CONFIGURACIN DE UNA PLATAFORMA DE CORREO SEGURA EN LINUX CENTOS 6.

POR: Anderson Herrera Duran

INSTRUCTOR A CARGO: Mauricio Ortiz Morales

SENA

MEDELLN

INTRODUCCIN

En el trascurso de los aos, el hombre ha sentido la necesidad de comunicarse, de ah que la humanidad haya desarrollado distintas formas de comunicacin para poder llevar a cabo muchos procesos de forma ms rpida y sencilla. El correo electrnico es una herramienta con la cual podemos comunicarnos y enviar y recibir archivos a grandes distancias, esto se hace por medio de la red y sistemas de comunicacin electrnica. Para que ese proceso de comunicacin se lleve a cabo son necesarios varios elementos que intervienen en dicha comunicacin; hacen parte del proceso de comunicacin por correo electrnico los siguientes elementos: MTA, MDA, MUA. (A continuacin se explicaran estos elementos).

CONCEPTOS CLAVE MUA: (Mail User Agent, Agente de Usuario de Correo), es el sistema que se encarga de recibir y enviar emails usando los protocolos STMP (para el envo) y POP3 o IMAP (para la recepcin). Ejemplos de MUA son evolution, kmail, squirrelmail (los webmails). MTA: (Mail Transfer Agent, Agente de Transferencia de Correo), es el sistema que se encarga de distribuir y tomar el email de un MUA o de otro MTA y entregarlo a otro MTA o a un MDA, lo ms comn es que funcione integradamente con un DNS que cuente con un registro MX para poder intercambiar correo entre varios MTA. Ejemplos de MTA son postfix, qmail, cyrus. MDA: (Mail Delivery Agent, Agente de Entrega de Correo), es el sistema que se encarga de la recepcin del email por parte de un MTA, y lo almacena de la forma que tenga configurada, el MDA se encarga de gestionar los buzones de los usuarios. Los MDA pueden almacenar en disco, base de datos o llamar a otro programa para hacer el procesado de emails (ejemplo: listas de correo, sistemas de control de incidencias, etc.). Ejemplos de MDA son procmail, cyrus y dovecot; hay programas que son a la vez MTA y MDA. DNS: sistema de nombres de dominio, es un servicio utilizado para resolver nombres de identificadores binarios (ip) esto con el propsito de poder localizar y direccionar de forma fcil estos equipos mundialmente. Un registro MX o Mail Xchange record (registro de intercambio de correo) es un tipo de registro, un recurso DNS que especifica cmo debe ser encaminado un correo electrnico en internet. Los registros MX apuntan a los servidores a los cuales envan un correo electrnico, y a cul de ellos debera ser enviado en primer lugar, por prioridad. OpenLDAP es una implementacin libre y de cdigo abierto del protocolo Lightweight Directory Access Protocol (LDAP) desarrollada por el proyecto OpenLDAP. Est liberada bajo su propia licencia OpenLDAP Public License. LDAP es un protocolo de comunicacin independiente de la plataforma. Muchas distribuciones GNU/Linux incluyen el software OpenLDAP para el soporte LDAP. Este software tambin corre en plataformas BSD, AIX, HP-UX, Mac OS X, Solaris, Microsoft Windows (NT y derivados, incluyendo 2000, XP, Vista), y z/OS. Postfix es un servidor de correo de software libre / cdigo abierto, un programa informtico para el enrutamiento y envo de correo electrnico, creado con la intencin de que sea una alternativa ms rpida, fcil de administrar y segura al ampliamente utilizadoSendmail. Anteriormente conocido como VMailer e IBM Secure Mailer, fue originalmente escrito por Wietse Venema durante su estancia en el Thomas J. Watson Research Center de IBM, y contina siendo desarrollado activamente. Postfix es el agente de transporte por omisin en diversas distribuciones de Linux y en las ltimas versiones del Mac OS X.

Dovecot es un servidor de IMAP y POP3 de cdigo abierto para sistemas GNU/Linux / UNIX-like, escrito fundamentalmente pensando en la seguridad. Desarrollado por Timo Sirainen, Dovecot fue publicado por primera vez en julio del ao 2002. Dovecot apunta fundamentalmente a ser un servidor de correo de cdigo abierto ligero, rpido, fcil de instalar y sobre todo seguro.

Transport Layer Security Para otros usos de este trmino, vase TLS. Secure Sockets Layer (SSL; en espaol capa de conexin segura) y su sucesor Transport Layer Security (TLS; en espaol seguridad de la capa de transporte) son protocolos criptogrficos que proporcionan comunicaciones seguras por una red, comnmente Internet. SSL proporciona autenticacin y privacidad de la informacin entre extremos sobre Internet mediante el uso de criptografa. Habitualmente, slo el servidor es autenticado (es decir, se garantiza su identidad) mientras que el cliente se mantiene sin autenticar. SSL implica una serie de fases bsicas:

Negociar entre las partes el algoritmo que se usar en la comunicacin Intercambio de claves pblicas y autenticacin basada en certificados digitales Cifrado del trfico basado en cifrado simtrico

SpamAssassin es un programa informtico publicado bajo la licencia Apache 2.0 usa para correo electrnico no deseadofiltrado basado en la coincidencia de contenidos reglas. Ahora es parte de la Fundacin Apache . SpamAssassin utiliza una variedad de tcnicas de deteccin de spam, que incluye DNS de deteccin de spam basado en lgica difusa y la suma de comprobacin basados, filtrado bayesiano , programas externos, listas negras y bases de datos en lnea. El programa puede ser integrado con el servidor de correo de filtrar automticamente todo el correo para un sitio. Tambin se puede ejecutar por los usuarios individuales en su propio buzn y se integra con varios programas de correo .SpamAssassin es altamente configurable, si se utiliza como un filtro de todo el sistema todava puede ser configurado para soportar por las preferencias del usuario. En informtica los antivirus son programas cuyo objetivo es detectar y/o eliminar virus informticos. Nacieron durante la dcada de 1980. ClamAV es un software antivirus open source (de licencia GPL) plataformas Windows, Linux y otros sistemas operativossemejantes a Unix. para las

El proyecto ClamAv Antivirus fue fundado en el ao 2001 por Tomasz Kojm. Actualmente tiene una implantacin superior a los 500 000 servidores en todo el mundo. ClamAV naci como un proyecto opensource que pretende identificar y bloquear virusen el sistema. El primer objetivo de ClamAv fue combatir el correo electrnico malware. Como consecuencia de ello, ClamAv se est usando en un nmero elevado de email servers. Gracias a la colaboracin de varias compaas, universidades y otras organizaciones le ha sido posible al proyecto ClamAV poseer una red extensa de distribucin mirror rpida y fiable en todo el mundo.

Webmail Un correo web es un cliente de correo electrnico, que provee una interfaz web por la que acceder al correo electrnico. Otras formas de acceder al correo electrnico pueden ser:

Conectndose con un cliente de correo local a un servidor de correo remoto utilizando un protocolo ad hoc de transporte de correo, como IMAP o POP, descargar los correos y almacenarlos localmente.

Utilizando un cliente de correo por consola, por ejemplo Mutt.

El webmail permite listar, desplegar y borrar va un navegador web los correos almacenados en el servidor remoto. Los correos pueden ser consultados posteriormente desde otro computador conectado a la misma red (por ejemplo Internet) y que disponga de un navegador web.

Cuota Backend cuota especifica el mtodo de cmo Dovecot sigue la pista del uso de la cuota actual. No (por lo general) especificar lmites de cuotas de los usuarios, que se hace mediante la devolucin de campos adicionales de userdb. Existen diferentes sistemas de apoyo cuotas que Dovecot puede utilizar: fs : cuota del sistema de archivos. dirsize : El backend cuota ms simple y ms lento, pero funciona bastante bien con mboxes. dict : El uso de la tienda de cuotas en un diccionario (por ejemplo SQL). maildir : El uso de la tienda de cuotas en Maildir + + archivos maildirsize. Esto es la cuota ms comnmente utilizado para los usuarios virtuales. Habilitacin de plugins de cuotas Actualmente hay dos plugins para implementar cuotas: cuota: implementa el manejo cuota real e incluye tambin todos los backends cuotas. imap_quota: Para presentar la informacin de cuota a travs de IMAP.

La configuracin del servidor de correo se har usando como backend el ldap (openladap 2.4), para poder tener acceso a los atributos relacionados con el correo se agregara el siguiente esquema a la configuracin del openldap. Seguir este link para copiar el esquema: http://mds.mandriva.org/svn/mmc-projects/mmc-core/trunk/agent/contrib/ldap/mail.schema

Editamos un archivo cualquiera el cual llevara los esquemas que incluiremos en el openldap, en este caso el archivo se llama misesquemas.conf, lo podemos crear en cualquier parte (en este caso se crea en el root).

Ahora se crear un directorio para alojar los esquemas LDIF.

Con el comando slaptest se crea la estructura en el directorio creado.

Con el comando tree verificaremos la estructura, primero se debe instalar el tree.

Hacemos un tree al directorio.

Ahora se copiar el archivo ldif relacionado con el mail a una ruta especifica (cualquier ruta, en este caso se copia en el root).

Ediotamos el archivo d ela siguiente forma.

Al final del archivo se borran las ltimas lneas dejandolo de la siguiente forma.

Ahora se agregara el archivo ldif editado a la estructura del ldap (se supone que el archivo debe estar en el lugar desde donde estamos ejecutando el comando, si no es este el caso entonces se debe especificar la ruta).

Como vemos al intertar agregarlo nos ha arrojado un error, el cual nos dice que hay un atributo que se esta repitiendo, esto lo arreglaremos editando el archivo y buscando el atributo mailhost que nos dice el error.

Ahora lo renommbraremos con un nombre diferente para que no halla problema.

Vemos que ya se ha agregado correctamente.

Con el comando tree podemos verificar que ya esta presente la estructura mail en el openldap.

Ahora se creara una nueva entrada (clic derecho new entry), aadiendo los siguientes atributos.

Le damos un UID para crear un usuario, el cual sera un usuario de correo.

Llenamos los datos correspondientes, luego nos dirigimos a la parte superior y damos clic en nuevo atributo.

Ahora agregaremos el atributo mailbox, el cual especifica el buzn de un usuario.

Tambin se agregara el atributo mailenable, para saber si el correo esta activo o no.

Se llenan los campos de la siguiente forma.

Luego de agregar todos los atributos correcpondietes, el usuario quedar con los siguientes atributos.

Lo siguiente ser configurar la zona directa en el DNS, para que nuestro correo trabaje de la mejor forma posible, en la configuracin del Registro MX lo ms aconsejable es que apunte a un registro de tipo A que tenga como nombre smtp, tambin es lo mas adecuado configurarle CNAMES que lleven por nombre mail, imap, pop3, esto segn los protocolos que se vallan a utilizar, en este caso se configurar el correo para que trabaje con el protocolo imap.

Para terminar la confiuracin de las zonas del DNS, se debe configurar la inversa de la siguiente forma.

Cabe aclarar que se debe confiurar el archivo principal del DNS /etc/named.conf, asociandolo con las zonas directas e inversa, la configuracion del DNS esta disponible en mi blog en otras publicaciones http://andersongestionredes.blogspot.com/, para que los cambios surtan efecto debemos reiniciar el DNS, luego con el comando host seguido del dominio se comprobara si el registro MX esta funcionando.

Ahora se proceder a instalar el servidor de correo, el MDA y MTA se instalaran por separado, primero se instalar el MTA, en este caso e el postfix, si no esta instalado se puede instalar con el comando yum, ene ste caso ya esta instalado en su versin 2.6, luego con el comando rpm qc se pueden identificar los archivos de configuracin del postfix.

Ahora se configurara el archivo principal del postfix main.cf, de la siguiente forma.

En esta parte debemos comentar las interfaces locales, y des comentar el all.

La lnea de mydestination puede estar des comentada por el momento, pero lo mejor sera comentarla de una vez.

Agregamos las redes presentes en el servidor.

Para la gestin del buzn, se eligi el Maildir, puesto a que tiene mas ventajas que el formato Mailbox.

Con el comando alternatives, vamos a ver si el postfix se encuentra como MTA.

Tambin verificaremos que el postfix es el servidor MTA que se esta utilizando.

Miraremos si el puerto por el cual el postfix se relaciona con otros archivos esta abierto.

Ahora enviaremos un correo de prueba con el mandato mail, el cual viene instalado por defecto a un usuario local del sistema, en este caso usuario sena.

Miraremos los logs del correo para ver como se realiza la entrega y si tuvo xito, al final se muestra que el correo fue enviado y entregado a su destino.

Ahora revisare el correo desde el usuario sena.

En el archivo main.cf, se comentar siguiente la lnea.

Al final del archivo main.cf agregaremos las sentencias virtuales, las cuales nos conectarn los usuarios del ldap con el postfix.

Se crear un usuario el cual manejara todos los enlaces virtuales entre el postfix y el ldap,, aadindolo a un directorio.

Se debe crear un archivo en el directorio del postfix /etc/postfix el cual indique como debe buscar el postfix a los usuarios del ldap.

Reiniciamos el servicio postfix para que los cambios surtan efecto, luego con el comando postmap agregaremos los usuarios a la configuracin virtual, luego de ejecutar el comando postmap, se debe mostrar el directorio de dicho usuario, si no se muestra es porque algo anda mal, como en este caso que no se mostro.

Ahora miraremos que an no se pueden enviar correos, puesto a que hay un problema.

Como con anterioridad se tiene configurada una acl para el openldap, esta acl esta denegando que el postfix tenga acceso a algunos atributos que se necesitan para poder verificar y crear el directorio a los usuarios, agregaremos estos atributos a una acl que permita leerlos.

Luego reiniciamos el servidor ldap.

Con el comando postconf n podemos ver toda la configuracin actual del postfix.

Ahora volveremos a integrar un usuario con el comando postmap, en este caso se puede ver que ya esta bien configurado, puesto a que nos muestra el directorio.

Enviaremos un mensaje para ver que todo este bien, y como se puede observar el mensaje fue enviado y entregado a su destino.

Con el comando tree podemos verificar los nuevos correos, adems s epuede ver que existen tres directorios (cur, new, tmp), los cuales hacen parte de la estructura del buzn Maildir.

Ahora se instalara el agente MDA, en este caso se eligi el dovecot, si no esta instalado se puede instalar con el comando yum, se puede ver que ya esta instalado en su versin 2.0.9.

Ahora se configurara el archivo principal del dovecot, el cual esta en la ruta /etc/dovecot/, por el momento se incluirn los protocolos imap y pop3.

En esta versin del dovecot, existe un directorio el cual contiene varios archivos, que hacen parte esencial de la configuracin del dovecot y que se dividen en varios temas, tales como protocolos, autenticacin, cuotas, entre otros.

Nos dirigiremos al directorio /etc/dovecot/conf.d/, all editaremos el archivo referente al mail, y daremos la ubicacin del directorio virtual de los usuarios del ldap.

Tambin pondremos la identificacin del usuario y grupo que manejara las cuentas virtuales, lo cual haba sido creado con anterioridad.

Ahora en el archivo de autenticacin, se configurara para que trabaje con el LDAP.

Se comentara la lnea de autenticacin local, y se des comentar la lnea de autenticacin con el LDAP.

Lo siguiente ser buscar el archivo de ejemplo que el dovecot trae por defecto para conectar el LDAP con el dovecot, luego lo copiaremos teniendo en cuenta que el nombre debe ser el mismo que se incluyo anteriormente en el archivo de autenticacin.

Se editara el archivo del LDAP, poniendo la IP nombre del host que va a utilizar, en este caso como todo est en la misma mquina ser la direccin de loopback, tambin se puede dar un nombre (FQDN), si es que lo tenemos configurado.

No se utilizar la SASL bind, puesto a que no esta configurada en el LDAP.

No se utilizar tampoco TLS.

La autenticacin bind tampoco se habilitar.

Daremos la base, en la cual se realizarn las consultas que requiera el dovecot en el LDAP, junto con la versin del protocolo LDAP.

Le diremos que la bsqueda se har en todas las ramificaciones.

Se configurar para que use atributos del LDAP, para realizar consultas, por el momento se dejar en blanco, luego esta lnea ser de mucha importancia para configuracin de cuotas.

Se utilizar un filtrado para que realice de la mejor manera las bsquedas de los usuarios en el LDAP que tengan habilitada la estructura para utilizar el correo.

Se especificar como ser la autenticacin para utilizar el correo.

Se utilizar un filtrado para tener acceso a los usuarios de correo en el LDAP.

Se reinicia el servicio dovecot, y miramos si el servicio telnet est instalado en el sistema.

NOTA: Para que los servicios postfix y dovecot permanezcan encendidos an cuando el sistema se reinicie, lo que se har ser ejecutar el comando chkconfig de la siguiente forma:

chkconfig postfix on, si se quiere tenerlo prendido por niveles utilizamos chkconfig -level 23456 postfix on. chkconfig dovecot on, si se quiere tenerlo prendido por niveles utilizamos chkconfig -level 23456 dovecot on. Los niveles se pueden poner de acuerdo con el requerimiento que se necesite. Se agregar el atributo userpassword a la acl configurada previamente en el openldap, puesto que si no se agrega, no ser posible autenticar los usuarios con los protocolos imap y pop3 a travs del telnet.

Para probar que el protocolo pop3, este funcionando, accederemos a el via telnet, nos loguearemos con un usuario del ldap que tenga el correo habilitado, y procederemos a realizar tareas bsicas desde dicho usuario. En la imagen se muestran los comando bsicos para el protocolo pop3

Se proceder a hacer lo mismo con el protocolo imap, el cual trabaja por el puerto 143 En la imagen se muestran los comandos bsicos para el imap, es importante poner un identificador inicial, tal como se hace en la imagen con una letra y nmeros (A001, A002, A003, ).

INSTALACIN MUA En los sistemas operativos Linux, se cuenta con varias opciones de agentes MUA, tales como son e thunderbir, kmail, gnome entre otros, en la siguiente imagen se muestra como instalar el thunderbird, el thunderbird tambin se puede instalar en sistemas Windows.

Luego de instalado, lo buscaremos en la siguiente ruta.

Ahora se configurar para trabajar con los protocolos IMAP y SMTP.

S configurar en esta ocasin de forma manual, puesto que las configuraciones an no son aptas para hacerlas de forma automtica.

Se redactar y se enviar un mensaje para probar que si este funcionando de forma correcta.

Escribimos el asunto y el cuerpo del mensaje y lo enviamos.

Ahora se revisara el correo para ver si ha llegado.

GRUPOS DE DISTRIBUCIN

Los grupos de distribucin o listas de distribucin sirven para mandar correos a un grupo determinado de usuarios por medio una sola direccin de correo, esto hace que ahorremos procedimientos innecesarios para enviar un correo a varias personas. En plataformas de correo que utilicen como backend el LDAP, se debe crear una estructura que contenga este tipo de atributos para grupos de distribucin, sabiendo esto se proceder a crear un grupo de distribucin.

Nos dirigiremos a la administracin grfica del openldap, con el apache Directory studio, crearemos una nueva entrada.

Se agregarn los esquemas mostrados en la imagen.

El RDN de identificacin debe ser mail, y damos una direccin de correo el cual identificar la lista de correo.

Luego de que se a agregado la lista, se proceder a agregar los usuarios que pertenecern a ella, esto se hace con el atributo maildrop.

Luego en el archivo principal del postfix, se har un mapeo virtual, hacia donde esta la conexin con las listas o grupos del ldap.

Se debe crear un archivo en el directorio principal del postfix (/etc/postfix/), el cual en su contenido debe saber como realizar las bsquedas necesarias.

Ahora se agregar en la acl configurada anteriormente en el openldap, el atributo maildrop, para que pueda ser ledo.

Con el comando postmap, se realiza la comprobacin de que el directorio existe, y si no es as se crea automticamente.

Se puede observar en la imagen los usuarios que pertenecen al grupo.

Se realizar una prueba para comprobar que si funcionan las listas.

Vemos que a los usuarios que pertenecen a la lista les ha llegado el mensaje.

WEBMAIL

El webmail, nos permite acceder por medio de un explorador de internet a nuestro correo electrnico, y por ende acceder al buzn. En esta parte se mostrar como instalar squirremail, el cual es un webmail muy tradicional pero que es muy completo. Lo descargamos desde la pgina oficial, se descomprime (si es tar.gztar zxvf, si es .zipunzip), luego nos dirigimos al archivo de configuracin, y all ejecutamos el script conf.pl.

Se despliega un men de opciones, tecleamos la opcin 2.

Luego digitamos opcin 1, damos el nombre del dominio, previamente configurado en el DNS.

Luego damos s para salvar los cambios.

r para volver al men principal.

Digitamos la opcin 6, para cambiar el modo en que se conectar con un backend.

Opcion 1, para el modo servidor LDAP, luego tecleamos ? para saber que debemos hacer, luego damos + para agregar un host.

A continuacin se muestra como agregar un host.

Luego salvamos la configuracin dando s.

Por ltimo salimos del asistente.

Ahora se deben crear una carpetas y cambiarle los permisos para que el webmail pueda funcionar de forma correcta.

Ahora podemos acceder va web, con cualquier usuario de correo del openldap.

Enviaremos un correo de prueba para ver si todo anda bien.

Vemos que ha llegado al usuario destinatario.

TLS/SASL

Para configurar autenticacin el cifrado del canal, una de las mejores opciones es configurar tlsv1 (s lo mismo que sslv3) con el sasl, en las siguientes imgenes podemos ver como es una comunicacin de correo sin el cifrado ni la autenticacin. Con el capturador de paquetes Wireshark se puede ver que toda la informacin esta visible.

Haciendo una conexn telnet por el puerto del imap (143).

Se puede ver que la informacin de los usuarios es totalmente vulnerable.

Sabiendo que el canal debe asegurarse, se proceder primero que todo a leer el manual del SASL.

En este manual se explica como debe ser la configuracin, y que servicios interactan con el SASL.

Luego de visto el manual, procedemos a prender los servicios saslauthd, y como dicen all encender estos servicios en los niveles 345.

Miraremos que el sistema tenga instalados los paquetes necesarios para SASL.

Se harn las excepciones, o se deshabilitar el firewall.

Iremos a la ruta /etc/pki/tls/, all se crear una firma digital DSA de 1024 octetos, lo cual es compatible con el postfix y con el dovecot.

A partir del archivo creado anteriormente, se crear una llave con algoritmo DSA, y estructura x509 con su correspondiente certificado, se establecer una validez por tres aos (1095 das) para el certificado, luego se debe dar la informacin necesaria para crear dicho certificado. Luego de que se crea el certificado, se puede proceder a borrar el archivo DSA, luego se comprueba que los certificados se encuentren en sus respectivas rutas.

Se dar, solo permisos de lectura para el usuario root de los certificados.

Durante la instalacin se crean unos certificados de prueba, esto hace que sea inseguro el dovecot, por lo cual procedemos a borrar estos certificados.

Para la creacin de la firma digital y el certificado para dovecot se requiere utilizar algoritmo RSA de 1024 octetos con estructura x509.

Se cambian los permisos a solo lectura.

Para unir completamente el dovecot con el postfix para poder realizar la autenticacin con los certificados TLS y con SASL, la nica forma en la que se integran servicios al postfix es por medio del master.cf, por lo cual lo debemos agregar en el master.cf, se debe tener muy en cuenta que este archivo es muy sensible con espacios y sentencias, por lo que se deber tener la mayor precisin posible con este archivo. Se procede a descomentar las lneas de TLS y SASL.

El usuario y grupo con el cual se relacionar el postfix es el vmails, si anteriormente se cre el usuario vmail entonces se pone el usuario vmail, se debe poner el mismo usuario creado anteriormente.

Al final del archivo principal del postfix (main.cf), se agregan las lneas correspondientes al TLS y SASL.

A continuacin para ms seguridad en el sistema, se cambiar la forma en que se distribuyen los correos de los usuarios, a parir de un usuario sin privilegios.

Se pone cualquier usuario sin privilegios en la persona que recibe los correos.

Por ltimo se ejecuta el comando postalias para generar la base de datos /etc/aliases.db que ser utilizada por el postfix.

Ahora en el archivo relacionado con ssl del dovecot se realizarn los siguientes cambios, y se comprobarn la existencia de los certificados.

Reiniciamos el servicio sasl, el postfix y dovecot, luego se configuran con el comando chkconfig para encenderlos en los niveles 2345.

Para realizar la prueba de que la autentcacin este funcionando, haremos un elnet con el protocolo SMTP (puerto 25), luego con el mandato EHLO, se vern las nuevas funciones agregadas, entre ellas soporte para STARTTLS, si luego se ejecuta STARTTLS, se podr observar que ya existe autenticacin.

Mirando los logs del mail, se puede ver como esta activado el TLS.

Ahora se probar la autenticacin desde un gestor MUA, en este caso desde el Evolution.

A continuacin se muestra paso a paso la configuracin del Evolution.

Se da una cuenta de correo configurada en el ldap.

Prefiero utilizar el protocolo IMAP para recibir correo, adems ya puedo usarla conexin segura con cifrado TLS.

Para el envo de correo se utiliza el protocolo SMTP, y utilizo encripcion TLS, el tipo de autenticacin ser plain.

Luego de terminada la configuracin, accederemos a la interfaz del Evolution, nos arroja una alerta con respecto que si aceptaremos los certificados, le daremos en OK.

Damos la contrasea del usuario, le decimos que nos recuerde y aceptamos.

Enviaremos un mensaje desde el thunderbird para ver como se esta cifrando y asegurando el canal.

Agregamos la contrasea y decimos que nos recuerde, esto pasa porque hemos configurado la enciptacin.

Vemos que ha llegado.

En los logs del mail, podemos ver como interacta el SASL.

Ahora se configurar el thunderbird para que actu con cifrado y autenticacin, de igual forma ya se podrn configurar cuentas para que detecte la configuracin de forma automtica.

En la configuracin del servidor de salda tambin se procede a realizar la configuracin.

Nos arroja la ventana para aadir el certificado de seguridad, le decimos que confirme la excepcin.

Ahora se enviar un mensaje para probar la configuracin.

Se confirma la excepcin de seguridad.

A travs del Wireshark se capturan los paquetes para verificar que la comunicacin sea cifrada, y que el canal este asegurado.

A continuacin explicare como es la comunicacin a travs de tlsv1. Funcionamiento tlsv1 (sslv3): El protocolo SSL intercambia registros; opcionalmente, cada registro puede ser comprimido, cifrado y empaquetado con un cdigo de autenticacin del mensaje (MAC). Cada registro tiene un campo de content_type que especifica el protocolo de nivel superior que se est usando. Cuando se inicia la conexin, el nivel de registro encapsula otro protocolo, el protocolo handshake, que tiene el content_type 22. El cliente enva y recibe varias estructuras handshake:

Enva un mensaje ClientHello especificando una lista de conjunto de cifrados, mtodos de compresin y la versin del protocolo SSL ms alta permitida. ste tambin enva bytes aleatorios que sern usados ms tarde (llamados Challenge de Cliente o Reto). Adems puede incluir el identificador de la sesin. Despus, recibe un registro ServerHello, en el que el servidor elige los parmetros de conexin a partir de las opciones ofertadas con anterioridad por el cliente. Cuando los parmetros de la conexin son conocidos, cliente y servidor intercambian certificados (dependiendo de las claves pblicas de cifrado seleccionadas). Estos certificados son actualmente X.509, pero hay tambin un borrador especificando el uso de certificados basados en OpenPGP1 . Cliente y servidor negocian una clave secreta (simtrica) comn llamada master secret, posiblemente usando el resultado de un intercambio Diffie-Hellman, o simplemente cifrando una clave secreta con una clave pblica que es descifrada con la clave privada de cada uno. Todos los datos de claves restantes son derivados a partir de este master secret (y los valores aleatorios generados en el cliente y el servidor), que son pasados a travs una funcin pseudoaleatoria cuidadosamente elegida.

Revisaremos un paquete tls, para ver la informacin que contiene.

Se puede observar que el mandato que ejecuta es EHLO, y que lego se establece el cifrado STARTTLS.

Vemos que ya ha llegado el correo que se haba enviado anteriormente.

Mirando los logs del mail, se puede observar que la comunicacin ahora incluye STARTTLS.

CUOTAS

Configuracin de cuotas bsicas de almacenamiento en el MDA (dovecot 2.0) Primero iremos al archivo /etc/dovecot/conf.d/20-pop3.conf, y all agregaremos el plugin de cuota.

En el archivo /etc/dovecot/conf.d/20-imap.conf, agregaremos el plugin de cuota.

En el archivo /etc/dovecot/conf.d/15-lda.conf, agregaremos la direccin del postmaster, puede ser cualquier direccin de correo que deseemos.

En este mismo archivo agregaremos el parche para el envo de correos, se debe verificar que la ruta exista.

Por ltimo en el archivo /etc/dovecot/conf.d/90-quota.conf, se agregaran las reglas de almacenamiento.

En este mismo archivo se deben descomentar las lneas las cuales son los plugin para las cuotas del tamao del directorio para el usuario y del maildir para el usuario, en este caso usare os dos tipos de plugin, se recomienda usar el plugin maildir.

Por ultimo iremos a nuestro cliente MUA, en este caso es el thunderbird, vamos a cualquier carpeta del correo del usuario, damos clic derecho, propiedades.

Elegimos cuotas, y vemos que la cantidad de espacio de almacenamiento que se tiene es igual a la cantidad de espacio que se defini en el archivo de quotas.

NOTA: No es aconsejable darle tan poco espacio a los usuarios de correo, en este caso se hizo con 20M de espacio de almacenamiento solo por cuestiones educativas de prueba.

CONFIGURACIN DE QUOTAS CON OPENLDAP 2.4 Y DOVECOT 2.0.9

Para una configuracin mas avanzada de las cuotas, se integrarn las cuotas del correo para que funcionen por medio del openldap. Primero iremos al archivo principal de las cuotas, all se agregaran las reglas para las quotas.

Se utilizar el plugin maildir.

Para que las reglas y cuotas funcionen perfectamente, se debe configurar el agente LDA, el cual ayuda a entregar localmente el correo, para ms informacin sigue este link http://wiki.dovecot.org/LDA.

Se debe agregar el plugin para que utilice las cuotas, adems agregar otras lneas que pueden ayudar a la gestin de los buzones.

En el archivo master del dovecot, agregare el servicio de autenticacin a travs del usuario vmails el cual se cre con anterioridad, esto para que sea mas segura y rpida la plataforma.

En el archivo mail, se agregar la ubicacin del buzn (mailbox).

Se debe agregar el plugin para utilizar cuotas.

En los dems protocolos IMAP, POP3, LMTP tambin se debe habilitar el plugin para utilizar cuotas, esto segn el protocolo que se valla a utilizar, en este caso se configurarn los tres protocolos de una ves.

Ahora en el archivo principal del dovecot, habilitar los tres protocolos, esto para que la plataforma sea mas robusta y rpida, puesto a que el protocolo LMTP, ayuda a la entrega local cuando hay muchos correos en cola.

Verificamos que en directorio /conf.d este incluido para la configuracin del dovecot.

Ahora en el archivo que conecta el dovecot con el openldap, se habilitar la autenticacin bind (LDAP).

Ahora se agregar lo mas importante para la conexin con el ldap, lo cual son los atributos (user_attrs), que se usaran para la conexin, y adems en la misma lnea se especificar como se usar la cuota, este caso se utilizar el plugin quota, y la cuota ser establecida en MB.

Por medio del apache directory studio, podemos agregar el atributo mailuserquota (la estructura desde un principio agregada contiene este atributo).

Le daremos 35 MB de cuota para este usuario.

Ahora desde el thunderbird verificamos la cuota, desde las propiedades de cualquier carpeta del usuario, y vemos que la cuota es la asignada desde el openldap.

A partir de la imagen se puede intuir que los mensajes enviados son ignorados, esto se debe a la configuracin anterior de las reglas de quota, en esta configuracin solo se tiene en cuenta el espacio en la bandeja de entrada de cada usuario.

INSTALACIN WEBMAIL (ROUNDCUBE 0.8.2) EN CENTOS 6.2

Para tener un mejor acceso va web, a continuacin mostrar como instalar el webmail roundcube en su ltima versin, y el cual es gratuito. Instalaremos dependencias que son necesarias para el ptimo funcionamiento de roundcube.

Desde la web oficial descargamos el paquete.

Copiamos el paquete al directorio principal del servidor web, luego se descomprime.

Lo renombraremos para que sea ms fcil de identificar.

Cmbiamos el usuario y grupo propietario y tambin los permisos de algunos archivos y carpetas.

Ahora se utilizar como backen del webmail mysql, si mysql no esta instalado se debe instalar, luego accedeos a mysql y creamos la base de datos para roundcube, adems se crear un usuario y se le otorgarn los permisos necesarios para la base de datos.

Con el siguiente comando se inicializar la base de datos, esto se hace cuando algunas veces no tenemos conectividad con la base de datos.

Agregamos un nombre, en este caso un CNAME, para acceder al roundcube.

Se debe reiniciar el DNS para que tome los cambios.

Hacemos las priebas necesarias para ver si hay conectividad con el host agregado.

Ahora se debe crear el host virtual que nos conectar con el directorio principal de roundcube.

Se debe reiniciar el servidor web para que tome los cambios.

Nos debemos dirigir a la ruta /var/www/html/roundcube/config, all copiaremos o renobraremos los archivos de ejemplo a los siguientes nombres: main.inc.php db.inc.php.

Ahora le cambiaremos de usuario y grupo propietario, para que sea el apache el dueo de estos.

Ahora en el archivo correspondiente a la base de datos, se debe dar la innformacion de la base de datos, usuario y contrasea.

Ahora ya podremos acceder va web al correo de un usuario anteriormente configurado en el LDAP para utilizar correo.

Podemos ver que la interfaz grfica es muy amigable, para cambiar el idioma daremos clic en configuracin.

Elegimos user interface.

Seleccionamos las opciones correcpondientes y salvamos la configuracin.

Enviaremos un correo a otro usuario para ver que el webmail este funcionando correctamente.

Vemos que el correo ha llegado.

Y con esto quedo lista nuestra plataforma web mail, si lo que se quiere es que la plataforma web mail soporte trabajo colaborativo, calendario, agenta entre otras aplicaciones, pueden instalar la plataforma egroupware, aunque hay muchas otras mas, pero yo recomiendo esta plataforma puesto a que es muy completa y estable, la instalacin la pueden encontrar en mi blog http://andersongestionredes.blogspot.com/.

ANTISPAM CON SPAMASSASSIN

Para asegurar nuestro correo con un fitro antispam, se opt por utilizar spamassassin Lo que primero se debe hacer es leer el manual.

A continuacin se comprobar si ya esta instalado en el sistema, si no es as se debe instalar.

Con el comando which veremos cual es el nombre del servicio y que su directorio, luego se proceder a reiniciar el servicio, con el comando chkconfig, podremos encender el servicio tambin.

Una vez iniciado el servicio spamassassin vemos en los logs del mail, que el servicio antispam esta cargando.

En los archivos local.cf del spamassassin, se encuentran algunos mandatos que hacen parte esencial de la configuracin de este servicio.

El archivo local.cf que se encuentra en la ruta /etc/mail/spamassassin/local.cf, es el que contiene lo relacionado sobre como se va a filtrar el spam.

Cuando se hace un cambio en un archivo se debe reiniciar el servicio.

A continuacin se meustra como crear un usuario cualquiera el cual ser el encargado de la gestin del spamassassin.

En el archivo master.cf del postfix se debe integrar el servicio antispam de la siguiente forma.

En la parte inferior del archivo master.cf, se incluirn las lneas que permitiran al spamassassin manejar el correo por medio del usuario creado y luego reenviarselo al postfix. NOTA: Nose puede utilizar un usuario que se este utilizando para otra funcin en el master.cf para manejar un servicio.

Luego de esto reiniciamos el postfix. A continuacin se descargar un spam, y luego se enviara al antispam, lo que debera efectuar que lo identifique como spam el servicio spamassassin.

Mirando los logs del mail, se puede como el spamassassin identifica el spam.

Ahora que el antispam esta configurado, iremos al gestor MUA thunderbird y lo configuraremos para que trabaje junto con el spamassassin.

En el archivo local.cf ubicado en /etc/mail/spamassassin/local.cf, se configura el puntaje (hits) el cual nos indicar como se debe procesra un spam luego de ser identificado, hasta el puntaje 5 se procesa y se envia como spam, pero si damos un puntaje mas alto el correo que se identifique como spam puede ser eliminado automticamente. En este archvio tambin se configuran las reglas para el filtro de palabras que deseamos incluir como spam, la estructura debe ser tal y como se muestra en la imagen. Tambin se pueden agregar bayes en este archivo para agregar mas funciones de comprobacin antispam al sistema: use_bayes 1 bayes_auto_learn 1

Luego de realizar los cambios se debe reiniciar el servicio para que pueda tomar dichoes cambios.

Ahora se enviar un correo que contiene palabras configuradas como spam anteriormente para probar la configuracin.

Vemos que el correo ha sido entregado, y se ha recibido como correo no deseado.

Mirando los logs del mail, se puede observar que detecto 2 de los nombres de las reglas que se configurarron en el archivo local.cf.

ANTIVIRUS

Para la configuracin del antivirus se eligi utilizar clamav, procedemos a instalarlo de la siguiente forma.

Miramos donde se encuentran los principales archivos de configuracin del clamav.

En el archivo principal del clamav, procedemos a especificar el puerto por el cual va a escuchar, y el cual se integrar con el postfix, por defecto viene el puerto 10025, el cual hace alucin al puerto 25 del protocolo SMTP, lo que hace que sea ms identificable, verificamos tambien que el puerto de escucha este configurado correctamente OutAddress.

Ahora iremos al archivo principal del postfix, y agregaremos las lneas que mapearan y nos diran como se debe escanear el correo.

Utilizamos el comando freshclam para actualizar el antivirus.

Si queremos que el antivirus se actualice una vez al da ejecutamos: crontab e

Para analizar e inyectar el correo una vez escaneado de nuevo al postfix aadimos las siguientes lineas al inicio del archivo master.cf del postfix.

Ahora se deben iniciar los tres daemons que maneja el servicio antivirus.

Con el comando chkconfig se aconceja encender los tres servicios. Luego reiniciamos el servicio postfix.

Desde la siguiente pgina http://www.eicar.org/85-0-Download.html se puede descargar un viruas d epreba, aconcejo descargar el que tiene extensin txt. Luego enviaremos un correo con el virus adjunto para probar el antivirus.

Mirando los logs del mail, podemos ver como el antivirus detecta la amenaza, luego lo remueve, y por ende el correo no se enva.

Podemos observar qu e el correo no ha llegado, puesto que contenia un virus.

CONCLUSIONES

Las plataformas de correo son muy tiles para cualquier sector en el que se deseen implementar, por este motivo se deben implementar con la rubostocidad y seguridad mas alta posibles, para que de esta forma los mensajes viajen de forma segura y sin ningun inconveniente por la red. A la hora de configurar un MTA, lo ms conveniente y aconsejable es asociarlo con un registro MX previamente configurado en el DNS que se este utilizando, para que de esta forma no surjan inconvenientes a la hora de enviar o recibir correos a otros dominios.

CIBERGRAFIA www.alcancelibre.org https://informatica.iessanclemente.net/manuais/index.php/Instalaci%C3%B3n_y_administraci%C3 %B3n_de_Servicio_de_Correo_Electr%C3%B3nico_en_Debian Tambin se tomaron como apoyo los documentos otorgados por la plataforma cursos.redsena.net