Practica 4 Instalacion de POSTFIX

CICLO 02-2015SABADOS 1600-1900

UNIVERSIDAD TECNOLOGICA DE EL SALVADORFACULTAD DE INFORMÁTICA Y CIENCIAS APLICADAS

ESCUELA DE INFORMATICACátedra

IngenieríaAsignatura

Electiva Técnica IICatedrático.Ing. Oscar E. Rodriguez Alfaro

Práctica No 4-1: Cómo configurar un servidor de Correo

Introducción.

Es importante el poder configurar un servidor de correos bajo una distro gnu/Linux.

Este artículo utiliza postfix como el agente de transporte de correo (MTA), en lugar de sendmail, el MTA predeterminado para CentOS. Dovecot se utiliza para permitir a los usuarios acceder a su correo electrónico por cualquiera de los protocolos IMAP o pop. Asumimos un nombre de dominio de example.com cual debe ser cambiada por el lector y puede ser un nombre de dominio real de un servidor de correo electrónico completo o un nombre de dominio falso si sólo desea implementar un servidor de correo interno. Asumimos que el servidor de correo física (host) es mail.electiva2.edu.sv y se encuentra en la dirección IP privada 192.168.6.2. El servidor de correo electrónico proporcionará cuentas de correo electrónico a través de cuentas de usuario estándar del sistema y los usuarios tendrán acceso a su correo electrónico utilizando su nombre de usuario y la contraseña de cuenta del sistema. Vamos a suponer que un usuario llamado John Smith, quien tiene una cuenta de sistema con el nombre de inicio de sesión de Juan.

Hay muchos escenarios diferentes y combinaciones que se pueden utilizar cuando se configura un servidor de correo electrónico (de lejos a muchos a cubrir aquí), así que en esta práctica hace algunas opciones básicas para usted, tales como el software que va a utilizar (postfix y dovecot). Otras opciones están obligadas a ser alterado por el usuario, como sus direcciones de red y nombres de dominio. Más opciones avanzadas, tales como dominios virtuales y los usuarios no están cubiertos en esta práctica.

Propósito. Que el estudiante sea capaz de implementar una infraestructura de red y comunicación, en este caso

implementar el componente de Servidor de correo interactuando con clientes Windows (por medio de la configuración de Outlook o Outlook express).

Que el estudiante tenga la capacidad de configurar el postfix, y configurar los clientes de correo en ambiente Windows.

ELECTIVA TECNICA II 1 Implementación de POSTFIX-DOVECOT en Centos 6.0, Centos 5.x


RealizaciónEsta guía se realizará en grupos ya seleccionados y es realizada en tarea ex aula.

Entregable.Se deberá entregar un juego de DVD que contenga la información de esta práctica.

Requerimiento.La máquina virtual configurada con Centos, Debian o Ubuntu.

Fecha de Entrega. Día del parcial.



Parte 4-2. INSTALACION Y CONFIGURACION DE UN SERVIDOR DE CORREO

Algo que conocer

Acerca de Postfix.

Postfix, originalmente conocido por los nombres VMailer e IBM Secure Mailer, es un popular agente de transporte de correo (MTA, o Mail Transport Agent), creado con la principal intención de ser una alternativa más rápida, fácil de administrar, y segura que Sendmail. Fue originalmente escrito por Wietse Venema durante su estancia en el Thomas J. Watson Research Center de IBM.

URL: http://www.postfix.org/.

Acerca de Dovecot.

Dovecot es un servidor de POP3 e IMAP de fuente abierta que funciona en Linux, y sistemas basados sobre Unix™, y diseñado con la seguridad como principal objetivo. Dovecot puede utilizar tanto el formato mbox como maildir, y es compatible con las implementaciones de los servidores UW-IMAP, y Courier IMAP.

URL: http://dovecot.procontrol.fi/.

Acerca de SASL, y Cyrus SASL.

SASL (Simple Authentication and Security Layer) es un estructura para la seguridad de datos en protocolos de Internet. Desempareja mecanismos de la autenticación desde protocolos de aplicaciones, permitiendo, en teoría, cualquier mecanismo de autenticación soportado por SASL para ser utilizado en cualquier protocolo de aplicación que capaz de utilizar SASL. Actualmente SASL es un protocolo de la IETF (Internet Engineering Task Force) que ha sido propuesto como estándar. Está especificado en el RFC 2222 creado por John Meyers en la Universidad Carnegie Mellon.

Cyrus SASL es una implementación de SASL que puede ser utilizada del lado del servidor, o del lado del cliente, y que incluye como principales mecanismos de autenticación soportados a ANONYMOUS, CRAM-MD5, DIGEST-MD5, GSSAPI, y PLAIN. El código fuente incluye también soporte para los mecanismos LOGIN, SRP, NTLM, OPT, y KERBEROS_V4.

URL: http://asg.web.cmu.edu/sasl/sasl-library.html.

Acerca de DSA.DSA (Digital Signature Algorithm, o Algoritmo de Firma digital) es un algoritmo creado por el NIST (National Institute of Standards and Technology, o Instituto Nacional de Normas, y Tecnología de EE.UU.), publicado el 30 de agosto de 1991, como propuesta para el proceso de firmas digitales. Se utiliza para firmar información, más no para cifrar ésta.

URL: http://es.wikipedia.org/wiki/DSA



Acerca de RSA.

RSA, acrónimo de los apellidos de sus autores, Ron Rivest, Adi Shamir, y Len Adleman, es un algoritmo para el ciframiento de claves públicas que fue publicado en 1977, patentado en EE.UU. en 1983 por el el Instituto Tecnológico de Michigan (MIT). RSA es utilizado ampliamente en todo el mundo para los protocolos destinados para el comercio electrónico.

URL: http://es.wikipedia.org/wiki/RSA

Acerca de X.509.

X.509 es un estándar ITU-T (estandarización de Telecomunicaciones de la International Telecommunication Unión) para infraestructura de claves públicas (PKI, o Public Key Infrastructure). Entre otras cosas, establece los estándares para certificados de claves públicas, y un algoritmo para validación de ruta de certificación. Este último se encarga de verificar que la ruta de un certificado sea válida bajo una infraestructura de clave pública determinada. Es decir, desde el certificado inicial, pasando por certificados intermedios, hasta el certificado de confianza emitido por una Autoridad Certificadora (CA, o Certification Authority).

URL: http://es.wikipedia.org/wiki/X.509

Acerca de OpenSSL.

OpenSSL es una implementación libre, de código abierto, de los protocolos SSL (Secure Sockets Layer, o Nivel de Zócalo Seguro), y TLS (Transport Layer Security, o Seguridad para Nivel de Transporte). Está basado sobre el extinto proyecto SSLeay, iniciado por Eric Young, y Tim Hudson, hasta que éstos comenzaron a trabajar para la división de seguridad de EMC Corporation.

URL: http://www.openssl.org/

1. Instalación a través de yum

Lo primero que tenemos que hacer es instalar el software necesario. La forma más sencilla de hacerlo es con yum desde la línea de comandos:

yum –y install postfix dovecot cyrus-sasl cyrus-sasl-plain system-switch-mail system-switch-mail-gnome

Yum automáticamente resuelve las dependencias. Dovecot depende de MySQL y Perl, por lo que estos probablemente se instalará también si no están ya instalados en el sistema.

SELinux, y Postfix.

A fin de que SELinux permita a Postfix escribir en el directorio de entrada de correo electrónico (/var/spool/mail/), es necesario habilitar la siguiente política:



setsebool -P allow_postfix_local_write_mail_spool 1

Solo en CentOS 5, y Red Hat Enterpise Linux 5, a fin de que SELinux permita la lectura de correo electrónico, es necesario habilitar la siguiente política:

setsebool -P mail_read_content 1

Generando firma digital, y certificado.

Acceda al directorio /etc/pki/tls/.

cd /etc/pki/tls/

Los servidores de correo electrónico, como Sendmail, y Postfix, pueden utilizar una firma digital creada con algoritmo DSA de 1024 octetos. Para tal fin, se crea primero un archivo de parámetros DSA:

openssl dsaparam 1024 -out dsa1024.pem

A continuación, se utiliza este archivo de parámetros DSA para crear una llave con algoritmo DSA, y estructura x509, así como también el correspondiente certificado. En el ejemplo a continuación, se establece una validez por 1095 días (tres años) para el certificado creado.

openssl req -x509 -nodes -newkey dsa:dsa1024.pem -days 1095 -out certs/smtp.crt -keyout private/smtp.key

Lo anterior solicitará se ingresen varios datos:

• Código de dos letras para el país.

• Estado, o provincia.

• Ciudad.

• Nombre de la empresa, o razón social.

• Unidad, o sección.

• Nombre del anfitrión.

• Dirección de correo.



La salida devuelta sería similar a la siguiente:

Generating a 1024 bit DSA private keywriting new private key to 'smtp.key'-----You are about to be asked to enter information that will beincorporated into your certificate request.What you are about to enter is what is called a Distinguished Nameor a DN.There are quite a few fields but you can leave some blankFor some fields there will be a default value,If you enter '.', the field will be left blank.-----Country Name (2 letter code) [GB]:MXState or Province Name (full name) [Berkshire]:Distrito FederalLocality Name (eg, city) [Newbury]:MexicoOrganization Name (eg, company) [My Company Ltd]: Empresa, S.A. de C.V.Organizational Unit Name (eg, section) []:Direccion ComercialCommon Name (eg, your name or your server's hostname) []:*.dominio.comEmail Address []:[email protected]

Si definió un nombre de anfitrión absoluto (ejemplo: mail.dominio.com), el certificado solo será válido cuando el servidor de correo electrónico sea invocado con el nombre definido en el campo Common Name. Es decir, solo podrá utilizarlo cuando se defina mail.dominio.com como servidor SMTP con soporte TLS desde el cliente de correo electrónico. Funcionará incorrectamente si se invoca al servidor como, por mencionar un ejemplo, dominio.com. Es por eso que se sugiere utilizar *.dominio.com si se planea acceder hacia el mismo servidor con diferentes subdominios del mismo dominio.

Al terminar, ya no será necesario conservar el archivo dsa1024.pem, mismo que puede eliminarse con plena seguridad.

rm -f dsa1024.pem

Es indispensable que todos los archivos de claves, y certificados tengan permisos de acceso de solo lectura para el usuario root:

chmod 400 certs/smtp.crt private/smtp.key

Cambie al directorio /etc/pki/dovecot/.

cd /etc/pki/dovecot/



Elimine los certificados de prueba creados durante la instalación.

rm -f private/dovecot.pem certs/dovecot.pem

La creación de la firma digital, y certificado para Dovecot es más simple, pero requiere utilizar una clave con algoritmo RSA de 1024 octetos, con estructura X.509. En el ejemplo a continuación, se establece una validez por 1095 días (tres años) para el certificado creado.

openssl req -x509 -nodes -newkey rsa:1024 -days 1095 -out certs/dovecot.pem -keyout private/dovecot.pem

openssl x509 -subject -fingerprint -noout -in certs/dovecot.pem

De forma similar a como ocurrió con el certificado para el servidor correo electrónico, lo anterior solicitará se ingresen varios datos.

La salida devuelta debe similar a la siguiente:

Generating a 1024 bit RSA private key................++++++.++++++writing new private key to 'dovecot.pem'-----You are about to be asked to enter information that will beincorporated into your certificate request.What you are about to enter is what is called a Distinguished Nameor a DN.There are quite a few fields but you can leave some blankFor some fields there will be a default value,If you enter '.', the field will be left blank.-----Country Name (2 letter code) [GB]:MXState or Province Name (full name) [Berkshire]:Distrito FederalLocality Name (eg, city) [Newbury]:MexicoOrganization Name (eg, company) [My Company Ltd]: Empresa, S.A. de C.V.Organizational Unit Name (eg, section) []:Direccion ComercialCommon Name (eg, your name or your server's hostname) []: *.dominio.comEmail Address []:[email protected]

Nuevamente, si definió un nombre de anfitrión absoluto (ejemplo: mail.dominio.com), el certificado solo será válido cuando el servidor de correo electrónico sea invocado con el nombre definido en el campo Common Name. Es decir, solo podrá utilizarlo cuando se defina mail.dominio.com como servidor POP3, o IMAP, con soporte TLS desde el cliente de correo electrónico. Funcionará incorrectamente si se invoca al servidor como, por mencionar un ejemplo, dominio.com. Es por eso que se sugiere utilizar *.dominio.com si se planea acceder hacia el mismo servidor con diferentes subdominios del mismo dominio.



Es indispensable que todos los archivos de claves, y certificados tengan permisos de acceso de solo lectura para el usuario root:

chmod 400 private/dovecot.pem certs/dovecot.pem

Regrese al directorio de inicio del usuario root.

cd

2. CONFIGURACION.

El siguiente paso es configurar las diversas partes de nuestro servidor de correo electrónico.

2.1. Sufijo

Postfix archivos de configuración se guardan en /etc/postfix. Los dos principales archivos de configuración de postfix son master.cf y main.cf, a pesar de que sólo se trata de main.cf aquí. En primer lugar vamos a hacer algunas adiciones o cambios al archivo de configuración main.cf. Las siguientes líneas se debe agregar, editar o sin comentarios:

myhostname = mail.electiva2.edu.sv mydomain = electiva2.edu.sv myorigin = $ mydomain inet_interfaces = all mydestination = $ myhostname, localhost. $ mydomain, localhost, $ mydomain mynetworks = 192.168.6.0/24, 127.0.0.0 / 8 relay_domains = home_mailbox = Maildir /

Nota: Cada línea debe empezar por el principio de una nueva línea y no debe ser precedido por un espacio en blanco o tabuladores. El espacio en blanco o tabuladores al comienzo de una línea se tratan como una continuación de la línea anterior, y si la línea anterior es un comentario (#) y luego la línea de la línea posterior también se trata como tal. Además, comentarios en línea debe ser evitado.

Ahora vamos a echar un vistazo a cada establecimiento que recurrir a entender lo que acabamos de hacer:

myhostname: es el nombre de host del sistema (es decir, el sistema se denomina electrónico o mail.example.com).

mydomain: es el nombre de dominio para el servidor de correo electrónico (puede ser un nombre de dominio verdadero o falso).

myorigin: es el nombre de dominio que el correo electrónico a nivel local-publicado parece haber venido y se entrega.



inet_interfaces: establece las interfaces de red que Postfix puede recibir correo en. Estos deben incluir por lo menos localhost y el dominio local.

mydestination: es la lista de dominios que serán entregados a (es decir, este servidor es el destino final de correo electrónico dirigido a estos dominios).

mynetworks: es una lista de direcciones IP de confianza que puede enviar o retransmisión de correo a través del servidor. Los usuarios que intenten enviar un correo electrónico a través del servidor de origen de las direcciones IP que no figuran en esta lista serán rechazados.

relay_domains: es una lista de dominios de destino, este sistema de retransmisión de correo a. Si se establece en blanco nos aseguramos de que nuestro servidor de correo no está actuando como una retransmisión abierta de redes no confiables. Se informa al lector para probar que su sistema no está actuando como una retransmisión abierta aquí: http://www.abuse.net/relay.html

home_mailbox: establece la ruta del buzón en relación con el directorio home del usuario y también especifica el estilo de buzón de correo a utilizar. Postfix es compatible con formatos maildir y mbox y los lectores se les anima a leer sobre los méritos de cada uno para sí mismos. Sin embargo, en este artículo hemos optado por utilizar el formato Maildir (una barra diagonal indica el formato Maildir. Para especificar el formato mbox, el lector utilice home_mailbox buzón =).

2.2. DOVECOT

El archivo de configuración dovecot se encuentra en / etc / dovecot.conf. Las siguientes líneas se debe agregar, editar o sin comentarios:

protocolos IMAP = POP3 imaps pop3s mail_location = maildir: ~ / Maildir

pop3_uidl_format% =% 08XU 08Xv# Requerido sobre los núcleos de x86_64 login_process_size = 64

Explicación de cada opción:

Protocolos: especifica los protocolos disponibles para los usuarios para acceder a su correo electrónico. Dovecot soportes imap (s) y POP3 (s), y cualquiera o todos pueden ser utilizados.

mail_location: especifica el formato y la ubicación de cada buzón de los usuarios. Aquí vemos que estamos usando el formato maildir y cada usuario tiene su buzón de correo ubicado en ~ / Maildir. Ejemplos de formato mbox se proporcionan en el archivo de configuración.

pop3_uidl_format: se requiere para solucionar un problema con el acceso a buzones de correo de Outlook 2003 a través de POP3 así que tiene sentido para establecer este (ver las notas en el archivo de configuración para más detalles).

login_process_size: Las notas de la versión de CentOS 5.1 establece que "el paquete dovecot en núcleos x86_64 requiere el parámetro" login_process_size = 64 "que se añade a / etc / dovecot.conf



después de una actualización a CentOS 5.1". Instalaciones de 32 bits no se ven afectadas y no requieren de esta opción.

Nota: Si usted tiene cualquier problema de conexión, ya sea con IMAP o POP3 dovecot, comprobar la configuración de IMAP y secciones específicas POP3 configuraciones específicas del archivo de configuración dovecot.conf de soluciones. Las opciones disponibles afectan principalmente a mayores clientes de correo y soluciones para Microsoft Outlook y Outlook Express.

2.3. Crear buzones de los usuarios

El siguiente paso es crear un buzón para cada usuario en su directorio personal y establecer el permiso adecuado, así que usar el ejemplo de usuario orodriguez:

mkdir /home/orodriguez/Maildir chown orodriguez: user /home/orodriguez/Maildir chmod-R 700 /home/orodriguez/Maildir

Hay otra forma que se puede hacer por medio de webmin – sección server- sección postfix – crear cuentas.

2,4. Alias

Tenemos una cuenta de correo configurada para nuestro usuario Oscar Rodríguez que se registra como Oscar. Su dirección de correo electrónico sería [email protected]. Sin embargo, orodriguez puede tener gusto de recibir el correo electrónico como [email protected] (o cualquier otro alias). Podemos lograr esto mediante la creación de un alias de orodriguez con el sistema de archivos de alias (por defecto utiliza postfix/etc/aliases). También podemos añadir los alias de otros usuarios, por lo que, por ejemplo, también podríamos redirigir correo de root a orodriguez añadiendo lo siguiente a /etc/aliases:

# La persona que debe recibir correo de root root: orodriguez # Alias del usuario root: orodriguez

Si edita el fichero de alias para establecer nuevos alias para los usuarios, una vez postfix se está ejecutando, debe reconstruir la base de datos de alias con el comando newaliases.

ESTO SE PUEDE REALIZAR DESDE LA INTERFAZ GRAFICA EN WEBMIN, ASI SECCION SERVER-SELECCIONAR POSTFIX-SELECCIONAR ALIAS.

3. Inicio del servidor

Ahora estamos listos para arrancar nuestro servidor de correo electrónico nuevo. En primer lugar tenemos que decirle a nuestro sistema a utilizar postfix como el MTA en lugar del sendmail por defecto. Para ello, ejecute el comando system-switch-mail y seleccione postfix como el MTA. Esto instalará el servicio postfix y configurarlo para que se inicie automáticamente en los niveles de ejecución 3, 4, y 5. El siguiente paso es


mailto:[email protected]


configurar el servicio dovecot para que también se inicia automáticamente en los niveles de ejecución 3, 4 y 5, e iniciar ambos servicios:

chkconfig - level 345 dovecot service dovecot start service postfis star Otra forma / Etc / init.d / ./dovecot start / Etc / init.d / ./postfix start

Momento en el que debería estar en funcionamiento. Su servidor de correo electrónico no debería tener problemas para enviar y recibir correo electrónico interno y envío de correo electrónico externo. Para recibir correo electrónico externo en su dominio, también tendrá que configurar los registros MX de DNS para su dominio (lo ideal es una entrada PTR rDNS también debe ser configurado a través de su proveedor de Internet la cartografía su dirección IP para su dominio). No te olvides de abrir los puertos necesarios en el firewall de Linux, según los servicios que se están ejecutando 25 (SMTP, POP3 110, 143 IMAP, IMAPS 993; POP3S 995) y permitir el reenvío de puertos para los puertos en los routers.

Si realiza cambios en el archivo de configuración de postfix main.cf, usted puede reiniciar el servicio postfix o ejecute el comando postfix reload para actualizar los cambios.

4. Resumen

Postfix es un agente de transporte de correo extremadamente potente y versátil. En este artículo hemos visto cómo implementar un servidor de correo electrónico básico con postfix y dovecot para un dominio único, basado en las cuentas de usuario del sistema. Apenas hemos arañado la superficie de las verdaderas capacidades de un sistema basado en postfix, pero esperemos que hayan proporcionado una base sólida de trabajo en el que los nuevos usuarios pueden construir.


Documents

Practica 4 Instalacion de POSTFIX