Instalacin y

bastionamiento de un
servidor de correo bajo
GNU/Linux
Lorena Fernndez a.k.a. Loretahur
www.loretahur.es
INDICE
1. Introduccin............................................................................................. 1
1.1. Caractersticas de Postfix........................................................ 2
2. Protocolos............................................................................................... 3
3. Funcionaiento de un sistea de correo............................................... !
". Instalacin # confi$uracin de Postfix..................................................... 11
".1. %ain.cf&&&&&&&&&&&&&&&&&&&&&&&& 11
".2. %aster.cf&&&&&&&&&&&&&&&&&&&&&&& 1'
".3. %#s(l)*irt.cf+ ids.cf # $ids.cf &&&&&&&&&&&&&&.. 1,
'. Instalacin # confi$uracin de %#-.L.................................................... 1/
,. Instalacin # confi$uracin de Courier..................................................... 23
,.1. Courier P0P3 # Courier P0P3-&&&&&&&&&&&&&... 2"
,.2. Courier I%1P # Courier I%1P-&&&&&&&&&&&&&.. 2'
!. Postfix23L-&&&&&&&&&&&&&&&&&&&&&&&&&& 2!
4. Postfix2-1-L&&&&&&&&&&&&&&&&&&&&&&&&&.. 2/
/. -P1%...................................................................................................... 33
/.1. Listas ne$ras............................................................................ 3"
/.2. 5estricciones orientadas a la conexin del cliente................... 3'
/.3. 5estricciones orientadas al saludo inicial................................. 3'
/.". 5estricciones orientadas al reitente...................................... 3,
16. Filtros de correo.................................................................................... 3!
16.1. Filtrado 7or ca8eceras........................................................... 3!
16.2. Filtrado 7or contenido............................................................. 34
11. 1a*isd29ew&&&&&&&&&&&&&&&&&&&&&&&&. 3/
12. Cla1:&&&&&&&&&&&&&&&&&&&&&&&&&&& "3
13. -7a1ssassin...................................................................................... "'
13.1. 17rendiza;e en la clasificacin de -P1% .............................. ",
1nexo 1< Certificados................................................................................. "/
1.1. Creacin de una autoridad certificadora.................................. '6
1.2. Creacin de un certificado....................................................... '1
1.3. Firar el certificado con nuestra C1....................................... '1
5ecursos..................................................................................................... '3
Licencia....................................................................................................... '"
iii
Loretahur
1. IN!"DUCCI#N
=sta docuentacin reco$e la instalacin de un ser*idor de correo usando la
distri8ucin Debian $ar%e con un kernel 2.".2!22234, # usando exclusi*aente
software li8re.
Para el e;e7lo usareos el doinio prueba.com $estionado 7or un ser*idor >9-
?con 8ind /@ (ue reside en la 7ro7ia (uina. =n Al heos creado un re$istro de ti7o
%B 7ara el ser*idor de correo con el si$uiente no8re< mail.prueba.com.
-e ha ele$ido &ost'ix en su *ersin 2.1.'2/ coo %31. 1 Postfix se le han a$re$ado
los si$uientes ecanisos de se$uridad< 3L- ?3rans7ort La#er -ecurit#@ 7ara cifrar las
conexiones # -1-L ?-i7le 1uthentication and -ecurit# La#er@ coo sistea de
autentificacin.
3odo el correo (ue 7ase a tra*As del ser*idor -%3P ser re*isado en 8usca de *irus #
-P1%. Para lle*ar a ca8o esta tarea se utilizar ()a*i$d+ne, ?en su *ersin
26636,1,7162'@ coo interfaz entre el ser*idor de correo -%3P # las a7licaciones
Clam(* ?*. 6.4"22.sar$e.16@ # $-amassassin ?*. 3.6.322sar$e1@+ las cuales
analizarn el correo en 8usca de *irus # -P1% res7ecti*aente.
Para la consulta de ensa;es 7or 7arte de los usuarios se dis7ondr de un ser*idor
P0P3 e I%1P+ con sus res7ecti*as *ersiones se$uras con 7rotocolo --L+ 7ara lo cual
se har uso de Courier ?courier27o7 # courier27o72ssl *ersin 6."!2"sar$e'+
courier2ia7 # courier2ia72ssl *ersin 3.6.42"sar$e'@.
Los usuarios del correo no sern usuarios fsicos de la (uina sino (ue sern
usuarios *irtuales alacenados en una Case de >atos )y$.L ?*. ".6.2"216sar$e2@.
Da sido seleccionada esta tecnolo$a 7ara e*itar (ue el archi*o EetcE7asswd se ha$a
enore. -in e8ar$o+ ha sido descartada la idea de ontar un directorio lda7 7uesto
(ue el nFero de usuarios no es u# $rande.
Para crear una autoridad certificadora # $enerar certificados 7ro7ios se ha dis7uesto
de "-en$$L 6./.!e.
1
Instalacin y bastionamiento de un servidor de correo bajo GNU/Linux
/. C(!(CE!0$IC($ DE &"$1I2
Postfix es un %31 (ue funciona so8re sisteas ti7o G9IB. -e cre coo alternati*a a
-endail # fue escrito en C 7or Hietse Iweitze :enea cuando tra8a;a8a 7ara IC%.
=s un ser*idor de cdi$o a8ierto # ades $ratuito.
3iene una ar(uitectura # diseJo u# odular lo (ue hace (ue sea u# r7ido # ten$a
un $ran rendiiento. =s fcil de adinistrar # confi$urar.
1des ofrece so7orte 7ara las tecnolo$as s usadas ho# da< L>1P+ Cases de
datos ?%#-.L # Post$re-.L@+ autenticacin ediante -1-L+ L%3P+ etc.
-e 7ueden lanzar *arias instancias de Postfix en la isa (uina con distintas
confi$uraciones+ usando cada una distinta direccin IP+ distintos 7uertos+ etc. con la
Fnica liitacin de (ue a8as no co7artan el directorio de colas # (ue usen distintos
*alores 7ara #hostnae.
Las *enta;as (ue 7resenta Postfix frente a -endail son las si$uientes<
Postfix es s se%uro (ue -endail. Los 7rocesos (ue conforan Postfix
se counican a tra*As de sockets (ue se crean en un directorio de acceso
restrin$ido ?tra8a;an en odo chroot+ 7or tanto+ cual(uier directorio o
fichero (ue estA fuera les (uedar inaccesi8le@. La inforacin (ue
interca8ian los di*ersos 7rocesos es la nia 7osi8le # cada 7roceso
corre con los nios 7erisos necesarios 7ara realizar su tarea.
%ientras (ue -endail es onoltico+ Postfix es odular # esto le hace ser
s li*iano 7uesto (ue slo car$a los dulos (ue necesita en cada
oento. Por tanto+ 7resenta un e;or rendimiento # una a#or ra-ide3.
Postfix es ucho s fcil de con'i%urar # administrar (ue -endail.
Postfix e*ita utilizar bu''ers de taaJo fi;o+ e*itando (ue ten$an Axito
ata(ues 8uffer o*erflow.
Los -rocesos (ue no se necesitan se 7ueden desactivar. Por e;e7lo+ en
una (uina dial2u7 (ue slo en*a correo 7odeos desacti*ar el 7roceso
ser*idor -%3P>.
Postfix co7leenta su se$uridad con un uso sencillo de listas ne%ras #
una fcil inte$racin con antivirus.
2
Loretahur
4. &!""C"L"$
1 continuacin se *a a descri8ir los 7rotocolos s rele*antes (ue inter*ienen en las
counicaciones de correo.
&"& o &"&4 5&ost "''ice &rotocol6
=s el 7rotocolo de ni*el de a7licacin (ue se usa 7ara (ue los clientes locales de
correo se descar$uen los ensa;es alacenados en un 8uzn de un ser*idor de
correo. 1 diferencia de I%1P+ no re(uiere estar conectado 7eranenteente al
ser*idor+ sino (ue 7odeos descar$arnos los correos # tra8a;ar en local. =s un
7rotocolo 7oco 7esado 7ara la (uina ser*idora ?se 7roduce una conexin+ una
descar$a # lue$o una desconexin@ # ades es u# si7le< tan slo 13 coandos
(ue 7ueden res7onder con K0L o M=55.
9oralente+ las conexiones con este 7rotocolo se realizan a tra*As del 7uerto 3CP
116.
=ste 7rotocolo tiene su *ersin cifrada< P0P3- cu#o 7uerto well known es el //'Etc7.
Los 7rinci7ales coandos (ue se usan son los si$uientes<
G-=5 Nno8reO< identificacin de usuario ?slo se realiza una *ez@.
P1-- N7asswordO< en*as la cla*e del ser*idor.
-313< da el nFero de ensa;es no 8orrados en el 8uzn # su lon$itud total.
LI-3< uestra todo los ensa;es no 8orrados con su lon$itud.
5=35 NnFeroO< solicita el en*o del ensa;e es7ecificando el nFero ?no se
8orra del 8uzn@.
30P NnFeroO NlneasO< uestra la ca8ecera # el nFero de lneas re(uerido
del ensa;e es7ecificando el nFero.
>=L= NnFeroO< 8orra el ensa;e es7ecificando el nFero.
5-=3< recu7era los ensa;es 8orrados ?en la conexin actual@.
.GI3< salir.
=;e7lo<
telnet mail.prueba.com 110
+OK Hello there.
USER si@prueba.com
+OK Password reuired.
P!SS """"
+OK lo##ed in.
S$!$
+OK % %&'(
)U*$
+OK +,e-b,e.
3
Instalacin y bastionamiento de un servidor de correo bajo GNU/Linux
I)(& 5Internet )essa%e (ccess &rotocol6
Protocolo de rece7cin de correos siilar a P0P 7ero con la diferencia de (ue con
P0P+ el cliente de correo se descar$a los ensa;es 7ara (ue el usuario interaccione
con ellos # con I%1P+ se accede directaente al 8uzn de correo del ser*idor+ 7or lo
(ue+ cual(uier odificacin (ue ha$a el usuario+ la est haciendo so8re el ser*idor.
Por e;e7lo+ si con I%1P arcaos un correo coo ledo+ lo arcaos en el ser*idor
ientras (ue con P0P+ lo arcaos en el cliente utilizando un I>. 1des+ este
7rotocolo so7orta crear+ odificar #Eo eliinar 8uzones.
=l 7uerto 3CP 7or el (ue escucha 7or defecto es el 1"3. La *ersin cifrada de I%1P<
I%1P-+ escucha 7or defecto en el //3Etc7.
1 la hora de recoendar el uso de un 7rotocolo de rece7cin de ensa;es al usuario+
ser e;or P0P frente a I%1P 7uesto (ue consue enos recursos del ser*idor de
correo # enos es7acio en disco.
$)& 5$im-le )ail rans'er &rotocol6
Protocolo de red 8asado en texto utilizado 7ara el interca8io de ensa;es de correo
electrnico entre dis7ositi*os sin nin$Fn ti7o de autenticacin. =s un 7rotocolo u#
si7le 7ero a la *ez u# inse$uro<
- Las ca8eceras son altaente s7oofea8les+ lo (ue deri*a en la a7aricin de
-P1%.
- Da8itualente las counicaciones ediante 7rotocolo -%3P se realizan sin
utilizar ecanisos de cifrado+ 7or lo (ue toda la inforacin *ia;a en claro 7or
Internet.
=l Hell Lnown 7ort 7ara -%3P es el 2'Etc7.
Los coandos 8sicos de -%3P son<
=DL0ED=L0< el ser*idor eisor counica al rece7tor (uiAn es. =sto es
fcilente s7oofea8le.
%1IL F50%< direccin del eisor ?no confundir con la ca8ecera From:@.
5CP3 30< direccin del destinatario ?no confundir con las ca8eceras o: #
!!:@.
>131< contenido del ensa;e. >entro se 7uede definir el fro # el su8;ect. -e
da 7or terinado cuando se escri8e un 7unto en una nue*a lnea.
.GI3< cortar la conexin.
"
Loretahur
=;e7lo<
telnet mail.prueba.com %.
%%0 mail.prueba.com ES/$P
HE0O mail.deusto.es
%.0 mail.prueba.com
/!*0 1RO/2 pepito@deusto.es
%.0 O3
R4P$ $O2 5aimito@prueba.com
%.0 O3
6!$!
&.7 Please start mail input.
1RO/2 Pepito 8pepito@deusto.es9
SU+:E4$2 Esto es una prueba
Hola; esto es una prueba.
.
%.0 /ail ueued <or deli=er,.
)U*$
%%1 4losin# connection. >ood b,e.
L$ 5rans-ort Layer $ecurity o $e%uridad -ara Ca-a de rans-orte6
=n 1///+ con a7licacin no slo a -%3P+ se defini el 7rotocolo 3L- 8asado en --L
?-ecure -ocket La#ers@+ # cu#a definicin foral 7uede encontrarse en el "F!#$$%&.
3L- 8sicaente 7ro7orciona cifrado en las counicaciones # autentificacin entre
a8os corres7onsales ediante el uso de certificados B.'6/. %e;ora la counicacin
3CP aJadiendo cifrado e inte$ridad en los correos. 9o 7rote$e el contenido de los
ails ?7ara eso est PPP o -E%I%=@ sino (ue lo (ue hace es 7rote$er la
counicacin co7leta. 9ecesita 7ara ello un 7ar de cla*es 7F8lica # 7ri*ada eitidas
7or una autoridad certificadora ?C1@.
E$)& 5En7anced $im-le )ail rans'er &rotocol6
La inte$racin del 7rotocolo 3L- # -%3P se define en el "F!#$%'(+ # se i7leenta
en =-%3P+ en concreto en la ne$ociacin inicial ?=DL0 en lu$ar de D=L0@.
=l ser*idor ofrece la 7restacin de 3L- ediante la o7cin -31533L-+ in*itando al
cliente a en*iar la directi*a -31533L- # 7asar a un estado de counicaciones
cifradas.
=-%3P tiene otras extensiones a 7arte de -31533L- coo son 4CI3%I%=+ 1G3D+&
'
Instalacin y bastionamiento de un servidor de correo bajo GNU/Linux
=;e7lo<
telnet mail.prueba.com %.
%%0 mail.prueba.com ES/$P
ehlo mail.deusto.es
%.0-mail.prueba.com
%.0-P*PE0*?*?>
%.0-S*@E 107A.(B0
%.0-E$R?
250-STARTTLS
%.0-!U$H 0O>*? P0!*?
%.0-!U$HC0O>*? P0!*?
%.0 A+*$/*/E
Coo 7uede a7reciarse+ una *ez realizada la identificacin inicial ediante la directi*a
=DL0+ el ser*idor 7ro7orciona la relacin de funciones (ue so7orta+ entre las (ue
a7arece el 7rotocolo 3L- ediante la o7cin -31533L-.
$($L 5$im-le (ut7entication and $ecurity Layer6
-1-L es un entorno de tra8a;o 7ara autenticacin # autorizacin en 7rotocolos de
Internet. -e7ara los ecanisos de autenticacin de los 7rotocolos de la a7licacin
7eritiendo+ en teora+ a cual(uier 7rotocolo de a7licacin (ue use -1-L usar
cual(uier ecaniso de autenticacin so7ortado 7or -1-L.
%ediante -1-L slo se ane;a la autenticacin # se re(uieren de otros ecanisos+
coo 7or e;e7lo 3L-+ 7ara cifrar el contenido (ue se transfiere. -i no+ la 7assword
(ue *a en claro 7or la red 7odra ser interce7tada. 1s+ aJadiendo 3L- desde el inicio+
cifraos las conexiones # no i7orta (ue la contraseJa *a#a en texto claro.
QPor (uA es necesario -1-LR Coo se ha coentado antes+ -%3P es un 7rotocolo
orientado a red sin nin$Fn ti7o de autenticacin. Podraos introducir en una 8ase de
datos las IPSs de los clientes+ 7ero si las conexiones son con IP dinica # el cliente
itinerante+ 7uede ser un caos ades de i7osi8le de antener.
,
Loretahur
8. 1UNCI"N()IEN" DE UN $I$E)( DE C"!!E"
=l ser*icio de correo electrnico consta de dos 7artes 8ien diferenciadas< a(uella con
la (ue trata el usuario+ # a(uella (ue se encar$a de trans7ortar los ensa;es del ori$en
al destino. 1 enudo ha# un co7onente adicional encar$ado de distri8uir el correo
(ue lle$a a la (uina destino a una u8icacin es7ecial dentro de Asta+ 7ro7ia de cada
usuario. Los a$entes (ue inter*ienen son los si$uientes<
PC 5=%I3=93=
-er*idor *irtual I%1P
)U(
-=5:I>05 >= C055=0
)( !E)IENE
%ozilla 3hunder8ird Postfix
)( DE$IN((!I"
Postfix
Internet
9u3ones
Usuarios
&"$1I2 &"&/I)(&
-=5:I>05 >= C055=0
PC >=-3I91315I0
)U(
%ozilla 3hunder8ird
1@ )( 5)ail rans'er (%ent6< a$ente de trans7orte de correo encar$ado de
reco$er ensa;es # en*iarlos+ counicando 7ara ello con otros %31 se$Fn sea
7reciso. -e encuentra en el ser*idor. Puede hacer dos cosas<
a. -i el ensa;e es 7ara un usuario local+ se lo 7asar a un %>1 7ara (ue
lo $uarde en el 8uzn corres7ondiente.
8. -i el ensa;e es 7ara un usuario reoto+ se lo entre$ar al %31 (ue le
corres7onda.
=;e7los< -endail+ Postfix+ =xi+ %icrosoft =xchan$e+ .%ail.
2@ )D( 5)ail Delivery (%ent6< es el encar$ado de de7ositar el correo en los
8uzones de los usuarios. -uele hacer *arios ti7os de filtrado # clasificacin
antes de esto. 3a8iAn se encuentra en el ser*idor.
=;e7los< 7rocail+ aildro7.
3@ )U( 5)ail User (%ent6< cliente de correo (ue usa el usuario 7ara escri8irEleer
el correo. -e encuentra en el cliente
=;e7los< %ozilla 3hunder8ird+ %icrosoft 0utlook+ Pe$asus %ail+ %utt+ etc...
=n nuestro caso+ heos seleccionado Postfix coo %31. La ar(uitectura de Postfix es
la si$uiente<
!
Instalacin y bastionamiento de un servidor de correo bajo GNU/Linux
sendail
($r
7icku7
st7d
cleanu7
rewrite
7i7e
st7
local resol*e
aildro7
acti*e incoin$
deferred
local
Internet
access
aliases
canonical *irtual
trans7ort
relocated
5CL
-er*idor *irtual I%1P
Internet
GGCP etc.
ail8ox
Postfix funciona $estionando cuatro colas< maildrop+ incomin)+ active # de*erred.
)aildro-< es la cola donde se 7rocesan los ensa;es $enerados #Eo
entre$ados localente+ ediante la *ersin de Postfix de EusrEli8Esendail.
Incomin%< a(u *an los ensa;es reci8idos 7or -%3P de otros hosts ?tras
reci8ir cierto 7rocesaiento@ # los (ue han 7asado 7or la cola aildro7. -i
lle$an correos # Postfix no 7uede atenderlos se (uedan es7erando en esta
cola.
(ctive< alacena los ensa;es (ue se estn intentando en*iar en un oento
dado. 3iene un es7acio liitado.
De'erred< los ensa;es (ue 7or di*ersas causas no se 7ueden encainar o
estn 7endientes de reintentar su encainaiento.
Postfix $estiona estas colas ediante 7rocesos inde7endientes. =l 7roceso pic+up
toa los ensa;es 7rocedentes de la cola maildrop # los 7asa a cleanup+ (ue analiza
las ca8eceras de los ensa;es # de7osita Astos en la cola incomin).
=l 7roceso ,m)r es el encar$ado de tratar los ensa;es (ue lle$an a la cola incomin)+
de7ositarlos en active # lanzar el 7roceso adecuado 7ara su encainaiento+ coo
7ueden ser local+ smtp o pipe.
=l 7roceso local es el encar$ado de de7ositar el correo en el 8uzn del usuario
rece7tor. -mtp es el 7roceso (ue en*a el correo al host destino ediante 7rotocolo
-%3P.
=l correo 7rocedente de otros sisteas se atiende a tra*As del 7roceso smtpd+
utilizando el 7rotocolo -%3P.
1des de las colas+ Postfix tra8a;a con unas ta8las (ue+ creadas 7or el adinistrador
con el coando -ostma-+ sir*en a los diferentes 7rocesos 7ara concretar el
trataiento (ue de8e darse a cada ensa;e. -e usan seis ta8las< access+ aliases+
canonical+ relocated+ transport # virtual ?no es o8li$atoria la existencia ni utilizacin de
todas ellas@.
La ta8la access 7erite definir una relacin ex7lcita de sisteas a los (ue se les
de8en ace7tar o rechazar sus ensa;es. La utiliza el 7roceso smptd. Gn e;e7lo de
4
Loretahur
entrada en esta ta8la en la (ue se rechaza los ensa;es 7rocedentes del doinio
todocoleccion.co es<
@todocoleccion.com RE:E4$
La ta8la aliases+ al i$ual (ue en -endail+ define una serie de no8res alternati*os a
usuarios locales+ # la consulta el 7roceso local. Para crearla o actualizarla se utiliza el
coando de Postfix ne,aliases.
=l 7roceso cleanup+ ediante la ta8la canonical esta8lece relaciones entre no8res
alternati*os # no8res reales+ #a sean usuarios locales o no.
=l 7roceso ,m)r utiliza la ta8la relocated 7ara de*ol*er los ensa;es de usuarios (ue
han ca8iado de direccin< TGser has o*ed to ne.#emailU.
Con la ta8la transport+ (ue es utilizada 7or el 7roceso trivial#re.rite+ se define la
7oltica de encainaiento 7or doinios+ su8doinios e incluso 7or direccin
concreta de usuario.
Para la $estin # so7orte de doinios *irtuales el 7roceso cleanup utiliza la ta8la
virtual. =n ella se esta8lecen las relaciones entre usuarios *irtuales # reales+ e incluso
de doinios co7letos.
Postfix so7orta u# di*ersos so7ortes de 8ackend 7ara las ta8las. 1l$unos de ellos
son<
- :as7< el archi*o $enerado es un hash. =st dis7oni8le 7ara sisteas con
so7orte C> d8 ?as *iene 7or defecto en la instalacin de 7ostfix@.
- )y$.L< a7eo de las ta8las de 7ostfix a %#-.L. 1ctualente no es la
e;or solucin aun(ue es 8astante sencilla de i7leentar.
- &ost%re$.L< a7eo de las ta8las de 7ostfix a Post$re-.L. =sto tiene una
dificultad ediana.
- LD(&< a7eo de las ta8las de 7ostfix a L>1P. =s la e;or solucin aun(ue
la s co7licada de i7leentar+ so8re todo contra 1cti*e >irector#. 9o
ha# es(ueas 7ro7ios 7ara L>1P.
&roceso de env;o de mensajes
Cuando un usuario en*a un correo electrnico desde un 7ro$raa cliente de correo
electrnico ?%G1@+ Aste conecta con un ser*idor -%3P+ al (ue le de;a el ensa;e 7ara
su en*o a una o *arias cuentas de correo destinatarias.
=ste ser*idor ?%31 del reitente@ co7rue8a si el destinatario es local. -i es as+ el
%>1 de7osita el ensa;e en el 8uzn corres7ondiente. Por el contrario+ si el
destinatario no 7ertenece a ese %31+ Aste se conectar con el ser*idor donde estA
alo;ada la cuenta de correo del destinatario ?%31 del destinatario@ # transitir el
ensa;e 7ara su alacenaiento # 7osterior descar$a 7or el destinatario.
&roceso de lectura de mensajes
=l usuario+ 7ara leer sus ensa;es+ se conectar al ser*idor a tra*As de un %G1
ediante P0P o I%1P.
/
Instalacin y bastionamiento de un servidor de correo bajo GNU/Linux
Los ser*idores P0P e I%1P no foran 7arte de Postfix sino (ue ha# (ue recurrir a
7a(uetes es7ecficos coo es el caso de courier27o7 # courier2ia7.
9uestro cliente conectar al 7uerto 116 del ser*idor en caso de P0P o al 1"3 en caso
de I%1P.
-i el Atodo usado es P0P+ los ensa;es 7or defecto se 8orrarn del ser*idor una *ez
terine la conexin a no ser (ue se indi(ue lo contrario. =n ca8io+ ediante I%1P
los ensa;es se leen en el ser*idor directaente.
9u3ones
Los 8uzones de los usuarios en el ser*idor de correo 7ueden tener dos foratos
diferentes< 8ox # aildir.
)box es el Atodo tradicional de alacenar correos en ser*idores G9IB. Los
ensa;es se $uardan en un Fnico archi*o en el (ue se *an encolando se$Fn *an
lle$ando al 8uzn. Para indicar el coienzo de un ail dentro del archi*o se utiliza la
7ala8ra From # 7ara indicar el fin+ una lnea en 8lanco.
=l forato )aildir consiste en un directorio con tres su8directorios ?new+ cur # t7@ en
el (ue se *an $uardando los ensa;es en diferentes archi*os. =n new se alacenan
los ensa;es nue*os+ en cur los ensa;es #a ledos 7ero (ue no han sido
descar$ados del ser*idor # en t7 los ensa;es reciAn reci8idos (ue aFn no han sido
7asados a new ?una *ez de7ositado en t7+ se o*er a new@.
Para esta instalacin se ha seleccionado coo forato %aildir 7or *arias razones<
- Courier2I%1P necesita este forato.
- =s s se$uro 7uesto (ue si un ensa;e se corro7e no afecta a todos los
des+ coo es el caso del forato 8ox.
- %aildir no 8lo(uea los ficheros 7ara antener la inte$ridad del ensa;e+ 7or(ue
los ensa;es se alacenan en ficheros distintos con no8res Fnicos. Con
8ox+ sin e8ar$o+ slo un 7roceso 7uede a8rir el archi*o en odo
lecturaEescritura.
- %8ox es u# 7oco 7tio 7ara 8uzones $randes.

16
Loretahur
<. IN$(L(CI#N = C"N1IGU!(CI#N DE &"$1I2
Instalareos los 7a(uetes de Postfix de los re7ositorios de >e8ian con<
Dapt-#et install post<iE
3a8iAn de8eos instalar el so7orte (ue tiene Postfix 7ara %#-.L<
Dapt-#et install post<iE-m,sl
Los archi*os s i7ortantes de confi$uracin de Postfix son los si$uientes<
- main.c' ?EetcE7ostfixEain.cf@< archi*o de confi$uracin 7rinci7al de Postfix
donde se encuentran los 7aretros (ue controlan el co7ortaiento del
%31.
- master.c' ?EetcE7ostfixEaster.cf@< archi*o de confi$uracin del deonio
aster. >eterina (uA 7rocesos sern arrancados # con (uA o7ciones.
- aliases ?EetcEaliases@< archi*o de alias. =(ui*alencia entre una direccin
ficticia # una direccin local real.
>. )(IN.C1
=n la ruta EetcE7ostfix+ 7or defecto+ teneos el archi*o 7rinci7al de confi$uracin de
Postfix denoinado ain.cf.
La estructura de este archi*o es el de una lnea 7or cada 7aretro con la si$uiente
sintaxis<
parFmetro C =alor
Cada 7aretro de8e e7ezar en la 7riera coluna+ es decir+ no 7uede ha8er
es7acios al 7rinci7io de cada lnea 7or(ue si no+ 7ostfix 7ensar (ue se trata de la
continuacin de la anterior.
Los coentarios e7iezan 7or el carcter V # un coentario no 7uede coenzar en
edio de una lnea.
Cuando a un 7aretro le asi$naos un *alor+ se 7uede hacer referencia s
adelante coo si fuera una *aria8le. Por e;e7lo+ si declaraos< m,domain C
dominio.com 7uede ser usado el *alor en otras lneas coo Gm,domain
Los 7aretros no es7ecificados co$en su *alor 7or defecto.
1l$unas direcciones IP 7ueden encu8rirse 7ara e*itar (ue Postfix resuel*a el no8re
haciendo 7eticiones al >9- ?naked i7 addresses@. Para introducir una direccion IP
desnuda se usan los corchetes cuadrados W X. =;e7lo< parametro C H1'%.1BA.1.1I
11
Instalacin y bastionamiento de un servidor de correo bajo GNU/Linux
Pasareos a continuacin a descri8ir los ca7os s rele*antes # la confi$uracin
(ue se le ha dado 7ara este 7ro#ecto.
my7ostname< indica a Postfix el no8re del ser*idor ?F.>9@. -i no lo
7oneos lo co$er de la inforacin (ue estA alacenada en EetcEhostnae.
m,hostname C mail.prueba.com
mydomain< con este 7aretro 7ostfix 7uede ser*ir a *arios doinios. -i no lo
7oneos+ co$er el 7aretro #hostnae (uitando la 7riera 7arte hasta el
7unto.
m,domain C prueba.com
myori%in< ser+ 7ara el correo local+ el ori$en del correo cuando en el ail slo
se indica el usuario.
m,ori#in C Gm,domain
mydestination< a(u se declaran todos los doinios (ue de8en considerarse
locales al sistea a efectos de encainaiento del correo electrnico.
m,destination C Gm,hostname; localhost.Gm,domain;
localhost; Gm,domain
7ome?mailbox< la si$uiente o7cin nos 7erite ele$ir en (uA ti7o de YforatoU
se *an a $uardar los ensa;es en el 8uzn de cada usuario< 8ox ?fichero@ o
aildir ?directorio@.
homeJmailboE C /aildirK
1des de odificar este 7aretro+ no de8eos ol*idarnos de ca8iar
ta8iAn el fichero EetcElo$in.defs. 1(u teneos (ue descoentar la lnea
)/!*0J6*R /ailidir 7ara indicar (ue todos los usuarios (ue ha$an lo$in en
nuestro sistea usarn ta8iAn el forato %aildir ?7or tanto+ de8eos
coentar las dos (ue a7arezcan a su lado@.
mail?s-ool?directory< indica el directorio donde se alacenan los 8uzones de
correo.
mailJspoolJdirector, C K=arKspoolKmailK
noti'y?classes< en ocasiones+ al$unos ensa;es no lle$an 7or(ue se
7roducen errores. Postfix 7uede notificar autoticaente+ ediante un
ensa;e al usuario Postaster+ de a(uellas incidencias (ue se han declarado
de interAs 7ara su adinistracin. Con el 7aretro notif#)classes indicaos
el ni*el de error a notificar. Los *alores (ue 7uede toar son<
12
Loretahur
o 8ounce < si un ensa;e no 7uede ser encainado+ se en*a otro
ensa;e al reitente # una co7ia al Postater inclu#endo el ori$inal. =n
el caso del Postaster slo se inclu#en las ca8eceras 7or razones de
7ri*acidad.
o 28ounce < en el caso en (ue la notificacin de un ensa;e de error de
encainaiento $enere ta8iAn un error de encainaiento.
o dela# < se infora a Postaster de (ue ha# ensa;es 7os7uestos 7or
7ro8leas en su encainaiento.
o 7olic# < infora a Postaster de las 7eticiones rechazadas 7or 7olticas
GC= de otros ser*idores. Lle$a una co7ia de la transaccin.
o 7rotocol < infora a Postaster de cual(uier error de 7rotocolos+ cliente
o ser*idor+ o intentos de al$Fn cliente de e;ecutar coandos no
i7leentados. -e reci8e una co7ia de la transaccin co7leta.
o resource < infora a Postaster de los ail no entre$ados 7or al$Fn
7ro8lea de recursos ?errores readEwrite+ (ueue+ etc@.
o software < infora a Postaster (ue un ensa;e no ha sido encainado
7or 7ro8leas de software.
noti<,Jclasses C resource; so<tware
relay?domains< a(u se declaran los doinios a los (ue se autorizar andar
ensa;es a tra*As de nuestro ser*idor. >e8ereos 7restar es7ecial atencin a
este 7aretro 7ara e*itar as (ue nuestro ser*idor se con*ierta en un o7en
rela# ?o7en rela# es cuando desde nuestro ser*idor se 7erite andar
ensa;es a otras direcciones. =sto nos con*ierte en 8lancos fciles de los
$eneradores de -P1% # 7or tanto 7ronto 7asaraos a forar 7arte de las
5CLs@.
rela,Jdomains C Gm,destination
mynet,or@s< el ran$o de direcciones IP (ue *an a 7oder en*iar a tra*As de
este %31+ es decir+ redes a las (ue 7erito hacer rela# 7uesto (ue son locales
a Postfix. Las redes de8ern ser es7ecificadas en forato Classless Internet
>oain 5outin$ ?CI>5@.
m,networ3s C 1'%.1BA.1.0K%7; 1%(.0.0.0KA
smt-d?banner< texto (ue aco7aJa a la res7uesta 226 de 8ien*enida. 1 la
hora de seleccionar el 8anner (ue a7arecer al conectarse a nuestro ser*idor
de correo+ no de8ereos dar excesi*a inforacin coo 7or e;e7lo+ el
-istea 07erati*o o (ue se trata de un ser*idor de correo Postfix. >e esta
fora e*itareos (ue si al$uien nos hace un fin$er7rintin$ o escaneo lo ten$a
relati*aente fcil 7ara futuros ata(ues e identificacin de *ulnera8ilidades.
Por eso slo ostrareos el no8re del ser*idor de correo # el 7rotocolo< $$/
mail.prueba.com 0-12
smtpdJbanner C Gm,hostname ES/$P
13
Instalacin y bastionamiento de un servidor de correo bajo GNU/Linux
set%id?%rou-: identificador del $ru7o destinado exclusi*aente a la $estin de
correo # de colas.
set#idJ#roup C postdrop
Aueue?directory< es7ecifica el lu$ar de la cola de Postfix. =s ta8iAn el
directorio raz de los deonios de Postfix ?(ue corren en;aulados@.
ueueJdirector, C K=arKspoolKpost<iE
command?directory # daemon?directory< contienen la ruta donde estn los
coandos # los deonios de Postfix+ res7ecti*aente.
commandJdirector,CKusrKsbin
daemonJdirector,CKusrKlibKpost<iE
mail?o,ner< indica el usuario (ue es 7ro7ietario de la cola de Postfix. -e de8e
usar un usuario dedicado # coo la instalacion de Postfix crea el usuario # el
$ru7o 7ostfix+ usareos Aste.
mailJowner C post<iE
alias?ma-s # alias?database: archivos para los alias.
aliasJmaps C hash2KetcKaliases
aliasJdatabase C hash2KetcKaliases
virtual?mailbox?base< este 7aretro es lo (ue se le a$re$a al *alor (ue
teneos en la Case de >atos %#-.L 7ara conse$uir lle$ar hasta el 8uzn del
usuario. :aos a de;arlo con YEY
=irtualJmailboEJbaseCK
virtual?uid?ma-s # virtual?%id?ma-s< seJalaos a Postfix (ue los GserI>s #
Prou7I>s de los usuarios de correo los o8tendr 7or edio del archi*o
indicado+ (ue acceder a %#-.L.
=irtualJuidJmapsCm,sl2KetcKpost<iEKids.c<
=irtualJ#idJmapsCm,sl2KetcKpost<iEK#ids.c<
virtual?mailbox?ma-s< con este 7aretro indicaos (ue ediante el archi*o
#s(l)*irt.cf *aos a acceder a %#-.L 7ara *er dnde estn los 8uzones de
los usuarios<
=irtualJmailboEJmapsCm,sl2KetcKpost<iEKm,slJ=irt.c<
local?trans-ort< le indicaos (ue de8er entre$ar el correo a usuarios
*irtuales # no a locales.
localJtransport C =irtual
1"
Loretahur
disable?vr'y?command< 7ara no 7eritir la *erificacin (ue hacen los
s7aers 8uscando usuarios *lidos+ de8ereos desha8ilitar el *erif# ?(ue se
usa 7ara sa8er si un usuario existe o no en nuestro sistea@.
disableJ=r<,Jcommand C ,es
messa%e?si3e?limit< 7ara e*itar (ue nuestros 7ro7ios usuarios 7ro*o(uen un
>o- tratando de en*iar un ensa;e excesi*aente $rande+ liitareos el
taaJo xio a 16 %8 ?incluidas ca8eceras@. -i no+ 7odra suceder (ue
Postfix se 8lo(uease al intentar 7rocesar este ti7o de ensa;es.
messa#eJsiLeJlimit C 107A.(B0
>e8e tenerse en consideracin (ue si se increenta ucho el
messa)e3si4e3limit+ lle$ando a su7erar el *alor de mailbox3si4e3limit+ Postfix
dar un error de confi$uracin al arrancar.
mailbox?si3e?limit< con este 7aretro indicaos el lite del taaJo de los
8uzones de correo. =n nuestro caso+ no 7ondreos lite<
mailboEJsiLeJlimit C 0
smt-d?delay?reject< aun(ue 7ostfix deterine (ue el correo no es *lido en
al$una de sus co7ro8aciones+ lo de;a 7asar 7or el resto ?con un consuo de
CPG@. Para e*itar esto 7odeos 7oner a no el 7aretro st7d)dela#)re;ect.
-in e8ar$o+ ha# (ue tener cuidado con esta directi*a 7or(ue si te rechaza la
conexin 7or e;e7lo a ni*el st7d)client)restrictions no contars con lo$s ni
del fro+ ni del to+ etc... con lo (ue la 8Fs(ueda de correos Y7erdidosY en lo$s
es 7eor ?no co7ensa 7or tanto el ahorro de recursos@.
smtpdJdela,Jre5ect C no
>.1. )($E!.C1
=l 7ro$raa master es el encar$ado de or(uestar a los diferentes 7rocesos de Postfix+
arrancando en cada oento el necesario. Para ello si$ue las indicaciones de su
fichero de confi$uracin< master.c* (ue noralente se encuentra en el directorio
/etc/post*ix. =n Al se es7ecifican los 7rocesos # sus 7aretros.
Cada entrada en el fichero es un con;unto de ocho ca7os se7arados 7or 8lancos o
ta8uladores<
ser=ice t,pe pri=ate unpri=ile#ed chroot wa3eup maEprocess command
$ervice< no8re del ser*icio (ue se est confi$urando. =;e7los de ser*icios<
cleanu7+ 7icku7+ ($r+&
1'
Instalacin y bastionamiento de un servidor de correo bajo GNU/Linux
y-e< ti7o de counicacin de trans7orte utilizado 7or el ser*icio 7ara
counicarse con otros dulos. Puede ser de tres ti7os< internet sockets ?inet@+
Gnix sockets ?unix@ # 7i7es con no8re ?fifo@.
&rivate< indica cundo el canal de counicacin de un 7roceso de8e estar
accesi8le a 7rocesos a;enos a Postfix.
Un-rivile%ed< es7ecifica con (uA 7ri*ile$io de usuario se e;ecuta el ser*icio. -i
se es7ecifica TyU ?(ue es el *alor 7or oisin@+ el ser*icio se e;ecuta con los del
usuario descrito en la directi*a mail?o,ner de main.c*+ (ue 7or defecto es
-ost'ix. -i se indica TnU+ el ser*icio se e;ecuta con 7ri*ile$ios de root.
C7root< indica si el ser*icio se e;ecuta en un entorno chroot+ lo (ue 7ro7orciona
ni*eles adicionales de se$uridad. =sta o7cin se acti*a indicando TyU. Gna
Fnica restriccin< los 7rocesos local # pipe no 7ueden e;ecutarse en odo
chroot.
Ba@eu-< indica los se$undos (ue de8en transcurrir 7ara (ue el 7roceso
aster en*e una seJal 7ara des7ertar el ser*icio corres7ondiente. =xiste una
o7cin adicional+ (ue es aJadir el s8olo C al final del *alor (ue seJala el
inter*alo. Con esto se indica al 7roceso master (ue slo en*e la seJal de
des7ertar al ser*icio si Aste se est e;ecutando.
)ax-rocess< nFero xio de 7rocesos (ue 7uede tener en e;ecucin el
ser*icio. Por defecto+ se aditen '6.
Command< no8re del 7ro$raa a e;ecutar # 7aretros a 7asar. 3odos los
7ro$raas aditen las si$uientes o7ciones<
2* Da8ilita a#or detalle de lo$.
2> 1cti*a el odo de8u$.
9osotros+ 7ara (ue funcionen los usuarios *irtuales con %#-.L+ de8ereos aJadir el
si$uiente ser*icio anualente<
=irtual uniE - n n - - =irtual
>./. )=$.L?*I!.C1D ID$.C1 = GID$.C1
Pasaos a continuacin a ostrar el contenido de los ficheros antes referenciados en
el ain.cf llaados #s(l)*irt.cf+ ids.cf # $ids.cf. 3odos ellos hacen referencia a una
Case de >atos i7leentada en %#-.L+ (ue s adelante detallareos.
mysAl?virt.c'
user # -ass,ord< usuario # 7assword 7ara acceder al ser*idor %#-.L<
userCpost<iE
passwordCpost<iE
1,
Loretahur
dbname # table< no8re de la Case de >atos # la ta8la (ue contienen los
datos de las cuentas de usuario<
dbnameCmail
tableCpasswd
select?'ield # ,7ere?'ield< en select)field indicaos (ue el ca7o de la 8ase
de datos (ue ele$ios 7ara recu7erar el 8uzn del usuario es aildir. =n
where)field es7ecificaos con el ca7o id de la ta8la 7asswd la direccin de
correo del destinatario del ensa;e.
selectJ<ieldCmaildir
whereJ<ieldCid
7osts< el host (ue tiene el %#-.L. =n esta docuentacin+ tanto Postfix coo
%#-.L estn en la isa (uina+ 7or tanto+ el 7riero se conectar a la
8ase de datos 7or edio de los sockets internos de unixElinux. Para ello
7oneos el 7aretro hosts con el *alor unix<#s(ld.sock. -i estu*iesen en
(uinas distintas+ ha8ra (ue 7oner el no8re de la (uina en la (ue se
encuentra %#-.L.
hostsCuniE2m,sld.soc3
ids.c'
user # -ass,ord< usuario # 7assword 7ara acceder al ser*idor %#-.L<
userCpost<iE
passwordCpost<iE
dbname # table< no8re de la Case de >atos # la ta8la (ue contienen los
datos de las cuentas de usuario<
dbnameCmail
tableCpasswd
select?'ield # ,7ere?'ield< en select)field indicaos (ue el ca7o de la 8ase
de datos (ue ele$ios 7ara recu7erar el uid del usuario es uid. =n where)field
es7ecificaos con el ca7o id de la ta8la 7asswd la direccin de correo del
destinatario del ensa;e.
selectJ<ieldCuid
whereJ<ieldCid
7osts< el host (ue tiene el %#-.L.
hostsCuniE2m,sld.soc3
%ids.c'
user # -ass,ord< usuario # 7assword 7ara acceder al ser*idor %#-.L<
userCpost<iE
passwordCpost<iE
1!
Instalacin y bastionamiento de un servidor de correo bajo GNU/Linux
dbname # table< no8re de la Case de >atos # la ta8la (ue contienen los
datos de las cuentas de usuario<
dbnameCmail
tableCpasswd
select?'ield # ,7ere?'ield< en select)field indicaos (ue el ca7o de la 8ase
de datos (ue ele$ios 7ara recu7erar el $id del usuario es $id. =n where)field
es7ecificaos con el ca7o id de la ta8la 7asswd la direccin de correo del
destinatario del ensa;e.
selectJ<ieldC#id
whereJ<ieldCid
7osts< el host (ue tiene el %#-.L.
hostsCuniE2m,sld.soc3
>e8ereos ca8iar los 7erisos de estos ficheros 7ara (ue slo el $ru7o 7ostfix
7ueda leerlos 7uesto (ue contienen las contraseJas 7ara la conexin a la C>.
14
Loretahur
E. IN$(L(CI#N = C"N1IGU!(CI#N DE )=$.L
Instalareos los 7a(uetes de %#-.L de los re7ositorios de >e8ian con<
Dapt-#et install m,sl-ser=er
La 7riera edida a toar 7ara 7reser*ar la se$uridad de nuestras 8ases de datos es
7oner contraseJa al usuario root 7uesto (ue su contraseJa 7or defecto est en 8lanco.
Dm,sladmin password 4ontraseMa
9o de8ereos ol*idar ta7oco ha8ilitar el archi*o de lo$ ?(ue 7or defecto no est
indicado@. Para esto+ descoentareos en EetcE#s(lE#.cnf la si$uiente lnea<
lo# C K=arKlo#Km,slKm,sl.lo#
1hora de8ereos crear la Case de >atos # la ta8la necesaria 7ara $uardar toda la
inforacin de nuestros usuarios *irtuales.
9os conectaos coo root indicando con el 7aretro Mh el no8re del host en el
(ue reside la Case de >atos+ con Mu el usuario # con M7 le decios (ue *aos a
introducir contraseJa.
Dm,sl -h localhost -u root -p
Gna *ez dentro de %#-.L+ creaos una Case de >atos llaada ail<
m,sl9create database mailN
-eleccionaos la Case de >atos reciAn creada 7ara tra8a;ar con ella<
m,sl9use mailN
Creaos la ta8la en la (ue $uardareos la inforacin de los usuarios *irtuales.
m,sl9 create table passwd O
id charO1%AP 6E1!U0$ Q Q ?O$ ?U00;
pass charO1%AP 6E1!U0$ Q Q ?O$ ?U00;
name charO1%AP 6E1!U0$ Q Q ?O$ ?U00;
uid intO10P unsi#ned ?O$ ?U00;
#id intO10P unsi#ned ?O$ ?U00;
home charO%..P 6E1!U0$ Q Q ?O$ ?U00;
maildir charO%..P 6E1!U0$ Q Q ?O$ ?U00;
KER id OidO1%APP
PN
1/
Instalacin y bastionamiento de un servidor de correo bajo GNU/Linux
=sta ta8la tiene los si$uientes ca7os<
25--67
id char?124@ >ireccin de correo co7leta del usuario. &rimary Fey
7ass char?124@ ContraseJa del usuario 7ara autentificarse
nae char?124@ Lo$in del usuario ?no8re hasta la Z@
uid int?16@ uid del usuario. Ireos asi$nndole nFeros
secuencialente a 7artir del 7rier userid (ue no estA
ocu7ado
$id int?16@ $id del $ru7o ail ?lo iraos en EetcE$rou7@ 7ara (ue
7uedan escri8ir en el directorio E*arEs7oolEail (ue tiene coo
$ru7o 7ro7ietario a ail
hoe char?2''@ hoe (ue 7or ser usuarios Y*irtualesY lo de;aos a YEY iso
aildir char?2''@ Lu$ar donde se alacenar el 8uzn de correo. 1 esta ruta
se le aJade 7or delante el *alor (ue ha8aos 7uesto en
EetcE7ostfixEain.cf coo *irtual)ail8ox)8ase

3a8iAn de8eos crear un usuario 7ostfix # darle todos los 7erisos en esta ta8la<
m,sl9>R!?$ !00 O? mail.passwd $O post<iE@localhost *6E?$*1*E6 +R
Spost<iESN
1hora #a 7odeos ir introduciendo los datos de nuestros usuarios. =;e7lo<
m,sl9insert into passwd Oid;pass;name;uid;#id;home;maildirP
=aluesOSpostmaster@prueba.comS;ScontraseniaS;SpostmasterS;S100&S;SAS;S
KS;SK=arKspoolKmailKpostmasterKSPN
Coo indicaos en el ca7o hoe de la Case de >atos+ de8ereos crear la ruta
7ara alacenar el correo de nuestros usuarios ?E*arEs7oolEailE@. >entro de esta
car7eta Postfix crear los 8uzones de anera autotica ?cuando lle$ue el 7rier
ensa;e 7ara un usuario+ ser el 7ro7io deonio el encar$ado de recrear la ;erar(ua@.
3a8iAn teneos el coando maildirma+e 7ara crear 8uzones. =ste coando se
encar$a de crear la estructura interna ?su8directorio new+ cur # t7@. =;e7los de uso
de este coando<
Creacin de un 8uzn con (uota<
maildirma3e T uota
Creacin de una car7eta dentro del 7ro7io 8uzn<
maildirma3e T< carpeta
>es7uAs de esto de8eos hacer (ue el $ru7o ail # el usuario 7ostfix sean los
dueJos de los directorios # darles 7erisos de escritura+ lectura # e;ecucin.
26
Loretahur
5esuiendo+ el 7roceso es el si$uiente< cuando andaos un ail 7or -%3P a un
usuario+ Postfix lo reci8e # lo 7riero (ue hace es *er si dicho usuario existe en la
8ase de datos de %#-.L. Para ello+ se conecta a la C> # lanza una consulta -.L. -i
no o8tiene resultado+ es (ue dicho user no existe+ 7or lo (ue no es 7osi8le en*iar el
ail. -i la consulta tiene Axito+ co$e el ca7o aildir cu#o id corres7onde con el
destinatario del ail+ # ira a *er si existe el directorio %aildir en E*arEs7oolEailE. -i no
es as lo crea # de7osita el ail en dicho directorio+ estando #a a dis7osicin del
usuario 7ara (ue lo consulte 7or I%1P o P0P a tra*As de Courier.
=xiste un 7ro8lea al usar %#-.L con Postfix. Postfix corre en;aulado coo chroot en
E*arEs7oolE7ostfix. Para acceder a la 8ase de datos+ lo hace a tra*As de un socket ?7or
defecto E*arErunE#s(ldE#s(ld.sock@ 7ero Aste est fuera del entorno chroot en el cual
se e;ecuta Postfix ?7or defecto E*arEs7oolE7ostfix@. =ntonces no teneos acceso a
dicho socket. La solucin consiste en crear el directorio dentro del chroot<
Dm3dir -p K=arKspoolKpost<iEK=arKrunKm,sld
Dchown m,sl K=arKspoolKpost<iEK=arKrunKm,sld
[ crear un hard link al socket actual<
Dln K=arKrunKm,sldKm,sld.soc3 K=arKspoolKpost<iEK=arKrunKm,sldKm,sld.soc3
:aos a 7ro8ar la conexin+ 7ara ase$urarnos de (ue est 8ien hecho<
D m,sl -p -S K=arKspoolKpost<iEK=arKrunKm,sldKm,sld.soc3
Gna *ez (ue teneos ontada la Case de >atos e instalado Postfix+ #a 7odeos
arrancarlos 7ara tener un %31 totalente funcional<
DKetcKinit.dKm,sl start
DKetcKinit.dKpost<iE start
Co7ro8aos (ue teneos el deonio de Postfix escuchando # los 7rocesos
e;ecutndose<
Dnetstat Tan U #rep 2%. U #rep 0*S$E?
tcp 0 0 0.0.0.02%. 0.0.0.02" 0*S$E?
Dps auE U #rep post<iE
root ''B& 0.0 0.& &B.B 1&%A V Ss Sep%. 020% KusrKlibKpost<iEKmaster
post<iE ''B( 0.0 0.& %''B 1%1% V S Sep%. 0200 m#r -l -t <i<o -u -c
post<iE %%07B 0.0 0.% %'B7 10'B V S 0121% 0200 pic3up -l -t <i<o -u -c
post<iE %%0B0 0.0 0.( .71B %A77 V S 012&1 0200 smtpd -n smtp -t inet -u -c
post<iE %%0B1 0.0 0.& &B1% 1&'B V S 012&1 0200 tri=ial-rewrite -n rewrite -t uniE -u Tc
21
Instalacin y bastionamiento de un servidor de correo bajo GNU/Linux
Miramos tambin los logs en busca de posibles fallos. Los lo$s de Postfix son los
si$uientes<
mail.lo% ?E*arElo$Eail.lo$@< fichero donde se re$istran todas las acciones del
ser*idor Postfix.
mail.err ?E*arElo$Eail.err@< fichero donde se re$istran los errores.
mail.in'o ?E*arElo$Eail.info@< fichero donde se re$istran los e*entos (ue no son
errores.
Gn coando fcil 7ara 8uscar 7ro8leas es el si$uiente<
De#rep QOre5ectUwarnin#UerrorU<atalUpanicP2Q K=arKlo#Kmail.lo#
0tros coandos (ue nos ofrece Postfix 7ara adinistrar nuestro ser*idor son<
- mailA< lista el contenido de la cola de correo. %uestra el I> de cola+ taaJo del
correo+ hora lle$ada+ reitente # destinatarioEs. -i no se ha 7odido entre$ar+
uestra la razn.
- -ostsu-er< se encar$a de realizar o7eraciones de anteniiento.
- -ostAueue< coando (ue sir*e de interfaz 7ara la $estin de las colas.
- -ostma-< crea+ actualiza o consulta una o s ta8las de 7ostfix.
- -ostcon': uestra los *alores actuales de los 7aretros de 7ostfix ?los (ue
se asi$nan en ain.cf@.
- -ost'ix c7ec@< co7rue8a (ue la sintaxis de ain.cf sea correcta.
Para s inforacin de esos coandos+ sie7re est an \2@
1Fn faltar 7or aJadir so7ortes (ue nos den s se$uridad e instalar el Courier 7ara
(ue los usuarios 7uedan consultar su correo.
22
Loretahur
G. IN$(L(CI#N = C"N1IGU!(CI#N DE C"U!IE!
Courier utiliza un ser*icio de autentificacin coFn 7ara todos sus ser*icios ?P0P3+
P0P3-+ I%1P+ I%1P-@. =ste ser*icio se 7uede confi$urar de anera (ue ha$a la
autentificacin desde *arias fuentes ?P1%+ L>1P+ %#-.L+ et.@. Para instalarlo desde
los res7ositorios de >e8ian<
Dapt-#et install courier-authdaemon courier-authm,sl courier-base
=l ser*icio de autentificacin est forado 7or un deonio llaado authdaemon+ cu#o
fichero de confi$uracin es EetcEcourierEauthdaeonrc. Por defecto *iene confi$urado
7ara la autentificacin *a P1% as (ue de8eos editar el archi*o authdaeonrc 7ara
sustituir la lnea authmodulelistCSauthpamS 7or authmodulelistCSauthm,slS
7ara (ue a 7artir de ahora se use %#-.L.
3a8iAn ha# (ue indicar a courier dnde de8e irar los usernaes # 7asswords\ 7ara
ello teneos (ue odificar el archi*o auth#s(lrc # tener es7ecial cuidado con los
es7acios (ue se de;an entre el no8re de la *aria8le # el *alor de la isa+ 7uesto
(ue esos es7acios se toarn coo 7arte del *alor a la hora de intentar conectarse a
la 8ase de datos ?7or e;e7lo+ si de;aos un es7acio delante de la contraseJa+ toar
el *alor de la contraseJa con el es7acio # no 7odr acceder a la 8ase de datos@.
aut7mysAlrc
Gsuario con el (ue conectareos a la Case de >atos<
/RS)0JUSER?!/E post<iE
ContraseJa con la (ue conectareos a la Case de >atos<
/RS)0JP!SSWOR6 post<iE
La direccin del ser*idor %#-.L. Coo en nuestro caso lo teneos instalado en
nuestra (uina+ usareos localhost<
/RS)0JSERXER localhost
Puerto de %#-.L<
/RS)0JPOR$ &&0B
9o8re de la Case de >atos<
/RS)0J6!$!+!SE mail
3a8la de la C> donde estn los usuarios+ sus contraseJas+ la ruta de su 8uzn de
correo+ etc<
/RS)0JUSERJ$!+0E passwd
Le 7odeos indicar (ue la contraseJa se $uarda en texto claro con
/RS)0J40E!RJPW1*E06 pass o 8ien cifrada. 9osotros o7tareos 7or tener el %>' de
la contraseJa en la C> 7or si al$uien consi$ue acceder.
/RS)0J4RRP$JPW1*E06 pass
>oinio 7or defecto (ue se a$re$ar al lo$in<
6E1!U0$J6O/!*? prueba.com
23
Instalacin y bastionamiento de un servidor de correo bajo GNU/Linux
=l ca7o en la ta8la 7asswd donde estarn los uid de usuarios<
/RS)0JU*6J1*E06 uid
=l ca7o en la ta8la 7asswd donde estarn los $id de usuarios<
/RS)0J>*6J1*E06 #id
=l ca7o en la ta8la 7asswd donde estarn las direcciones de usuarios<
/RS)0J0O>*?J1*E06 id
=l ca7o en la ta8la 7asswd donde estarn los directorios hoe del usuario<
/RS)0JHO/EJ1*E06 home
=l ca7o en la ta8la 7asswd donde estarn los lo$ins de usuarios<
/RS)0J?!/EJ1*E06 name
=l ca7o en la ta8la 7asswd donde se alacena la ruta del 8uzn de correo<
/RS)0J/!*06*RJ1*E06 maildir
G.1. C"U!IE! &"&4 = C"U!IE! &"&4$
=l ser*icio P0P3 lo a7orta el 7a(uete courier#pop # P0P3- el 7a(uete courier27o72ssl+
7or lo (ue a de instalarse en el sistea<
Dapt-#et install courier-pop courier-pop-ssl
-us ficheros de confi$uracin residen en EetcEcourierE con el no8re de 7o73d #
7o73d2ssl+
&o-4d
Pid del deonio<
P*61*0ECK=arKrunKcourierKpop&d.pid
9Fero xio de deonios arrancados<
/!Y6!E/O?SC70
9Fero xio de conexiones 7or IP<
/!YPER*PC7
Con esta o7cin confi$urareos el ni*el de de8u$. Para tenerlo acti*ado lo 7oneos a
1 2 ?uestra usuario # contraseJa en el lo$@. Gna *ez hechas las 7rue8as no
de8ereos ol*idar 7onerlo a 6 de nue*o 7ara no de;ar inforacin delicada en el lo$.
6E+U> 0O>*?C0
Puerto en el (ue escuchar el ser*icio P0P<
POR$C110
Para acti*ar el ser*idor P0P3 de Courier sin necesidad de editar los scri7ts de
arran(ue del sistea<
POP&6S$!R$CRES
2"
Loretahur
&o-4d+ssl
Puerto en el (ue escuchar el P0P3-<
SS0POR$C''.
5uta al certificado --L del ser*idor P0P3. %s adelante se ex7lica co $enerar este
certificado ?v8ase 5nexo 5@<
$0S 4ER$1*0ECKetcKcourierKpop&d.pem
Para acti*ar el ser*idor P0P3- de Courier<
POP&6S00S$!R$CRES
-i (uereos (ue forzar el uso de 3L- a nuestros usuarios de8ereos 7oner la
*aria8le 292:3L-3"0;UI"07 a 1<
POP&J$0SJRE)U*RE6C1
G./. C"U!IE! I)(& = C"U!IE! I)(&$
=l ser*icio I%1P lo a7orta el 7a(uete courier#imap # I%1P- el 7a(uete courier#imap#
ssl+ 7or lo (ue a de instalarse en el sistea desde los re7ositorios<
Dapt-#et install courier-imap courier-imap-ssl
-us ficheros de confi$uracin residen en EetcEcourierE con el no8re de ia7d e
ia7d2ssl.
Ima-d
Puerto en el (ue escuchar el ser*icio I%1P<
POR$C17&
9Fero xio de deonios arrancados<
/!Y6!E/O?SC70
9Fero xio de conexiones 7or IP<
/!YPER*PC%0
Para arrancar el ser*icio I%1P sin tener (ue editar los scri7ts de inicio del ni*el de
e;ecucin<
*/!P6S$!R$CRES
Ima-d+ssl
5uta al certificado --L del ser*idor I%1P-. %s adelante se ex7lica co $enerar
este certificado ?v8ase 5nexo 5@<
$0SJ4ER$1*0ECKetcKcourierKimapd.pem
Para arrancar el ser*icio I%1P-<
*/!P6SS0S$!R$CRES
2'
Instalacin y bastionamiento de un servidor de correo bajo GNU/Linux
-e 7uede $enerar un certificado de 7rue8a con el coando m+imapdcert. =sto $enera
un certificado B.'6/ auto2firado.
Gna *ez confi$urado tanto courier ia7 coo courier 7o7+ arrancaos sus res7ecti*os
deonios ?ta8iAn el (ue se encar$a de la autentificacin@<
DKetcKinit.dKcourier-authdaemon start
DKetcKinit.dKcourier-pop start
DKetcKinit.dKcourier-pop-ssl start
DKetcKinit.dKcourier-imap start
DKetcKinit.dKcourier-imap-ssl start
2,
Loretahur
H. &"$1I2+L$
Coenzareos ahora a a$re$ar ca7as de se$uridad a nuestro %31+ e7ezando 7or
3L-.
Los ensa;es (ue se en*an desde un ser*idor a otro ediante -%3P *ia;an en texto
claro 7or defecto. =sto hace (ue cual(uier 7ersona (ue 7ueda inter7onerse entre
a8os ser*idores 7ueda leer el contenido del ensa;e. Para e*itar esta situacin
7odeos recurrir al cifrado de la conexin ediante 3L-.
Para ello+ instalaos el so7orte 7ara tls en Postfix desde los re7ositorios<
D apt-#et install post<iE-tls
3L- se 8asa en el uso de certificados B.'6/+ 7or lo (ue ser necesario dis7oner de
una cla*e 7ri*ada # de un certificado firado 7or al$una C1 ?1utoridad de
Certificacin@. 9oralente+ # e*identeente 7or razones de se$uridad+ la cla*e
7ri*ada sie7re se alacena 7rote$ida 7or una frase de acceso. =sto i7lica (ue
cada *ez (ue se accede a dicha cla*e ser necesario 7ro7orcionar la frase.
=n un ser*idor de correo esta circunstancia 7uede ser un incon*eniente+ 7or lo (ue
ser necesario dis7oner la cla*e 7ri*ada sin 7roteccin de frase de acceso. Coo
contra7artida+ es necesario tener un es7ecial cuidado con los 7erisos del directorio #
los ficheros relacionados.
Peneraos el certificado # lo firaos con nuestra C1 ?v8ase 5nexo 5@.
Dm3dir KetcKpost<iEKssl
Dcp demo4!Kcacert.pem KetcKpost<iEKsslK
Dcp newcert.pem KetcKpost<iEKsslK
Dcp newre.pem KetcKpost<iEKsslK
Dchown root KetcKpost<iEKsslKnewre.pem
Dchmod 700 KetcKpost<iEKsslKnewre.pem
1Jadios las si$uientes lneas al fichero 7rinci7al de Postfix+ ain.cf<
Gsar 3L- sie7re (ue se 7ueda<
smtpdJuseJtls C ,es
1*iso de conexin 3L-<
smtpdJtlsJnoteJstarttlsJo<<er C ,es
Lu$ar del certificado<
smtpdJtlsJcertJ<ile C KetcKpost<iEKsslKnewcert.pem
Lu$ar de la solicitud de fira<
smtpdJtlsJ3e,J<ile C KetcKpost<iEKsslKnewre.pem
Lu$ar del certificado de la C1<
smtpdJtlsJ4!<ile C KetcKcertKpri=ateKcacert.pem
9i*el de lo$<
smtpdJtlsJlo#le=el C 1
2!
Instalacin y bastionamiento de un servidor de correo bajo GNU/Linux
3ie7o de *alidez de las cla*es<
smtpdJtlsJsessionJcacheJtimeout C &B00s
Fuente de entro7a<
tlsJrandomJsource C de=2Kde=Kurandom
24
Loretahur
1I.&"$1I2+$($L
-1-L ?-i7le 1uthentication and -ecurit# La#er@ es una ca7a software (ue 7erite
aJadir so7orte de autentificacin en 7rotocolos orientados a conexin+ coo 7uede ser
-%3P.
-%3P 1G3D es una solucin donde el cliente se identifica ediante un Gsuario #
Password ante el ser*idor -%3P+ # si Asta se realiza correctaente se autoriza el uso
del ser*idor coo rela#. La autorizacin se hace a la 7ersona # no al sistea
infortico (ue en ese oento le 7ro7orciona so7orte.
Pracias a la co8inacin (ue haceos de -1-L con 3L-+ lo$raos (ue al cifrar la
conexin con 3L- desde el inicio+ nuestra contraseJa (ue *a en claro 7or la red no
7ueda ser interce7tada 7or nadie.
Instalaos las li8reras 7ara i7leentar la 1PI de -1-L con<
Dapt-#et install libsasl% libsasl%-modules
Instalaos ta8iAn las herraientas 7ara adinistracin de usuarios<
Dapt-#et sasl%-bin
1Jadios las si$uientes lneas al main.c'<
=l 7aretro smtpd3sasl3auth3enable acti*a la utilizacin del 7rotocolo -%3P
1G3D.
smtpdJsaslJauthJenable C ,es
La directi*a bro+en3sasl3auth3clients se utiliza 7ara dar so7orte a anti$uos
clientes %icrosoft (ue no so7ortan la *ersin estndar del 7rotocolo 1G3D.
bro3enJsaslJauthJclients C ,es
Con la directi*a smtpd3sasl3local3domain se define el doinio de 8Fs(ueda+
(ue en terinolo$a -1-L se denoina real. =ste ca7o+ ;unto con el
no8re de usuario+ es lo (ue se utilizar 7ara realizar la 8Fs(ueda en el fichero
EetcEsasld8. =s 7or ello u# i7ortante (ue cuando se creen los usuarios con
las herraientas (ue 7ro7orciona -1-L se es7ecifi(ue correctaente el real+
7ues de lo contrario 7uede (ue las 8Fs(uedas sean fallidas ?en EetcEsasld82
con usuarioZail.7rue8a.co@.
smtpdJsaslJlocalJdomain C Gm,hostname
=n smtpd3recipient3restrictions se le indica a Postfix las restricciones (ue
tienen (ue cu7lir los ensa;es 7ara (ue sean ace7tados. Las restricciones se
analizan secuencialente+ # se detiene el 7roceso cuando una concuerda. Con
la o7cin permit3mynet.or+s le indicaos (ue slo reco;a los ensa;es
7rocedentes de<
2/
Instalacin y bastionamiento de un servidor de correo bajo GNU/Linux
- Clientes cu#a direccin IP estA incluida en mynet.or+s.
- Clientes (ue se ha#an identificado correctaente ediante -%3P 1G3D.
- Cual(uier sistea+ cu#o destinatario estA incluido en relay3domains+
inet3inter*aces+ mydestination+ virtual3alias3domains+ virtual3mailbox3domains.
smtpdJrecipientJrestrictions C
permitJm,networ3s;
permitJsaslJauthenticated;
re5ectJunauthJdestination
=l ecaniso de autenticacin 7eritido 7or Postfix es el no annio<
smtpdJsaslJsecurit,Joptions C noanon,mous
=xisten *arios Atodos 7ara $estionar las contraseJas<
- saslauth< deonio C#rus -1-L contra cuentas G9IB.
- aux7ro7< archi*o inde7endiente de usuarios # contraseJas.
9osotros esco$eos aux7ro7 # 7ara ello se lo indicaos a Postfix en el archi*o
st7d.conf ?EetcE7ostfixEsaslEst7d.conf@<
pwchec3Jmethod2 auEprop
mechJlist2 plain lo#in
1(u ta8iAn le heos indicado (ue la contraseJa *ia;ar en claro 7or la red 7ero esto
no su7one nin$Fn 7ro8lea 7or(ue teneos so7orte 3L- 7ara cifrar la conexin.
-e *a a utilizar Fnicaente el dulo sasld8+ # 7or tanto no es necesario e;ecutar el
deonio de autentificacin. Por tanto+ 7arareos el deonio de C#rus saslauthd de la
si$uiente fora< editando EetcEdefaultEsaslauthd # 7oniendo<
S$!R$Cno
/E4H!?*S/SCZsasldbZ
La 8ase de datos de usuarios residir en el fichero EetcEsasld82. =s i7ortante (ue
este fichero ten$a 7erisos de lectura 7ara todos # de escritura 7ara el $ru7o sasl.
Para ello tendreos (ue e;ecutar<
Dchmod BB7 KetcKsasldb%
Para aJadirEeliinar los usuarios a la 8ase de datos se utilizar el 7ro$raa
sasl7asswd2<
Dsaslpasswd% -< KetcKsasldb% -c Tu mail.prueba.com usuario
Password2
!#ain O<or =eri<icationP2
Para *er el usuario reciAn creado<
Dsasldblistusers% KetcKsasldb%
Coo Postfix est tra8a;ando en odo chroot es necesario enlazar el archi*o de
contraseJas al corres7ondiente en el chroot. Para ello creaos un enlace fuerte<
36
Loretahur
Dln KetcKsasldb% K=arKspoolKpost<iEKetcKsasldb%
Gna *ez realizadas las odificaciones en ain.cf se har (ue Postfix recar$ue la
nue*a confi$uracin ediante la directi*a<
DKetcKinit.dKpost<iE reload
-i lue$o se esta8lece una conexin telnet al 7uerto -%3P se o8tendr lo si$uiente<
%%0 mail.prueba.com ES/$P
ehlo mail.deusto.es
%.0-mail.prueba.com
%.0-P*PE0*?*?>
%.0-S*@E 107A.(B0
%.0-E$R?
%.0-S$!R$$0S
250-AUTH LOGIN PLAIN
250-AUTH=LOGIN PLAIN
%.0 A+*$/*/E
-e han a$re$ado dos nue*as funcionalidades< 1G3D L0PI9+ # 1G3D]L0PI9 ?7ara
los *ie;os clientes de %icrosoft@.
31
11.$&()
=l -P1% consiste en el en*o de ensa;es no solicitados+ ha8itualente de ti7o
coercial+ reitidos en cantidades asi*as. 3a8iAn es conocido coo GC=
?Gnsolicited Culk =ail@ o GC= ?Gnsolicited Coercial =ail@.
9o slo teneos (ue tener en consideracin el s7a (ue reci8en nuestros usuarios a
sus 8uzones sino ta8iAn el tener 8ien confi$urado nuestro ser*idor 7ara (ue no se
con*ierta en un eisor ?si est coo o7en rela#@.
=n este e;e7lo *eos coo nuestro ser*idor de correo no 7erite en*iar ensa;es a
una direccin (ue no sea su#a ?deusto.es@+ es decir+ no est coo o7en rela#<
telnet mail.prueba.com %.
%%0 mail.prueba.com ES/$P
ehlo mail.deusto.es
%.0-mail.prueba.com
%.0-P*PE0*?*?>
%.0-S*@E 107A.(B0
%.0-E$R?
%.0-S$!R$$0S
%.0-!U$H 0O>*? P0!*?
%.0-!U$HC0O>*? P0!*?
%.0 A+*$/*/E
mail <rom2 pepito@deusto.es
%.0 O3
rcpt to2 jaimito@hotmail.com
..7 85aimito@hotmail.com92 Rela, access denied
3odo software antis7a se 7uede e(ui*ocar # caer en falsos ne$ati*os o falsos
7ositi*os<
1alsos ne%ativos< es cuando el antis7a no es ca7az de detectar un correo
no solicitado.
1alsos -ositivos< es cuando un correo le$tio es clasificado coo s7a.
=stos son los s $ra*es.
Gn 8uen antis7a es el (ue no tiene falsos 7ositi*os # u# 7ocos falsos ne$ati*os.
Para e*itar el s7a 7odeos lle*ar a ca8o las si$uientes acciones<
Gsar listas ne$ras.
Poner restricciones en la conexin de los clientes con el ser*idor<
smtpd3client3restrictions.
Controlar el saludo del cliente o ser*idor (ue nos entre$a el ensa;e<
smtpd3helo3restrictions.
Controlar la orden %1IL F50%< smtpd3sender3restrictions.
32
11.1. LI$($ NEG!($
Para detectar el s7a 7odeos hacer uso de las 5CL ?5ealtie Clackhole List@< listas
ne$ras en tie7o real. =n Astas se alacenan las direcciones i7 o los no8res de
7osi8les eisores de s7a. =l funcionaiento es el si$uiente< nuestro ser*idor+
cuando un cliente u otro ser*idor se conecta a Al+ co7rue8a (ue no est en una lista
ne$ra. Para ello+ 7uede hacer las co7ro8aciones 7or direccin i7 o 7or no8re
?5D-8l+ >9-8l@.
Da# (ue tener cuidado con ellas 7uesto (ue si no estn actualizadas 7ueden 7ro*ocar
7Ardidas de correos.
Listas actualizadas constanteente # recoendadas 7ara su uso<
c8l.a8useat.or$ htt7<EEc8l.a8useat.or$E
dul.dns8l.sor8s.net htt7<EEwww.dns8l.nl.sor8s.netE
s8lKx8l de s7ahaus htt7<EEwww.s7ahaus.or$Ex8lE
list.ds8l.or$ htt7<EEds8l.or$E
co8ined.r8l.sr8l.net htt7<EEwww.sr8l.coE
8l.s7aco7.net htt7<EEwww.s7aco7.netE
Postfix 7erite fcilente *erificar (ue el cliente (ue ha esta8lecido la conexin -%3P
o el reitente del ensa;e no est inscrito en al$una de las listas ne$ras (ue se
desi$nen.
Para ello+ en main.c'+ en la directi*a smtpd3client3restrictions+ acti*areos el
ecaniso de *erificacin<
smtpdJclientJrestrictions C
re5ectJrblJclient rela,s.ordb.or#
re5ectJrhsblJclient rela,s.ordb.or#
>e esta fora+ Postfix *erificar (ue la traduccin in*ersa de la direccin IP del cliente
?re;ect)r8l)client@ o el no8re de host del cliente ?re;ect)rhs8l)client@ no a7arece
inscrito en la 5CL rela#s.ord8.or$.
=ste ti7o de restriccin ta8iAn es a7lica8le en el coando %1IL F50% a tra*As de la
directi*a smtpd3sender3restrictions<
smtpdJsenderJrestrictions C
re5ectJrhsblJsender rela,s.ordb.or#
33
11./. !E$!ICCI"NE$ "!IEN(D($ ( L( C"NE2I#N DEL
CLIENE
Postfix 7erite deliitar los clientes a los (ue 7eritir esta8lecer una sesin -%3P.
Para ello dis7one de la directi*a smtpd3client3restrictions+ (ue entre otros criterios+
7erite rechazar las conexiones desde clientes cu#a direccin IP no dis7on$a de
resolucin in*ersa en el >9-. =sta edida a#uda a frenar la 7osi8le entrada de
-P1%.
smtpdJclientJrestrictions C re5ectJun3nownJclient
11.4. !E$!ICCI"NE$ "!IEN(D($ (L $(LUD" INICI(L
9oralente los sisteas de $estin de correo no o8li$an a iniciar el esta8leciiento
de sesin ediante la directi*a D=L0 o =DL0 en caso de =-%3P. =s s+ ta7oco
suelen 7ro7orcionar ecanisos (ue 7eritan analizar el no8re del sistea (ue
est identificndose.
Postfix dis7one de la directi*a smtpd3helo3re,uired+ (ue dndole el *alor #es
o8li$a a (ue el sistea reoto inicie la sesin con la directi*a D=L0 o =DL0. Por
defecto este 7aretro est a no. 08li$ar a iniciar la sesin con D=L0E=DL0 #a en s
inutiliza al$unas herraientas utilizadas 7ara -P1% # al$Fn (ue otro *irus.
smtpdJheloJreuired C ,es
=n con;uncin con la anterior directi*a se dis7one ta8iAn de smtpd3helo3restrictions+
(ue 7osi8ilita esta8lecer criterios (ue 7eriten continuar o no con la sesin. 1un(ue
existen hasta doce criterios a7lica8les+ la confi$uracin 8sica recoendada es<
smtpdJheloJrestrictions C
re5ectJin=alidJhostname
re5ectJun3nownJhostname
re5ectJnonJ<dnJhostname
%ediante el criterio reject3invalid3hostname se rechazarn todas las sesiones en las
(ue el no8re 7ro7orcionado en la directi*a D=L0E=DL0 estA al forado.
Con el criterio reject3un+no.n3hostname se rechazarn todas las sesiones en las (ue
el no8re del sistea 7ro7orcionado no ten$a una entrada 1 en un >9- o dis7on$a
de un re$istro %B.
[ 7or Fltio+ con el criterio reject3non3*,dn3hostname se rechazarn todas las
sesiones en las (ue el no8re del sistea indicado en la directi*a D=L0E=DL0 no
estA en fora F.>9+ es decir+ (ue sea un no8re co7leto.
3"
11.8. !E$!ICCI"NE$ "!IEN(D($ (L !E)IENE
La co7ro8acin reject3un+no.n3sender3domain se 8asa en *erificar (ue+ si nos
en*an un correo desde+ 7or e;e7lo 7e7itoZdeusto.es+ deusto.es tiene un re$istro 1
o %B asociado. -i no lo tiene se rechazar el correo.
re5ectJun3nownJsenderJdomain
Con reject3non3*,dn3sender se exi$ir (ue el doinio del ser*idor (ue nos en*a el
correo sea F.>9. Por e;e7lo+ se rechazara un correo de 7e7itoZdeusto 7ero se
ace7tara de 7e7itoZdeusto.es
re5ectJnonJ<dnJsender
3'
1/.1IL!"$ DE C"!!E"
=l 7ro7io Postfix i7leenta filtros de correo (ue se 7ueden a7licar a las ca8eceras #
a los cuer7os de los ensa;es.
Las o7ciones a incluir en el fichero ain.cf son 7eader?c7ec@s # body?c7ec@s.
Coo su no8re indica+ header)checks filtrar ediante ex7resiones re$ulares
?ta8las de ti7o re$ex7<E@ las ca8eceras del ensa;e+ # 8od#)checks se ocu7ar de
filtrar el cuer7o. =sto no de8e usarse coo antis7a ni coo anti*irus+ sino coo un
Atodo adicional de 7roteccin. -a8eos (ue uchos $usanos (ue se en*an 7or
correo electrnico suelen usar el iso asunto en el ensa;e+ o 7ala8ras cla*e en el
cuer7o del ensa;e+ de odo (ue 7odraos utilizar esto 7ara filtrar esos ensa;es no
deseados.
1/.1. 1IL!(D" &"! C(9ECE!($
La 7osi8ilidad de filtrar los ensa;es en 8ase a las ca8eceras de los isos # a
7atrones definidos ediante ex7resiones re$ulares lo$ra co8atir un $ran nFero de
*irus # s7a.
>e esta anera+ todo ensa;e (ue conten$a una ca8ecera (ue cu7la un
deterinado 7atrn ser rechazado autoticaente. Gn e;e7lo de fichero de
7atrones 7odra ser<
K[Sub5ect2."X*!>R!."K RE:E4$
K[Sub5ect2 *0OXEROUK RE:E4$
K[1rom2."eresalud.comK RE:E4$
=n Al+ se filtran ensa;es 7or ca7o asunto ?e*itando el s7a de *ia$ra # el *irus
IL0:=[0G@ # 7or ca7o fro.
-u7oniendo (ue este fichero es EetcE7ostfixEheaders)checks+ 7ara acti*ar el
filtrado 7or ca8eceras ser necesario incluir en el fichero ain.cf la si$uiente directi*a<
headerJchec3s C re#eEp2KetcKpost<iEKheaderJchec3s
Daceos un reload de Postfix 7ara (ue recar$ue la nue*a confi$uracin # #a lo
teneos funcionando.
3,
1/./. 1IL!(D" &"! C"NENID"
>e i$ual anera (ue se 7ueden filtrar ensa;es en 8ase a 7atrones (ue se definen
so8re las ca8eceras de los ensa;es+ ta8iAn se 7ueden definir 7atrones (ue se
a7licarn al contenido de los ensa;es.
K!n, problems with ereH5cIH5cItion\V Otr,U>etP XHa-L*IHa-L*I!>R!K RE:E4$
=n este e;e7lo se rechazan todos los ensa;es (ue conten$an en cual(uier
7arte del cuer7o al$una de las 7ala8ras o frases indicadas. -u7oniendo (ue este
fichero es EetcE7ostfixE8od#)checks+ 7ara acti*ar el filtrado 7or contenidos en el
ensa;e ser necesario incluir en el fichero ain.cf la si$uiente directi*a<
bod,Jchec3s C re#eEp2KetcKpost<iEKbod,Jchec3s
3!
14.()(*I$D+NEB
1a*isd2new es una a7licacin 8asada en un scri7t de Perl flexi8le # de alto
rendiiento (ue se e;ecuta coo un ser*icio+ con un 7roceso aestro # otro hi;o.
-ir*e de interfaz de filtrado entre un %31 # otras a7licaciones ?7or e;e7lo+ un
anti*irus o un antis7a@ actuando coo un ser*idor -%3P+ reci8iendo el ensa;e de
correo del ser*idor Postfix+ 7rocesndolo # en*indolo o de*ol*iAndolo al ser*idor
-%3P.
1co7aJareos a 1%a:I- de dos a7licaciones auxiliares< Cla1: 7ara el filtro de
correo con *irus # -7aassassin 7ara el filtrado de correo no deseado.
=l funcionaiento de filtrado es el si$uiente< un correo ha de lle$ar a nuestro 7uerto 2'
?Postfix@. =ste ser en*iado al 7uerto 1662" ?7or e;e7lo@ de 1%a:I-+ # 1%a:I- una
*ez analizado+ nos lo en*iara de nue*o a otro 7uerto ?el 1662' 7or e;e7lo@ de Postfix
sin restriccin al$una entre ellos. =l 7or(uA de (ue se en*e a otro 7uerto es (ue si
1%a:I- de*uel*e el correo analizado a Postfix 7or el 2'+ Postfix *ol*er a
entre$rselo # entrara en un 8ucle infinito. -i haceos (ue Postfix reci8a correo de
1%a:I- en otro 7uerto+ el 7ro8lea se soluciona.
Procedereos a instalar 1%a:I- de los re7ositorios con el si$uiente coando<
# apt-get install amavisd-new
34
Lo 7riero es aJadir al master.c' un nue*o ser*icio de st7d secundario escuchando
en el 7uerto 1662'.
smtp-amavis unix - - - - 8 smtp
-o smtp_data_done_timeout=1200
-o disable_dns_lookups=yes
127.0.0.1:10025 inet n - - - - smtpd
-o content_filter=
-o local_recipient_maps=
-o relay_recipient_maps=
-o smtpd_restriction_classes=
-o smtpd_client_restrictions=
-o smtpd_helo_restrictions=
-o smtpd_sender_restrictions=
-o smtpd_recipient_restrictions=permit_mynetworks,reject
-o mynetworks=127.0.0.0/8
-o strict_rfc821_envelopes=yes
Lo (ue estaos consi$uiendo con esto es 7oner a la escucha en localhost ?slo
7odreos acceder 7or 8ucle local@+ en el 7uerto 1662'.
=ditaos el fichero ain.cf 7ara aJadir la o7cin (ue hace (ue los correos (ue lle$uen
se reen*en al 1%a:I-.
contentJ<ilter C smtp2H1%(.0.0.1I2100%7
1hora los correos lle$arn a Postfix # sern+ una *ez ace7tados+ en*iados al 7uerto
1662". >es7uAs+ cuando 1%a:I- analice el correo+ lo en*iar al 7uerto 1662'. Para
esto teneos (ue editar el fichero de confi$uracin de 1%a:I-
?EetcEaa*isEaa*isd.conf@ # aJadir la si$uiente lnea<
G<orward method C ]smtp21%(.0.0.12100%.]N
1s le decios a 1%a:I- (ue rein#ecte los ensa;es a Postfix usando st7 en
localhost 7or el 7uerto 1662'.
0tras o7ciones (ue nos interesan dentro del fichero aa*isd.conf son<
GsaJta#%Jle=elJde<lt C B.&N
GsaJ3illJle=elJde<lt C GsaJta#%Jle=elJde<ltN
=sto nos indica el ni*el en el cual un correo es considerado coo -P1%. =sto lo
analizareos con s atencin en el a7artado de -7a1ssassin.
1%a:I-+ usando las a7licaciones coo Cla1: o -7aassassin+ 7uede detectar si
el contenido del ensa;e es deseado o no. Con las si$uientes o7ciones le indicareos
(uA hacer con los ensa;es no deseados<
G<inalJ=irusJdestin, C 6 6*S4!R6N
G<inalJspamJdestin, C 6 P!SSN
3/
Con <*inal3spam3destiny se indica (uA hacer en caso de (ue el correo sea detectado
coo -P1% # con <*inal3virus3destiny+ la accin a toar con un ensa;e contenedor
de *irus. -i es un *irus+ lo s recoenda8le es descartarlo # si es -P1%+ de;arlo
7asar 7uesto (ue el correo #a tendra la cabecera X-SPAM-Flag: Yes. >e esta
anera de;aos (ue el usuario toe la decisin de (uA hacer con el ensa;e #
e*itaos 7Ardidas de ensa;es 7or falsos 7ositi*os ?los clientes de correo detectan
(ue el ensa;e tiene el fla$ de -P1% acti*ado # lo arca coo tal@.
5einiciaos entonces 1%a:I- # Postfix 7ara (ue car$uen la nue*a confi$uracin<
D KetcKinitd.dKama=is restart
D KetcKinitd.dKpost<iE restart
Con esto #a est todo 7re7arado. Postfix escuchando en el 7uerto 2'+ 1a*is en el
1662" # una se$unda instancia de Postfix en el 1662'.
"6
18.CL()(*
Cla1: es otra herraienta utilizada en la ins7eccin de ensa;es electrnicos (ue
7erite identificar si el contenido del correo es un *irus. 1%a:I- le 7asar los
ensa;es 7ara (ue los ins7eccione # lue$o Cla1: los de*ol*er.
Para instalarlo desde los re7ositorios<
#apt-get install clamav clamav-daemon
3ras instalar nos 7re$untar coo (uereos actualizar la 8ase de datos anti*irus de
Cla1:. -eleccionaos el Atodo cron.
1 continuacin nos 7re$unta cual ser el ser*idor con el (ue sincronizar la 8ase de
datos. =s con*eniente usar uno 7rxio a nosotros+ 7or lo (ue esco$ereos el de
=s7aJa db.es.clama=.net ?=s7aJa@.
-i usaos 7rox#+ de8eos eter su confi$uracin.
Por Fltio nos 7re$unta si (uereos recar$ar la 8ase de datos cada *ez (ue se
actualizan las re$las. Contestareos (ue no 7ues de eso se ocu7ar 1a*is.
=n este 7aso el Cla1: actualizar su 8ase de datos autoticaente.
Para (ue todo se inte$re correctaente+ Cla1: tiene (ue e;ecutarse con un usuario
del $ru7o aa*is 7or lo (ue lo aJadireos<
# adduser clamav amavis

=n el fichero de confi$uracin de Cla1: ?EetcEclaa*Eclad.conf@ se 7uede
es7ecificar si (uereos escanear el correo entero o solaente los ad;untos con las
o7ciones -can1ail # -can5rchive. Las coentaos o descoentaos a nuestro
$usto.
3a8iAn instalareos desco7resores 7ara (ue Cla1: 7ueda analizar los archi*os
co7riidos<
# apt-get install lha arj unrar zoo nomarch lzop arc unzoo
5einiciaos entonces 1%a:I- # Cla1:<
#/etc/init.d/clamav-daemon restart
#/etc/init.d/amavis restart
>entro del 7a(uete de Cla1: ta8iAn se inclu#e la herraienta clascan (ue
7erite escanear ficheros desde la lnea de coandos en 8usca de *irus.
#clamscan [opciones] [archivo/directorio/-]
"1
=scanea directorios de fora recursi*a<
#clamscan r
%uestra slo los archi*os infectados<
#clamscan i
Puarda el resultado del escaneo en el archi*o indicado<
#clamscan l ARCHIVO
"2
1<.$&()($$($$IN
=l s7aassassin es un filtro anti2-P1% (ue funciona en la 7arte ser*idora # realiza un
anlisis de cada ensa;e (ue le 7asa 1%a:I-+ a7licando una serie de re$las (ue *an
7untuando el ni*el de -P1%. Consiste en un ecaniso heurstico 8asado en re$las #
7onderaciones 7redefinidas incor7orados en un al$orito 8a#esiano. 1des los
usuarios 7ueden entrenarle 7ara (ue a7renda.
Para 7roceder a instalarlo<
Dapt-#et install spamassassin
Para (ue 1%a:I- ha$a uso de -7aassassin+ en el archi*o de confi$uracin de
1%a:I- se a de coentar la lnea<
@b,passJspamJchec3sJacl C wO . PN
1hora 7rocedereos a confi$urar el filtro de correo -7aassassin. Coo lo usareos
con 1%a:I-+ editareos los si$uientes ficheros de confi$uracin<
- =l de -7aassassin< etcEs7aassassinElocal.cf
- =l de 1%a:I-< EetcEaa*isEaa*isd.conf.
>e8eos tener claro (ue las o7ciones de amavisd.con* 7re*alecern so8re las de
local.c*.
1$re$aos estas o7ciones en amavisd.con'<
$sa_local_tests_only = 0;
Lo desacti*areos 7ara (ue ha$a todo ti7o de restricciones+ re(uieran conexin a
Internet o no. =s Ftil si usseos listas ne$ras en -7a1ssassin.
$sa_timeout = 30;
3ie7o 7ara llaar a -7a1ssassin. Cuando se realiza al$Fn ti7o de consulta a
Internet 7uede (ue el ser*idor no res7onda+ as (ue 7odeos esta8lecer un tie7o
antes de dar el error de T3ie7o de es7era a$otadoU.
$sa_mail_body_size_limit = 150*1024;
=sta8lece el taaJo xio en 8#tes del cuer7o de un ensa;e 7ara (ue no sea
analizado. Coo dice el fichero de confi$uracin+ solaente uno de cada 166
ensa;es de -P1% so8re7asa los ," LC. Le heos asi$nado 1'6^162" 8#tes+ 1'6
LC. La *erdadera utilidad es no consuir recursos si el ensa;e es u# $rande 7ues
7odeos estar casi se$uros de (ue no ser -P1%.
$sa_tag_level_deflt = -100;
-7aassassin aJade unas ca8eceras a los ensa;es cuando el ni*el de 7ro8a8ilidad
de -P1% es su7erior a este *alor. =s interesante tener sie7re esas ca8eceras
7resentes as (ue lo confi$urareos a 2166. =sto har (ue sie7re se a$re$uen
ca8eceras 7uesto (ue es casi i7osi8le (ue el *alor sea enor de M166.
"3
$sa_tag2_level_deflt = !3;
=ste es el ni*el (ue deterina si un ensa;e se considera coo -P1% o no. Para
co7ro8ar (ue el ni*el (ue heos esta8lecido es el correcto+ de8eos 7ro8ar
en*iando correos # reci8iendo 7ara o8ser*ar si con cierto ni*el teneos falsos
7ositi*os.
Cuando Postfix reci8e un ensa;e se lo 7asa a 1%a:I- (ue a su *ez se lo en*a al
deonio de -7a1ssassin+ (uien 7rocede a e;ecutar una serie de co7ro8aciones
so8re Al.
Cada una de estas co7ro8aciones aJade o (uita unas 7ocas ilAsias de
7untuacin a dicho correo. -i la 7untuacin (ue asi$na es 7ositi*a+ es (ue tiene cierto
7arecido con el s7a\ 7or contra+ si esa 7untuacin es ne$ati*a+ es (ue tiene 7arecido
con correo *lido.
1s+ una *ez 7asados todos los anlisis+ se suan las 7untuaciones 7ara hallar la
7untuacin total de dicho correo. -i esa 7untuacin est 7or encia de
<sa3ta)$3level3de*lt+ el ensa;e 7odr ser arcado coo s7a. -i 7asa 7or encia
de <sa3+ill3level3de*lt+ ser directaente descartado.
$sa_"ill_level_deflt = $sa_tag2_level_deflt;
Con esta o7cin confi$urareos cual ser el *alor con el cual se rechazar el correo.
Lo s coFn es (ue se rechace con el *alor esta8lecido en el 7aretro anterior
?7ues con ese #a creeos (ue es -P1%@.
$sa_dsn_cutoff_level = 10;
Cuando un correo es detectado coo -P1%+ un ensa;e se en*a a 7ostaster. -i
so8re7asa este ni*el+ 16+ no se en*iar ese a*iso # se rechazar sin s.
$sa_s#am_sub$ect_tag = %***&'()***%;
Con esta o7cin aJadireos al asunto el texto (ue 7on$aos.
$sa_s#am_modifies_sub$ = 1;
-in esta o7cin acti*ada+ la anterior no funcionar+ es decir+ no se 7onen ca8eceras.
1<.1. (&!ENDIJ(KE EN L( CL($I1IC(CI#N DE $&()
-7a1ssassin inclu#e utilidades 7ara la $estin de su 8ase de conociiento so8re lo
(ue es o no s7a< 7rinci7alente sa2learn ?-7a1ssassin learn@+ (ue toa coo
entrada un archi*o o una car7eta de archi*os 7rocedentes de correos electrnicos #
los arca coo s7a. =s el entrenador de -7a1ssassin.
Dsa-learn HopcionesI archi=oKs de correo
=sas o7ciones 7ueden ser<
22ha< a7rende los correos del archi*o coo no s7a.
22s7a< a7rende los ensa;es coo s7a.
22for$et< ol*ida el ensa;e (ue le hicios a7render.
""
22du7 Wall _ data _ a$icX< uestra los contenidos de la 8ase de datos
8a#esana.
228acku7< hace un 8acku7 a la salida -3>0G3 de la 8ase de datos.
22restore NficheroO< recu7era una 8ase de datos del fichero.
"'
",
(NE2" (L CE!I1IC(D"$
-i se 7retende ofrecer ser*icios de correo electrnico+ es s (ue recoenda8le usar
un certificado B.'6/ (ue estA firado 7or una autoridad certificadora ?C1+ del in$lAs
!erti*icate 5uthority@ reconocida+ coo :erisi$n+ (ue $arantice (ue un certificado
7ertenece a su le$tio 7ro7ietario. -in e8ar$o+ esto su7one una i7ortante sua
de dinero.
-i slo se *a a usar en la red local de una e7resa 7e(ueJa o ediana+ o
si7leente se (uiere disfrutar de las counicaciones cifradas a ttulo 7ersonal+
7osi8leente sea suficiente con crear una autoridad certificadora nosotros isos #
firar con ella los certificados. =n cual(uier caso+ a8as soluciones son i$ual de
se$uras\ es una cuestin de foralidad ante el cliente o usuario.
Gn certificado B.'6/ es t7icaente un archi*o (ue contiene la si$uiente inforacin<
9o8re >istinti*o de la entidad. Inclu#e la inforacin de identificacin ?el
no8re distinti*o@ # la lla*e 7F8lica.
9o8re >istinti*o de la 1utoridad Certificadora. Identificacin # fira de la
1utoridad Certificadora ?C1@ (ue fir el certificado.
Perodo de :alidez. =l 7erodo de tie7o durante el cual el certificado es
*lido.
Inforacin adicional. Puede contener inforacin adinistrati*a de la C1
coo un nFero de serie o *ersin.
Por tanto+ los certificados estn firados electrnicaente 7or la 1utoridad de
Certificacin utilizando su cla*e 7ri*ada. =sto re(uiere de<
Gn 7ar de cla*es+ una 7F8lica # una 7ri*ada ?cla*es 5-1 o >-1+ encri7tacin
asiAtrica@. La cla*e 7F8lica es ex7uesta a todo el undo # la 7ri*ada es slo
conocida 7or el eisor. Con nuestra C1 $enerareos tanto la cla*e 7F8lica
coo la 7ri*ada.
Gn certificado de se$uridad+ (ue es una *ersin YfiradaY o *erificada de la
cla*e 7F8lica 5-1 o >-1.
1 continuacin+ ontareos nuestra 7ro7ia C1 7ara firar certificados.
Priero de8eos instalar el 7a(uete de herraientas 07en--L de los re7ositorios<
Dapt-#et install openssl
07en--L se confi$ura ediante el archi*o /etc/ssl/openssl.cn*+ donde 7odeos
es7ecificar las car7etas donde (uereos (ue se $uarden los certificados # las cla*es e
inforacin (ue incluireos en los certificados.
"!
(. 1. C!E(CI#N DE UN( (U"!ID(D CE!I1IC(D"!(
07en--L 7ro7orciona un scri7t en 7erl 7ara crear la autoridad certificadora # los
certificados< C1.7l. Con el 7aretro =ne.ca se $enerar<
DKusrKlibKsslKmiscK4!.pl -newca
Con este coando creaos una C1 7ara certificados B.'6/. Gna *ez lanzado el
coando+ se nos 7edirn una serie de datos<
Introducios la P=% 7ass 7hrase dos *eces.
=l cdi$o de 7as con dos letras<
4ountr, ?ame O% letter codeP H!UI2 SP
9o8re de la 7ro*incia o estado<
State or Pro=ince ?ame O<ull nameP HSome-StateI2 +iL3aia
9o8re de la ciudad<
0ocalit, ?ame Oe#; cit,P H I2 +ilbao
9o8re de la or$anizacin<
Or#aniLation ?ame Oe#; compan,P H*nternet Wid#its Pt, 0tdI2
Empresa 0oretahur; S.0.
La unidad or$anizati*a<
Or#aniLational Unit ?ame Oe#; sectionP H I2 Ser=icio *n<ormFtico
1(u *a el no8re del host 7ara el (ue creaos el certificado ?en nuestro caso
ail.7rue8a.co@. -i no+ el cliente de correo del usuario le indicar (ue 7uede (ue el
certificado no sea *lido.
4ommon ?ame Oe#; ROUR nameP H I2 mail.prueba.com
>ireccin del adinistrador del ser*idor<
Email !ddress H I2 postmaster@prueba.com
3ras introducir todos los datos de la autoridad certificadora+ se $enera la cla*e 7ri*ada
?cake#.7e@ # el certificado de la C1+ al cual se reitir al cliente cuando (uiera
co7ro8ar la autenticidad del certificado (ue le ha en*iado nuestro ser*idor Postfix
?cacert.7e@.
Gna *ez $enerada la cla*e 7ri*ada+ de8ereos ca8iarle los 7erisos 7ara (ue sea
de solo lectura Fnicaente 7ara el 7ro7ietario del fichero+ 7uesto (ue la cla*e 7ri*ada
no de8e ser o8tenida 7or nadie.
Dchown root ca3e,.pem
Dchmod 700 ca3e,.pem
"4
(. /. C!E(CI#N DE UN CE!I1IC(D"
1ntes de hacer un certificado+ ha# (ue hacer una 7eticin de fira donde se defina el
7ro7ietario del certificado<
DKusrKlibKsslKmiscK4!.pl -newre
Coo en la creacin de la C1+ se introducen los datos del certificado ?7as+ 7ro*incia+
or$anizacin+... # la contraseJa 7ara el certificado@.
=sto $enera un fichero denoinado newre(.7e (ue contiene la solicitud de fira del
certificado # la cla*e 7ri*ada cifrada.
(. 4. 1I!)(! EL CE!I1IC(D" C"N NUE$!( C(
Gna *ez (ue la 7eticin se crea+ 7odeos e7lear la C1 7ara firarla.
DKusrKlibKsslKmiscK4!.pl -si#n
Gna *ez lanzado el coando nos 7edir el 7assword de la C1 (ue lo eite # el fichero
newcert.7e se $enerar. 9ewcert.7e es el certificado 7F8lico (ue en*iareos al
cliente 7ara esta8lecer la counicacin se$ura.
1hora 7odeos reno8rar los ficheros # o*erlos a la car7eta de tra8a;o del ser*icio
(ue necesita ese certificado.
Dm= newcert.pem smtpdJcert.pem
Dm= newre.pem smtpdJ3e,.pem
"/
!ECU!$"$
P$ina 0ficial de Postfix< htt7<EEwww.7ostfix.or$
P$ina 0ficial de Courier< htt7<EEcourier2ta.or$
P$ina 0ficial de %#-.L< htt7<EE#s(l.co
P$ina 0ficial de 1%a:I-< htt7<EEaa*is.or$
P$ina 0ficial de Cla1:< htt7<EEclaa*.net
P$ina 0ficial de Spamassassin: http://spamassassin.apache.org/
Pgina Oficial de Openssl http://www.openssl.org
P$ina de 5CLSs< htt7<EEr8ls.or$
Manual de creacin de certificados ! "#:
htt7<EEwww.o7enssl.or$EdocsEa77sEC1.7l.htl
Postfix+ Courier # %#-.L. `l*aro %arn Illera<
htt7<EEwww.e2$host.deusto.esEdocsEarticulo.7ostfix#s(l.htl
-isteas de Correo en P9GELinux. Iker -a$asti %arkina<
htt7<EEdocuentacion.irontec.coEsistea)correo.7df
Postfix< 3he >efiniti*e Puide+ >yle 7. 7ent+ 0S5eill# >icie8re 2663
'6
LICENCI(
!econocimiento+NoComercial+Com-artirI%ual /.< Es-aMa
Usted es libre deL
co7iar+ distri8uir # counicar 7F8licaente la o8ra
hacer o8ras deri*adas
9ajo las condiciones si%uientesL

!econocimiento. >e8e reconocer los crAditos de la o8ra de la
anera es7ecificada 7or el autor o el licenciador.

Com-artir bajo la misma licencia. -i altera o transfora esta
o8ra+ o $enera una o8ra deri*ada+ slo 7uede distri8uir la o8ra
$enerada 8a;o una licencia idAntica a Asta.
No comercial. 9o 7uede utilizar esta o8ra 7ara fines coerciales.
1l reutilizar o distri8uir la o8ra+ tiene (ue de;ar 8ien claro los tArinos de la licencia de
esta o8ra.
1l$una de estas condiciones 7uede no a7licarse si se o8tiene el 7eriso del titular de
los derechos de autor
Los derec7os derivados de usos le%;timos u otras limitaciones reconocidas -or
ley no se ven a'ectados -or lo anterior.
Creati*e Coons
'1