Cómo utilizar SASL con Postfix.



Documentos relacionados
Notas para configurar Postfix

INSTALACIÓN DE ORACLE 8i (8.1.7) SOBRE NT

MANUAL DE AYUDA TAREA PROGRAMADA COPIAS DE SEGURIDAD

LA INTRANET -Manual general-

en dispositivos móviles

FILTRO ANTISPAM GUÍA DE CONFIGURACIÓN PARA CUENTAS POP

Manual de uso de la plataforma para monitores. CENTRO DE APOYO TECNOLÓGICO A EMPRENDEDORES -bilib

Manual hosting acens

Cómo crear y configurar un servidor FTP

Unidad Didáctica 12. La publicación

Iptables, herramienta para controlar el tráfico de un servidor

Oficina Online. Manual del administrador

REGISTRO DE DOMINIOS CONECTIVIDAD ADSL HOSTING COMPARTIDO RED CORPORATIVA VPN SOPORTE TECNICO PROFESIONAL

PROCEDIMIENTO DE INSTALACION SOFTWARE ESCRITORIO

Google Apps como servidor de correo de backup

Internet Information Server

Manual de configuración de Thunderbird ÍNDICE

Instalar protocolo, cliente o servicio nuevo. Seleccionar ubicación de red. Práctica - Compartir y conectar una carpeta

FILTRO ANTISPAM GUÍA DE CONFIGURACIÓN PARA CUENTAS IMAP

Scripts de arranque. Pablo Sanz Mercado.

Paso 1 - Servidor de correo en Ubuntu: Instalar Apache 2

Acceso a máquinas usando el SSH sin contraseña

15 CORREO WEB CORREO WEB

Instalar y configurar W3 Total Cache

Escritorio remoto y VPN. Cómo conectarse desde Windows 7

Manual de Instalación

Activación de un Escritorio Remoto

MANUAL DE AYUDA HERRAMIENTA DE APROVISIONAMIENTO

Vielka Mari Utate Tineo Instituto Tecnológico de las Américas ITLA. Profesor José Doñé. Sistema Operativo 3 PRACTICA NO. 16, SERVIDOR

MANUAL DE INSTALACIÓN

Configuración de correo en Mozilla Thunderbird

Optimizar base de datos WordPress

Guía nuevo panel de clientes Hostalia

Manual uso cuentas WebMail con Thunderbird

UNIDAD DIDACTICA 4 INTEGRACIÓN DE CLIENTES WINDOWS EN UN DOMINIO

Una vez que tengamos el padrón de un determinado tributo con todos sus datos actualizados, podemos generar los recibos de ese padrón.

Acceder a correo de 1000tentaciones.com a través de web.

GVisualPDA Módulo de Almacén

Toda base de datos relacional se basa en dos objetos

Servidor FTP. JEAN CARLOS FAMILIA Página 1

Instrucciones de Funcionamiento del Sistema AntiVirus y AntiSpam Profesional

Servicio de Informática Vicerrectorado de Tecnologías de la Información y la Comunicación

MANUAL DE USUARIO FACTURACIÓN ELECTRÓNICA

Correo Electrónico: Webmail: Horde 3.1.1

Práctica 3: Estudio de los protocolos HTTP, SMTP, POP3 e IMAP mediante un analizador de red: Wireshark

MANUAL APLICACIÓN. SOFTWARE GESTIÓN DE CLÍNICAS DENTALES

FOROS. Manual de Usuario

Hostaliawhitepapers. Usar Plesk para, poner en marcha nuestro dominio.

Manual de uso básico de la aplicación

Cómo acceder a Google Drive? Tiene más funcionalidades una cuenta de Google?

UNIDAD DIDACTICA 15 CONVERTIR UN EQUIPO LINUX SERVER EN CONTROLADOR DE DOMINIO

Manual para la utilización de PrestaShop

DHCP. Dynamic Host Configuration Protocol. Protocolo de Configuración Dinámica de Host. Administración de Redes de Computadores

MANUAL DE USUARIO APLICACIÓN SYSACTIVOS

Servidor DNS sencillo en Linux con dnsmasq

Instituto Tecnológico de Las América. Materia Sistemas operativos III. Temas. Facilitador José Doñe. Sustentante Robín Bienvenido Disla Ramirez

5. Conectar y desconectar con la nube del IES Domenico Scarlatti.

PANEL DE CONTROL (Zona de Administración) MANUAL DE USO Por conexanet. Revisión 1.1 Fecha

Firewall Firestarter. Establece perímetros confiables.

Capítulo 3 Diseño del Sistema de Administración de Información de Bajo Costo para un Negocio Franquiciable

Propuesta de Portal de la Red de Laboratorios Virtuales y Remotos de CEA

Manual de instalación Actualizador masivo de Stocks y Precios

Como evitar que los s lleguen como Spam.

SIEWEB. La intranet corporativa de SIE

Thomson ST2022 y ST2030 VoIP Business Phone. Guía rápida de instalación y uso

Explotación de Sistemas Informáticos IES Murgi PRÁCTICA 9: SERVICIO WEB Y FTP DE INTERNET INFORMATION SERVICE

Configuracion Escritorio Remoto Windows 2003

MANUAL DE CS-ALMACENES

UNIDAD DIDACTICA 16 USUARIOS SAMBA EN UN CONTROLADOR DE DOMINIO LINUX SERVER

Servidor de correo en Linux/ubuntu

MANUAL COPIAS DE SEGURIDAD

Cómo capturar páginas web con el programa GNU Wget

MANUAL DE AYUDA. SAT Móvil (Movilidad del Servicio Técnico)

Manual de software. Dynamic Cloud. 10/2014 MS-Dynamic_Cloud v1.2

MANUAL DE USUARIO PLAN GENÉRICO DE AUTOCONTROL EN HOSTELERÍA ASOCIACIÓN DE EMPRESARIOS DE HOSTELERÍA DE GIPUZKOA 1

MEJORAR EL RENDIMIENTO DEL EXPLORADOR DE INTERNET

Cómo instalar fácilmente tu WordPress tras contratar un hosting en Hostalia

MINI MANUAL PARA CREAR FORMULARIOS CON PHP Marzo 2007

Servicio de groupware

Skype. Inguralde [Enero 2011]

Transacciones y bloqueos en SQL-Server

Google Groups. Administración de Grupos de Google Apps

Planes geográficos desde 12 / mes. Tenemos planes para líneas geográficas desde 12 al mes el más básico hasta 21 al mes el más avanzado.

Instalación de ActivePerl en MS Windows

CIF-KM. GUÍA DE LOS PRIMEROS PASOS

Notas para la instalación de un lector de tarjetas inteligentes.

Guía de uso panel de control

ing Solution La forma más efectiva de llegar a sus clientes.

Guía de referencia para mytnt. mytnt. C.I.T Tecnología Aplicada al Cliente

MOZILLA THUNDERBIRD V.3.1

ACTIVE DIRECTORY - PROPIEDADES DE USUARIO

Programa de Ayuda EMCS Instalación Versión SQL Server Versión Marzo 2010

Servidor FTP LEECH FTP INDICE PRESENTACIÓN ACERCA DE CTRLWEB MAILING WORD AYUDA : Acceso a Panel de Control. 1.-Panel de control privado.

FortiReporter

WINDOWS : TERMINAL SERVER

Portal Del Emisor MANUAL DEL USUARIO. Plataforma de Facturación Electrónica

Manual de Mozilla Thunderbird

Introducción a Spamina

El control de la tesorería consiste en gestionar desde la aplicación los cobros y pagos generados a partir de las facturas de venta y de compra.

Transcripción:

Indice de documentación Cómo utilizar SASL con Postfix. 1.- Introducción. La autentificacion del usuario en un servidor SMTP es un tema muy importante, sobre todo cuando los usuarios están fuera de nuestra red local. No podemos (o no debemos) dejar nuestro servidor abierto a cualquier usuario. Si así lo hicieramos, en pocas horas el servidor se saturaría mandando miles de correos no solicitados (SPAM) proveniente de usuarios sin escrúpulos y, poco más tarde, tendríamos el privilegio de figurar en las listas negras antispam resultando que nuestro propio correo se vería bloqueado en gran parte de la Red. Hay muchas formas de evitar usos ilícitos de nuestro servidor. El más habitual es restringir la posibildad de envio de correo hacia el exterior solamente a los usuarios de una intranet. Los servidores externos sólamente podrían enviar correo cuando el destino final es nuestra intranet. No obstante ese es un mecanismo que solamente sirve cuando los potenciales usuarios estan dentro de una red conocida. Si el usuario se conecta a través de un modem, en que cada vez su dirección IP varía, es necesario habilitar algún mecanismo de identificación. Aún incluso dentro de una red, la identificación es una práctica aconsejable. Para conseguir la identificación en los servidores SMTP, la practica más habitual es SMTP después de POP y SASL. Hay otros mecanismos muy débiles, como permitir sólamente usuarios con una determinada dirección de correo (un atacante podría suplantar nuestra identidad). El mecanismo de identificación SMTP despues de POP se basa en que para recojer el correo desde el servidor POP hay que identificarse. Pues bien, este método guarda la dirección IP desde la que nos identificamos como usuario POP y, a continuación, si solicitamos un servicio SMTP, el servidor comprueba que el usuario proviene de la dirección IP considerada amistosa. Otro mecanismo más sólido es la identificación directa en el servidor SMTP. Para ello SASL implementa, entre otros, una serie de mecanismos de encriptación que hace más seguro el envío de claves de usuario y Passwords a traves de la red. Es aconsejable el uso de SASL frente a otros mecanismos más inseguros. Este documento trata de ilustrar cómo conseguir esa funcionalidad en un servidor Postfix. Postfix es un servidor libre (y gratuito), rápido, seguro, flexible y sobre todo fácil de configurar. Recomiendo sinceramente un cambio desde Sendmail a Postfix. Cuando la identificación SASL de un cliente tiene éxito, podemos utilizar los ficheros de configuración de postfix para darle los privilegios adecuados. Las librerías SASL invocadas por postfix tienen sus própias bases de datos de usuarios/contraseñas. Hay que crear un conjunto de usuarios/contraseñas para ser utilizadas por el servidor smtpd de postfix. Esta primera versión del documento es para ususarios de SuSE que pueden conseguir esa funcionalidad de una forma muy sencilla. Los usuarios de otras distribuciones tendrán que realizar pasos algo distintos. No obstante, los puntos 2.3 y siguientes son aplicables a todas las distribuciones, variando si acaso el directorio donde se encuentran los ficheros de configuración. 2.- Instalación a través de RPM. (SuSE). La instalación de la funcionalidad a traves de SuSE es relativamente sencilla, aunque actualmente existen algunos problemas con los scripts de configuración. El autor se basa en una distribución SuSE 8.0. 2.1 - Paquetes necesarios. Instalación básica. Lo primero es instalar los paquetes RPM que necesitamos. Estos son : bash glibc heimdal-lib openssl db

gdbm openldap2-client pam pcre cyrus-sasl postfix Normalmente, la mejor forma es utilizar YAST2 para instalar Postfix. En ese caso, YAST2 nos informará de que la instalación de Postfix entra en conflicto con Sendmail y que debemos elegir uno u otro. Si elegimos Postfix, entonces desinstala sendmail y realiza la configuración básica de postfix. 2.2 - Configuración preliminar. Lo primero que hay que hacer es editar algunos ficheros en /etc/sysconfig o bien utilizar YAST2 para hacerlo. De forma directa. En el fichero /etc/sysconfig/mail comprobar que MAIL_CREATE_CONFIG = "yes" SMTPD_LISTEN_REMOTE = "yes" En el fichero /etc/sysconfig/postfix deberemos fijar POSTFIX_RELAY_HOST =" " si todo el correo debemos mandarlo a algún otro servidor, entonces poner ahí el nombre de ese servidor, por ejemplo "mailserver.mi_dominio.org". Lo habitual, puesto que estamos intentando configurar un servidor seguro, es dejarlo en blanco. POSTFIX_MASQUERADE_DOMAIN =" " aquí se introduce una lista de dominios en los que postfix camuflará toda la estructura de subdominios. Por ejemplo si introduzco "mi_dominio1.org mi_dominio2.org" entonces las direcciones como <usuario@maquina3.mi_dominio1.org> se camuflaran como <usuario@mi_dominio1.org>. POSTFIX_LOCAL_DOMAINS=" " Introducir aquí la lista de dominios para los que postfix aceptará correo (normalmente nuestro dominio o dominios). POSTFIX_DIALUP = "no" Aquí suponemos que nuestro servidor está conectado permanentemente a la red. En caso de conexion ocasional vía modem habria que fijar "yes". POSTFIX_NODNS = "no" Postfix realiza consultas DNS para traducir direcciones de dominio a IP. Si utilizamos Postfix para difundir solamente correo local y la conexión al servidor DNS no es permanente (como en el caso de DIALUP), entonces la difusión del correo se podría bloquear. En el supuesto caso que nos ocupa dejar el valor "no". POSTFIX_ CHROOT = "no" POSTFIX_UPDATE_CHROOT_JAIL = " no" Lo mejor es dejar esas variables en "no". El uso de chroot para los servicios de Postfix debe dejarse a usuarios avanzados. Se pueden cambiar algunas de esas variables (no todas) mediante yast2 -> sistema -> editor_de_sysconfig -> mail -> postfix

Una vez cambiados en su caso algunos de los valores indicados anteriormente, como root ejecutar SuSEconfig #) /sbin/suseconfig Tras esto se creará una configuración básica de Postfix. Si queremos que postfix funcione como servicio del sistema al arrancar, deberemos configurar los niveles de ejecución. yast2 -> sistema -> editor_de_niveles_de _ejecución -> editar detalles aquí comprobaremos si el postfix está activado, y bajo qué niveles. Lo habitual es habilitar postfix para los niveles 3 y 5. Si queremos que nuestro servidor comience a trabajar ya, si no lo está haciendo, tras salir de yast2 #) rcpostfix start NOTA: Todavía no funcionará la identificación SASL. Para conseguirlo hay que realizar algún trabajo extra más (leer siguiente apartado). 2.3 - Configuración SASL. En este apartado veremos cómo configurar la libreria cyrus-sasl para lograr la identificación SASL. Es importante destacar que la identificación SASL en postfix sirve para dar acceso al servidor SMTP, y que este acceso puede ser todo lo privilegiado que queramos dependiendo de las restricciones que añadamos a la configuración de postfix. Los usuarios/contraseñas que se definan serán para SASL y, en principio, no tienen por qué nada que ver con usuarios/contraseñas de login locales utilizados, por ejemplo para POP3. Crear o editar el fichero /usr/lib/sasl/smtpd.conf. En la única línea de este fichero debe figurar el método en el que se almacenarán las claves: pwcheck_method: sasldb Ahora tendremos que crear las claves para cada usuario. Para ello hay que definir un REALM que supondremos como el nombre del dominio donde está el servidor. Téngase en cuenta que para que postfix identifique correctamente, este REALM debe ser único para todos los usuarios del servidor SMTP, independientemente de que hayan uno o más dominios virtuales alojados en el servidor. El programa utilizado para generar las claves essaslpasswd. #) saslpasswd -c -u REALM usuario Nos preguntará la clave y la confirmación. Se puede consultar los usuarios/realm introducidos con sasldblistusers #) sasldblistusers user: usuario realm: mi_dominio mech: PLAIN user: usuario realm: mi_dominio mech: CRAM_MD5 user: usuario realm: mi_dominio mech: DIGEST_MD5 Como puede verse, cada combinación realm/usuario soporta distintos tipos de encriptación. Hay que notar aquí que los usuarios y claves no tienen por qué ser los mismos que los utilizados para recoger el correo mediante POP. Pueden ( y deben?) ser distintos. No obstante, algunos clientes de correo ofrecen la posibilidad de utilizar los mismos usuarios/password que POP. El fichero que contiene estas claves es /etc/sasldb. TRUCO: El autor no ha logrado que la identificación funcione correctamente si no se cambian manualmente los permisos de ese fichero #) chmod 644 /etc/sasldb lo cual es una solución que no es satisfactoria. 2.4 - Configuración final POSTFIX. Ahora hay que configurar Postfix para que utilice SASL. Este es un tema que puede cambiar según las necesidades y el grado de paranoia de cada Administrador. Como caso más general, supondremos que queremos dar acceso a usuarios externos identificados.

El fichero de configuración de Postfix es /etc/postfix/main.cf. Ya debemos tener una configuración por defecto que han generado los scripts de SuSE. Para ver los valores de los parametros de control generados: #) postconf -n Pero tendremos que editar el fichero. Incluir las siguientes definiciones: smtpd_sasl_auth_enable = yes smtpd_sasl_local_domain = $mydomain smtpd_sasl_security_options = noanonymous broken_sasl_auth_clients = yes Con la primera línea habilitamos postfix para utilizar SASL. Con la segunda damos el valor adecuado de REALM a las librerías SASL. La tercera es una medida de seguridad para evitar que se identifiquen como anonymous (y dejaríamos un agujero de seguridad). La última es para no bloquear algunos clientes. MUY IMPORTANTE: la definición de smtpd_sasl_local_domain debe coincidir con el REALM con que hayamos definido los usuarios/contraseñas con saslpasswd. En el ejemplo anterior, se supone que el REALM utilizado es el parámetro mydomain de postfix. Ademas, hay que introducir restriciones. Como mínimo, debe haber la siguiente lista de restricciones en main.cf (puede ocupar varias líneas pero el primer caracter de una continuación debe dejarse en blanco. Cada restricción se separa por comas o espacio. smtpd_recipient_restrictions = permit_mynetworks permit_sasl_authenticated check_relay_domains Es conveniente leerse la documentación de Postfix. Sobre todo lo referente a las restricciones. En ningún caso debe omitirse la lectura del documento de configuración de Postfix. De forma muy resumida y no exahaustiva: 1) Los filtros de Postfix estan organizados en forma de listas de restriciones. Para que un mensaje sea admitido debe pasar TODAS LAS LISTAS de restricciones. Una lista vacia sin restricciones tiene el valor por defecto OK. El orden en que se analizan las restricciones dentro de una lista es que esta escrito en main.cf 2) Una restriccion puede dar como resultado OK, REJECT o DUNNO. Las que comienzan con permit_ dan como resultado OK o DUNNO. Si OK entonces salta a la lista siguiente, si DUNNO entonces pasa a la siguiente restriccion de la lista. Las que comienzan con reject_ dan como resultado REJECT o DUNNO. Si REJECT entonces el mensaje se rechaza y el proceso de filtrado se detiene, si DUNNO entonces se analiza la siguiente restricción de la lista. Otras restriciones, que consultan determinados ficheros, pueden dar como resultado cualquiera de las tres. Por último check_relay_domains da como resultado OK o REJECT, nunca DUNNO. Existen, por supuesto, restriciones genéricas como permit y reject cuyo único resultado posible se deriva del nombre. 3) El Flujo de filtrado de un mensaje es el siguiente: 3.a) Requisitos previos (analiza el formato y protocolo de los mensajes): smtpd_helo_required = yes/no smtpd_rfc821_envelopes = yes/no 3.b) Filtrado por listas, el orden preestablecido es: smtpd_client_restrictions smtpd_helo_restrictions smtpd_sender_restrictions smtpd_recipient_restrictions 3.c) Por último, como última oprtunidad para rechazar el mensaje, se puede analizar las cabeceras y cuerpo del mensaje

header_checks body_checks Los anteriores mecanismos (y otros que por sencillez aquí no se incluyen), dotan a Postix de una potencia y sencillez extraordinaria. Si cambiamos algun parámetro de configuración de postfix no hay que recompilar nada, ni siquiera detener el servidor. Simplemente #) rcpostfix reload hará que postfix trabaje con la nueva configuración. 2.5 - Configuración final. Una vez se ha modificado el fichero main.cf como se indica en el apartado anterior, es conveniente ejecutar, en este orden, los siguientes scripts finales. #)SuSEconfig #) rcpostfix restart Si todo ha ido bien, la identificación mediante SASL debe funcionar. Cualquier sugerencia o comentario para mejorar este manual es bienvenida. Contacta conmigo Guillermo Ballester Valor email gbv@oxixares.com Ogijares, Granada, España

2026 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback