Configuracin de Sendmail en CentOS 6 y Red Hat Enterprise Linux 6

Introduccin.
Acerca de Sendmail.
Es el ms popular agente de transporte de correo (MTA o Mail Transport Agent),
responsable, quiz, de poco ms del 70% del correo electrnico del mundo. Aunque por
largo tiempo se le ha criticado por muchos incidentes de seguridad, lo cierto es que
stos siempre han sido resueltos en pocas horas.
URL: http://www.sendmail.org/.

Acerca de Dovecot.
Dovecot es un servidor de POP3 e IMAP, de cdigo fuente abierto, que funciona en
Linux y sistemas basados sobre Unix y diseado con la seguridad como principal
objetivo. Dovecot puede utilizar tanto el formato mbox como maildir y es compatible
con las implementaciones de los servidores UW-IMAP y Courier IMAP.
URL: http://dovecot.procontrol.fi/.

Acerca de SASL y Cyrus SASL.

SASL (Simple Authentication and Security Layer) es una implementacin diseada
para la seguridad de datos en protocolos de Internet. Desempareja los mecanismos de la
autenticacin desde protocolos de aplicaciones, permitiendo, en teora, cualquier
mecanismo de autenticacin soportado por SASL, para ser utilizado en cualquier
protocolo de aplicacin que sea capaz de utilizar SASL. Actualmente SASL es un
protocolo de la IETF (Internet Engineering Task Force) que ha sido propuesto como
estndar. Est especificado en el RFC 2222 creado por John Meyers en la Universidad
Carnegie Mellon.
Cyrus SASL es una implementacin de SASL que puede ser utilizada del lado del
servidor o bien del lado del cliente y que incluye como principales mecanismos de
autenticacin soportados a ANONYMOUS, CRAM-MD5, DIGEST-MD5, GSSAPI y
PLAIN. El cdigo fuente incluye tambin soporte para los mecanismos LOGIN, SRP,
NTLM, OPT y KERBEROS_V4.
URL: http://asg.web.cmu.edu/sasl/sasl-library.html.

Equipamiento lgico necesario.

cyrus-sasl
cyrus-sasl-plain
dovecot
m4
make
sendmail-cf
sendmail

Instalacin a travs de yum.

Si se utiliza de CentOS o Red Hat Enterprise Linux ejecute lo siguiente:
yum -y install sendmail sendmail-cf dovecot m4 make \
cyrus-sasl cyrus-sasl-plain

Si acaso estuviese instalado, elimine el paquete cyrus-sasl-gssapi, ya que este utiliza el

mtodo de autenticacin GSSAPI, mismo que requerira de la base de datos de cuentas
de usuario de un servidor Kerberos. De igual manera, si estuviese instalado, elimine el
paquete cyrus-sasl-md5, ya que este utiliza los mtodos de autenticacin CRAM-MD5 y
Digest-MD5, mismos que requeran asignar las contraseas para SMTP a travs del
mandato saslpasswd2. Outlook carece de soporte para estos mtodos de autenticacin.
yum remove cyrus-sasl-gssapi cyrus-sasl-md5

Procedimientos.
Definiendo Sendmail como agente de transporte de correo
predeterminado.
El mandato alternatives, con la opcin --config y el valor mta, se utiliza para conmutar
el servicio de correo electrnico del sistema y elegir qu programa utilizar. Slo es
necesario utilizar ste si previamente estaban instalados Postfix o Exim. S este es el
caso, ejecute lo siguiente desde una terminal y defina Sendmail como agente de
transporte de correo (MTA, Mail Transport Agent), seleccionado ste.
alternatives --config mta

Lo anterior devolver una salida similar a la siguiente, donde deber elegir entre postfix
y sendmail como MTA predeterminado del sistema:
Hay 2 programas que proporcionan 'mta'.
Seleccin
Comando
----------------------------------------------1
/usr/sbin/sendmail.postfix
*+ 2
/usr/sbin/sendmail.sendmail
Presione Intro para mantener la seleccin actual[+] o bien escriba el nmero de la
seleccin: 2

Si estuviera presente postfix, detenga ste (es el MTA predeterminado en CentOS 6 y

Red Hat Enterprise Linux 6) e inicie el servicio sendmail:
service postfix stop
chkconfig postfix off
service sendmail start
chkconfig sendmail on

Alta de cuentas de usuario y asignacin de contraseas.

La autenticacin para SMTP, a travs de cualquier mtodo (PLAIN, LOGIN, DigestMD5 o CRAM-MD5), requiere se active, e inicie, el servicio saslauthd del siguiente
modo:
chkconfig saslauthd on
service saslauthd start

El alta de usuarios es la misma que como con cualquier otro usuario del sistema.
Sendmail utilizar el servicio saslauthd para autenticar a los usuarios a travs de los
mtodos PLAIN y LOGIN, con opcin a utilizar tambin Digest-MD5 o bien CRAMMD5.
El alta de las cuentas del usuario en el sistema, la cual se sugiere se asigne /dev/null o
/sbin/nologin como intrprete de mandatos, pude hacerse del siguiente modo:
useradd -s /dev/null usuario

La asignacin de contraseas, para permitir autenticar a travs de SMTP, POP3, e

IMAP, utilizando el mtodo PLAIN o bien el mtodo LOGIN, se hace exactamente
igual que con cualquier otra cuenta de usuario del sistema, como se muestra a
continuacin:
passwd usuario

Ejecutando lo anterior, el sistema solicitar se ingrese una contrasea, con

confirmacin. Prefiera utilizar buenas contraseas y de este modo evitar problemas de
seguridad.
Nota.
La asignacin de contraseas para autenticar SMTP, a travs de mtodos cifrados (CRAM-MD5 y DIGESTMD5), en sistemas con versin de Sendmail compilada contra SASL-2 (Red Hat Enterprise Linux 5, CentOS
5 y versiones posteriores de stos), puede hacerse a travs del mandato saslpasswd2 del siguiente modo,
tomando en consideracin que Outlook y Outlook Express carecen de soporte para autenticar contraseas
a travs de estos mtodos, los cuales requieren adems tener instalado el paquete cyrus-sasl-md5 en el
servidor para la gestin de contraseas:
saslpasswd2 usuario
Puede mostrarse la lista de los usuarios con contrasea asignada a travs de SASL-2 utilizando el mandato
sasldblistusers2.

Si los usuarios se van a dar de alta siguiendo el formato usuario@dominio.tld en lugar

de slo usuario, una prctica comn en los servidores con mltiples dominios virtuales,
es necesario aadir al servicio saslauthd la opcin -r, la cual permite combinar el
nombre de usuario y dominio antes de pasar por el mecanismo de autenticacin. Si ste
es el caso, se debe editar el archivo /etc/sysconfig/saslauthd:
vi /etc/sysconfig/saslauthd

Y aadir la opcin -r a los argumentos de FLAGS:

# Directory in which to place saslauthd's listening socket, pid file, and
so
# on. This directory must already exist.
SOCKETDIR=/var/run/saslauthd
# Mechanism to use when checking passwords. Run "saslauthd -v" to get a
list
# of which mechanism your installation was compiled with the ablity to use.
MECH=pam
# Options sent to the saslauthd. If the MECH is other than "pam" uncomment
# the next line.
# DAEMONOPTS=--user saslauth
# Additional flags to pass to saslauthd on the command line.
saslauthd(8)
# for the list of accepted flags.
FLAGS=-r

See

Y reiniciar el servicio saslauthd.

service saslauthd restart

Dominios a administrar.
Edite el archivo /etc/mail/local-host-names:
vi /etc/mail/local-host-names

Establezca los dominios locales que sern administrados. En el siguiente ejemplo se

establecen 4 dominios a administrar, donde tld (Top Level Domain o dominio de nivel
superior) correspondera a .com, .org, .net, etc.:
dominio1.tld
dominio2.tld
dominio3.tld
dominio4.tld

Proceda a crear el archivo /etc/mail/relay-domains:

touch /etc/mail/relay-domains

Edite el archivo /etc/mail/relay-domains que acaba de crear:

vi /etc/mail/relay-domains

Establezca los nombres de los dominios que tendrn permitido re-transmitir correo
electrnico desde el servidor. Tcnicamente tendr casi el mismo contenido de
/etc/mail/local-host-names, a menos que se desee excluir algn dominio en particular o
bien se trate de servidor de correo secundario para otro dominio en otro servidor.
dominio1.tld
dominio2.tld

dominio3.tld
dominio4.tld

Control de acceso
Para definir las listas de control de acceso, edite el archivo /etc/mail/access:
vi /etc/mail/access

Debe incluir en el archivo /etc/mail/access todas las direcciones IP locales del

servidor (las que devuelva el mandato ip addr show).
Puede incluir tambin la lista direcciones IP, dominios o bien cuentas de correo
electrnico, a las que se quiera otorgar permisos de re-transmisin sin restricciones o
con permiso para enviar correo electrnico slo a cuentas locales. Puede definir tambin
una lista negra de direcciones de correo electrnico, dominios y direcciones IP, a las
que se desee denegar el acceso. Considere que:

Cualquier elemento que vaya acompaado de RELAY, tendr permitido

enviar correo electrnico, sin necesidad de autenticar y re-transmitir ste
sin restriccin alguna.
Cualquier elemento que vaya acompaado de OK, tendr permitido enviar
correo electrnico, sin necesidad de autenticar, pero slo a las cuentas
locales.
Cualquier elemento que vaya acompaado de REJECT, tendr prohibida
cualquier tipo de comunicacin de correo electrnico.
Nota.
Jams configure una segmento completo de red local con RELAY, ya que dejara de tener sentido utilizar
autenticacin a travs de SMTP y potencialmente podra permitir que los problemas de seguridad de maquinas
infectadas con virus, gusanos o troyanos, se magnifiquen, siendo que permitira el envo, sin restricciones, de
correo electrnico infectado o bien cantidades extraordinarias de spam, originadas por los equipos cuya
seguridad se haya visto comprometida.

Ejemplo de configuracin para el archivo /etc/mail/access:

Connect:localhost.localdomain
RELAY
Connect:localhost
RELAY
Connect:127.0.0.1
RELAY
#
# Direccin IP del propio servidor.
Connect:192.168.70.51
RELAY
#
# Otros servidores de correo en la LAN a los que se les permitir
enviar
# correo libremente a travs del propio servidor de correo.
Connect:192.168.70.52
RELAY
#
# Direcciones IP que slo podrn entregar correo de forma local,
es decir,
# no pueden enviar correo fuera del propio servidor.
Connect:192.168.2.24
OK
#
# Lista negra
usuario@molesto.com
REJECT

productoinutil.com.mx
REJECT
10.4.5.6
REJECT
#
# Bloques de Asia Pacific Networks, ISP desde el cual se emite la
mayor
# parte del Spam del mundo.
# Las redes involucradas abarcan Australia, Japn, China, Corea
del Sur, Taiwan,
# Hong Kong e India por lo que bloquear el correo de dichas redes
significa
# cortar comunicacin con estos pases, pero acaba con entre el
60% y 80%
# del Spam.
222
REJECT
221
REJECT
220
REJECT
219
REJECT
218
REJECT
212
REJECT
211
REJECT
210
REJECT
203
REJECT
202
REJECT
140.109
REJECT
133
REJECT
61
REJECT
60
REJECT
59
REJECT
58
REJECT

Alias de la cuenta del usuario root.

Es peligroso autenticarse con la cuenta del usuario root, a travs de cualquier tipo de
red, slo para revisar los mensajes de correo electrnico originados por el sistema. Se
recomienda definir alias para la cuenta del usuario root, hacia la cual se entregar todo
el correo electrnico originalmente dirigido a root.
Edite el archivo /etc/aliases:
vi /etc/aliases

Al final de ste, defina a que cuenta de usuario regular le ser entregado el correo
electrnico originalmente destinado a root:
root:

fulano

Para convertir el archivo /etc/aliases en /etc/aliases.db, que es el archivo, en formato de

base de datos, que utilizar sendmail y para verificar que la sintaxis est correcta o bien
si existen aliases duplicados, ejecute el siguiente mandato:
newaliases

Lo anterior, debe devolver una salida similar a la siguiente:

/etc/aliases: 77 aliases, longest 10 bytes, 777 bytes total

Configuracin de funciones de Sendmail.

Para definir, cambiar o aadir funciones, edite el archivo /etc/mail/sendmail.mc.
vi /etc/mail/sendmail.mc

confSMTP_LOGIN_MSG.
Esta opcin permite establecer el mensaje de bienvenida al establecer la conexin al
servidor. Es posible ocultar el nombre y la versin de Sendmail, sto con el objeto de
agregar seguridad por oscuridad. Funciona de manera sencilla, haciendo que, quien
establezca una conexin hacia el servidor, sea incapaz determinar qu versin de
Sendmail se est utilizando y con sto dificultar a un delincuente o abusador del
servicio, el determinar que vulnerabilidad especfica aprovechar. Descomente lo
siguiente en el archivo /etc/mail/sendmail.mc, eliminando el dnl y el espacio que le
antecede:
dnl #
dnl # Do not advertize sendmail version.
dnl #
define(`confSMTP_LOGIN_MSG',`$j Sendmail; $b')dnl
dnl #
dnl # default logging level is 9, you might want to set it higher to
dnl # debug the configuration
dnl #
dnl define(`confLOG_LEVEL', `9')dnl

Guarde los cambios y salga del editor.

Reinicie el servicio sendmail:
service sendmail restart

Realice una conexin al puerto 25. Obtendr una salida similar a la siguiente:
$ nc 127.0.0.1 25
Trying 127.0.0.1...
Connected to mail.dominio.tld.
Escape character is '^]'.
220 mail.dominio.tld ESMTP Sendmail ; Mon, 17 May 2004
02:22:29 -0500
quit
221 2.0.0 mail.dominio.tld closing connection
Connection closed by foreign host.
$

confAUTH_OPTIONS.
Vuelva a edita el archivo /etc/mail/sendmail.mc:
vi /etc/mail/sendmail.mc

La siguiente lnea viene habilitada de modo predeterminado y permitir realizar el

proceso de autenticacin a travs del puerto 25, utilizando el mtodo PLAIN o bien el
mtodo LOGIN, los cuales transmiten el nombre de usuario, junto con su
correspondiente contrasea, en texto simple, garantizando 100% de compatibilidad con
todos los clientes de correo electrnico existentes. Sin embargo, sto tambin implica
un enorme riesgo de seguridad, por lo cual se recomienda implementar seguridad a
travs de SSL/TLS.
define(`UUCP_MAILER_MAX', `2000000')dnl
define(`confUSERDB_SPEC', `/etc/mail/userdb.db')dnl
define(`confPRIVACY_FLAGS', `authwarnings,novrfy,noexpn,restrictqrun')dnl
define(`confAUTH_OPTIONS',`A')dnl
dnl #
dnl # The following allows relaying if the user authenticates, and
disallows
dnl # plaintext authentication (PLAIN/LOGIN) on non-TLS links

Para aadir la seguridad necesaria, consulte y estudie el documento titulado Cmo

configurar Sendmail y Dovecot con soporte SSL/TLS.
.
Nota.
Si utiliza la siguiente lnea, en lugar de la mencionada arriba, se desactivar la funcin que permite la
autenticacin enviando las contraseas en texto simple, a travs de conexiones sin cifrar (SSL/TLS) y se
habilitar la funcin que slo permite autenticar con contraseas en texto simple a travs de SSL/TLS y a travs
de mtodos que utilicen contraseas cifradas, como sera CRAM-MD5 y DIGEST-MD5 con o sin SSL/TLS.
Esto obliga a utilizar SSL/TLS para realizar conexiones a travs de cualquier cliente de correo
electrnico o bien clientes de correo electrnico con soporte para autenticacin a travs de CRAM-MD5
y DIGEST-MD5.
Todos clientes de correo electrnico conocidos, excepto Outlook y Outlook Express), incluyen soporte para
CRAM-MD5 y DIGEST-MD5. Las conexiones sin SSL/TLS requieren a tener instalado el paquete cyrus-saslmd5 en el servidor y asignar las contraseas para SMTP a travs del mandato saslpasswd2.
dnl # The following allows relaying if the user authenticates,
and disallows
dnl # plaintext authentication (PLAIN/LOGIN) on non-TLS links
dnl #
define(`confAUTH_OPTIONS',`A p')dnl
dnl #
dnl # PLAIN is the preferred plaintext authentication method
and used by
dnl # Mozilla Mail and Evolution, though Outlook Express and
other MUAs do
dnl # use LOGIN. Other mechanisms should be used if the
connection is not
Conviene habilitar esta opcin en lugar de la anterior una vez que se ha configurado el soporte SSL/TLS para
Sendmail, pues obliga a los usuarios a autenticarse utilizando slo conexiones SSL/TLS.

TRUST_AUTH_MECH y confAUTH_MECHANISMS.
Si se desea utilizar SMTP con autenticacin, se requieren des-comentar las siguientes
dos lneas del archivo /etc/mail/sendmail.mc, eliminando el dnl y el espacio que les
precede:
dnl # PLAIN is the preferred plaintext authentication method and used by
dnl # Mozilla Mail and Evolution, though Outlook Express and other MUAs do
dnl # use LOGIN. Other mechanisms should be used if the connection is not

dnl # guaranteed secure.

dnl # Please remember that saslauthd needs to be running for AUTH.
dnl #
TRUST_AUTH_MECH(`EXTERNAL DIGEST-MD5 CRAM-MD5 LOGIN PLAIN')dnl
define(`confAUTH_MECHANISMS', `EXTERNAL GSSAPI DIGEST-MD5 CRAM-MD5LOGIN
PLAIN')dnl
dnl #
dnl # Rudimentary information on creating certificates for sendmail TLS:
dnl #
cd /etc/pki/tls/certs; make sendmail.pem

DAEMON_OPTIONS.
De modo predeterminado, Sendmail escucha peticiones slo a travs de la interfaz de
retorno del sistema (127.0.0.1), e ignorando otros dispositivos de red. Slo se necesita
eliminar la restriccin de la interfaz de retorno para poder recibir correo desde Internet o
desde la red de rea local. Localice la siguiente lnea resaltada:
dnl # The following causes sendmail to only listen on the IPv4 loopback
address
dnl # 127.0.0.1 and not on any other network devices. Remove the loopback
dnl # address restriction to accept email from the internet or intranet.
dnl #
DAEMON_OPTIONS(`Port=smtp,Addr=127.0.0.1, Name=MTA')dnl
dnl #
dnl # The following causes sendmail to additionally listen to port 587 for
dnl # mail from MUAs that authenticate. Roaming users who can't reach their
dnl # preferred sendmail daemon due to port 25 being blocked or redirected
find
dnl # this useful.
dnl #
DAEMON_OPTIONS(`Port=submission, Name=MSA, M=Ea')dnl
dnl #
dnl # The following causes sendmail to additionally listen to port 465, but
dnl # starting immediately in TLS mode upon connecting. Port 25 or 587
followed

Elimine el valor Addr=127.0.0.1, adems de la coma (,) que le antecede, de modo que
quede como se muestra a continuacin:
dnl # The following causes sendmail to only listen on the IPv4 loopback
address
dnl # 127.0.0.1 and not on any other network devices. Remove the loopback
dnl # address restriction to accept email from the internet or intranet.
dnl #
DAEMON_OPTIONS(`Port=smtp, Name=MTA')dnl
dnl #
dnl # The following causes sendmail to additionally listen to port 587 for
dnl # mail from MUAs that authenticate. Roaming users who can't reach their
dnl # preferred sendmail daemon due to port 25 being blocked or redirected
find
dnl # this useful.
dnl #
DAEMON_OPTIONS(`Port=submission, Name=MSA, M=Ea')dnl
dnl #
dnl # The following causes sendmail to additionally listen to port 465, but
dnl # starting immediately in TLS mode upon connecting. Port 25 or 587
followed

El puerto 587 (submission) puede ser utilizado tambin para envo de correo
electrnico. Por estndar se utiliza como puerto alternativo en los casos donde un
cortafuegos impide a los usuarios acceder hacia servidores de correo electrnico, los
cuales normalmente trabajan a travs del puerto 25. Para este fin, se requiere
descomentar la lnea que incluye DAEMON_OPTIONS(`Port=submission,
Name=MSA, M=Ea')dnl, como se ilustra a continuacin, resaltado en negrita:

dnl # The following causes sendmail to only listen on the IPv4 loopback
address
dnl # 127.0.0.1 and not on any other network devices. Remove the loopback
dnl # address restriction to accept email from the internet or intranet.
dnl #
DAEMON_OPTIONS(`Port=smtp, Name=MTA')dnl
dnl #
dnl # The following causes sendmail to additionally listen to port 587 for
dnl # mail from MUAs that authenticate. Roaming users who can't reach their
dnl # preferred sendmail daemon due to port 25 being blocked or redirected
find
dnl # this useful.
dnl #
DAEMON_OPTIONS(`Port=submission, Name=MSA, M=Ea')dnl
dnl #
dnl # The following causes sendmail to additionally listen to port 465, but
dnl # starting immediately in TLS mode upon connecting. Port 25 or 587
followed

FEATURE(`accept_unresolvable_domains').
De modo predeterminado, como una forma de permitir el envo local del correo del
propio sistema en una computadora de escritorio o una computadora porttil, se utiliza
la opcin FEATURE(`accept_unresolvable_domains'). Se recomienda desactivar esta
funcin a fin de impedir se acepte correo de dominios inexistentes (generalmente
utilizado para el envo de correo masivo no solicitado o Spam). Comente esta lnea
colocando un dnl y un espacio, del siguiente modo:
dnl # We strongly recommend not accepting unresolvable domains if you want
to
dnl # protect yourself from spam. However, the laptop and users on
computers
dnl # that do not have 24x7 DNS do need this.
dnl #
dnl FEATURE(`accept_unresolvable_domains')dnl
dnl #
dnl FEATURE(`relay_based_on_MX')dnl
dnl #

Enmascaramiento.
Des-comente las siguientes tres lneas y adapte el valor de MASQUERADE_AS para
definir la mscara que utilizar el servidor para enviar correo electrnico (es decir,
define lo que va despus de la @ en la direccin de correo):
MASQUERADE_AS(`dominio1.tld')dnl
FEATURE(masquerade_envelope)dnl
FEATURE(masquerade_entire_domain)dnl

Si se van a administrar mltiples dominios, aada todos aquellos que deban conservar
su propia mscara, utilizando mltiples lneas con la opcin
MASQUERADE_EXCEPTION del siguiente modo:
MASQUERADE_AS(`dominio1.tld')dnl
MASQUERADE_EXCEPTION(`dominio2.tld')dnl
MASQUERADE_EXCEPTION(`dominio3.tld')dnl
MASQUERADE_EXCEPTION(`dominio4.tld')dnl
FEATURE(masquerade_envelope)dnl
FEATURE(masquerade_entire_domain)dnl

10

Control del correo chatarra (spam) a travs de DNSBLs.

Si se desea utilizar listas negras para mitigar el correo chatarra (spam), pueden aadir la
siguiente lnea para definir la lista negra de SpamCop.net, casi al final del archivo
/etc/mail/sendmail.mc y justo arriba de MAILER(smtp)dnl:
dnl MASQUERADE_DOMAIN(localhost.localdomain)dnl
dnl MASQUERADE_DOMAIN(mydomainalias.com)dnl
dnl MASQUERADE_DOMAIN(mydomain.lan)dnl
FEATURE(`enhdnsbl', `bl.spamcop.net', `"Spam blocked see:
http://spamcop.net/bl.shtml?"$&{client_addr}', `t')dnl
MAILER(smtp)dnl
MAILER(procmail)dnl
dnl MAILER(cyrusv2)dnl

11

Configuracin de Dovecot en CentOS 6 y Red Hat Enterprise Linux 6

Opciones del archivo /etc/dovecot/dovecot.conf en CentOS 6 y Red Hat Enterprise
Linux 6.
CentOS 6 y Red Hat Enterprise Linux 6 utilizan la versin 2.0 de Dovecot y por lo
cual cambia radicalmente la configuracin respecto de la versin 1.0.x, utilizada en
CentOS 5 y Red Hat Enterprise Linux 5 y versiones anteriores. Edite el archivo
/etc/dovecot/dovecot.conf y habilite la opcin protocols, estableciendo como valor
pop3 imap lmtp.
# Protocols we want to be serving.
protocols = imap pop3 lmtp

Opciones del archivo /etc/dovecot/conf.d/10-mail.conf en CentOS 6 y Red Hat

Enterprise Linux 6.
Alrededor de la lnea 30 del archivo /etc/dovecot/conf.d/10-mail.conf, establezca
mbox:~/mail:INBOX=/var/mail/%u como valor de la opcin mail_location.
# See doc/wiki/Variables.txt for full list. Some examples:
#
#
mail_location = maildir:~/Maildir
#
mail_location = mbox:~/mail:INBOX=/var/mail/%u
#
mail_location = mbox:/var/mail/%d/%1n/%n:INDEX=/var/indexes/%d/%1n/%n
#
# <doc/wiki/MailLocation.txt>
#
mail_location = mbox:~/mail:INBOX=/var/mail/%u

En este mismo archivo, alrededor de la lnea 115, localice la opcin

mail_privileged_group, descomente sta y defina como valor el grupo mail:
# Group to enable temporarily for privileged operations. Currently this is
# used only with INBOX when either its initial creation or dotlocking
fails.
# Typically this is set to "mail" to give access to /var/mail.
mail_privileged_group = mail

Alrededor de la lnea 122 del archivo /etc/dovecot/conf.d/10-mail.conf, localice la

opcin mail_access_groups, descomente sta y defina tambin como valor el grupo
mail:
# Grant access to these supplementary groups for mail processes. Typically
# these are used to set up access to shared mailboxes. Note that it may be
# dangerous to set these if users can create symlinks (e.g. if "mail" group
is
# set here, ln -s /var/mail ~/mail/var could allow a user to delete others'
# mailboxes, or ln -s /secret/shared/box ~/mail/mybox would allow reading
it).
mail_access_groups = mail

Se requiere que los usuarios locales pertenezcan al grupo mail para que lo anterior
represente un problema de seguridad.

12

Cabe sealar que la versin de dovecot incluida en CentOS 6 y Red Hat Enterprise
Linux 6, es obligatorio generar un certificado, pues slo permitir conexiones sin TLS
desde 127.0.0.1.
Opciones del archivo /etc/dovecot/conf.d/10-auth.conf en CentOS 6 y Red Hat
Enterprise Linux 6.
De modo predeterminado Dovecot slo permite autenticar con texto simple sin
SSL/TLS desde el anfitrin local. La autenticacin de usuarios desde anfitriones
remotos slo se permite a travs de SSL/TLS. Si requiere permitir la autenticacin de
usuarios sin SSL/TLS algo poco prudente en servidores en produccin, pero
perfecto para realizar pruebas simples de autenticacin edite el archivo
/etc/dovecot/conf.d/10-auth.conf:
vi /etc/dovecot/conf.d/10-auth.conf

Localice la opcin disable_plaintext_auth:

##
## Authentication processes
##
# Disable LOGIN command and all other plaintext authentications unless
# SSL/TLS is used (LOGINDISABLED capability). Note that if the remote IP
# matches the local IP (ie. you're connecting from the same computer), the
# connection is considered secure and plaintext authentication is allowed.
#disable_plaintext_auth = yes

Quite la almohadilla y cambie el valor yes por no:

##
## Authentication processes
##
#
#
#
#

Disable LOGIN command and all other plaintext authentications unless

SSL/TLS is used (LOGINDISABLED capability). Note that if the remote IP
matches the local IP (ie. you're connecting from the same computer), the
connection is considered secure and plaintext authentication is allowed.

disable_plaintext_auth = no
Se recomienda dejar la opcin disable_plaintext_auth con la opcin yes a fin de
obligar a los usuarios a autenticar slo a travs de conexiones SSL/TLS.
Opciones del archivo /etc/dovecot/dovecot.conf en CentOS 5 y Red Hat Enterprise
Linux 5.

13

Si utiliza CentOS 5 o Red Hat Enterprise Linux 5, slo debe editar el archivo
/etc/dovecot.conf y habilitar los servicios de IMAP y/o POP3, del siguiente modo
(estn habilitados de modo predeterminado pop3, pop3s, imap, e imaps):
# Protocols we want to be serving:
# imap imaps pop3 pop3s
protocols = imap imaps pop3 pop3s

Aadir al inicio del sistema e iniciar servicios dovecot y sendmail.

El servicio dovecot, en cualquiera de las versiones de los sistemas operativos
mencionados, se agrega al inicio del sistema del siguiente modo:
chkconfig dovecot on

Para iniciar el servicio dovecot, se ejecuta lo siguiente:

service dovecot start

Para aplicar cambios en la configuracin del servicio dovecot, se ejecuta lo siguiente:

service dovecot restart

El servicio sendmail se agrega al inicio del sistema, ejecutando lo siguiente:

chkconfig sendmail on

Para iniciar el servicio sendmail, se ejecuta lo siguiente:

service sendmail start

Para reiniciar servicio sendmail, slo bastar ejecutar:

service sendmail restart

Probar servidor enviando/recibiendo mensajes con CUALQUIER cliente estndar de

correo electrnico con soporte para POP3/IMAP/SMTP con soporte para autenticar a
travs de SMTP utilizando los mtodos LOGIN o PLAIN.
Para detectar posibles errores, se puede examinar el contenido de la bitcora de correo
electrnico del sistema, utilizando el mandato tail, con la opcin -f, sobre el archivo
/var/log/maillog, como se muestra a continuacin:
tail -f /var/log/maillog

14