correo tienen una dirección e-mail estable, pero una IP que cambia muy a menudo. Una configuración típica sería esta

smtpd_recipient_restrictions = permit_mynetworks, check_sender_access hash:/etc/postfix/usuar ios reject_unauth_pipelining, reject_non_fqdn_recipient, reject_non_fqdn_sender, reject_unknown_recipient_domain, reject_unknown_sender_domain, check_relay_domains

En la directiva check_sender_access vemos que hace referencia a un fichero llamado /etc/postfix/usuarios . Este fichero contiene algo parecido a esto:

[email protected] OK [email protected] OK [email protected] OK

Esta lista de e-mails significa que dichas direcciones pueden enviar a través de nuestro servidor, independientemente de la IP que tengan. Como puedes imaginar este método no es muy seguro, ya que





si algún spammer averigua una dirección de correo válida de tu servidor, podrá usarla para enviar correo de manera indiscriminada.

Cada vez que se modifique este fichero se debe ejecutar el comando

cd /etc/postfix && postmap usuarios && postfix relo ad

ACL

Las ACL, o listas de control de acceso, son las direcciones de e-mail que NO pueden enviar correo a nuestro servidor. Si llega un mensaje con alguna de esas direcciones, el servidor lo rechazará. La configuración de las ACL sería

smtpd_sender_restrictions = hash:/etc/postfix/access reject_unknown_sender_domain permit_mynetworks

Y el fichero /etc/postfix/access contendría

[email protected] REJECT METHOSYSTEM.IT REJECT techemail.com REJECT trafficmagnet.net REJECT email.com REJECT seekercenter.net REJECT icai.ie REJECT

Como vemos se pueden denegar direcciones e-mail concretas ([email protected]), o dominios enteros (techemail.com). Cada vez que se modifique este fichero debemos ejecutar

cd /etc/postfix && postmap access && postfix reload

pop-before-smtp

Este método consiste en que los clientes, antes de poder enviar correo a través de nuestro servidor, deben recoger primero el correo mediante POP3 o IMAP. Al recoger el correo, un demonio controla los logs de los servidores POP3 o IMAP, e introduce en un fichero las IPs de los clientes. A partir de ese momento, desde esa IP se podrán enviar correos, con cualquier remitente, durante el tiempo especificado, que por defecto son 30 minutos.

En la distribución Ubuntu, existe un paquete llamado pop-before-smtp. Lo instalaremos con el comando

apt-get install pop-before-smtp

Luego editamos el fichero /etc/pop-before-smtp/pop-before-smtp.conf para elegir el patrón (expresión regular) que se ajusta a las lineas de log que genera nuestro servidor POP3 o IMAP. Reiniciamos el demonio con el comando

/etc/init.d/pop-before-smtp restart





y comprobamos que al recoger el correo, nuestra IP se introduce en el fichero /var/lib/pop-before-

smtp/hosts.db con el siguiente script:

#!/usr/bin/perl -w use strict; use DB_File; # Written by Jonas Smedegaard <[email protected]>. # - but copied more or less verbatim from a mail re garding pop-before-smtp # by Bennett Todd <[email protected]>. # If someone recovers the origin of this script ple ase tell me, and I will # add it to this file. # # Freely redistributable, or by same rules as those of pop-before-smtp # (until the original author eventually shows up an d claims differently). die "syntax: $0 filename.db [...]\n" unless @ARGV; file: for my $file (@ARGV) { my %h; dbmopen(%h, $file, 0) || do { warn "$0: dbmopen($file): $!\n"; next file; }; print "$_ -> $h{$_}\n" for keys %h; }

Pasamos a configurar Postfix. En el fichero /etc/postfix/main.cf modificamos la siguiente linea para que incluya el fichero de IPs que genera el demonio pop-before-smtp:

mynetworks = 127.0.0.0/8, 192.168.1.0/24, hash:/var /lib/pop-before-smtp/hosts

y reiniciamos Postfix con

/etc/init.d/postfix restart





1.3 Autenticación a través de SASL

SASL Son las siglas de Simple Authentication and Security Layer que viene siendo en español (capa de seguridad y autenticación simple). Es un protocolo de la capa de la capa de aplicación que permite a un protocolo como IMAP o PO3 la autenticación. Este mecanismo funciona más o menos de la siguiente manera, un cliente MUA se conectara al servidor de correo, el usuario tendrá que validarse a este servidor por medio de SASL antes de poder sacar un correo. Lo primero que haremos será entrar al archivo principal de postfix: $ sudo nano /etc/postfix/main.cf Al final de este archivo ingresamos las siguientes líneas: smtpd_sasl_auth_enable = yes smtpd_recipient_restrictions =permit_sasl_authenticated,reject smtpd_sasl_authenticated_header = yes smtpd_sasl_type = dovecot smtpd_sasl_path = private/auth smtp_sasl_auth_enable = no smtpd_sasl_security_options = smtpd_sasl_auth_enable = yes (Permitiremos la autenticación por medio de Sasl) smtpd_recipient_restrictions =permit_sasl_authenticated,reject (Esto quiere decir que permitiremos que se envíen correos, después de que hallan sido validados a través de SASL) smtpd_sasl_authenticated_header = yes (Si queremos agregarle una cabecera a SASL) smtpd_sasl_type = dovecot (El tipo de servidor que tenemos para la recepción de correo, con el cual queremos que se autentica para poder enviar/recibir correos) smtpd_sasl_path = private/auth (Modo cliente ) smtp_sasl_auth_enable = no (Si soporta la auth en modo cliente, le decimos que NO, ya que dovecot no soporta esta autenticación)





Nota: Dovecot solo soporta la autenticación en modo servidor, que es la que permite que un usuario se conecte al servidor, se valide hacia este para poder descargar los correos) smtpd_sasl_security_options = (En este campo, podremos adicionar opciones para la seguridad de sasl, si dejamos este campo en blanco, sasl tomara los valores que tiene por defecto). Al terminar de ingresar estas opciones reiniciamos el servidor para que cargue los nuevos cambios efectuados. $ sudo /etc/init.d/postfix restart Ahora probaremos la validación. Lo haremos a través debase 64 Nota: BASE64 Es un sistema de enumeración que utiliza un sistema de codificación para los correos electrónicos y otras aplicaciones. $ sudo printf “\0%s\0%s” new 123 | base64 Dónde: printf “\0%s\0%s” = Es la forma para generar una clave codificada.

New = usuario del sistema 123 = Es el password del usuario new base64 = Es un sistema para la codificación de los datos.





Con esto nos damos cuenta que el MTA (Postfix) Esta validando los usuarios de una manera codificada a través de SASL. El método de cifrado, es en texto plano, pero a medida que vayamos avanzando con este manual, le adicionaremos complementos de seguridad.

Ahora le damos clic en ENVIAR / REC IBIR Y nos deberá de salir un menú de Autenticación para ENVIAR el correo.





Nos loguearemos para poder enviar el mensaje.





1.4 Autenticación a través de LDAP

LDAP (Lightweight Directory Access Protocol), (Protocolo Ligero de Acceso a Directorios) es un protocolo a nivel de aplicación que permite el acceso a un servicio de directorio ordenado y distribuido para buscar diversa información en un entorno de red. LDAP también es considerado una base de datos (aunque su sistema de almacenamiento puede ser diferente) a la que pueden realizarse consultas.

Un directorio es un conjunto de objetos con atributos organizados en una manera lógica y jerárquica. El ejemplo más común es el directorio telefónico, que consiste en una serie de nombres (personas u organizaciones) que están ordenados alfabéticamente, con cada nombre teniendo una dirección y un número de teléfono adjuntos.

Habitualmente, almacena la información de autenticación (usuario y contraseña) y es utilizado para autenticarse aunque es posible almacenar otra información (datos de contacto del usuario, ubicación de diversos recursos de la red, permisos, certificados, etc). A manera de síntesis, LDAP es un protocolo de acceso unificado a un conjunto de información sobre una red.

La versión actual es LDAPv3, la cual se detalla en el documento RFC 4510.

Es posible utilizar LDAP para autenticar los usuarios de PostFix. Esto es explicado de manera explícita y extensa en el anexo de este documento; y en absoluto es parte obligatoria de esta práctica.





2. Cifrado del envío de mensajes mediante TLS

Los mensajes que se envían desde un servidor a otro viajan en texto claro por defecto. Esto es, cualquier persona que pueda interponerse entre ambos servidores podrá leer el contenido del mensaje. Para evitar esta situación podemos recurrir al cifrado de la conexión mediante TLS (Transport Layer Security).

Para empezar debemos tener instalada la versión de Postfix con soporte TLS y las utilidades openssl. En Ubuntu los paquetes se llaman postfix-tls y openssl, y se instalan con el comando

# apt-get install postfix-tls openssl

Si ya tenias instalado el paquete postfix no te preocupes, pueden convivir ambos sin problemas.

Acto seguido, crearemos un certificado que servirá para cifrar la conexión, ejecutando este comando

# openssl req -new -x509 -nodes -out certificado.pe m -keyout postfix.pem -days 3000

certificado.pem = Nombre que le daremos a nuestro certificado con la extensión .pem - keyout postfix.pem = integracion con postfix days = Días que tedra vigencia nuestro certificado, ponemos los días que creamos pertinentes

El certificado lo tendremos en el fichero certificado.pem . Ponle los permisos adecuados para que nadie excepto el servidor Postfix pueda leerlo, y pon el fichero en un directorio seguro.





El certificado ha sido creado. Para verificarlo vamos a la siguiente ruta, donde quedaran alojados: # cd/ etc/ ssl/ # ls certificado.pem cert openssl.cnf postfix.pemprivate Abrimos el archivo certificado.pem y veremos algo así:





Ahora editaremos el archivo prinicipal de configuración de postfix para incluir el soporte con TLS. $ sudo nano /etc/postifx/main.cf En este archivo agregaremos las siguientes líneas: # TLS Parameters smtpd_tls_cert_file=/etc/ssl/certificado.pem smtpd_tls_key_file=/etc/ssl/postfix.pem smtp_use_tls = yes smtp_tls_loglevel = 0 smtp_tls_session_cache_timeout = 3600s smtp_tls_note_starttls_offer = yes smtp_starttls_timeout = 300s





Dónde: smtpd_tls_cert_file=/etc/ssl/certificado.pem (Ruta donde se encuentra el certificado que anteriormente creamos) Situación de la clave publica smtpd_tls_key_file=/etc/ssl/postfix.pem (Ruta donde se encuentra las claves .pem del certificado digital) Situación de la clave privada (en los ficheros .pem, ambas están juntas smtp_use_tls = yes (debemos utilizar TLS siempre que se pueda, le decimos que YES) smtp_tls_loglevel = 0 nivel de log. Poner 2 hasta que todo funcione bien smtp_tls_session_cache_timeout = 3600s tiempo de validez de las claves smtp_tls_note_starttls_offer = yes aviso de conexión TLS smtp_starttls_timeout = 300s tiempo máximo del intercambio de claves (Los parámetros de los tiempos de conexión de TLS





$ sudo /etc/init.d/postfix restart Reiniciamos el servidor de correo Postfix, para que cargue los cambios efectuados.. Ahora podremos enviar correos con mayor seguridad, ya que el mensaje viajara encriptado con un alto nivel de seguridad, de manera que sólo el destinatario podrá ver el correo. Nota: En la configuración de los MDA cómo Evolution o Thunderbird podremos seleccionar que cifre el tráfico por medio de TLS. En Mail

Si instaláramos un sniffer como WireShark veríamos que los paquetes viajan con toda la información del mensaje cifrado. Para Live Mail de Windows 7 tenemos que habilitar SSL en la entrada de paquetes. Es decir, tenemos que habilitar SSL para SMTP en el puerto 25.





3. SERVIDOR ANTIVIRUS Y ANTISPAM Es muy importante tener un buen sistema antivirus y antispam, ya que el correo electrónico es uno de los medios (el mayor diría yo) por donde se transmiten virus y demasiado spam.

3.1 SERVIDOR ANTISPAM Primero empezaremos configurando el servidor antispam, utilizaremos SpamAssasin ya que es uno de los mejores servidores antispam para correo, y existe muy buena documentación y soporte para este. Lo primero que haremos será buscar en la cache de los repositorios si existe este paquete para ser instalado, de lo contrario actualizar nuestros repositorios. $ sudo apt-cache search spamassassin A continuación instalaremos los paquetes necesarios que necesita Spamassassin para funcionar correctamente. $ sudo apt-get install spamassassin $ sudo apt-get install spamc Luego crearemos un grupo con usuarios para la parte de administración del servidor de spam. $ sudo groupadd spamd (Creamos un grupo llamado spamd) $ sudo useradd -g spamd -s /bin/false –d /var/log/spamassassin spamd (Creamos un usuario llamado spamd que sera miembro del grupo spamd) Ahora ya que tenemos un grupo con un usuario, reiniciamos el servicio de spamassassin para que cargue la última configuración que realizamos. $ sudo /etc/init.d/spamassassin restart OH!!! Que pasó!!! Saco un mensaje de error: $ SpamAssassin Mail Filter Daemon: disabled, see /etc/default/spamassassin Esto quiere decir que el demonio esta deshabilitado, y por lo tanto no puede funcionar. $ sudo nano /etc/default/spamassassin Modificamos una línea, que nos permitirá activar nuestro demonio. ENABLED=0 Modificamos el 0(Desactivado) por un 1(Activado)





ENABLED=1 Guardamos los cambios. $ sudo /etc/init.d/spamassassin restart Restarting SpamAssassin Mail Filter Daemon: spamd. Ahora tenemos el servicio activo y corriendo. Ahora lo que haremos será dar una configuración para el sistema anti-spam, vamos al archivo principal de configuración de spamassassin. $ sudo nano /etc/spamassassin/local.cf descomentamos estas línea rewrite_header Subject*** **SPAM***** (Este será el encabezado que llevara el mensaje) report_safe 1 (Le decimos que nos mande el correo de spam de manera adjunta) required_score 5.0 (Esta es la puntuacion apartir de la cual Spamassassin reconocera un correo como Spam o no. Por defecto viene en 5.0) Debemos de tener cuidado con la puntuación que le demos en el required score. La puntuación va de 0 a 10. Si la ponemos muy baja podremos tener problemas ya que correos que no son SPAM podrían ser tratados como si lo fueran. Si la ponemos muy alta nos tomara como correos bueno lo que en realidad es SPAM. La puntuación ideal será dejarlo entre 3.5 y 5.5 Ahora agregamos unas líneas, que evitaran que las cabeceras de los ISP se tomen como spam bayes_ignore_header X-Upstream-Spamfilter bayes_ignore_header X-Upstream-SomethingElse Ahora crearemos la ruta donde se encontrara el directorio de las bayesianas, esta parte es de suma importancia bayes_path /etc/spamassassin/bayes/bayes Ahora creamos El directorio donde se encontraran las bayesianas. mkdir /etc/spamassassin/bayes Listo. Ya con esto tenemos la cofiguracion de spamassassin.





Ahora reiniciaremos el servicio para que cargue la nueva configuración que hemos realizado. $ sudo /etc/init.d/spamassassin restart Restarting SpamAssassin Mail Filter Daemon: spamd. Ahora lo que haremos sera integrar SPAMASSASSIN con POSTFIX Lo que haremos será configurar postfix para que los correos sean analizados por el filtro antispam. $ sudo nano cd /etc/postfix/master.cf Añadiremos lo siguiente en la lineas en las opciones de smtp: smtp inet n - - - - smtpd -o content_filter=spamassassin:dummy Esto lo que nos permitirá será integrar el servidor anti-spam con postfix, de manera que los correos que entren o salgan sean analizados por este servidor.

Y al final del fichero añadiremos estas líneas: spamassassin unix - n n - - pipe user=spamd argv=/usr/bin/spamc -f -e /usr/sbin/sendmail -oi -f ${sender} -- ${recipient} y ya para finalizar, reiniciamos el servidor para comprobar que no haya errores. $ sudo /etc/init.d/postfix restart





3.2 SERVIDOR ANTIVIRUS Ahora instalaremos y configuraremos el servidor antivirus. ClamAV es el anti-virus de correo mas utilizado y se puede integrar fácilmente con postfix (MTA) Empezaremos entonces buscando en la cache de los repositorios si existe este paquete para ser instalado. $ sudo apt-cache search clamav

Instalaremos el servidor anti-virus clamAV. $ sudo apt-get install clamav E instalaremos unos paquetes adicionales para que pueda funcionar correctamente nuestro servidor antivirus de correo. $ sudo apt-get install clamsmtp $ sudo apt-get install clamsmtp $ sudo apt-get install clamav-freshclam $ sudo apt-get install clamav-docs (Es muy importante instalar la documentación para clamav, ya que estos manuales nos pueden ser de mucha ayuda) Ahora vamos a configurar el sistema antivirus clamAV





$ sudo nano /etc/clamsmtpd.conf (Editaremos el archivo principal de configuración) Cambiaremos la dirección para enviar los correos, por defecto viene en 10025 y la modificamos. OutAddress: 10026 El puerto en el que escucha el sistema antivirus Listen: 127.0.0.1:10025 La ruta dónde esta el archivo de clamd. ClamAddress: /var/run/clamav/clamd.ctl Pondremos un encabezado para los correos que hayan sido analizados. Header: X-AV-Checked: ClamAV using ClamSMTP. Porporcionado por LucasCorp.

Este será la localización del pid PidFile: /var/run/clamsmtp/clamsmtpd.pid Lugar donde dejar los ficheros temporales TempDirectory: /var/spool/clamsmtp El usuario con el que lanzarlo User: clamsmtp Acción a realizar en caso de detectar virus.





VirusAction: /usr/local/bin/virusalert.sh En este fichero crearemos un script que definirá lo que hará el sistema. Antivirus en caso de detectar un virus. $ sudo su # touch virusalert.sh # nano virusalert.sh Le daremos permisos a este archivo. # chmod 744 virusalert.sh Entramos a este archivo y agregamos la siguiente sintaxis

#!/bin/sh FROM='Sistema antivirus <[email protected]>' TO=$RECIPIENTS MAILER='/usr/sbin/sendmail -it' SUBJECT=`/bin/echo "El correo contiene un virus" | /usr/bin/nkf -jMB` $MAILER <<EOM From: $FROM To: $TO Subject: =?ISO-2022-JP?B?$SUBJECT?= Se ha detectado código malicioso en el adjunto que contenía el correo. Póngase en contacto con el administrador de su sistema LUKASCORPORATION si está





seguro/a de que no es un virus, pida a la persona que le envía el fichero que por favor lo ponga en un fichero comprimido protegido por una contraseña. Disculpe las molestias. [Virus] $VIRUS [De] $SENDER [Para] $RECIPIENTS EOM exit 0 Esto lo que hará será que en caso de que clamAV detecte algún virus, notificara de inmediato con el administrador de la red, por medio de un correo electrónico, notificando que ha detectado virus, y serán almacenados en una boveda especial. La última configuración será decirle a postfix que todos los correos entrantes y salientes sean analizados por el sistema antivirus, en nuestro caso clamAV

# cd /etc/postfix/ # nano master.cf Y añadiremos al final de este archivo las siguientes líneas: ## FILTRO ANTIVIRUS ## Filtro antivirus usado por content filter Scan unix - - n - 16 smtp





-o smtp_send_xforward_command=yes -o smtp_enforce_tls=no

# Para inyectar el correo a postfix una vez analizado 127.0.0.1:10026 inet n - n - 16 smtpd

-o content_filter= -o

receive_override_options=no_unknown_recipient_checks,no_header_body_checks

-o smtpd_recipient_restrictions=permit_mynetworks,reject -o mynetworks_style=host -o smtpd_authorized_xforward_hosts=127.0.0.0/8





Ahora iremos al archivo main.cf y agregaremos unas cuantas líneas del filtro y el escaneo. # nano /etc/postfix/main.cf content_filter = scan:[127.0.0.1]:10025 Reiniciamos para que carguen la última configuración. # sudo /etc/init.d/clamsmtp restart # sudo /etc/init.d/postfix restart Llegado a este punto, ya tendremos configurado postfix con un sistema de seguridad completo como es con antivirus y antispam. Probaremos que los mensajes sean analizados.

Enviamos un correo desde root hacia new3... allí en el encabezado nos podremos dar cuenta de que el correo ha sido previamente escaneado. Con lo que podemos darnos cuenta que nuestro Antivirus, ha analizado el correo antes de que podamos abrirlo.





3.3 Antivirus y antispam mediante expresiones regul ares

Postfix soporta búsqueda de expresiones regulares en las cabeceras de los mensajes. En estas cabeceras es donde siempre vienen definido el o los ficheros que van adjuntos al mensaje. A diferencia de otros ficheros, estos no necesitan ser procesados con postmap , simplemente con ejecutar postfix reload después de editarlos es suficiente.

Para configurar las búsquedas mediante expresiones regulares la configuración sería esta

body_checks = regexp:/etc/postfix/anti_virus, pcre: /etc/postfix/pcre_anti_virus header_checks = pcre:/etc/postfix/cabeceras

El fichero anti-virus , filtra los ficheros adjuntos, y el cuerpo del mensaje. Este fichero contiene lo siguiente

# Virus /(filename|name)="(Happy99|Navidad|prettypark)\.exe "/ REJECT /(filename|name)="(pretty park|zipped_files|flcss)\ .exe"/ REJECT /(filename|name)="(Msinit|wininit|msi216)\.exe"/ RE JECT /(filename|name)="(Avp_updates|Qi_test|Anti_cih)\.e xe"/ REJECT /(filename|name)="(Emanuel|kmbfejkm|NakedWife)\.exe "/ REJECT /(filename|name)="(Seicho_no_ie|JAMGCJJA|Sulfnbk|de crypt-password)\.exe"/ REJECT /(kak|day)\.(reg|hta)/ REJECT /Rem I am sorry.*/ REJECT /Te mando este archivo para que me des tu punto de vista/ REJECT /I send you this file in order to have your advice/ REJECT /Espero me puedas ayudar con el archivo que te mand o/ REJECT /Espero te guste este archivo que te mando/ REJECT /Este es el archivo con la información que me pedis te/ REJECT # ficheros extraños /(filename|name)=".*\.(asd|chm|dll|hlp|hta|js|ocx|p if)"/ REJECT /(filename|name)=".*\.(scr|shb|shs|vb|vbe|vbs|wsf|w sh)"/ REJECT # CLSID /(filename|name)=".*\.\{.*\}"/ REJECT # Iframe /(\<IFrame\ src\=\"|\<IFRAME\ src\=\"|\<IFRAME\ SRC \=\")/ REJECT

El siguiente fichero es pcre_anti_virus , que filtra los ficheros adjuntos por extensiones y tambien fichero codificados en MIME

/^begin\s+\d{3}\s+.+?\.(bat|chm|cmd|com|hta|jse?|pi f|scr|shb|vb[esx]|ws[fh])\b/ REJECT /^\s+(file)?name="?.+?\.(bat|chm|cmd|com|hta|jse?|p if|scr|shb|vb[esx]|ws[fh])\b/ REJECT

Y por último, el fichero cabeceras , que filtra las cabeceras de los mensajes (el from, subject,

etc. ).

/^From: Hahaha <[email protected]>$/ REJECT





/^Subject: Enanito si, pero con que pedazo!$/ REJ ECT /^Subject: Re: Your password!$/ REJECT Estas infect ado con el Frethem. Desinfectate.

Como ves, se pueden poner mensajes después del REJECT. Estos mensajes serán recibidos por la persona que mandó el mensaje.

Tienes una lista muy extensa de expresiones regulares en la URL http://www.hispalinux.es/~data/postfix/

Integración con Amavisd-New

Amavisd-New es un software que filtra todos los mensajes de correo, haciendolos pasar por un programa antivirus y/o un programa antispam. En este documento no trataré la instalación o configuración de amavis , sino la integración con Postfix 2.0

Una vez instalado y configurado Amavisd-New, añadimos al final éstas lineas en el fichero master.cf :

smtp-amavis unix - - n - 2 s mtp -o smtp_data_done_timeout=1200 -o smtp_send_xforward_command=yes 127.0.0.1:10025 inet n - n - - s mtpd -o content_filter= -o local_recipient_maps= -o relay_recipient_maps= -o smtpd_restriction_classes= -o smtpd_client_restrictions= -o smtpd_helo_restrictions= -o smtpd_sender_restrictions= -o smtpd_recipient_restrictions=permit_mynetwor ks,reject -o mynetworks=127.0.0.0/8 -o strict_rfc821_envelopes=yes -o smtpd_error_sleep_time=0 -o smtpd_soft_error_limit=1001 -o smtpd_hard_error_limit=1000

y en el fichero main.cf añadimos:

content_filter = smtp-amavis:[127.0.0.1]:10024

Reiniciamos Postfix con postfix reload y ya lo tenemos listo.





Greylisting

Greylisting es el método por el cual se deniega el primer envío de un remitente desconocido, mediante un código de error 450 (deferred). Muchos de los virus y spammers no siguen el protocolo SMTP correctamente, con lo que nunca volverán a enviar ese mensaje. Mediante el greylisting podemos evitar que nos lleguen mensajes de virus y proxies abiertos, pero no podemos evitar que nos lleguen de servidores de correo mal configurados que permiten relay, aunque con un poco de suerte en el siguiente reenvío ese servidor ya esté en alguna lista RBL y podremos evitarlo.

El funcionamiento es como sigue:

• Llega un correo con remitente desconocido • Se deniega con un error 450 (intentar más tarde) • Se guarda la IP, el From y el To en un fichero • Si el correo era un spam o un virus, es muy raro que nos lo vuelvan a enviar • Si el correo viene de un servidor SMTP, será enviado de nuevo pasados unos minutos • Cuando llega de nuevo el correo, lo dejará pasar

Veamos cómo implementar el greylisting en un servidor Ubuntu con Postfix 2.1 o superior (las versiones anteriores no soportan esta característica):

Instalamos el paquete postgrey

# apt-get install postgrey

Editamos el fichero /etc/postfix/main.cf y lo dejamos tal que así:

[...] smtpd_recipient_restrictions = [...] reject_unauth_destination, check_policy_service inet:127.0.0.1:60000 [...]

Con esto configuramos Postfix para que compruebe cada correo que llega mediante el demonio greylist , que está escuchando en el puerto 60000 de la IP 127.0.0.1

Reiniciamos Postfix y ya lo tendremos funcionando.

Puedes obtener más información sobre greylisting en http://greylisting.org





ANEXO:

A.1 Servidores Virtuales

Los servidores virtuales son realmente todos los dominios que gestiona nuestro servidor. Es decir, que un solo servidor de correo puede recibir e-mails para muchos dominios diferentes. La configuración de los servidores virtuales sería

mydestination = mihost.dominio.com, localhost.domin io.com, localhost, hash:/etc/postfix/virtual

Veamos lo que contiene el fichero /etc/postfix/virtual

dominiovirtual1.com cualquiercosa [email protected] usuariolocal1 [email protected] usuariolocal2 [email protected] usuariolocal3 dominiovirtual2.com cualquiercosa [email protected] usuariolocal4 [email protected] usuariolocal5 [email protected] usuariolocal6

Lo de cualquiercosa es eso, cualquier palabra, da lo mismo la que sea, pero ES OBLIGATORIO que haya una (los ficheros de hash van por pares). Cada vez que modifiques este fichero debes ejecutar el comando

cd /etc/postfix && postmap virtual && postfix reloa d





A.2 Servidores de backup

Los servidores de backup son servidores de correo que solo actúan cuando el servidor principal tiene algún problema y no puede recibir correo (problemas de rutado, caída del servidor, etc.). La misión del servidor de backup es recoger todo el correo mientras el servidor principal está inaccesible, y guardarlo hasta que pueda ser entregado.

Aquí entra en juego el DNS, ya que debemos configurar la zona del dominio para que especifique dos servidores de correo con distintas prioridades. Un ejemplo sería este:

# Fichero /etc/bind/midominio.es $TTL 86400 @ IN SOA root.midominio.es. hostmas ter.midominio.es. ( 2003073101 ; S erial 86400 ; R efresh (1 dia) 7200 ; R etry (2 horas) 2592000 ; E xpire (30 dias) 172800 ) ; D efault TTL (2 dias) IN A 192.168.4.1 IN NS dns1.midominio.es. IN NS dns2.midominio.es. IN MX 1 correo IN MX 2 correobackup www IN A 192.168.4.2 correo IN A 192.168.4.3 correobackup IN A 192.168.4.4 dns1 IN A 192.168.4.1 dns2 IN A 192.168.4.5

Fíjate en las líneas "IN MX". Hemos puesto que el servidor principal es correo y tiene una prioridad 1, y el servidor correobackup tiene una prioridad 2. Esto quiere decir que cuando alguien envíe un correo a nuestro dominio, primero lo intentará enviar a la máquina correo, y en caso que no pueda enviarlo, lo enviará a la máquina correobackup.

El fichero main.cf de la máquina correobackup debe llevar estas opciones:

mydestination = dominio.es transport_maps = hash:/etc/postfix/transport

y el fichero transport contiene:

midominio.es smtp:correo.midominio.es

Con esto especificamos que todo el correo que llegue para el dominio midominio.es debe ser reenviado a la máquina correo.midominio.es mediante el protocolo SMTP. El servidor de backup intentará enviar los mensajes a la máquina principal cada poco tiempo, si no lo consigue, lo intenta más tarde. Por defecto, postfix devuelve los mensajes que no ha podido enviar en 5 días, así que si tu servidor





principal de correo va a estar más de 5 días off-line, puedes aumentar el tiempo de vida de los mensajes en correobackup mediante el comando maximal_queue_lifetime en el fichero main.cf.

A.3 Medios de transporte

Los medios de transporte sirven para desviar el correo entrante a otros servidores de correo en función del dominio. Esto es útil para servidores de ISP que manejan cantidades grandes de correo. Una configuración típica sería

transport_maps = hash:/etc/postfix/transport

y el fichero /etc/postfix/transport contiene

dominio1.com smtp:servidor2.dominio2.com dominio2.com smtp:servidor3.dominio3.com dominio3.com smtp:servidor4.dominio4.com :10025

En la última línea hemos especificado un número, el 10025, que sería el puerto de destino del servidor remoto. En ese puerto debería haber un demonio escuchando las peticiones externas para redirigir el correo al servidor. El hecho de especificar un puerto distinto al 25 (SMTP) puede servir para evitar firewalls, proxies o incluso para asegurarnos que ningún sniffer interceptará nuestro correo. Al modificar este fichero, se debe ejecutar el comando

cd /etc/postfix && postmap transport && postfix rel oad





A.4 Instalación y configuración de LDAP Es un protocolo a que permite el acceso a un Servicio de Directorios ordenado y distribuido para estructurar la información en un entorno de red.

A.4.1 OPENLDAP Este manual, esta dedicado a OPEN LDAP, que es una implementación libre del protocolo que soporta múltiples esquemas por lo que puede utilizarse para conectarse a cualquier otro LDAP, como lo es Mandriva Directory Server, Fedora Directory Servero Red Hat Directory Server. Ahora lo que realizaremos será buscar en la cache de nuestros repositorios, que si se encuentren los paquetes necesarios para la instalación de OpenLdap. $ sudo apt-cache search ldap-utils ldap-utils - OpenLDAP utilities $ sudo apt-cache search migrationtools migrationtools - Migration scripts for LDAP $ sudo apt-cache search slapd slapd - OpenLDAP server (slapd) slapd-dbg - Debugging information for the OpenLDAP server (slapd) Ahora que sabemos que todos los paquetes se encuentran en la cache de los repositorios, podremos instalarlos. $ sudo apt-get install ldap-utils $ sudo apt-get install migrationtools $ sudo apt-get install slapd Al instalar este paquete de slapd. Nos pedirá una contraseña para el administrador, pero es opcional ponerla ya que mas adelante configuraremos los parámetros básicos y en ellos se incluye la contraseña. Luego de que tenemos instalado estos paquetes, iniciaremos la configuración. $ sudo dpkg-reconfigure slapd De inmediato iniciara el asistente para la configuración de slapd





Le decimos que NO...ya que queremos configurar los parámetros básicos de Openldap.

Escribimos el dominio para que OpenLDAP construya la base DNS.





El nombre de nuestra organización puede ser nuestro dominio.

Escribiremos una contraseña de administrador, de manera que en el momento de efectuar algún cambio, debemos de estar logueados como el administrador.





Ahora le diremos que el motor de la base de datos que utilizaremos será de tipo BDB.

Nos pregunta que si deseamos borrar la base de datos cuando purguemos el paquete Slapd. Le respondemos que no, para permitir que la base de datos quede presente en el momento de eliminar el paquete de instalación.





Le decimos que si, ya que no tenemos una base de datos configurada, porque apenas la vamos a crear.

Nos preguntará que si queremos que instale LDAPV2. Le respondemos que NO, ya que no será necesario porque todos los protocolos y servicios que tenemos instalados tienen soporte con ldapv3. Ahora realizamos la respectiva configuración para que el Servidor use la autenticación de LDAP.





Instalamos los paquetes necesarios, para poder llevar a cabo esta operación. Primero que todo, comprobamos en la cache de los repositorios, que se encuentren los paquetes. $ sudo apt-cache search auth-client-config auth-client-config - pam and NSS profile switcher $ sudo apt-cache search libnss-ldap libnss-ldap - NSS module for using LDAP as a naming service libpam-ldap - Pluggable Authentication Module allowing LDAP interfaces libnss-ldapd - NSS module for using LDAP as a naming service libpam-ccreds - Pam module to cache authentication credentials nss-updatedb - Cache name service directories in DB format $ sudo apt-cache search libpam-ldap server libpam-ldap - Pluggable Authentication Module allowing LDAP interfaces ldapscripts - Add and remove user and groups (stored in a ldap directory). libpam-ccreds - Pam module to cache authentication credentials nss-updatedb - Cache name service directories in DB format Ahora podemos instalar los paquetes. $ sudo apt-get install auth-client-config libnss-ldap $ sudo apt-get install libpam-ldap Cuando estemos instalando este ultimo paquete, nos pedirá una configuración que a continuación explicaremos. Ldap server uniform resource identifier

ldapi://127.0.0.1/

distinguised name of the search base

dc=lucas,dc=com ldap version to use

3 make local root database admin

si

does the ldapdatabase requiere login

no

ldap account for root





cn=admin,dc=lucas,dc=com (Este será el usuario principal de Ldap)

Ldap root account password

############# Configuracion deldap. conf $ sudo nano /etc/ldap.conf Entramos al archivo principal de ldap, y modificaremos los siguientes campos. Nota: Estos campos varían de acuerdo a la configuración de la dirección IP, y del dominio que se tenga instalado en la maquina. # host 127.0.0.1 host 192.168.1.1 base dc=lucas,dc=com uri ldapi://127.0.0.1/ rootbinddn cn=admin,dc=lucas,dc=com port 389 bind_policy_soft

Ahora copiamos los archivos $ sudo cp /etc/ldap.conf a /etc/ldap/ldap.conf Luego creamos un archivo de configuración para la autenticación.

$ sudo su # cd /etc/auth-client-config/profile.d/ # touch open_ldap E ingresamos las siguientes líneas: [open_ldap] nss_passwd=passwd: compat ldap nss_group=group: compat ldap nss_shadow=shadow: compat ldap pam_auth=auth required pam_env.so

auth sufficient pam_unix.so likeauth nullok auth sufficient pam_ldap.so use_first_pass

auth required pam_deny.so pam_account=account sufficient pam_unix.so

account sufficient pam_ldap.so account required pam_deny.so





pam_password=password sufficient pam_unix.so nullok md5 shadow use_authtok password sufficient pam_ldap.so use_first_pass password required pam_deny.so

pam_session=session required pam_limits.so session required pam_mkhomedir.so skel=/etc/skel/ session required pam_unix.so session optional pam_ldap.so





Ahora lo que haremos, será habilitar la autenticación de ldap. # auth-client-config -a -p open_ldap # exit Ahora reiniciaremos el servidor, para que cargue los cambios efectuados, y comprobar que no tenemos errores. $ sudo /etc/init.d/slapd restart





A.4.2 Software de administración de LDAP LAT (Ldap Admin Tools) Es de una formidable herramienta para la administración de LDAP. Ideal para administrar gráficamente toda la unidad del directorio. descargamos este software desde: http://www.ldapsoft.com/ldapadmintool.html Ahora instalaremos el software; Buscamos la ruta donde este se encuentra $ sudo ./l dapA dmin Tool -2.4 .x- Linux -x86 -Ins tall .bin E iniciaremos la instalación. Abrimos el software por primera vez.

Lo primero que haremos sera crear una nueva conexión, entre este software (Ldap Admin Tools) y OpenLdap.





Connection Name = conexión LDAP (Este sera el nombre que le queremos dar a la conexión) Hostname =127 .0.0 .1 (En esta opcion podemos ingresar el nombre del equipo donde se encuentra ldap, o la dirección IP de este. Para nuestro caso utilizaremos la dirección 127.0.0.1 ya que ldap se encuentra instalado y configurado en nuestro equipo local) port =389 (El puerto por el cual se realizara la conexión. 389 viene por defecto) protocol = LDAP v3 (Este sera el protocolo que utilizara ldap... Podemos utilizar la version2 o la version3. Base DN =dc=lucas, dc=com (Esta es la base de como esta conformado nuestro dominio, ya que es lucas.com y se define como dc=lucas y el .com que sera dc=com) Por último testeamos que se encuentre la conexión activa con ldap, para poder ingresar y realizar los cambios que queramos.





Ahora definiremos los parámetros de autenticación. Simple Authentication y los parametros seran: Bind DN =cn=a dmin ,dc= luca s,dc =com (El usuario administrador de ldap, sera admin y ponemos la base de nuestro dominio.) Password =** **** **** **** (Este será el password que anteriormente habíamos definido para el usuario admin) Y comprobamos que las credenciales sean validas.





Estas son algunas de las opciones de la conexión que podemos modificar. Y para finalizar damos clic en Finish.





En este momento ya tenemos una conexión establecida entre LAT y OPENLDAP.





A.4.3 Integración de OPENLDAP con POSTFIX Ahora lo que haremos sera integrar OpenLdap con Postfix. Lo primero que haremos sera instalar el paquete que nos brinda el soporte entre ldap y postfix. Buscamos que si se encuentre el paquete. $ sudo apt-cache search postfix-ldap LDAP map support for Postfix Ahora podemos instalar el paquete $ sudo apt-get install postfix-ldap Lo primero que haremos será crear la estructura (Schema) para poder realizar usuario y grupos virtuales para el servidor de correo, validándose contra OpenLdap. # sudo nano /etc/ldap/slapd.conf

Adicionaremos un nuevo schema Include /etc/ldap/schema/postfix.schema





Ahora vamos a esta ruta y creamos un fichero que contendrá el nuevo schema. $ cd /etc/ldap/schema $ sudo touch postfix.schema y agregaremos los siguientes esquemas # Extensions to support Postfix MTA using Openldap experimental OID's attributetype ( 1.3.6.1.4.1.15347.2.102

NAME 'transport' SUP name)

attributetype ( 1.3.6.1.4.1.15347.2.101

NAME 'mailRoutingAddress' SUP mail )

attributetype ( 1.3.6.1.4.1.15347.2.110 NAME 'maildest'

DESC 'Restricted to send only to local network' EQUALITY caseIgnoreMatch SUBSTR caseIgnoreSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15{32768} )

attributetype ( 1.3.6.1.4.1.15347.2.111 NAME 'mailaccess'

DESC 'Can be mailed to restricted groups' EQUALITY caseIgnoreMatch SUBSTR caseIgnoreSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15{32768} )

attributetype ( 1.3.6.1.4.1.15347.2.100

NAME ( 'maildrop' ) DESC 'RFC1274: RFC822 Mailbox' EQUALITY caseIgnoreIA5Match SUBSTR caseIgnoreIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26{256} )

attributetype ( 1.3.6.1.4.1.10018.1.1.1 NAME 'mailbox'

DESC 'The absolute path to the mailbox for a mail account in a non-default location' EQUALITY caseExactIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )

objectclass ( 1.3.6.1.4.1.15347.2.1

NAME 'mailUser' DESC 'E-Mail User' SUP top AUXILIARY MUST ( uid $ mail $ maildrop ) MAY ( cn $ mailbox $ maildest $ mailaccess ) )





objectclass ( 1.3.6.1.4.1.15347.2.2 NAME 'mailGroup' DESC 'E-Mail Group' SUP top STRUCTURAL MUST ( cn $ mail ) MAY ( mailRoutingAddress $ member $ description ) )

objectclass ( 1.3.6.1.4.1.15347.2.3

NAME 'transportTable' DESC 'MTA Transport Table' SUP top STRUCTURAL MUST ( cn $ transport ) )

Si comprendemos la sintaxis de este schema, podemos adicionar definiciones a esta estructura.

Después de haber creado el archivo con el esquema, vamos al archivo principal de Postfix y agregamos las siguientes líneas, que nos permitirá crear usuarios virtuales con OpenLdap e integrarlos fácilmente a postfix.

$ sudo nano /etc/postfix/main.cf # LDAP settings virtual_maps = ldap:ldapgroups, ldap:ldapalias

ldapgroups_server_host = localhost ldapgroups_server_port = 389 ldapgroups_search_base = ou=Groups,dc=lucas,dc=com ldapgroups_bind = no ldapgroups_timeout = 30 ldapgroups_query_filter = (&(mail=%s)(objectclass=mailGroup)) ldapgroups_special_result_attribute = member

ldapalias_server_host = localhost ldapalias_server_port = 389 ldapalias_search_base = ou=Users,dc=lucas,dc=com ldapalias_bind = no ldapalias_timeout = 30 ldapalias_query_filter = (&(mail=%s)(objectclass=mailUser)) ldapalias_result_attribute = maildrop

transport_maps = ldap:ldaptransport





ldaptransport_server_host = localhost ldaptransport_server_port = 389 ldaptransport_search_base = ou=Transport,dc=lucas,dc=com ldaptransport_bind = no ldaptransport_timeout = 30 ldaptransport_query_filter = (&(cn=%s)(!(cn=server.mydomain.com)) (objectclass=transportTable))

ldaptransport_result_attribute = transport

Para que se haga una búsqueda virtual del parámetro mydestination quito el dns local y dejamos el nombre de equipo una, y localhost: debajo de esta línea adicionamos el parámetro:

– virtual _mailbox_domains=lucas.com – virtual_mailbox_base=/vmail/correos (aquí es donde almaceno los correos ) – virtual_mailbox_maps=ldap:/etc/postfix/ldap.conf (aquí es donde se hace las consultas de ldap) – virtual_uid_maps= stactics:5000 – virtual_gid_maps=stactics:500 0 (en estas dos ultimas líneas estamos especificando el usuario/grupo virtual admin y los buzones para estos). Es obvio que debemos tener este usuario ya creado – $ sudo useradd -m -d /vmail -s /bin/false -U -u 5000 vmail (vmail es el nombre de usuario) con su respectivo directorio # sudo su # mkdir /vmail/correos chown 5000:5000 /vmail/correos # exit

Después de haber adicionado estas líneas reiniciamos OpenLdap, para que carguen los nuevos cambios efectuados y sercionarnos de que no hallan errores

Nota: Cada vez que reiniciemos algún servicio, verifiquemos en los Logs pertinentes que no existen errores.





$ sudo /etc/init.d/postfix restart $ sudo /etc/init.d/slapd restart

(Slapd se demorara un poco mas para reiniciarse ya que apenas esta integrando los nuevos cambios realizados)

Practica PostFix

Documents

Transcript of Practica PostFix