Sistema de Correo POSTFIX

Universidad Simón Bolívar Laboratorio F Laboratorio Docente de Computación Sistema de Correo POSTFIX Daniela A. Torres Faría daniela@ldc.usb.ve Valle de Sartenejas, 8 de marzo de 2010 1

Índice 1. Introducción 4 2. Elementos del Sistema de Correo 4 2.1. MUA, Agente Cliente de Correo............................... 4 2.2. Agentes de Transporte, SMTP................................ 4 2.3. Agentes de Entrega (Delivery Agents)............................ 5 2.3.1. Procmail........................................ 5 2.3.2. Maildrop........................................ 5 2.4. Almacenamiento de Correo.................................. 5 2.4.1. Mailbox......................................... 5 2.4.2. Maildir......................................... 6 2.5. Agentes de Acceso (Access Agents).............................. 7 2.5.1. IMAP.......................................... 8 2.5.2. POP........................................... 8 2.5.3. IMAP vs POP..................................... 8 2.6. Agente de Presentación de Correo (Mail Submission Agent, MSA)............ 9 2.6.1. Ventajas de tener MTA y MSA por separado.................... 9 3. Anatomia de un Mensaje de Correo 10 4. Direccionamiento de Correo 11 5. Filosofía del correo 11 5.1. Usando home de correo.................................... 12 6. Aliases 12 6.0.1. Listas de Correo.................................... 12 7. SSL 12 8. Open Relay 13 9. POSTFIX 13 9.1. Comandos Básicos de POSTFIX............................... 14 10.Instalación y Configuración de un Servidor POSTFIX en Debian 14 10.1. Modos de Ejecución del Servidor............................... 14 10.1.1. Internet site....................................... 15 10.1.2. Internet site with smarthost.............................. 15 10.2. Seguridad............................................ 15 2

10.2.1. Listas de Bloqueo Basadas en DNS.......................... 15 10.2.2. Control de Envíos................................... 15 10.2.3. ACL, Access Control Lists............................... 17 10.2.4. pop-before-smtp.................................... 17 10.2.5. Cifrado del envío de mensajes mediante TLS.................... 17 10.3. Servidores Virtuales...................................... 18 10.4. Greylisting........................................... 18 11.Dovecot 19 11.1. Dovecot con Postfix...................................... 19 3

1. Introducción Un servidor de correo es una aplicación informática cuya función es parecida al Correo postal solo que en este caso los correos (otras veces llamados mensajes) que circulan, lo hacen a través de nuestras Redes de transmisión de datos y a diferencia del correo postal, por este medio solo se pueden enviar adjuntos de ficheros de cualquier extensión y no bultos o paquetes al viajar la información en formato electrónico. Los servidores de correo electrónico nos rodean constantemente en Internet; rara es la vez que conectamos y no consultamos nuestro buzón de correo electrónico para ver los mensajes recibidos o para enviar mensajes a otros usuarios de la red. 2. Elementos del Sistema de Correo Todos los sistemas de correo consisten de cuatro componentes principales: 1. Un agente cliente de correo (MUA por mail user agent) que permite al usuario leer y componer correos. 2. Un agente de transporte de correo (MTA) que direcciona los correos entre las máquinas. 3. Un agente de entrega de correo que coloca el mensaje en el buzón correspondiente. 4. Un agente de acceso opcional que conecta el MUA con el buzón. 2.1. MUA, Agente Cliente de Correo Los usuarios de correo electrónico utilizan el MUA para leer y componer correo, los cuales, generalmente consisten solo de texto, pero, se ha creado un nuevo estandar MIME el cual es usado para agregar datos adjuntos al correo. Una de las tareas de los MUA es asegurarse de que cualquier texto incluido en el contenido del mensaje que puede ser mal interpretado por el sistema de correo, sea protegido. /bin/mail fue el MUA inicial, pero ahora muchas alternativas estan disponibles para ser usadas, como por ejemplo alpine, thunderbird, outlook, etc. 2.2. Agentes de Transporte, SMTP Un agente de transporte debe aceptar el correo que proviene de un MUA, comprender la dirección de llegada y de alguna manera hacer que el correo llegue al usuario correcto. Los agentes de transporte hablan o funcionan bajo el protocolo Simple Mail Transport Protocol (SMTP). Muchos agentes de transporte estan disponibles para UNIX: Postfix smail zmailer sendmail 4

2.3. Agentes de Entrega (Delivery Agents) El mail delivery agent es un software que acepta correo entrante de un Agente de Transporte y los distribuye a los buzones de los destinatarios en el caso de que la cuenta de destino está en la máquina local, o lo reenvía a un servidor SMTP, si los destinatarios están en máquinas remotas. Los agentes de entrega mas usados en Unix son procmail y maildrop, dentro del LDC se utiliza procmail. 2.3.1. Procmail Es un sencillo programa que nos permite procesar correos, haciendo con ellos lo que queramos, de una forma sencilla pero muy potente. Podemos separar los correos según determinados filtros, eliminar correos spam, re-enviar a otras cuentas, activar antivirus de correos, responder automáticamente, ejecutar programas etc. Procmail es configurable por cada usuario de manera personalizada editando el fichero.procmailrc ubicado en la carpeta home de cada usuario, este fichero se edita mediante el uso de expresiones regulares con el objetivo de filtrar o redireccionar correo a carpetas especificas. 2.3.2. Maildrop Es el filtro de correo electrónico o agente de entrega de correo electrónico que es utilizado por el servidor de correo Courier. Usted no necesita descargar buzón si ya tiene instalado Courier. Un independiente de construir el filtro de correo buzón que se puede utilizar con otros servidores de correo está disponible. Buzón está escrito en C + +, y es significativamente mayor que procmail. Sin embargo, utiliza recursos de manera más eficiente. A diferencia de procmail, buzón no leerá un mensaje de correo electrónico de gran tamaño en la memoria. Mensajes de gran tamaño se guardan en un archivo temporal, y se filtran desde el archivo temporal. Para establecer las reglas de filtrado es necesario configurar el archivo /etc/maildroprc el cual es de uso general para todos los usuarios de correo electrónico. 2.4. Almacenamiento de Correo Existen dos tipos de Almacenamiento de Correo en Unix, Mailbox y Maildir. 2.4.1. Mailbox Esta es la forma tradicional de almacenar mensajes de correo electrónico en el mundo Unix. En este formato, un archivo de texto normal sirve como archivo de buzón del usuario de correo electrónico. 5

Pasos para Recibir y almacenar un Correo Electrónico 1. Bloquear el buzón de Mensaje (Archivo) 2. Anexar el encabezado (por lo general FROM [dirección de correo electrónico del remitente] [fecha y hora de recepción] ) y el correo en el archivo de buzón de correo. 3. Desbloquear el buzón de Mensajes. Pasos para recuperar un Correo electrónico 1. Bloquear el buzón de Mensaje (Archivo) 2. Localizar y leer el correo. 3. Actualizar el indicador de estado de correo electrónico. 4. Desbloquear el buzón de correo. Pasos para Eliminar un Mensaje 1. Bloqueo del buzón de correo. 2. Mover el contenido del buzón de correo, a partir de la posición a la derecha después de que el correo electrónico para suprimir hasta el final del buzón, en la posición de los correos que desea borrar. 3. Reducir el tamaño del archivo de buzón por el tamaño del mensaje de correo eliminado. 4. Desbloquear el buzón de correo. Ventajas 1. El formato es universalmente compatible. 2. Añadiendo un nuevo correo en el archivo de buzón de correo es rápido. 3. Búsqueda de texto dentro de un archivo único buzón de correo es rápido. Desventajas 1. Tiene problemas de bloqueo de archivos. 2. Tiene problemas cuando se utiliza con sistemas de archivos de red. 3. El formato es propenso a la corrupción. 2.4.2. Maildir Esta es una nueva forma de almacenar los mensajes de correo electrónico. En este formato, normalmente un directorio llamado Maildir se crea para cada usuario de correo electrónico. Dentro de este directorio son tres directorios llamados new, cur y tmp. 6

Pasos para Recibir y almacenar un Correo Electrónico 1. Crear un archivo único en el directorio tmp. 2. Escriba el correo en el archivo recién creado. 3. Mover el correo escrito completamente en el nuevo directorio. Pasos para recuperar un Correo electrónico 1. Localizar y leer el correo. 2. Mover el correo de nuevo en el directorio act y añadir el indicador de estado de correo electrónico en el nombre del archivo Pasos para Eliminar un Mensaje 1. Elimina el archivo que contiene el correo electrónico. Ventajas 1. Localización, recuperación y eliminación de un correo electrónico específico es rápido. 2. Mínimo para el bloqueo de archivos no necesarios. 3. Puede ser utilizado en el sistema de archivos de red. 4. Inmunes a la corrupción de buzón (suponiendo que el hardware no fallará). Desventajas 1. Algunos sistemas de ficheros no puede manejar eficientemente un gran número de archivos pequeños. 2. Texto de la búsqueda, que exige que todos los archivos de correo electrónico que se abrirá es lento. 2.5. Agentes de Acceso (Access Agents) Son los encargados de permitir al usuario recuperar y leer sus correos que llegan a un servidor Unix, descargandolos con Internet. Los Agentes de Acceso mas Conocinos son IMAP (Internet Message Access Protocol) y POP (Post Office Protocol). 7

2.5.1. IMAP Internet Message Access Protocol, o su acrónimo IMAP, es un protocolo de red de acceso a mensajes electrónicos almacenados en un servidor. Mediante IMAP se puede tener acceso al correo electrónico desde cualquier equipo que tenga una conexión a Internet. La ventaja de utilizar un servidor de correo IMAP es, que los usuarios pueden consultar su correo desde varios ordenadores y siempre ven los mismos mensajes. Esto se debe, a que los mensajes permanecen en el servidor hasta que el usuario elige descargarlos a su unidad local. La mayoria de los sistemas de correo web estan basados en IMAP. Esto permite a todo el mundo tener acceso tanto a los mensajes enviados como a los recibidos, sin importar que equipo se esta utilizando para comprobar las diferentes bandejas del correo electronico. Además de esto es posible especificar en IMAP carpetas del lado servidor (.subscriptions) 2.5.2. POP En informática se utiliza el Post Office Protocol (POP3, Protocolo de la oficina de correo) en clientes locales de correo para obtener los mensajes de correo electrónico almacenados en un servidor remoto. Es un protocolo de nivel de aplicación en el Modelo OSI. POP3 está diseñado para recibir correo, no para enviarlo; le permite a los usuarios con conexiones intermitentes ó muy lentas (tales como las conexiones por módem), descargar su correo electrónico mientras tienen conexión y revisarlo posteriormente incluso estando desconectados. Cabe mencionar que la mayoría de los clientes de correo incluyen la opción de dejar los mensajes en el servidor, de manera tal que, un cliente que utilice POP3 se conecta, obtiene todos los mensajes, los almacena en la computadora del usuario como mensajes nuevos, los elimina del servidor y finalmente se desconecta. En contraste, el protocolo IMAP permite los modos de operación conectado y desconectado. 2.5.3. IMAP vs POP Algunas de las características importantes que diferencian a IMAP y POP3 son: Respaldo para los modos de operación en línea y fuera de línea Al utilizar POP3, los clientes se conectan brevemente al servidor de correo, solamente el tiempo que les tome descargar los nuevos mensajes. Al utilizar IMAP, los clientes permanecen conectados el tiempo que su interfaz permanezca activa y descargan los mensajes bajo demanda. Esta manera de trabajar de IMAP puede dar tiempos de respuesta más rápidos para usuarios que tienen una gran cantidad de mensajes o mensajes grandes. Respaldo para la conexión de múltiples clientes simultáneos a un mismo destinatario El protocolo POP3 supone que el cliente conectado es el único dueño de una cuenta de correo. En contraste, el protocolo IMAP4 permite accesos simultáneos a múltiples clientes y proporciona ciertos mecanismos a los clientes para que se detecten los cambios hechos a un mailbox por otro cliente concurrentemente conectado. Respaldo para acceso a partes MIME de los mensajes y obtención parcial Casi todo el correo electrónico de Internet es transmitido en formato MIME. El protocolo IMAP4 le permite a los clientes obtener separadamente cualquier parte MIME individual, así como obtener porciones de las partes individuales o los mensajes completos. Es mas seguro. Respaldo para que la información de estado del mensaje se mantenga en el servidor A través de la utilización de señales definidas en el protocolo IMAP4 de los clientes, se puede vigilar el estado del mensaje, por ejemplo, si el mensaje ha sido o no leído, respondido o eliminado. Estas señales se almacenan en el servidor, de manera que varios clientes conectados al mismo correo en diferente tiempo pueden detectar los cambios hechos por otros clientes. 8

Respaldo para accesos múltiples a los buzones de correo en el servidor Los clientes de IMAP4 pueden crear, renombrar o eliminar correo (por lo general presentado como carpetas al usuario) del servidor, y mover mensajes entre cuentas de correo. El soporte para múltiples buzones de correo también le permite al servidor proporcionar acceso a los directorios públicos y compartidos. Respaldo para búsquedas de parte del servidor IMAP4 proporciona un mecanismo para que los clientes pidan al servidor que busque mensajes de acuerdo a una cierta variedad de criterios. Este mecanismo evita que los clientes descarguen todos los mensajes de su buzón de correo, agilizando, de esta manera, las búsquedas. Respaldo para un mecanismo de extensión definido Como reflejo de la experiencia en versiones anteriores de los protocolos de Internet, IMAP define un mecanismo explícito mediante el cual puede ser extendido. Se han propuesto muchas extensiones de IMAP4 y son de uso común. Un ejemplo de extensión es el IMAP IDLE, que sirve para que el servidor avise al cliente cuando ha llegado un nuevo mensaje de correo y éstos se sincronicen. Sin esta extensión, para realizar la misma tarea, el cliente debería contactar periódicamente al servidor para ver si hay mensajes nuevos. 2.6. Agente de Presentación de Correo (Mail Submission Agent, MSA) Un agente de la presentación de correo (MSA) es un programa de ordenador o agente de software que recibe mensajes de correo electrónico de un agente de usuario de correo (MUA) y coopera con un agente de transferencia de correo (MTA) para la entrega del correo. Se utiliza una variante de la Simple Mail Transfer Protocol (SMTP). Muchos MTA funcionan como MSA, así, pero también hay programas que están diseñados especialmente como acuerdos de servicios administrativos sin funcionalidad MTA completo. Históricamente en el correo de Internet, tanto MTA (recepción del correo destinado a nivel local de otros dominios) y MSA (recepción del correo que envía a los usuarios locales) las funciones eran desempeñadas por los ATM con el mismo protocolo (SMTP). 2.6.1. Ventajas de tener MTA y MSA por separado 1. Un MSA, ya que está interactuando directamente con la MUA del autor, puede corregir pequeños errores en el formato de un mensaje (como una fecha que falta, Message-ID, a los campos, o una dirección con un nombre de dominio que falta) y / o inmediatamente un informe de error al autor para que pueda ser corregido antes de que sea enviado a cualquiera de los beneficiarios. Un MTA acepta un mensaje de otro sitio no puede hacer de forma fiable los tipos de correcciones, y cualquier error de los informes generados por ese MTA llegar al autor (o nada), sólo después de que ya ha enviado el mensaje. 2. Hace más fácil para un MTA para denegar la retransmisión, que consiste en rechazar cualquier mensaje que no está dirigida a un destinatario en un dominio que se sirve localmente. Por el contrario, un MSA generalmente, debe aceptar el correo para cualquier destinatario en la Internet, aunque sólo acepta correo de esos autores que están autorizados a utilizar ese MSA y que han establecido su identidad a la MSA a través de la autenticación. En momentos en que tanto la presentación y aceptación de correo electrónico entrante se realiza normalmente con el mismo protocolo y el mismo servidor, la capacidad de enviar correo electrónico a destinos arbitrarios sin autenticación le ha permitido a los spammers utilizan MTA como medio de difusión de spam 9

(desde un único mensaje de transacción puede solicitar que un relé de MTA un mensaje a un gran número de beneficiarios), y también hizo más difícil de rastrear un mensaje a su origen. 3. los acuerdos de servicios administrativos y los MTA pueden tener diferentes políticas de filtrado de spam. La mayoría de los MSA requieren de autenticación en la forma de un nombre de usuario y contraseña proporcionada por el autor. Cualquier mensaje recibido por tal MSA, por lo tanto atribuirse a un autor que tiene una relación directa con la MSA, y que pueden ser responsabilizados por sus acciones. Esto permite a la MSA o no tiene el filtro de spam o tiene un filtrado de spam más permisivo que un MTA que existe con el propósito de aceptar el correo entrante de otros dominios. Es difícil establecer la confianza en el correo enviado entre los dominios arbitrarios, porque en general no hay relación directa entre esos dominios a través del cual, la confianza o incluso de identidad, puede ser establecida. En ausencia de esa confianza, un MTA en general deben basarse en métodos heurísticos y de terceros los servicios de reputación partido distinguir el spam del tráfico legítimo, y ambos mecanismos tienen un historial de ser propenso a errores. 3. Anatomia de un Mensaje de Correo Un mensaje de correo tiene dos partes que deben ser comprendidas antes de explicar como funciona POSTFIX. La Cabecera: Son una coleccion de propiedades/valores que contienen una variedad de informacion acerca del mensaje, como lo puede ser la fecha y la hora a la cual se envio el mensaje y el MTA por el cual el mensaje paso. Cada cabecera consta de un nombre, o identificador, y a continuación, separado de éste por el carácter dos puntos (:), su valor. Si una línea de la parte de cabeceras (esto es, antes de la primera línea vacía, que indica el fin de las mismas) comienza por espacios, se considera que es continuación de la línea anterior. Las principales cabeceras que todo mensaje debe llevar son: From: Remitente del mensaje To: Destinatario Subject: Asunto (breve descripción, típicamente de una línea o menos) Date: Fecha en que se envió Hay otras que aparecen a veces: Cc: Otro/s destinatario/s, además de quien figura en el To: Reply-To: A qué dirección debe ir la respuesta del mensaje (si la hay). Sólo aparece en caso de que el remitente no desee que se use para eso la dirección que figura en From: Return-Path: El remitente del sobre del mensaje Es importante tener en cuenta que la mayoría de las cabeceras (entre las que están todas las importantes), las pone el programa que envía el mensaje, a instancias de la persona que lo utiliza. Pero cuando se trata de mensajes de correo comercial, abusivos o incluso que intentan estafas, no podemos fiarnos de ninguna de esas cabeceras. El contenido del mensaje: Como hemos dicho, la primera línea en blanco del mensaje indica el fin de las cabeceras y el inicio del cuerpo del mensaje. En los primeros tiempos del correoe, el contenido consistía en un texto, más o menos breve. No se permitía nada que no fuera texto, de forma que cuando se necesitaba enviar un programa, un fichero PDF o algún otro tipo de fichero binario, era necesario utilizar algún programa que lo codificara en caracteres 10

textuales (imprimibles). El destinatario debı a usar el mismo programa para decodificarlo y extraer ası el fichero original. El programa ma s utilizado en esta primera e poca (au n hay quien lo usa) fue uuencode/uudecode. 4. Direccionamiento de Correo El direccionamiento del correo de manera local es bastante simple porq el nombre de usuario es un idenfiticador u nico, pero, cuando las direcciones no tienen una cuenta en la maquina local el direccionamiento y entrega del correo se pone un poco mas complicada. Existen dos tipos de direcciones de correo: Basadas en la ruta (Relativas): Requieren que el emisor del correo conozca las ma quinas intermedias por las que va a pasar el mensaje hasta llegar a su destino. Basadas en la ubicacio n (Absolutas): Simplemente se espeficica el destino final. Por lo general la especificacio n de una direccio n de correo es user@host.domain. donde el @ separa el nombre de usuario del host y el correo es enviado al buzo n del correo de user en la ma quina host.domain. 5. Filosofı a del correo Los servidores de correo tienen tres funciones ba sicas: 1. Aceptar correo saliente de los MUA e inyectarlos en el sistema de correo. 2. Recibir correo entrante desde afuera. 3. Entregar correo a usuarios finales usando IMAP o POP. Funcionamiento General 11

5.1. Usando home de correo Es conveniente para los usuarios recibir y mantener su correo en una sola máquina, incluso si quieren tener acceso desde diferentes sistemas. Los home de correo pueden ser forzados por medio del archivo de aliases o usando LDAP. El acceso a los correos de cada usuario se puede dar por medio de IMAP o POP. 6. Aliases Los aliases permiten redirecionar el correo bien sea por el administrador del sistema o por usuarios individuales. Se pueden crear listas de correo, hacer forward de correos entre máquinas y permitir que los usuarios puedan ser referenciados por mas de un nombre. Si se quiere usar el concepto de home de correo es recomendale que se guarden los aliases en un servidor LDAP para que el servidor de correo así como utiliza el DNS utilice el LDAP para saber a que buzón mandar el correo. El mecanismo tradicional de aliases indica que se pueden almacenar los aliases en tres lugares distintos: En el archivo de configuración del MUA En el archivo de aliases de todo el sistema /etc/mail/aliases el cual debe ser editado por el administrador del sistema. En el archivo /.forward del usuario receptor. El archivo /etc/mail/aliases siempre debe tener un alias llamado postmaster que redirecciona correo a quien sea que mantenga el sistema, en el caso del ldc es postmaster: root. Ademas de esto los archivos de aliases permiten tener includes o hacer referencia a otros archivos que contengan aliases como por ejemplo en el caso del ldc el archivo principal de aliases hace referencia a otros. 6.0.1. Listas de Correo Las listas de correo son una gran utilidad y permiten mandar un correo con un nombre sencillo y facil de recordar a un grupo de usuarios del sistema. Un ejemplo práctico dentro del LDC serían las listas de correo, maquinas, backups, 3h,4h, etc. Son muy fáciles de crear con postfix, ya que solo es necesario colocar un alias en el archivo de aliases /etc/aliases, por ejemplo: maquinas: :include:/etc/postfix/aliases.d/maquinas Donde el archivo maquinas contiene las direcciones de correos u usuarios a los cuales referencia la lista. 7. SSL El protocolo SSL permite la autenticación de servidores, la codificación de datos y la integridad de los mensajes. Con SSL tanto en el cliente como en el servidor, sus comunicaciones en Internet serán transmitidas en formato codificado. De esta manera, puede confiar en que la información que envíe llegará de manera privada y no adulterada al servidor que usted especifique. Los servidores seguros suministran la autenticación del servidor empleando certificados digitales firmados emitidos por organizaciones llamadas. A utoridades del certificado. Un certificado digital verifica la conexión entre la clave de un servidor público y la identificación del servidor. Las verificaciones criptográficas, mediante firmas digitales, garantizan que la información dentro del certificado sea de confianza. Esto 12

se implementa mas que todo en el caso de tener un servicio WebMail implantado dentro de la red que permita a los usuarios revisar sus correos via WEB, logrando asi que la comunicacion Cliente/Servidor se de de manera encriptada. SSL es útil tmb para permitir al usuario descargar sus correos mediante IMAP o POP. El protocolo SSL fue reemplazado por el protocolo TLS. 8. Open Relay Un relay de correo abierto es un servidor SMTP configurado de tal manera que permite que cualquier usuario de Internet para enviar e-mail a través de él, no sólo los envíos a, o procedentes de usuarios conocidos.esta era ser la configuración por defecto en muchos servidores de correo y, de hecho, fue la forma en que Internet fue creado inicialmente, pero retransmisiones de correo abiertas se han convertido en impopular debido a su explotación por parte de los spammers y los gusanos. Muchos se cerraron o fueron colocados en listas negras de otros servidores. 9. POSTFIX Es uno de los más populares servidores de correo electrónico después de Sendmail. Se beneficia de la mayor parte de las características de Sendmail, pero es mucho más fácil de instalar y mantener. En caso de Sendmail utiliza archivos de configuración m4, Postfix utiliza la clave de los archivos de configuración familiar key=valor. Su archivo de configuración se encuentra en /etc/main.cf, es bastante práctico, flexible, fácil de usar y fácil de instalar. 13

9.1. Comandos Básicos de POSTFIX sería Existen varios comandos que nos pueden ser útiles mientras usemos Postfix. Una breve lista postfix stop. Este comando para el servidor. postfix start. Este comando arranca el servidor. postfix reload. Este comando hace que el servidor relea la configuración sin parar el servicio. mailq. Para ver la cola de mensajes. postfix flush. Fuerza el envío de mensajes de la cola de espera. postmap. Este comando sirve para construir los ficheros auxiliares de Postfix. postconf. Muestra toda la configuración de Postfix. newaliases. Este comando reconstruye la base de datos de alias. 10. Instalación y Configuración de un Servidor POSTFIX en Debian En primer lugar hay que tener en cuenta los paquetes a instalar: postfix. Este es el paquete principal de Postfix. (*) postfix-dev. Entorno de desarrollo. postfix-doc. Documentación. (*) postfix-ldap. Soporte LDAP. postfix-mysql. Soporte MySQL. postfix-pcre. Soporte de expresiones regulares. (*) postfix-snap-*. Versiones snapshot. Pueden ser inestables. postfix-tls. Soporte TLS y SASL (SMTP autentificado). Los paquetes con (*) son aquelos que son indispensables para poder realizar la instalación correcta del servidor Postfix. Para realizar una buena configuración de un servidor de correo Postfix es necesario tomar en cuenta las diferentes modos de configuración que existen para luego poder adaptar el servidor según convenga. 10.1. Modos de Ejecución del Servidor Existen 2 modos de ejecución, por así decirlo. El modo internet site y el modo internet site with smarthost 14

10.1.1. Internet site El modo internet site se caracteriza porque el propio servidor se encarga de repartir los mensajes a sus destinatarios directamente, sin pasar por otro servidor predefinido. Para usar este modo, en el fichero de configuración /etc/postfix/main.cf NO debe estar definida la opción relayhost Esta configuración es util para ordenadores individuales que no están en una red local o tienen conexión permanente a Internet (como ADSL, cable, etc) relayhost = 10.1.2. Internet site with smarthost El modo internet site with smarthost se caracteriza porque el servidor no envía los mensajes directamente a sus destinatarios, sino que los envia a otro servidor de correo, y aquel ya se encargará de enviarlo. Para usar este modo, hay que definir la opción relayhost y ponerle como argumento la dirección IP o el nombre de host del servidor SMTP que queramos relayhost = smtp.mi-red-local.com Esta configuración se suele dar en redes locales que ya tienen un servidor SMTP o en conexiones esporádicas a Internet con módem, por ejemplo (el servidor definido sería el de tu proveedor). 10.2. Seguridad Es necesario tener una buena configuración de seguridad para evitar que personas indeseadas envíen correo spam por medio de nuestro servidor. 10.2.1. Listas de Bloqueo Basadas en DNS Las listas de bloqueo son unas listas de IP de servidores que supuestamente envian spam. Entre las listas más usadas se encuentran las RBL de mail-abuse.org o las SBL de spamhaus.org. Puede ver un listado completo de listas de bloqueo en http://www.declude.com/junkmail/support/ip4r.htm. Al configurar Postfix para que use estas listas significa que cada vez que llegue un correo a nuestro servidor, Postfix comprobará que la IP del servidor que nos envia el mensaje no se encuentra en esas listas. Una configuración típica en el main.cf sería smtpd_client_restrictions = permit_mynetworks reject_non_fqdn_recipient hash:/etc/postfix/access reject_rbl_client sbl.spamhaus.org reject_rbl_client relays.ordb.org reject_rbl_client opm.blitzed.org reject_unauth_destination Listas RTBL significa Real Time Blackhole List. 10.2.2. Control de Envíos El control de envios significa que se pueden definir qué direcciones de correo pueden enviar correo a través de nuestro servidor, y qué direcciones de correo no pueden enviar correo a nuestro servidor. 15

Por host o Redes Mediante la directiva mynetworks definimos qué redes o hosts pueden enviar correo a través de nuestro Postfix. Un ejemplo sería: mynetworks = 127.0.0.0/8, 192.168.2.0/24, 172.16.3.4/32 Con esta configuración estamos definiendo: La red 127.0.0.0 puede enviar. Esta red siempre será nuestra propia máquina (localhost). Los 254 hosts de la red 192.168.2.0 pueden usar nuestro servidor. Solo el host 172.16.3.4 puede usar nuestro servidor, y ninguno más de la red 172.16.3.0. Por ejemplo, el 172.16.3.14 no podría. En el caso de nuestro servidor de correo tenemos: mynetworks = 159.90.10.0/23, 127.0.0.0/8, 159.90.200.0/24 relay-host Mediante el sistema relay-host definimos que direcciones de correo pueden enviar a través de nuestro servidor. Esto es util si las personas que queremos que envien correo tienen una dirección e-mail estable, pero una IP que cambia muy a menudo. Una configuración típica sería esta: smtpd_recipient_restrictions = permit_mynetworks, check_sender_access hash:/etc/postfix/usuarios reject_unauth_pipelining, reject_non_fqdn_recipient, reject_non_fqdn_sender, reject_unknown_recipient_domain, reject_unknown_sender_domain, check_relay_domains En fichero llamado /etc/postfix/usuarios. Este fichero contiene algo parecido a esto: usuario@dominio.com usuario2@dominio.com usuario3@dominio2.com OK OK OK Esta lista de e-mails significa que dichas direcciones pueden enviar a través de nuestro servidor, independientemente de la IP que tengan. Como se puede observar este método no es muy seguro, ya que si algún spammer averigua una dirección de correo válida del servidor, podrá usarla para enviar correo de manera indiscriminada. Cada vez que se modifique este fichero se debe ejecutar el comando cd /etc/postfix && postmap usuarios && postfix reload 16

10.2.3. ACL, Access Control Lists son las direcciones de e-mail que NO pueden enviar correo a nuestro servidor. Si llega un mensaje con alguna de esas direcciones, el servidor lo rechazará. La configuración de las ACL sería: smtpd_sender_restrictions = hash:/etc/postfix/access reject_unknown_sender_domain permit_mynetworks Y el fichero /etc/postfix/access contendría: bob645@yahoo.com METHOSYSTEM.IT techemail.com trafficmagnet.net email.com seekercenter.net icai.ie REJECT REJECT REJECT REJECT REJECT REJECT REJECT Como vemos se pueden denegar direcciones e-mail concretas (bob645@yahoo.com), o dominios enteros (techemail.com). Cada vez que se modifique este fichero debemos ejecutar: cd /etc/postfix && postmap access && postfix reload 10.2.4. pop-before-smtp Este método consiste en que los clientes, antes de poder enviar correo a través de nuestro servidor, deben recoger primero el correo mediante POP3 o IMAP. Al recoger el correo, un demonio controla los logs de los servidores POP3 o IMAP, e introduce en un fichero las IPs de los clientes. A partir de ese momento, desde esa IP se podrán enviar correos, con cualquier remitente, durante el tiempo especificado, que por defecto son 30 minutos.en la distribución Debian, existe un paquete llamado pop-before-smtp. Luego es necesario editar el fichero /etc/pop-before-smtp/pop-before-smtp.conf para elegir el patrón (expresión regular) que se ajusta a las lineas de log que genera el servidor POP3 o IMAP. Reiniciamos el demonio para que los cambios tengan efecto y luego y comprobamos que al recoger el correo, nuestra IP se introduce en el fichero /var/lib/pop-before-smtp/hosts.db mynetworks = 127.0.0.0/8, 192.168.1.0/24, hash:/var/lib/pop-before-smtp/hosts Finalmente es necesario reiniciar el demonio de POSTFIX. 10.2.5. Cifrado del envío de mensajes mediante TLS Los mensajes que se envían desde un servidor a otro viajan en texto claro por defecto. Esto es, cualquier persona que pueda interponerse entre ambos servidores podrá leer el contenido del mensaje. Para evitar esta situación podemos recurrir al cifrado de la conexión mediante TLS (Transport Layer Security). Para empezar debemos tener instalada la versión de Postfix con soporte TLS y las utilidades openssl. En Debian los paquetes se llaman postfix-tls y openssl. Es necesario crear un certificado que servirá para cifrar la conexión, ejecutando este comando: 17

openssl req -new -x509 -nodes -out postfix.pem -keyout postfix.pem -days 3650 El certificado lo tendremos en el fichero postfix.pem. Ponle los permisos adecuados para que nadie excepto el servidor Postfix pueda leerlo, y pon el fichero en un directorio seguro. Configuración en el cliente configurar un servidor Postfix para que envíe mensajes mediante TLS. Esta configuración puede servir para los usuarios que usan su propia máquina como servidor de correo saliente, o envían todo el correo a otro servidor Postfix que permite conexiones cifradas. En el fichero main.cf debemos poner las siguientes opciones: # fichero de clave pública smtpd_tls_cert_file = /etc/ssl/postfix.pem # fichero de clave privada smtpd_tls_key_file = /etc/ssl/postfix.pem # nivel de log. Pon 2 hasta que todo funcione bien smtpd_tls_loglevel = 0 # mostrar la posibilidad de recibir mediante TLS smtpd_use_tls = yes # fuente de entropia tls_random_source = dev:/dev/urandom # tiempo máximo de validez de las claves smtpd_tls_session_cache_timeout = 3600s 10.3. Servidores Virtuales Los servidores virtuales son realmente todos los dominios que gestiona nuestro servidor.es decir, que un solo servidor de correo puede recibir e-mails para muchos dominios diferentes. La configuración de los servidores virtuales para el LDC es: mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain,mail.$mydomain, www.$mydomain Es decir que uno puede mandar un correo a daniela@ftp.ldc.usb.ve y va a llegar correctamente. 10.4. Greylisting Greylisting es el método por el cual se deniega el primer envío de un remitente desconocido, mediante un código de error 450 (deferred). Muchos de los virus y spammers no siguen el protocolo SMTP correctamente, con lo que nunca volverán a enviar ese mensaje. Mediante el greylisting podemos evitar que nos lleguen mensajes de virus y proxies abiertos, pero no podemos evitar que nos lleguen de servidores de correo mal configurados que permiten relay, aunque con un poco de suerte en el siguiente reenvío ese servidor ya esté en alguna lista RBL y podremos evitarlo. El funcionamiento es como sigue: Llega un correo con remitente desconocido Se deniega con un error 450 (intentar más tarde) Se guarda la IP, el From y el To en un fichero Si el correo era un spam o un virus, es muy raro que nos lo vuelvan a enviar 18

Si el correo viene de un servidor SMTP, será enviado de nuevo pasados unos minutos Cuando llega de nuevo el correo, lo dejará pasar Para poder implementar un Greylist en Debian es necesario tener Postfix 2.1 o superior debido a que las versiones anteriores no lo soportan. Una vez que tenemos Postfix en la version adecuada hay que instalar el paquete postgrey. Posterior a la instalación del paquete se edita el fichero /etc/main.cf de manera que quede así: [...] smtpd_recipient_restrictions = [...] reject_unauth_destination, check_policy_service inet:127.0.0.1:60000 [...] Con se configura Postfix para que compruebe cada correo que llega mediante el demonio greylist, que está escuchando en el puerto 60000 de la IP 127.0.0.1 Se reinicia el demonio Postfix y ya estara funcionando. 11. Dovecot Dovecot es un servidor de IMAP y POP3 de código abierto para sistemas GNU/Linux / UNIXlike, escrito fundamentalmente pensando en seguridad. Desarrollado por Timo Sirainen, Dovecot fue liberado por primera vez en julio del año 2002. Dovecot apunta fundamentalmente a ser un servidor de correo de código abierto ligero, rápido, fácil de instalar y por sobre todo seguro. Dovecot puede trabajar con el estándar mbox, Maildir y sus propios formatos nativos dbox de alto desempeño. Es completamente compatible con implementaciones de servidores UW IMAP y Courier IMAP, así como con clientes que accesen directante a los buzones de correo. Dovecot también incluye un Agente de Entrega de Correo (llamado Local Delivery Agent (agente de entrega local o LDA en la documentación de Dovecot) con un filtro de apoyo Sieve opcional. En nuestro caso dovecot es el encargado de permitir que se puedan visualizar correos mediante IMAP y bajarlos mediante POP, así como tambien establecer conexiones seguras utilizando el protocolo ssl TLS. 11.1. Dovecot con Postfix En primer lugar es necesario instalar los paquetes relacionados con dovecot en nuestro sistema: dovecot-common - secure mail server that supports mbox and maildir mailboxes dovecot-dev - header files for the dovecot mail server dovecot-imapd - secure IMAP server that supports mbox and maildir mailboxes dovecot-pop3d - secure POP3 server that supports mbox and maildir mailboxes Los demonios imap-login y pop3-login, los cuales implementan los protocolos IMAP y POP3 se encuentran incluidos en el paquete dovecot. El uso de IMAP y POP se configura a través de dovecot; por defecto, dovecot ejecuta sólamente IMAP. Para configurar dovecot para que utilice POP: 19

Modificar /etc/dovecot.conf para que tenga la siguiente línea: protocols = imap imaps pop3 pop3s Y luego de esto es necesario reiniciar el demonio de dovecot y posteriormente hacer ese cambio sea operacional después del siguiente reinicio ejecutando el comando: chkconfig dovecot on A diferencia de SMTP, estos protocolos requieren autenticación de los clientes usando un nombre de usuario y una contraseña. Por defecto, las contraseñas para ambos protocolos son pasadas a través de la red sin encriptar Configurar SSL en dovecot 1. Modifique el archivo de configuración dovecot/etc/pki/dovecot/dovecot-openssl.conf como desee. Sin embargo, en una instalación típica este archivo no necesita modificación. 2. Renombra, mueve o borra los archivos /etc/pki/dovecot/certs/dovecot.pem y /etc/pki/dovecot/private/dovecot.pem. 3. Ejecute el script /usr/share/doc/dovecot-1.0/examples/mkcert.sh, el cual crea certificados autofirmados dovecot. Estos certificados se copian en los directorios /etc/pki/dovecot/certs y /etc/pki/dovecot/private. Para implementar los cambios reinicie dovecot. 20