\n
![](\"http:\/\/static.flickr.com\/38\/101282047_ff800105d5.jpg?v=0\"\n<\/center\/)
\n<\/p>\n
Acceso IMAP\/POP3 seguro con Dovecot<\/h2>\n
Podremos acceder a nuestro correo utilizando los protocolos IMAP o POP3 gracias a Dovecot. Lo instalaremos mediante:<\/p>\n
\r\naptitude install dovecot-imapd dovecot-pop3d\r\n<\/pre>\nDado que se recomienda un acceso cifrado (IMAPs\/POP3s), vamos crear los certificados necesarios:<\/p>\n
\r\nmkdir \/etc\/dovecot\/ssl\r\ncd \/etc\/dovecot\/ssl\r\nopenssl req -new -x509 -nodes -out dovecot.pem -keyout dovecot.pem -days 3650\r\n<\/pre>\nRespondemos a las preguntas, por ejemplo:<\/p>\n
\r\nCountry Name (2 letter code) [AU]:ES\r\nState or Province Name (full name) [Some-State]:Catalunya\r\nLocality Name (eg, city) []:Tarragona\r\nOrganization Name (eg, company) [Internet Widgits Pty Ltd]:Marble Station\r\nOrganizational Unit Name (eg, section) []:MS\r\nCommon Name (eg, YOUR name) []:localhost\r\nEmail Address []:marble@localhost\r\n<\/pre>\nAhora podemos configurar Dovecot editando “\/etc\/dovecot.conf”, indicaremos que queremos que se activen los protocolos IMAPs y POP3s (cifrados). Para IMAP3, el usuario tendr\u00e1 acceso a su buz\u00f3n principal ubicado en “\/var\/mail\/usuario” y a todos los buzones que tenga en el directorio “mail” de su directorio personal:<\/p>\n
\r\nprotocols = imaps pop3s\r\n\r\n...\r\n\r\nssl_cert_file = \/etc\/dovecot\/ssl\/dovecot.pem\r\nssl_key_file = \/etc\/dovecot\/ssl\/dovecot.pem\r\n\r\n...\r\n\r\ndefault_mail_env = mbox:~\/mail\/:INBOX=\/var\/mail\/%u\r\n<\/pre>\nIniciamos el servicio:<\/p>\n
\r\n\/etc\/init.d\/dovecot start\r\n<\/pre>\nAhora ya es posible acceder a nuestro mail mediante un cliente como Evolution. Si utilizamos el protocolo POP3 el correo se bajar\u00e1 a nuestra m\u00e1quina y se eliminar\u00e1 del servidor, sin embargo, si usamos IMAP podremos acceder a los mails de forma remota, conservandose en el servidor.<\/p>\n
Postfix<\/h2>\n
Postfix ser\u00e1 el servidor SMTP. Para configurarlo m\u00ednimamente:<\/p>\n
\r\ndpkg-reconfigure postfix\r\n<\/pre>\nContestamos:<\/p>\n
\n
- Tipo configuraci\u00f3n: Internet Site<\/li>\n
- Destino de los mails dirigidos a root: NONE<\/li>\n
- Dominio: server1.example.com<\/li>\n
- Otros destinos para los que aceptar correo: server1.example.com, localhost.example.com, localhost<\/li>\n
- Actualizaciones sincronizadas (m\u00e1s seguro, no se pierden mails): Yes<\/li>\n
- Redes locales: 127.0.0.0\/8<\/li>\n
- Usar procmail para entrega local: Yes<\/li>\n
- Limite del tama\u00f1o de buz\u00f3n: 0<\/li>\n
- Caracter extensi\u00f3n: +<\/li>\n<\/ol>\n
Instalamos antivirus Clam:<\/p>\n
\r\naptitude install clamav-daemon\r\n<\/pre>\nInstalamos diversos decompresores para que el antivirus sea capaz de analizar ficheros comprimidos:<\/p>\n
\r\naptitude install unrar-nonfree lha arj unzoo zip unzip bzip2 gzip cpio file lzop\r\n<\/pre>\nInstalamos los protectores colaborativos contra Spam, Pyzor y Razor. Ambos calculan un hash del mensaje y consultan a un servidor de internet si corresponde a un mail de publicidad. Este paso es opcional.<\/p>\n
\r\naptitude install pyzor razor\r\n<\/pre>\nInstalamos el bloqueador de correo basura spamassasin:<\/p>\n
\r\naptitude install spamassassin\r\n<\/pre>\nA continuaci\u00f3n instalamos el agente intermediario que conectar\u00e1 nuestro servidor de correo Exim con spamassasin y clamav:<\/p>\n
\r\naptitude install amavisd-new\r\n<\/pre>\nEditamos “\/etc\/amavis\/amavisd.conf” y modificamos:<\/p>\n
\r\n# \u00datil para a\u00f1adir a la cabecera del mail:\r\n# X-Virus-Scanned: by amavisd-new-20030616-p10 (Debian) at marblestation.homeip.net\r\n$mydomain = 'marblestation.homeip.net';\r\n\r\n...\r\n\r\n# Dejar pasar los spams, filtraremos por procmailrc. \r\n# Si los correos pasan antes por otro MX \"cercano\" o local (por ejemplo lo baj\u00e1is con el fetchmail)\r\n# no hag\u00e1is un REJECT, que estar\u00e9is tirando piedras a vuestro propio tejado.\r\n$final_spam_destiny = D_PASS;\r\n\r\n...\r\n\r\n# Descomentamos las siguientes lineas.\r\n# Enviara los mails analizados de vuelta al puerto 10025 de localhost.\r\n$forward_method = 'smtp:127.0.0.1:10025'; # where to forward checked mail\r\n$notify_method = $forward_method;\r\n\r\n...\r\n\r\n# Comentamos la siguiente linea para que los avisos de virus no los reciba una persona concreta\r\n#$virus_admin = \"postmaster\\@$mydomain\";\r\n\r\n....\r\n\r\n# Dejamos pasar los mails infectados, los filtraremos por procmail\r\n$final_virus_destiny = D_PASS; # (defaults to D_BOUNCE)\r\n\r\n...\r\n\r\n# Comentamos las siguientes l\u00edneas para no poner los virus\/spam en cuarentena\r\n#$virus_quarantine_to = 'virus-quarantine';\r\n...\r\n#$spam_quarantine_to = 'spam-quarantine';\r\n\r\n...\r\n\r\n# Comentamos la siguiente linea para que no se modifiquen los subjects de correos spam, los\r\n# filtraremos por otras cabeceras con procmail.\r\n#$sa_spam_subject_tag = '***SPAM*** ';\r\n<\/pre>\nEditamos el archivo de configuraci\u00f3n de Postfix “\/etc\/postfix\/master.cf” y a\u00f1adimos al final:<\/p>\n
\r\nsmtp-amavis unix - - n - 2 smtp\r\n -o smtp_data_done_timeout=1200\r\n -o disable_dns_lookups=yes\r\n127.0.0.1:10025 inet n - n - - smtpd\r\n -o content_filter=\r\n -o disable_dns_lookups=yes\r\n -o local_recipient_maps=\r\n -o relay_recipient_maps=\r\n -o smtpd_restriction_classes=\r\n -o smtpd_client_restrictions=\r\n -o smtpd_helo_restrictions=\r\n -o smtpd_sender_restrictions=\r\n -o smtpd_recipient_restrictions=permit_mynetworks,reject\r\n -o mynetworks=127.0.0.0\/8\r\n -o strict_rfc821_envelopes=yes\r\n -o smtpd_error_sleep_time=0\r\n -o smtpd_soft_error_limit=1001\r\n -o smtpd_hard_error_limit=1000\r\n<\/pre>\nCon esto escucharemos por el puerto 10025 de forma local (no aceptaremos conexiones desde otras m\u00e1quinas), dado que por ah\u00ed ser\u00e1 por donde recibiremos los mails ya analizados de amavis-new.<\/p>\n
Ejecutamos:<\/p>\n
\r\npostconf -e 'content_filter = smtp-amavis:[127.0.0.1]:10024'\r\n<\/pre>\nEsto a\u00f1adir\u00e1 al final del archivo “\/etc\/postfix\/main.cf” la linea “content_filter = smtp-amavis:[127.0.0.1]:10024”. As\u00ed se enviar\u00e1 todo mail recibido a amavis, el cual escucha por el puerto 10024 en nuestra m\u00e1quina.<\/p>\n
Reiniciamos los servicios y todo estar\u00e1 listo:<\/p>\n
\r\n\/etc\/init.d\/amavis restart\r\n\/etc\/init.d\/postfix restart\r\n<\/pre>\nEn el directorio de nuestro usuario, por ejemplo “marble”, creamos el fichero “.procmailrc”:<\/p>\n
\r\n## Si es un spam se lo indico al bogofilter...\r\n#:0 c\r\n#* ^X-Spam-Status: Yes\r\n#|bogofilter -s -l\r\n\r\n# ...y luego lo pongo en ~\/mail\/spams\r\n:0:\r\n* ^X-Spam-Status: Yes\r\nmail\/spams\r\n\r\n# Compruebo si es un virus...\r\n:0:\r\n* ^X-Amavis-Alert: INFECTED\r\nmail\/virus\r\n\r\n## Hago el segundo filtrado antispam\r\n#:0HB\r\n#* ? bogofilter -u -l\r\n#mail\/spams\r\n<\/pre>\nPodemos comprobar el correcto funcionamiento enviando un mail manualmente (a un usuario existente), haciendo telnet al puerto 25 de nuestro propio ordenador:<\/p>\n
\r\n$ telnet localhost 25\r\nTrying 127.0.0.1...\r\nConnected to localhost.localdomain.\r\nEscape character is '^]'.\r\n220 localhost.localdomain ESMTP Postfix (Ubuntu)\r\nMAIL FROM: marble@localhost\r\n250 Ok\r\nRCPT TO: marble@localhost\r\n250 Ok\r\nDATA\r\n354 End data with .\r\nSubject: Hola!!\r\n\r\nQue tal?\r\n\r\n.\r\n250 Ok: queued as 1AF8722D564\r\nquit\r\n221 Bye\r\nConnection closed by foreign host.\r\n<\/pre>\nSi se ha recibido correctamente el correo, este estar\u00e1 almacenado en “\/var\/mail\/marble” (dado que se ha enviado al usuario marble@localhost).<\/p>\n
Para acceder al mail es posible utilizar un cliente de correo como mutt o configurar Evolution para correo local con buzones tipo MBOX (usando el buz\u00f3n “\/var\/mail\/marble”) y el envio mediante SMTP (localhost).<\/p>\n
TLS<\/h3>\n
Veamos como activar la encriptaci\u00f3n por el puerto 25 para poder enviar correos de forma segura.<\/p>\n
\r\nmkdir \/etc\/postfix\/ssl\r\ncd \/etc\/postfix\/ssl\r\nopenssl req -new -x509 -nodes -out smtpd.pem -keyout smtpd.pem -days 3650\r\n<\/pre>\nA las preguntas contestamos seg\u00fan sea nuestro caso, por ejemplo:<\/p>\n
\r\nCountry Name (2 letter code) [AU]:ES\r\nState or Province Name (full name) [Some-State]:Catalunya\r\nLocality Name (eg, city) []:Tarragona\r\nOrganization Name (eg, company) [Internet Widgits Pty Ltd]:Marble Station\r\nOrganizational Unit Name (eg, section) []:MS\r\nCommon Name (eg, YOUR name) []:localhost\r\nEmail Address []:marble@localhost\r\n\r\nPlease enter the following 'extra' attributes\r\nto be sent with your certificate request\r\nA challenge password []:\r\nAn optional company name []:\r\n<\/pre>\nModificamos la configuraci\u00f3n de Postfix ejecutando:<\/p>\n
\r\npostconf -e 'smtp_use_tls = yes'\r\npostconf -e 'smtpd_use_tls = yes'\r\npostconf -e 'smtp_tls_note_starttls_offer = yes'\r\npostconf -e 'smtpd_tls_key_file = \/etc\/postfix\/ssl\/smtpd.pem'\r\npostconf -e 'smtpd_tls_cert_file = \/etc\/postfix\/ssl\/smtpd.pem'\r\npostconf -e 'smtpd_tls_CAfile = \/etc\/postfix\/ssl\/smtpd.pem'\r\npostconf -e 'smtpd_tls_loglevel = 1'\r\npostconf -e 'smtpd_tls_received_header = yes'\r\npostconf -e 'smtpd_tls_session_cache_timeout = 3600s'\r\npostconf -e 'tls_random_source = dev:\/dev\/urandom'\r\n<\/pre>\nRecargamos Postfix:<\/p>\n
\r\n\/etc\/init.d\/postfix reload\r\n<\/pre>\nComprobamos que ya tenemos activa la opci\u00f3n TLS conectandonos por telnet al puerto 25 e indicando “EHLO localhost”, si en el listado que imprime se muestra “STARTTLS” es que todo ha ido correctamente:<\/p>\n
\r\n$ telnet localhost 25\r\nTrying 127.0.0.1...\r\nConnected to localhost.localdomain.\r\nEscape character is '^]'.\r\n220 localhost.localdomain ESMTP Postfix (Ubuntu)\r\nEHLO localhost\r\n250-localhost.localdomain\r\n250-PIPELINING\r\n250-SIZE 10240000\r\n250-VRFY\r\n250-ETRN\r\n250-STARTTLS\r\n250 8BITMIME\r\nquit\r\n221 Bye\r\nConnection closed by foreign host.\r\n<\/pre>\nSi queremos que clientes como Evolution o Outlook conecten correctamente de forma segura con nuestro SMTP, vamos a tener que a\u00f1adir la siguietne linea a “\/etc\/postfix\/master.cf”:<\/p>\n
\r\n## Abre el puerto 465 para SMTPS (usado por Outlook o Evolution para conexiones seguras)\r\nsmtps inet n - n - - smtpd\r\n -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes\r\n<\/pre>\nY a continuaci\u00f3n habr\u00e1 que reiniciar Postfix:<\/p>\n
\r\n\/etc\/init.d\/postfix reload\r\n<\/pre>\nM\u00e1s informaci\u00f3n sobre Postfix TLS: http:\/\/www.postfix.org\/TLS_README.html<\/p>\n
Autentificaci\u00f3n<\/h3>\n
Postfix utiliza SASL para la autentificaci\u00f3n de usuarios, por tanto instalaremos los ejecutables que gestionan SASL:<\/p>\n
\r\naptitude install sasl2-bin\r\n<\/pre>\nDescomentamos de “\/etc\/default\/saslauthd” la l\u00ednea:<\/p>\n
\r\nSTART=yes\r\n...\r\n<\/pre>\nIniciamos el demonio:<\/p>\n
\r\n\/etc\/init.d\/saslauthd start\r\n<\/pre>\nEste esperar\u00e1 peticiones de autentificaci\u00f3n mediante el socket UNIX “\/var\/run\/saslauthd\/mux”, podemos comprobar su correcto funcionamiento mediante:<\/p>\n
\r\ntestsaslauthd -f \/var\/run\/saslauthd\/mux -u [USUARIO] -p [PASSWORD]\r\n<\/pre>\nA continuaci\u00f3n podemos configurar Postfix para que utilice la autentificaci\u00f3n, permitiendo que esta solo sea llevada a cabo cuando se utilizan conexiones seguras (TLS):<\/p>\n
\r\npostconf -e 'smtpd_tls_auth_only = yes'\r\npostconf -e 'smtpd_sasl_auth_enable = yes'\r\npostconf -e 'smtpd_sasl_security_options = noanonymous'\r\npostconf -e 'smtpd_recipient_restrictions = permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination'\r\npostconf -e 'broken_sasl_auth_clients = yes'\r\n<\/pre>\nA continuaci\u00f3n indicamos a Postfix que utilice slasauthd para la autentificaci\u00f3n:<\/p>\n
\r\necho 'pwcheck_method: saslauthd' >> \/etc\/postfix\/sasl\/smtpd.conf\r\necho 'mech_list: plain login' >> \/etc\/postfix\/sasl\/smtpd.conf\r\n<\/pre>\nPara que Postfix tenga permisos para consultar slasauthd, tendremos que editar “\/etc\/group” para a\u00f1adir el usuario “postfix” al grupo “sasl”:<\/p>\n
\r\n...\r\nsasl:x:45:postfix\r\n...\r\n<\/pre>\nFinalmente reinciamos Postfix:<\/p>\n
\r\n\/etc\/init.d\/postfix reload\r\n<\/pre>\nYa podemos probar el envio de mails con alg\u00fan cliente como Evolution, desde el cual se podr\u00e1 especificar que el servidor SMTP requiere autentificaci\u00f3n.<\/center><\/p>\n","protected":false},"excerpt":{"rendered":"
Esquema general<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1,6],"tags":[],"class_list":["post-549","post","type-post","status-publish","format-standard","hentry","category-espanyol","category-tecnologia"],"_links":{"self":[{"href":"https:\/\/www.marblestation.com\/index.php?rest_route=\/wp\/v2\/posts\/549","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.marblestation.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.marblestation.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.marblestation.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.marblestation.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=549"}],"version-history":[{"count":1,"href":"https:\/\/www.marblestation.com\/index.php?rest_route=\/wp\/v2\/posts\/549\/revisions"}],"predecessor-version":[{"id":1363,"href":"https:\/\/www.marblestation.com\/index.php?rest_route=\/wp\/v2\/posts\/549\/revisions\/1363"}],"wp:attachment":[{"href":"https:\/\/www.marblestation.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=549"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.marblestation.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=549"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.marblestation.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=549"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}