SERVIDOR DE CORREO CON OPENSMTPD

Transcripción

1 SERVIDOR DE CORREO CON OPENSMTPD Autor: Fernando Quintero Correo electrónico: Fecha de creación : 03/10/09 Ultima modificación: 12/11/09 Índice de contenido 1.Licencia (BSD) Qúe es OpenSMTPD? Configuración del servidor de correo Recibiendo correo para un dominio...2 a.configuración básica del sistema operativo OpenBSD...3 b.eliminando los rastros de sendmail...4 c.habilitamos el servidor OpenSMTPD para recibir en MBOX...5 d.habilitamos el servidor OpenSMTPD para recibir en formato MailDir OpenSMTPD usando TLS OpenSMTPD usando SSL Descargando el correo por POP e IMAP Habilitando un webmail seguro Servidor web seguro (https) Instalando el servidor MySQL Soporte PHP/MySQL para Apache Instalando el webmail (roundcub ) Conclusiones Enlaces recomendados Licencia (BSD) Copyright (c) 2009, Fernando Quintero (a.k.a nonroot), All rights reserved. Redistribution and use in source and binary forms, with or without modification, are permitted provided that the following conditions are met: Redistributions of source code must retain the above copyright notice, this list of conditions and the following disclaimer. Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution. Neither the name of the OpenBSD Colombia nor the names of its contributors may be used to endorse or promote products derived from this software without specific prior written permission. THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT OWNER OR 1.Licencia (BSD) 1/42

2 CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE. 2. Qúe es OpenSMTPD? OpenSMTPD es un MTA en proceso de desarrollo, que busca crear un servidor de correo orientado a la seguridad, con muchas funcionalidades y bastante fácil de configurar. Actualmente esta siendo desarrollado en gran parte por jacekm@ y gilles@, siendo este último el frontend del proyecto. Cuando leí la noticia de un nuevo servidor de correo pensé lo que seguramente estas pensando, para que otro nuevo MTA si ya se tiene postfix, sendmail, qmail, exim, etc?. La respuesta la obtuve después de hacerle mucho seguimiento a la lista de y de algunas entrevistas a los desarrolladores. Y la conclusión a la que llego es que vale la pena el esfuerzo por crear algo nuevo al estilo BSD ;). Porque?, porque los otros MTA no tienen licencias adecuadas, por eso nunca han entrado en el sistema base de OpenBSD, postfix y qmail son ejemplos de estos, no permiten que el equipo OpenBSD realice sus cambios a voluntad, esto según la filosofía del proyecto, no es algo que se pueda aceptar. Actualmente OpenBSD trae en su sistema base una modificación del demonio sendmail, el MTA mas antiguo y posiblemente el que tenga mas funcionalidades, pero también el mas complicado de configurar, ya que para usar los famosos milters, es necesario recompilar el software o crear macros m4 que no todo el mundo puede comprender... En conclusión, se quiere crear un nuevo servidor de correo al estilo OpenBSD, Libre, Funcional y Seguro!, entonces le damos la bienvenida a OpenSMTPD!!!. En este documento voy a mostrar como configurar de forma práctica un servidor de correo con OpenSMTPD que ya viene en el sistema base (no habilitado) en la actual release 4.6. Como siempre, cualquier duda o comentario lo pueden enviar a la lista de soporte de OpenBSD Colombia. 3. Configuración del servidor de correo Vamos a comprobar lo sencillo que es configurar un servidor de correo con este nuevo software y vamos a documentar el proceso para que los usuarios de una LAN o desde Internet se puedan conectar al mismo Recibiendo correo para un dominio El funcionamiento mas simple de un servidor de correo es que pueda recibir correo para un dominio especifico, vamos a mostrar la configuración para un dominio llamado ejemplo.com. Si quieres leer sobre como crear dominios virtuales, la única guía hasta el momento se encuentra aquí: Esta guía esta creada para la versión 4.5 entonces los primeros pasos no son necesarios, como lo dije antes, en la release 4.6 OpenSMTPD ya viene instalado en el sistema base. 3.Configuración del servidor de correo 2/42

3 Para nuestras configuraciones partiremos de un sistema base 4.6 recién instalado. a. Configuración básica del sistema operativo OpenBSD Lo primero es asegurarnos que el sistema este configurado de forma mínima, que tenga un nombre de host, un nombre de dominio, una dirección IP y que este registrado en un DNS local o externo. Configuremos el nombre de la estación: # uname -a OpenBSD correo.localdomain 4.6 GENERIC#58 i386 # vi /etc/myname # cat /etc/myname correo.ejemplo.com # sh /etc/rc # hostname correo.ejemplo.com Configuremos la dirección IP de la interfaz, en mi caso se llama vic0: # cat /etc/hostname.vic0 inet # sh /etc/netstart Configuremos el gateway por defecto: # cat /etc/mygate Configuremos el servidor DNS de la red (en mi caso ): # vi /etc/resolv.conf # cat /etc/resolv.conf domain ejemplo.com search ejemplo.com nameserver Verificamos que se resuelvan los hosts para el dns y el servidor de correo: 3.Configuración del servidor de correo 3/42

4 # ping dns.ejemplo.com PING dns.ejemplo.com ( ): 56 data bytes 64 bytes from : icmp_seq=0 ttl=255 time=0.361 ms 64 bytes from : icmp_seq=1 ttl=255 time=0.307 ms --- dns.ejemplo.com ping statistics --2 packets transmitted, 2 packets received, 0.0% packet loss round-trip min/avg/max/std-dev = 0.307/0.334/0.361/0.027 ms # ping correo.ejemplo.com PING correo.ejemplo.com ( ): 56 data bytes 64 bytes from : icmp_seq=0 ttl=255 time=0.128 ms 64 bytes from : icmp_seq=1 ttl=255 time=0.114 ms --- correo.ejemplo.com ping statistics --2 packets transmitted, 2 packets received, 0.0% packet loss round-trip min/avg/max/std-dev = 0.114/0.121/0.128/0.007 ms Recuerden que el DNS debe tener un registro MX apuntando a nuestro servidor de correo IN MX 10 correo.ejemplo.com. correo.ejemplo.com. IN A b. Eliminando los rastros de sendmail Para que pueda entrar en funcionamiento nuestro servidor de correos, debemos eliminar la configuración de sendmail que viene por defecto en el sistema: Matamos el demonio : # ps aux grep -i sendmail root ?? Ss accepting connections (sendmail) root p0 S+ 7:19AM 8:11AM 0:00.25 sendmail: 0:00.07 grep -i sendmail # pkill sendmail Lo deshabilitamos del arranque: 3.Configuración del servidor de correo 4/42

5 En el archivo /etc/rc.conf, reemplazamos la línea: sendmail_flags="-l sm-mta -C/etc/mail/localhost.cf -bd -q30m" por sendmail_flags=no Evitamos los chequeos automáticos con el crontab: Ejecutamos crontab -e y comentamos la línea: #*/30 * * * * /usr/sbin/sendmail -L sm-msp-queue -Ac -q Cambiamos la información de las utilidades: # mv /etc/mailer.conf /etc/mailer.copia y ponemos lo siguiente: # cat /etc/mailer.conf sendmail /usr/sbin/smtpctl send-mail /usr/sbin/smtpctl mailq /usr/sbin/smtpctl makemap /usr/libexec/smtpd/makemap newaliases /usr/libexec/smtpd/makemap Para reconstruir los mapas usamos: # makemap -t aliases -o /etc/mail/aliases.db /etc/mail/aliases # newaliases /etc/mail/aliases: 50 aliases c. Habilitamos el servidor OpenSMTPD para recibir en MBOX Antes de poder recibir y enviar correos, debemos tener usuarios válidos en el sistema, para el ejemplo vamos a crear dos usuarios: nando y astrid, usando el comando adduser. Una vez creados los usuarios podemos hacer los cambios en el archivo de configuración del 3.Configuración del servidor de correo 5/42

6 servidor de correo: /etc/mail/smtpd.conf. # See smtpd.conf(5) for more information. listen on vic0 map "aliases" { source db "/etc/mail/aliases.db" } accept for local deliver to mbox accept for domain "ejemplo.com" deliver to mbox accept for all relay Como pueden ver, lo único que he hecho es modificar la interfaz de red donde escuchará el servidor de correo (en mi caso vic0) y agregamos una regla para aceptar correos que vayan para ejemplo.com. La sintaxis de OpenSMTPD es muy simple. Para hacer pruebas configuramos una cuenta en un software cliente de correo (MUA), en mi caso tengo thunderbird, un cliente de correo multiplataforma con bastantes funcionalidades. Le configuramos una cuenta para el usuario nando y luego intentamos enviar un correo. 3.Configuración del servidor de correo 6/42

7 Fig 1. Configuración básica de una cuenta de correo usando thunderbird. Si no quieres tener problemas mas adelante con los certificados digitales en el campo del servidor usa el nombre del servidor y no su IP, por ejemplo: correo.ejemplo.com. El problema es que cuando intentamos enviar un correo obtenemos el siguiente mensaje: Fig 2. Error al enviar el primer mensaje de prueba. 3.Configuración del servidor de correo 7/42

8 Esto ocurre porque en el servidor de correos (OpenSMTPD) no hemos permitido el envío de correos desde otro lugar diferente a la maquina local, para esto nuestro MTA incorpora filtros al estilo packet filter, la línea que debemos cambiar en la configuración es: accept for domain "ejemplo.com" deliver to mbox por accept from " /24" for domain "ejemplo.com" deliver to mbox Esta línea traduce algo como: Permita la recepción de correos provenientes desde la red /24 con destino al dominio ejemplo.com, cada uno de estos correos deben ser almacenado usando el formato MBOX. Recuerden que MBOX es uno de los dos formatos de almacenamiento de correos mas populares, su diferencia con MailDir radica en que todos los correos pertenecientes a un mismo usuario se almacenan en un mismo archivo, lo que puede ocasionar bloqueos cuando las aplicaciones intentan entrar a su contenido, por esto en la actualidad se recomienda mejor usar el formato MailDir. Si queremos permitir el envío de correos desde cualquier lugar, debemos cambiar el from /24 por from all Antes de enviar correos es importante recordar que el servidor de correo no esta funcionando, para habilitarlo de forma temporal ejecutamos en una consola del sistema el comando: #smtpd -dv Si queremos que el servicio funcione de forma permanente, podemos agregar smtpd_flags=, en el archivo /etc/rc.conf.local, de esta forma cada vez que inicie el servidor OpenBSD tendremos OpenSMTPD habilitado. Para verificar que los correos llegan, podemos usar el comando mail, con la cuenta del usuario receptor: $ whoami nando $ pwd /home/nando 3.Configuración del servidor de correo 8/42

9 $ mail Mail version /15/2001. Type? for help. "/var/mail/nando": 2 messages 2 new [Read only] >N 1 astrid@correo.eje Sun Nov 8 09:06 15/536 aaa N 2 nando@ejemplo.com Sun Nov 8 09:08 17/620 Correo de prueba & O podemos verificarlo manualmente buscando el archivo MBOX almacenado en el sistema: # cd /var/mail # pwd /var/mail # ls -la total 28 drwxr-xr-x 2 root drwxr-xr-x 23 root wheel 512 Nov 8 09:10. wheel 512 Jul 1 18:54.. -rw astrid astrid 1638 Nov 8 09:07 astrid -rw-r--r-- 1 root wheel 1156 Nov 8 09:08 nando -rw root wheel 4532 Nov 8 09:07 root # tail nando User-Agent: Thunderbird (Macintosh/ ) MIME-Version: 1.0 To: nando@ejemplo.com Subject: Correo de prueba Content-Type: text/plain; charset=iso ; format=flowed Content-Transfer-Encoding: 7bit Hola como estamos? # d. Habilitamos el servidor OpenSMTPD para recibir en formato MailDir Como ya dijimos en la actualidad se recomienda usar el formato MailDir, así que vamos a cambiar la configuración que tenemos para que soporte este formato, lo único que hacemos es modificar la 3.Configuración del servidor de correo 9/42

10 regla delivery, escribiendo lo siguiente: accept from /24 for domain "ejemplo.com" deliver to maildir "/home/%u/maildir" El archivo /etc/mail/smtpd.conf, queda así: listen on vic0 map "aliases" { source db "/etc/mail/aliases.db" } accept for local deliver to mbox accept from /24 for domain "ejemplo.com" deliver to maildir "/home/%u/maildir" accept for all relay El %u se reemplazará en tiempo real por el nombre del usuario que recibe el correo electrónico, también se puede usar el %d para determinar el dominio al que llegan los correos. Para verificar que el correo ha llegado: # pwd /home/nando # ls -la Maildir/ total 20 drwx nando nando 512 Nov 8 10:11. drwxr-xr-x 4 nando nando 512 Nov 8 10:11.. drwx nando nando 512 Nov 8 10:11 cur drwx nando nando 512 Nov 8 10:11 new drwx nando nando 512 Nov 8 10:11 tmp # cat Maildir/new/ YXQw59jyRwUaefw Received: from imac-de-fernando-quintero.local (<unknown> [ ]) by correo.ejemplo.com (OpenSMTPD) with ESMTP id YXQw59jyRwUaefw2 for <nando@ejemplo.com>; Sun, 8 Nov :11: (COT) Message-ID: <4AF @ejemplo.com> 3.Configuración del servidor de correo 10/42

11 Fig 3. OpenSMTPD en modo debug recibiendo correos OpenSMTPD usando TLS Cuando se envían correos electrónicos sin usar medios seguros estamos propensos a que alguien pueda interceptarlos, por ejemplo. Si tenemos un sniffer capturando el tráfico en el momento en que se envía el correo anterior podemos capturar lo siguiente: 3.Configuración del servidor de correo 11/42

12 Fig 4. Captura de un correo no cifrado. Qué podemos hacer entonces?, la solución es cifrar el canal, usando un protocolo que pueda asegurar nuestras comunicaciones. Actualmente tenemos SSL y TLS, en sus versiones 3.0 y 1.0, respectivamente. Cuál es la diferencia de usar uno u otro?, básicamente trabaja de la misma forma solo que si usamos TLS la comunicación segura será opcional y la debe solicitar el cliente, si usamos SSL la comunicación siempre se hace cifrada, pero debemos usar un puerto alterno para comunicarnos. Por ejemplo para cifrar el tráfico de correo en el puerto 25, debemos usar otro puerto reservado para SMTPS, el Configuración del servidor de correo 12/42

13 Lo primero que debemos hacer es verificar que nuestro MTA soporta cifrado con certificados digitales, una vez comprobado esto (preguntandole al desarrollador, leyendo manuales, leyendo la podemos crear los certificados y ubicarlos en las rutas correctas. Vamos a crear el certificado de nuestra CA, de esta forma todas las comunicaciones serán validadas por este certificado raíz: #openssl req -days nodes -new -x509 -keyout /etc/ssl/private/ca.key -out /etc/ssl/ca.crt Con este comando generamos el certificado digital de la CA (CA.crt) y su llave privada (CA.key) Fig 5. Creando una CA local, para validar certificados digitales. Lo siguiente es crear el certificado para el servidor de correo, lo primero es generar una petición de certificado, que generalmente estará en formato PKCS#10 y tendrá la extensión.csr. El siguiente comando genera una llave privada para el servidor de correo (vic0.key) y el archivo de petición del certificado (que no el certificado digital). #openssl req -days nodes -new -x509 -keyout /etc/ssl/private/vic0.key -out /etc/ssl/vic0.csr 3.Configuración del servidor de correo 13/42

14 Fig 6. Creando la petición del certificado para el servidor de correo. Observe que el certificado tiene como nombre el que se usa en la interfaz donde escucha el servidor de correo (vic0), esto es necesario para que OpenSMTPD pueda asociar el certificado digital en el momento de arranque. Si queremos que el certificado del servidor tenga validez, necesitamos firmarlo con la llave privada de la CA, de esta forma cuando el MUA del usuario intente verificar un tercero confiable, este lo resolverá sin problemas. En este punto es importante recordar que los certificados se pueden obtener de diferentes formas y puedes pagar por un certificado de una entidad reconocida. Pero para efectos de prueba y solo con ánimos demostrativos vamos a trabajar con estos certificados autofirmados. Fig 7. Generando el certificado digital para el servidor a través de la CA. Debes verificar que salga Signature ok, de lo contrario el certificado quedará con problemas. # openssl x509 -req -days in /etc/ssl/vic0.csr -out /etc/ssl/private/vic0.crt / -CA /etc/ssl/ca.crt -CAkey /etc/ssl/private/ca.key -CAcreateserial Signature ok subject=/c=co/st=openbsd/l=medellin/o=it/ou=it/cn=correo.ejemplo.com/ address=nando@ejemplo.com Getting CA Private Key 3.Configuración del servidor de correo 14/42

15 Una vez tengamos el certificado del servidor de correo creado y firmado por nuestra CA, vamos a ubicar los archivos donde el OpenSMTPD los necesita. # mkdir /etc/mail/certs # cp /etc/ssl/private/vic0.crt /etc/mail/certs/ # cp /etc/ssl/private/vic0.key /etc/mail/certs/ # cp /etc/ssl/ca.crt /etc/mail/certs/ca.crt El nombre del archivo para la CA debe ser: Cacert.pem, debido a que el servidor de correo lo buscará con este nombre, lo que hacemos entonces es renombrarlo: # mv /etc/mail/certs/ca.crt /etc/mail/certs/cacert.pem Son iguales los certificados generados como.crt y los.pem? Si no lo crees, puedes hacer la conversión usando los siguientes comandos: # openssl x509 -in CA.crt -out CA.der -outform DER # openssl x509 -in CA.der -inform DER -out CAcert.pem -outform PEM Fig 8. Puede ser que te encuentres con este problema. Si haces algo incorrecto es posible que recibas un mensaje como este. Se recomienda repetir con cuidado el procedimiento de generación de los certificados digitales. Del lado del servidor veremos algo así: 3.Configuración del servidor de correo 15/42

16 Fig 9. Error con un certificado incorrecto, repite el procedimiento. Si por el contrario todo va bien, al tratar de enviar un correo obtendremos el siguiente mensaje: Fig 10. Advertencia por no tener en la BD de thunderbird el certificado de la CA. 3.Configuración del servidor de correo 16/42

17 Si queremos aceptarlo de forma temporal, simplemente le damos aceptar. Si queremos que nuestro sitio sea confiable del todo, debemos pasar el certificado digital de la CA a todos los MUA que vayamos a usar. En thunderbird la ruta para agregar una CA es: Opciones Avanzadas Certificados Ver certificados Autoridades Importar. El certificado que se importa es el CA.crt, o en nuestro caso el Cacert.pem. Para hacer la prueba configuramos el MUA para que use TLS y opcionalmente autentique los usuarios y luego capturamos el tráfico: Fig 11. Configuración de la cuenta para usar TLS. Podemos hacer el ejercicio de capturar el tráfico usando por ejemplo el sniffer wireshark. 3.Configuración del servidor de correo 17/42

18 Fig 12. Captura de tráfico usando TLS para enviar correos OpenSMTPD usando SSL Para darle soporte a SSL solo basta con cambiar una línea en el archivo de configuración, quedando de la siguiente forma: # cat /etc/mail/smtpd.conf listen on vic0 smtps enable auth map "aliases" { source db "/etc/mail/aliases.db" } accept for local deliver to mbox accept from " /24" for domain "ejemplo.com" deliver to maildir "/home/%u/maildir" accept for all relay # La diferencia esta en la línea: listen on vic0 smtps enable auth. 3.Configuración del servidor de correo 18/42

19 Se cambia la palabra tls por smtps. Ahora el servidor se inicia de la forma tradicional y observamos que el puerto por el que escucha es el 465: Fig 13. Inicio del servidor con soporte de SSL, se siguen usando los mismos certificados. Obviamente tendremos que cambiar la configuración del MUA para que no use TLS sino SSL. Si quieres tener uno o mas puertos escuchando al tiempo, puedes agregar una línea listen al archivo de configuración por cada puerto o interfaz donde quieras que el servidor OpenSMTPD escuche. 4. Descargando el correo por POP e IMAP Con el fin de que nuestros usuarios puedan recuperar el correo electrónico a sus estaciones o que puedan acceder y leerlos desde un MUA o un webmail, es necesario implementar el soporte para los protocolos POP3 e IMAP, estos dos protocolos son los mas conocidos para cumplir con esta tarea. OpenBSD no trae por defecto estos servicios activados, es necesario instalar un paquete que los soporte, por ejemplo, el conocido software dovecot. La forma mas sencilla es descargar el archivo index.txt de la ruta de paquetes, por ejemplo: ftp://ftp.openbsd.org/pub/openbsd/4.6/packages/i386/index.txt y luego buscar el nombre exacto del paquete a instalar. Hay que recordar que es importante tener en cuenta la arquitectura en la que esta instalado el sistema operativo, por ejemplo, si el procesador tuviera una arquitectura amd64 la ruta sería: ftp://ftp.openbsd.org/pub/openbsd/4.6/packages/amd64/index.txt 4.Descargando el correo por POP e IMAP 19/42

20 Si navegamos a este sitio, podemos encontrar que el paquete dovecot se llama: dovecot tgz. Y para instalarlo nos olvidamos de compilar código y usamos los paquetes ya listos del repositorio de OpenBSD, simplemente ejecutamos: #pkg_add -v ftp://ftp.openbsd.org/pub/openbsd/4.6/packages/i386/dovecot tgz Fig 14. Instalación del paquete dovecot en OpenBSD, usando los binarios. Si queremos que dovecot arranque automáticamente, agregamos lo siguiente al archivo /etc/rc.local if [ -x /usr/local/sbin/dovecot ]; then echo -n ' dovecot'; /usr/local/sbin/dovecot fi También nos recomiendan ejecutar el script: /usr/local/sbin/dovecot-mkcert.sh. Esto para generar el certificado autofirmado del dovecot, pero como ya tenemos una CA creada, vamos a generar un nuevo certificado para dovecot y lo vamos a firmar con nuestra CA. Siguiendo los pasos entonces: 1. Generamos la petición del certificado: # openssl req -days nodes -new -keyout /etc/ssl/private/dovecot.key -out /etc/ssl/private/dovecot.csr Generating a 1024 bit RSA private key Descargando el correo por POP e IMAP 20/42

21 writing new private key to '/etc/ssl/private/dovecot.key' ----You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----Country Name (2 letter code) []:CO State or Province Name (full name) []:OpenBSD Locality Name (eg, city) []:Medellin Organization Name (eg, company) []:OpenBSD Colombia Organizational Unit Name (eg, section) []:IT Common Name (eg, fully qualified host name) []:correo.ejemplo.com Address []:nando@ejemplo.com Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []: # 2. Lo firmamos con la CA # openssl x509 -req -days in /etc/ssl/private/dovecot.csr -out /etc/ssl/dovecot.crt -CA /etc/ssl/ca.crt -CAkey /etc/ssl/private/ca.key -CAcreateserial Signature ok subject=/c=co/st=openbsd/l=medellin/o=openbsd Colombia/OU=IT/CN=correo.ejemplo.com/ Address=nando@ejemplo.com Getting CA Private Key # 4.Descargando el correo por POP e IMAP 21/42

22 3. Ubicamos los certificados en las rutas recomendadas por el paquete dovecot para OpenBSD: # cp /etc/ssl/private/dovecot.key /etc/ssl/private/dovecot.pem # cp /etc/ssl/dovecot.crt /etc/ssl/dovecotcert.pem 4. Para ejecutarlo simplemente corremos el comando dovecot. #dovecot El paquete dovecot viene listo para funcionar por los puertos 143 (IMAP) y 993 (IMAPS), para probarlo solo basta con crear una nueva cuenta en nuestro MUA y decirle que vamos a usar IMAP. Recuerde que la configuración del dovecot por defecto deshabilita la autenticación en texto plano en el archivo /etc/dovecot.conf con la opción: disable_plaintext_auth = yes y se pueden habilitar los protocolos a usar en la variable: protocols = imap imaps pop3 pops Veamos como se visualiza una conexión con TLS al puerto IMAP: Fig 15. Tráfico capturado en una sesión IMAP/TLS. 4.Descargando el correo por POP e IMAP 22/42

23 5. Habilitando un webmail seguro Para el ejercicio vamos a trabajar con roundcub , un webmail seguro que esta disponible en los paquetes de OpenBSD. Antes de habilitar un webmail seguro vamos a crear un certificado digital para el servidor web de modo que todas las conexiones que hagan nuestros usuarios sean seguras Servidor web seguro (https) Para habilitar un servidor web seguro solo basta con crear un nuevo certificado para el servidor web con los datos personales del servidor, lo siguiente es un ejemplo. Primero se crea la petición de certificado: # openssl req -days nodes -new -keyout /etc/ssl/private/web.key -out /etc/ssl/private/web.csr Generating a 1024 bit RSA private key writing new private key to '/etc/ssl/private/web.key' ----You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----Country Name (2 letter code) []:CO State or Province Name (full name) []:OpenBSD Locality Name (eg, city) []:Medellin Organization Name (eg, company) []:OpenBSD Colombia Organizational Unit Name (eg, section) []:IT Common Name (eg, fully qualified host name) []:webmail.ejemplo.com Address []:nando@ejemplo.com Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: 5.Habilitando un webmail seguro 23/42

24 Y luego se firma con la nuestra CA: # openssl x509 -req -days in /etc/ssl/private/web.csr -out /etc/ssl/web.crt -CA /etc/ssl/ca.crt -CAkey /etc/ssl/private/ca.key -CAcreateserial Signature ok subject=/c=co/st=openbsd/l=medellin/o=openbsd Colombia/OU=IT/CN=webmail.ejemplo.com/ Address=nando@ejemplo.com Getting CA Private Key # Con esto obtenemos un certificado (web.crt) firmado por nuestra CA. Ahora configuramos el servidor apache: /var/www/conf/httpd.conf 5.Habilitando un webmail seguro 24/42

25 Fig 16. Configuración del apache para soportar SSL Por último en el archivo /etc/rc.conf, cambiamos : httpd_flags=no por httpd_flags="-dssl" Con esto el demonio web se inicia automáticamente después de cada reinicio en modo seguro. 5.Habilitando un webmail seguro 25/42

26 Para recargar la configuración: #sh /etc/rc Para comprobar que funciona el nuevo certificado, visitamos el sitio usando el FQDN usado en el certificado: Fig 17. Probando el servidor web con SSL 5.2. Instalando el servidor MySQL Existe un paquete en OpenBSD para poner a punto un servidor MySQL, hacemos lo siguiente: #pkg_add -v ftp://ftp.openbsd.org/pub/openbsd/4.6/packages/i386/mysql-server tgz # pkg_add -v ftp://ftp.openbsd.org/pub/openbsd/4.6/packages/i386/mysqlserver tgz parsing ftp://ftp.openbsd.org/pub/openbsd/4.6/packages/i386/mysql-server tgz Dependencies for mysql-server resolve to: mysql-client , p5-dbdmysql (todo: mysql-client ,p5-dbd-mysql-4.010) mysql-server :parsing mysql-client found libspec c.51.0 in /usr/lib found libspec crypto.18.0 in /usr/lib found libspec m.5.0 in /usr/lib found libspec ncurses.10.0 in /usr/lib found libspec pthread.11.1 in /usr/lib found libspec readline.3.0 in /usr/lib found libspec ssl.15.0 in /usr/lib found libspec z.4.1 in /usr/lib 5.Habilitando un webmail seguro 26/42

27 found libspec z.4.1 in /usr/lib adding group _mysql adding user _mysql installed /etc/my.cnf from /usr/local/share/mysql/mymedium.cnf******************************************************************************* ************************ 96% mysql-server : complete --- mysql-server You can find detailed instructions on how to install a database in /usr/local/share/doc/mysql/readme.openbsd. Con eso quedara instalado el servidor MySQL. Una vez instalado, debemos inicializar la base de datos con este comando: #/usr/local/bin/mysql_install_db Luego debemos cambiar la contraseña de acceso a mysql, para eso ejecutamos el demonio de forma temporal y usamos el comando administrativo para cambiar la clave: # mysqld_safe & # /usr/local/bin/mysqladmin -u root password 'passwordfuerte' La clave del usuario root será: passwordfuerte. Por ultimo debemos correr el script que asegura nuestro entorno MySQL: /usr/local/bin/mysql_secure_installation Este preguntará algunas cosas, puedes responder SI/YES para los elementos que quieras asegurar. Si queremos que mysql se inicie cada vez que se reinicie el sistema debemos agregar lo siguiente al script de arranque /etc/rc.local 5.Habilitando un webmail seguro 27/42

28 if [ X"${mysql}" == X"YES" -a -x /usr/local/bin/mysqld_safe ]; then echo -n " mysqld " /usr/local/bin/mysqld_safe --user=_mysql & sleep 5 ln -f /var/run/mysql/mysql.sock /var/www/var/run/mysql/mysql.sock fi En este momento el archivo /etc/rc.local se debe ver así: Fig 18. Archivo /etc/rc.local hasta el momento. 5.Habilitando un webmail seguro 28/42

29 y en el archivo /etc/rc.conf.local debemos agregar lo siguiente: # cat /etc/rc.conf.local mysql=yes # *OJO*: Para lograr tener mysql enjaulado, debemos crear el siguiente directorio: #pwd /var/www/ # mkdir -p var/run/mysql/ # Después podemos recargar usado el comando: #sh /etc/rc 5.3. Soporte PHP/MySQL para Apache El truco consiste en instalar el paquete php5-mysql, el cual corresponde al modulo o extensión de mysql para php, sin embargo durante la comprobación de las dependencias, OpenBSD descargará todos los paquetes necesarios (php5 core, mysql-client, etc). Instalamos el paquete: # pkg_add -v ftp://ftp.openbsd.org/pub/openbsd/4.6/packages/i386/php5-mysql tgz # pkg_add -v ftp://ftp.openbsd.org/pub/openbsd/4.6/packages/i386/php5-mysql tgz parsing ftp://ftp.openbsd.org/pub/openbsd/4.6/packages/i386/php5-mysql tgz Dependencies for php5-mysql resolve to: mysql-client , php5-core (todo: php5-core ) php5-mysql :parsing php5-core Dependencies for php5-core resolve to: libxml p2, libiconv-1.13, gettext-0.17p0 (todo: gettext-0.17p0,libxml p2) php5-mysql :parsing gettext-0.17p0 Dependencies for gettext-0.17p0 resolve to: libiconv-1.13 found libspec c.51.0 in /usr/lib 5.Habilitando un webmail seguro 29/42