Professional Documents
Culture Documents
1. Instala en PCserver los servidores de correo postfix y dovecot estableciendo que postfix se instale con
configuración modo sitio de Internet para el dominio tudominio.org creado en la tarea 2 (adjuntar
captura de pantalla de elección de modo sitio Internet).
2. A partir del archivo de configuración de postfix, escribe el contenido de las directivas que se indican:
a) Redes desde las que se pueden enviar correos. Si no incluye la red 192.168.N.0/24 a la que
pertenece Cserver, la debes incluir.
b) Nombre de carpeta para buzones de usuario.
c) Destinos para los que el servidor puede enviar mensajes o almacenarlos en buzones.
d) Filtro aplicado sobre destinatarios de los mensajes de correo
4. Crea en PCserver los usuarios ana y jorge para que puedan tener cuentas de usuario de correo pero no
iniciar sesión en el sistema. (escribe los comandos para realizarlo).
5. Inicia desde PCserver una conexión Telnet con el servidor de correo para que Ana envíe un mensaje de
correo a Jorge. (captura de pantalla de la conexión hasta finalizar el envío).
6. Accede al buzón de Jorge y comprueba que ha recibido el correo. (captura de pantalla de carpeta y
contenido del archivo del mensaje mostrado con un editor de texto).
7. Configura en PC2 una cuenta de usuario en Thunderbird para Ana y en PCserver una cuenta de
usuario en Thunderbird para Jorge. Las dos tienen que ser cuentas de correo en el dominio
tudominio.org. (capturas de pantalla que muestren que las cuenta de Ana y de Jorge tienen
correctamente configurados los servidores SMTP y POP).
9. Crea un certificado para que Ana pueda firmar mensajes de correo, agrega el certificado en
Thunderbird y envía con la cuenta de Ana un correo firmado a Jorge. (Capturas de pantalla que
demuestren la realización del envío y de agregación y creación del certificado).
Página 1 de 31
RUBEN DE ABUIN DELGADO
1. Instala en PCserver los servidores de correo postfix y dovecot estableciendo que postfix se instale con
configuración modo sitio de Internet para el dominio tudominio.org creado en la tarea 2 (adjuntar
captura de pantalla de elección de modo sitio Internet).
Arrancamos primeramente el router virtual para usar la red con máquina virtual IPCORP y
seguidamente el servidor Debian, en el cual realizaremos un sudo apt-get update y upgrade para actualizar los
paquetes instalados.
ATENCION!!!
Extraño pero de nuevo sin tocar la máquina virtual Debian desde anterior tarea, está dañada y me da
error al iniciar mi usuario así que pulso CTR+ALT+F1 para entrar en consola y ejecuto estos comandos con
usuario root y password asignada en instalación asegurándonos antes de tener acceso a internet mediante un
ping.
sudo su
dpkg --configure -a
apt-get -f install
apt-get update
apt-get dist-upgrade
sudo apt-get install gnome
apt-get autoremove
apt-get clean
reboot
http://ubuntuforums.org/showthread.php?t=2239913 y http://architecnologia.blogspot.com.es/2013/12/error-
xauth-sesion-ubuntu.html
Voy a trabajar con este usuario tras aplicarle el nivel de administrador en panel de control de usuarios.
Página 2 de 31
RUBEN DE ABUIN DELGADO
Acerca de Postfix.
Postfix, originalmente conocido por los nombres VMailer e IBM Secure Mailer, es un popular agente de
transporte de correo (MTA o Mail Transport Agent), creado con la principal intención de ser una alternativa
más rápida, fácil de administrar y segura que Sendmail. Fue originalmente escrito por Wietse Venema durante
su estancia en el Thomas J. Watson Research Center de IBM.
URL: http://www.postfix.org/.
Acerca de Dovecot.
Dovecot es un servidor de POP3 e IMAP de fuente abierta que funciona en Linux y sistemas basados sobre
Unix™ y diseñado con la seguridad como principal objetivo. Dovecot puede utilizar tanto el formato mbox
como maildir y es compatible con las implementaciones de los servidores UW-IMAP y Courier IMAP.
URL: http://dovecot.procontrol.fi/.
Página 3 de 31
RUBEN DE ABUIN DELGADO
Para comprobar nombre de dominio y equipo servidor ejecutamos en otra consola cat /etc/hosts y lo
cambiamos en pantalla de configuración de Postfix pulsando Aceptar.
Para configurarlo podemos usar este comando como yo he utilizado para cambiar aulassri.local a
rubendeabuin.org
nano /etc/postfix/main.cf
Página 4 de 31
RUBEN DE ABUIN DELGADO
Por seguridad cuando configuramos Dovecot, el puerto 993 y 143 de IMAPS es el único abierto y nos aparecerá
un aviso causado por systemd socket de Dovecot.
La solución es modificar el fichero dovecot.socket para indicarle que el puerto 143 no es necesario en
systemd. La forma correcta de modificarlo es copiando el archivo dovecot.socket to /etc/systemd/
primeramente, y hacer que systemd lo sepa.
Página 5 de 31
RUBEN DE ABUIN DELGADO
2. A partir del archivo de configuración de postfix, escribe el contenido de las directivas que se indican:
a) Redes desde las que se pueden enviar correos. Si no incluye la red 192.168.N.0/24 a la que
pertenece Cserver, la debes incluir.
nano /etc/postfix/main.cf
Especifica que están autorizados para enviar correo a través del servidor:
home_mailbox = Maildir/
Por defecto viene como home_mailbox = Mailbox lo que indica poner los emails en
/var/mail/$usuario. Al cambiarlo, postfix pone los correos dentro de /home/$usuario/mail en carpetas y archivos
separados, es decir que el buzón de cada usuario se encuentra en la carpeta Maildir dentro del directorio home
de usuario en el sistema y utiliza un fichero diferente por cada email.
c) Destinos para los que el servidor puede enviar mensajes o almacenarlos en buzones.
El servidor almacenará en los buzones correspondientes los correos que lleguen al servidor y vayan destinados a
usuarios de los dominios y de las máquinas especificadas en la directiva.
En la configuración de Postfix hay varias directivas para establecer un filtrado del correo. Filtrar el
correo implica que el servidor analizará la procedencia, el destino y el contenido de los mensajes y en función
de las condiciones que se hayan establecido, rechazar el mensaje o admitir el mensaje y reenviarlo o
almacenarlo según corresponda. Una directiva de filtrado contiene varias restricciones que se van chequeando
sobre cada mensaje en el orden en el que aparecen esas restricciones. En el momento en que una restricción se
corresponda con el mensaje, se aplica la restricción y no se siguen chequeando restricciones.
smtp_sender_restrictions = reject_unknown_sender_domain
En el servidor de correo postfix se pueden establecer los remitentes para los que el servidor reenviará
correo, es decir, se encargará de su transferencia hacia el destino adecuado. Recordemos que si un servidor de
correo no restringe el reenvío de correo a ningún remitente, el servidor se comporta como open relay. Un
servidor open relay puede ser usado para reenviar a través suyo correo no deseado o spam, virus y otros agentes
maliciosos. Para especificar los dominios a los que postfix les reenvía correos se usa en main.cf la directiva
relay_domains.
relay_domains=rubendeabuin.org
Establece que cualquier ordenador perteneciente al dominio rubendeabuin.org puede enviar correo a través del
servidor.
Página 6 de 31
RUBEN DE ABUIN DELGADO
NOTA:
/etc/postfix/main.cf
/etc/mailname
Página 7 de 31
RUBEN DE ABUIN DELGADO
Para integrarlo en la zona DNS, tenemos que editar el fichero /var/lib/bin/rubendeabuin.org.hosts (lo
tenemos creado de la tarea2) y añadir ahí el registro A correspondiente a nuestro PCserver (ya estaba creado) y
la directiva MX (quitamos la que había de server2 y escribimos la correspondiente a PCserver).
Y el fichero de dirección inversa /etc/var/bind/192.168.51.rev para comprobar que tenemos el fichero PTR.
Comprobamos en WEBMIN:
Como no recordaba password de root en Webmin reinicializo password mediante comando:
Cambiando password por la clave que elijamos (en mi caso root) y ya entramos en https://localhost:10000
Por ejemplo, entramos en Servidores - Servidor DNS Bind – rubendeabuin.org – Servidor de correo.
Página 8 de 31
RUBEN DE ABUIN DELGADO
4. Crea en PCserver los usuarios ana y jorge para que puedan tener cuentas de usuario de correo pero no
iniciar sesión en el sistema. (escribe los comandos para realizarlo).
Como queremos que esas cuentas sean cuentas de correo y no puedan iniciar sesión en el sistema operativo
usaremos este código para crearlos en Debian Server.
useradd –m –s /sbin/nologin jorge
useradd –m –s /sbin/nologin ana
Indicando:
-m el comando useradd crea el directorio de trabajo del usuario si no existe.
-s shell por defecto, no lo hacemos con este shell que le dimos es que no le permita la conexión a nuestro
sistema.
Por seguridad a los usuarios FTP o WEB no se asigna una Shell (creado con nologin), en caso que sea
necesario crear usuario con shell, cambiar “-s /sbin/nologin” por “-s /bin/bash”
Los usuarios locales disponen de un buzón donde quedan almacenados los mensajes de correo
recibidos. El buzón de un usuario es por defecto un directorio llamado Maildir dentro del directorio de usuario
en el sistema. Por ejemplo, para el usuario jorge, su buzón se encontrará en el directorio:
/home/jorge/Maildir/
passwd jorge
passwd ana
Página 9 de 31
RUBEN DE ABUIN DELGADO
5. Inicia desde PCserver una conexión Telnet con el servidor de correo para que Ana envíe un mensaje de
correo a Jorge. (captura de pantalla de la conexión hasta finalizar el envío).
telnet 127.0.0.1 25
helo PCServer
mail from:ana@rubendeabuin.org
rcpt to:jorge@rubendeabuin.org
data
subject:SALUDOS
Hola Jorge, soy Ana y te envío este correo como prueba de funcionamiento.
.
Página 10 de 31
RUBEN DE ABUIN DELGADO
6. Accede al buzón de Jorge y comprueba que ha recibido el correo. (captura de pantalla de carpeta y
contenido del archivo del mensaje mostrado con un editor de texto).
Para probarlo haremos un telnet pcserver.rubendeabuin.org 110 y “user” Jorge “pass” 123456.
Y los correos se listaran con “list” y verán con “retr” numero de índice del mail.
Si hubiésemos creado usuario con acceso al Shell podríamos logarnos como Jorge.
login jorge
Como lo que queremos es comprobar su correo electrónico al logarnos nos saldrá un mensaje “Tiene
correo nuevo” y para verlo en caso de que fuera usuario con permisos Shell, escribimos lo siguiente:
Página 11 de 31
RUBEN DE ABUIN DELGADO
Para ver mensajes con pulsar tecla ENTER irá pasando desde ID 1 al último, en mi caso 6 mails de prueba.
Pulsamos CTRL+D, nos preguntará si queremos introducir la opcion CC (Con copia) y si no queremos
pulsamos “Intro” para terminar.
Los correos electrónicos se guardan en carpeta /var/mail/ con su respectivo nombre de destinatario.
Página 12 de 31
RUBEN DE ABUIN DELGADO
7. Configura en PC2 una cuenta de usuario en Thunderbird para Ana y en PCserver una cuenta de
usuario en Thunderbird para Jorge. Las dos tienen que ser cuentas de correo en el dominio
tudominio.org. (capturas de pantalla que muestren que las cuenta de Ana y de Jorge tienen
correctamente configurados los servidores SMTP y POP).
Necesitamos previamente Dovecot, que es un servidor de IMAP y POP3 de código abierto para
sistemas GNU/Linux/ UNIX-like, escrito fundamentalmente pensando en la seguridad. Instalamos el servicio
dovecot.
Página 13 de 31
RUBEN DE ABUIN DELGADO
Y entramos en el archivo de configuración de mail para configurar formato de correo maildir o mbox.
nano /etc/dovecot/conf.d/10-mail.conf
nano /etc/dovecot/conf.d/10-ssl.conf
Cambiamos ssl=no por yes y descomentamos línea de código ssl_cert y ssl_key indicando nombre de claves que
posteriormente crearemos:
ssl = yes
ssl_cert = </etc/ssl/certs/ssl-mail.pem
ssl_key = </etc/ssl/private/ssl-mail.key
Página 14 de 31
RUBEN DE ABUIN DELGADO
smtpd_tls_cert_file=/etc/ssl/certs/ssl-mail.pem
smtpd_tls_key_file=/etc/ssl/private/ssl-mail.key
smtpd_use_tls=yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
# See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for
# information on enabling SSL in the smtp client.
smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated
refect_non_fqdn_recipient
reject_unknown_sender_domain
reject_unknown_recipient_domain
#check_client_access = hash:/etc/postfix/access
myhostname = PCServer.rubendeabuin.org
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
mydestination = rubendeabuin.org, PCserver.rubendeabuin.org, localhost.rubendeabuin.org
relayhost =
mynetworks = 127.0.0.0/8, 192.168.51.0/24
mailbox_command = procmail -a "$EXTENSION"
mailbox_size_limit = 0
message_size = 0
home_mailbox=/Maildir
relay_domains = rubendeabuin.org
recipient_delimiter = +
inet_interfaces = all
Página 15 de 31
RUBEN DE ABUIN DELGADO
#openssl req -new -outform PEM -out ssl-mail.pem -newkey rsa:2048 -nodes -keyout ssl-mail.key -keyform
PEM -days 365 -x509
mv ssl-mail.key /etc/ssl/private/
nano /etc/postfix/master.cf
Página 16 de 31
RUBEN DE ABUIN DELGADO
Ahora probamos el servidor con telnet por puerto 110 como podemos ver en la imagen.
Página 17 de 31
RUBEN DE ABUIN DELGADO
En PCServer primeramente, descargamos la aplicación para Linux desde página oficial de mozilla.org.
Página 18 de 31
RUBEN DE ABUIN DELGADO
Para hacer que nos aparezca icono de acceso a aplicación hay que crear un fichero llamado thunderbird-
desktop en /usr/share/applications con el siguiente código:
[Desktop Entry]
#Nombre de la aplicación
Name=Thunderbird
#Comentario que aparece al seleccionar el lanzador
Comment=Gestor de Correo
#Comando a ejecutar, generalmente el nombre de la aplicación
Exec=/home/invitado/Descargas/thunderbird/thunderbird-bin
#Icono del lanzador, puede ser generico o especificar la ruta del mismo
Icon=/home/invitado/Descargas/thunderbird/chrome/icons/default/default256.png
#Para no abrir una terminal
Terminal=false
#Tipo de archivo
Type=Application
#Codificación del texto
Encoding=UTF-8
#Categoria de la aplicación
Categories=Application;Network;MailClient;Email;News;GTK;
MimeType=message/rfc822;
StartupWMClass=Thunderbird-bin
Ejecutamos aplicación y cancelamos asistente “Creo que configurare….más tarde” para pulsar sobre barra menú
botón derecho y activarlo completamente.
Página 19 de 31
RUBEN DE ABUIN DELGADO
Pulsamos sobre “Editar –Configuración de la cuenta – Servidor de salida SMTP” para añadirlo.
a) Según enunciado no piden en PCserver una cuenta de usuario de Thunderbird para Jorge.
Página 20 de 31
RUBEN DE ABUIN DELGADO
Recordemos que habíamos creado ya en servidor el usuario Ana sin acceso a login y password (123456) con
comandos:
Inicialmente comprobamos fichero /etc/resolv.conf indicando el servidor DNS la IP del servidor PCServer.
Página 21 de 31
RUBEN DE ABUIN DELGADO
Página 22 de 31
RUBEN DE ABUIN DELGADO
Introduciremos datos de cuenta y cuando hace búsqueda pulsaremos sobre Config manual.
Y nos chequea correo, apareciendo una prueba que habíamos realizado con Telnet desde el servidor.
Página 23 de 31
RUBEN DE ABUIN DELGADO
Abrimos servidor con cuenta jorge@rubendeabuin.org configurada y pulsamos sobre “Redactar” para
crear un correo electrónico nuevo. Introduciremos los datos para enviar a ana@rubendeabuin.org.
Página 24 de 31
RUBEN DE ABUIN DELGADO
9. Crea un certificado para que Ana pueda firmar mensajes de correo, agrega el certificado en
Thunderbird y envía con la cuenta de Ana un correo firmado a Jorge. (Capturas de pantalla que
demuestren la realización del envío y de agregación y creación del certificado).
Los Certificados de correo electrónico permiten encriptar y firmar digitalmente los mensajes de correo
electrónico para evitar que puedan ser interceptados, leídos o modificados por terceros, excepto por la persona a
la que va dirigido el mismo. En nuestro caso usaremos openssl para crear la clave privada en el directorio actual
de trabajo con el nombre de clave_ana.cert:
u77
Página 25 de 31
RUBEN DE ABUIN DELGADO
Una vez dispongamos del certificado, debemos importarlo en Thunderbird, para ello debemos abrir el
cliente de correo y acceder a las opciones.
• Abrir las opciones de Thunderbird; Editar – Preferencias – Avanzado –Certificados y accedemos a Ver
Certificados.
Damos de alta el certificado en Thunderbird en ficha Autoridades con botón “Importar” para buscar el
certificado con nombre “certificado_ana.pem”. Este proceso hay que realizarlo en ambos equipos.
Página 26 de 31
RUBEN DE ABUIN DELGADO
Ahora tenemos que importar el certificado personal. Lo haremos en pestaña “Sus Certificados”
importando el nombrado como “certificado_ana.p12”.
En configuración de la cuenta podemos indicarle que use siempre los certificados. Automáticamente
los seleccionará.
Página 27 de 31
RUBEN DE ABUIN DELGADO
Una vez instalado Enigmail, al abrir Thunderbird nos aparece su asistente. Solicita una contraseña
segura para crear la clave pública y privada. En mi caso será “123456789”.
Pass de contraseña para proteger la clave privada tiene que ser mínimo 8 caracteres.
Tras varios minutos termina el proceso y nos indica donde guardar el fichero ASCII armado.
Página 28 de 31
RUBEN DE ABUIN DELGADO
Pulsaremos en Crear certificado de revocacion para el caso de que perdiésemeos la clave privada,
aunque nos da error. A continucación vemos la clave.
Antes de empezar a enviar mensajes de correos cifrados, hay que intercambiar las claves públicas.
También debemos confirmar la validez de cualquier clave que aceptemos mediante la confirmación de que
realmente pertenece al supuesto remitente. Iremos a “Redactar” y ahí a “Enigmail – Adjuntar la clave pública”.
En el correo que enviemos al destinatario (Jorge) nos marcará un adjunto. No tenemos que cifrarlo ni
firmarlo de momento ya que el destinatario tiene que conocer e importar la clave pública del remitente.
Página 29 de 31
RUBEN DE ABUIN DELGADO
Pulsamos sobre el adjunto y Enigmail nos lo reconoce como claves y posibilidad de importarla.
En nuestro caso Ana escribirá un mensaje y para firmarlo iremos a pestaña opciones y “Firmar
digitalmente este mensaje” en el caso de no haber marcado opción anteriormente. Enviamos con la cuenta de
Ana un correo firmado a Jorge pulsando sobre icono con dibujo de un lápiz (de Enigmail).
Nos pide contraseña para desbloquear la clave secreta del certificado de Ana. Recordemos que era 123456789.
Página 30 de 31
RUBEN DE ABUIN DELGADO
Vemos que nos aparece el mensaje y que indica que la firma es correcta.
UTILIDADES:
Manejo de Logs.
Los archivos de logs del servicio de Postfix se encuentran en:
/var/log/
ls mail*
mail.err mail.info mail.log mail.warn
ARCHIVO DESCRIPCION
Siempre hay que estar viendo los logs del archivo mail.log por seguridad, como también para saber
cómo van nuestro mensaje en cola, enviados, rechazados. Para poder hacer esto tendremos que ejecutar el
siguiente comando:
tail -f /var/log/mail.log
Con esto nos mostrara los últimos 10 sucesos del archivo y se quedara como en modo monitor para escucha logs
de tráfico y otros.
Página 31 de 31