Servidor_de_Correo

Gerencia General de Telecomunicaciones/ Oficina de Evaluación Tecnológica

MANUAL DE USUARIOMANUAL DE USUARIO

Servidor de Correo Servidor de Correo EDICIÓN Nº1EDICIÓN Nº1

Este manual se distribuye bajo la licencia de Documentación Libre de GNU, sin restricciones adicionales.

Usted es libre de copiar, distribuir y modificar este texto según los términos de esta licencia. El texto completo

de la licencia puede consultarse en: http://www.gnu.org/copyleft/fdl.html

Av. Universidad, Esquina El Chorro, Torre MCT (antigua sede de Banesco), piso 11, La Hoyada, Caracas Telf. 0212-7718800. Fax 0212-771.86.48

Sitio Web: www.cnti.gob.ve

http://www.cnti.gob.ve/

http://www.gnu.org/copyleft/fdl.html


1.INTRODUCCIÓN ¿QUÉ ES UN SERVIDOR DE CORREO?

Es una aplicación informática que nos permite enviar mensajes (correos) de unos usuarios a otros, con independencia de la red que dichos usuarios estén utilizando. Entre los más usados se encuentran sendmail y Exim este último predeterminado en la distribución GNU/Linux Debian.

2.LICENCIA

Uso de su distribución bajo GNU/Linux Debian

3. REQUERIMIENTOS MÍNIMOS DE HARDWARE Y SOFTWARE

HARDWARE

Procesador

– Pentium 133 Mhz

– Memoria 512Mb

– Bus ISA

– Disco Duro 2 Gb

– CD-ROM 10 x

– Interfaz gráfica y Monitor : Super VGA Color

– Puertos: 1 Serial, 1 Paralelo

– Discos flexibles: Unidad de diskettes de 3 ½", 1.44 Mb.

– Unidad de respaldo: Unidad de respaldo acorde con la capacidad de almacenamiento instalada. Ejemplo: Iomega Zip 100. Iomega Jazz 2 Gb.

- Modems y líneas discadas: Uno o más de 33600 bps con sus correspondientes líneas discadas en aquellas instalaciones donde se desea prestar el servicio de acceso remoto discado.

SOFTWARE

Antivirus

ClamAV: Es un excelente antivirus libre que detecta, entre otros, virus para la plataforma Windows. Al ejecutarse en sistemas GNU/Linux, que son inmunes a tales amenazas, ofrece una protección confiable ante las mismas.



http://www.clamav.net/

http://es.wikipedia.org/wiki/Debian

http://es.wikipedia.org/wiki/GNU/Linux

http://es.wikipedia.org/wiki/Debian

http://es.wikipedia.org/wiki/GNU/Linux

http://es.wikipedia.org/wiki/Exim

http://es.wikipedia.org/wiki/Sendmail

http://es.wikipedia.org/wiki/Usuario

http://es.wikipedia.org/wiki/Correo_electr?nico


Entre sus principales características incluye actualizaciones automáticas, siendo destacado por la velocidad de su equipo y mantenimiento en la inclusión de detección de nuevos virus.

Filtro de spam

SpamAssassin: Es un filtro de spam de reconocida eficacia. A través de varios mecanismos (algoritmos de aprendizaje, listas negras actualizables, etc.) logra detectar un elevado porcentaje de correo basura, arrojando una mínima cantidad de "falsos positivos". Su eficiencia se traduce en mínimos requerimientos de hardware.

Webmail

OpenWebmail: Es uno de los webmails libres más utilizados. De uso muy simple, está dotado de una serie de herramientas muy potentes, entre las que se cuentan:

• Libreta de direcciones: Con la posibilidad de mantener direcciones y grupos personales (por usuario) y globales (compartidas por todos los usuarios).

• Agenda y calendario: Para guardar eventos, compromisos, citas, etc. • Disco web: Permite acceder a los archivos ubicados en el servidor a través de una

interfaz web, con la posibilidad de almacenar en el mismo los archivos adjuntos de los mensajes recibidos y de adjuntarlos en mensajes salientes.

4.INSTALACIÓN

Instalación de Postfix

• Eliminar sistemas de correo anteriores, Debian por defecto usa Exim, por lo que hay que desinstalarlo.

apt-get remove --purge exim4 exim4-base exim4-config exim4-daemon-light

• Se instala postfix:

apt-get install postfix

• Escoger en la configuración "Internet Site" • Indica el nombre de la máquina con el dominio (FQDN): mail.sl.cnti.gob.ve

Configuración del servidor

• En el archivo /etc/postfix/main.cf

myorigin = /etc/mailname smtpd_tls_cert_file=/etc/ssl/certs/mail.crt



http://openwebmail.org/

http://spamassassin.apache.org/


smtpd_tls_key_file=/etc/ssl/private/mail.keysmtpd_use_tls=yesmyhostname = mail.sl.cnti.gob.vemynetworks = 127.0.0.0/8, 150.188.31.8/29mydestinations = sl.cnti.gob.ve, mail.sl.cnti.gob.ve, localhost.sl.cnti.gob.ve, localhost

NOTA: La activación de SSL requiere la creación previa de los certificados descrita en Creación de Certificados. Sí no desea seguridad mediante SSL, debe comentar las líneas

#smtpd_tls_cert_file=/etc/ssl/certs/mail.crt#smtpd_tls_key_file=/etc/ssl/private/mail.key#smtpd_use_tls=yes

• Crear el archivo /etc/mailname con la siguiente línea

sl.cnti.gob.ve

• Se reinicia el servicio postfix

/etc/init.d/postfix restart

• Se debe configurar el servidor de correo para Autenticación PAM - NSS - LDAP y hacer la Integración PAM - LDAP - SASL

Configuración Postfix - SASL

• Sacar a Postfix del ambiente jail chroot. Para esto se coloca "n" en la quinta columna del archivo /etc/postfix/master.cf

smtp inet n - n - - smtpd

• Agregamos en el archivo /etc/postfix/main.cf

smtpd_sasl_auth_enable = yessmtpd_sasl_security_options = noanonymoussmtpd_sasl_path = smtpdbroken_sasl_auth_clients = yes

smtpd_recipient_restrictions = permit_mynetworks,permit_sasl_authenticated,check_relay_domains

• Crear el archivo

• /usr/lib/sasl2/smtpd.conf

pwcheck_method: saslauthd



http://wiki-server/wiki/index.php/Integraci?n_PAM_-_LDAP_-_SASL

http://wiki-server/wiki/index.php/Autenticaci?n_PAM_-_NSS_-_LDAP

http://wiki-server/wiki/index.php/Creacion_de_Certificados


• IMPORTANTE:

chown postfix /usr/lib/sasl2/smtpd.conf



Configuración Cyrus - IMAP

• Instalar:

apt-get install libdb4.4 libdb4.4-dev db4.4-util db4.4-docapt-get install libwrap0 libwrap0-devapt-get install cyrus-imapd-2.2 cyrus-pop3d-2.2 cyrus-admin-2.2 cyrus-clients-2.2 cyrus-doc-2.2 cyrus-murder-2.2 cyrus-nntpd-2.2

• Editar archivos y verificar los siguientes parámetros:

• /etc/imapd.conf

configdirectory: /var/lib/cyrusdefaultpartition: defaultpartition-default: /var/lib/cyrus/spool/mail ( dependiendo de la partición montada previa )partition-news: /var/lib/cyrus/spool/newsnewsspool: /var/spool/newsadmins: cdasilvaallowanonymouslogin: nosasl_mech_list: PLAINsasl_pwcheck_method: saslauthdtls_cert_file: /etc/ssl/certs/mail.crttls_key_file: /etc/ssl/private/mail.keytls_ca_file: /etc/ssl/certs/ca.crttls_ca_path: /etc/ssl/certs#### KEEP THESE IN SYNC WITH cyrus.conf### Unix domain socket that lmtpd listens on.lmtpsocket: /var/run/cyrus/socket/lmtp

/

• /etc/cyrus.conf

START {




# do not delete this entry! recover cmd="/usr/sbin/ctl_cyrusdb -r" # this is only necessary if idlemethod is set to "idled" in imapd.conf #idled cmd="idled"

# this is useful on backend nodes of a Murder cluster # it causes the backend to syncronize its mailbox list with # the mupdate master upon startup #mupdatepush cmd="/usr/sbin/ctl_mboxlist -m"

# this is recommended if using duplicate delivery suppression delprune cmd="/usr/sbin/cyr_expire -E 3" # this is recommended if caching TLS sessions tlsprune cmd="/usr/sbin/tls_prune"}

# UNIX sockets start with a slash and are absolute paths# you can use a maxchild=# to limit the maximum number of forks of a service# you can use babysit=true and maxforkrate=# to keep tight tabs on the service# most services also accept -U (limit number of reuses) and -T (timeout)SERVICES { # --- Normal cyrus spool, or Murder backends --- # add or remove based on preferences imap cmd="imapd -U 30" listen="imap" prefork=0 maxchild=100 imaps cmd="imapd -s -U 30" listen="imaps" prefork=0 maxchild=100 pop3 cmd="pop3d -U 30" listen="pop3" prefork=0 maxchild=50 pop3s cmd="pop3d -s -U 30" listen="pop3s" prefork=0 maxchild=50 nntp cmd="nntpd -U 30" listen="nntp" prefork=0 maxchild=100 nntps cmd="nntpd -s -U 30" listen="nntps" prefork=0 maxchild=100

# At least one form of LMTP is required for delivery # (you must keep the Unix socket name in sync with imap.conf) #lmtp cmd="lmtpd" listen="localhost:lmtp" prefork=0 maxchild=20 lmtpunix cmd="lmtpd" listen="/var/run/cyrus/socket/lmtp" prefork=0 maxchild=20 # ----------------------------------------------

# useful if you need to give users remote access to sieve # by default, we limit this to localhost in Debian




sieve cmd="timsieved" listen="localhost:sieve" prefork=0 maxchild=100

# this one is needed for the notification services notify cmd="notifyd" listen="/var/run/cyrus/socket/notify" proto="udp" prefork=1

# --- Murder frontends ------------------------- # enable these and disable the matching services above, # except for sieve (which deals automatically with Murder)

# mupdate database service - must prefork at least 1 # (mupdate slaves) #mupdate cmd="mupdate" listen=3905 prefork=1 # (mupdate master, only one in the entire cluster) #mupdate cmd="mupdate -m" listen=3905 prefork=1

# proxies that will connect to the backends #imap cmd="proxyd" listen="imap" prefork=0 maxchild=100 #imaps cmd="proxyd -s" listen="imaps" prefork=0 maxchild=100 #pop3 cmd="pop3proxyd" listen="pop3" prefork=0 maxchild=50 #pop3s cmd="pop3proxyd -s" listen="pop3s" prefork=0 maxchild=50 #lmtp cmd="lmtpproxyd" listen="lmtp" prefork=1 maxchild=20 # ----------------------------------------------}

EVENTS { # this is required checkpoint cmd="/usr/sbin/ctl_cyrusdb -c" period=30

# this is only necessary if using duplicate delivery suppression delprune cmd="/usr/sbin/cyr_expire -E 3" at=0401

# this is only necessary if caching TLS sessions tlsprune cmd="/usr/sbin/tls_prune" at=0401

# indexing of mailboxs for server side fulltext searches

# reindex changed mailboxes (fulltext) approximately every other hour #squatter_1 cmd="/usr/bin/nice -n 19 /usr/sbin/squatter -s" period=120

# reindex all mailboxes (fulltext) daily #squatter_a cmd="/usr/sbin/squatter" at=0517




}

• Añadir en el archivo /etc/postfix/main.cf

mailbox_transport = lmtp:unix:/var/run/cyrus/socket/lmtp

• Añadir en el archivo /etc/postfix/master.cf

cyrus unix - n n - - pipe flags=R user=cyrus argv=/usr/sbin/cyrdeliver -e -m ${extension} ${user}

• Deshabilitar el chroot del servicio "lmtp" dentro del archivo /etc/postfix/master.cf

lmtp unix - - n - - lmtp

• Cambiar permisos al socket

chown -R postfix /var/run/cyrus

• Agregar al usuario postfix al grupo mail en el archivo /etc/group

mail:x:8:postfix

• Cambiar permisos a certificados

chmod 644 /etc/ssl/private/mail.key

• Reiniciar servicios

/etc/init.d/postfix restart/etc/init.d/cyrus2.2 restart

• Se crea el Buzón para el usuario de prueba o administrador

#cyradm --user cdasilva mail.sl.cnti.gob.veIMAP Password:*****mail.sl.cnti.gob.ve>cm user.cdasilvamail.sl.cnti.gob.ve>lmINBOX (\HasNoChildren)mail.sl.cnti.gob.ve>

• Chequear configuración:

#imtest -m login -a cdasilva mail.sl.cnti.gob.veS: * OK mail.sl.cnti.gob.ve Cyrus IMAP4 v2.2.13-Debian-2.2.13-10 server readyC: C01 CAPABILITYS: * CAPABILITY IMAP4 IMAP4rev1 ACL QUOTA LITERAL+ MAILBOX-REFERRALS




NAMESPACE UIDPLUS ID NO_ATOMIC_RENAME UNSELECT CHILDREN MULTIAPPEND BINARY SORT THREAD=ORDEREDSUBJECT THREAD=REFERENCES ANNOTATEMORE IDLE STARTTLSS: C01 OK CompletedPlease enter your password: *****C: L01 LOGIN cdasilva {5}S: + go aheadC: <omitted>S: L01 OK User logged inAuthenticated.Security strength factor: 0. logout <<---- Entrada del usuario* BYE LOGOUT received. OK Completed

Connection closed.

NOTA: Luego de estos pasos, ya es posible el uso del servidor de correo mediante autenticación, y servicios de encriptado, recuerde generar adecuadamente los certificados.

Uso de Postgrey

Postgrey es una herramienta de correo que se convierte en el primer muro de contención para el bloqueo de SPAM. Trabaja con una tripleta <ip-cliente,remitente,recipiente>. Sí es la primera vez que esta tripleta es vista o ha sido vista por primera vez desde hace 5 min, el correo es marcado como "greylisted" y el e-mail es rechazado como un mensaje de error temporal. Por definición los servidores de correo auténticos, a diferencia de los motores de SPAM reintentan el envío del correo cada cierto tiempo, por lo que la próxima vez que sea tratado de entregar el correo, el cliente es aceptado y el mensaje entregado. De aquí en adelanta el cliente es confiable durante un período de tiempo predeterminado configurable en el archivo /etc/default/postgrey.

• Se instala el paquete postgrey:

apt-get install postgrey

• Se modifica el archivo /etc/postfix/main.cf

smtpd_recipient_restrictions = permit_mynetworks,permit_sasl_authenticated,check_policy_service inet:127.0.0.1:60000,reject_unauth_destination






• Comprobación del servicio

Se envía un correo a un usuario local cdasilva desde otro servicio de correo cualquiera, y se revisa la salida de los logs con el comando

#tail -f /var/log/syslogNov 17 14:07:09 mail postfix/smtpd[5624]: connect from xxxxxx.xxx.xxx.ve[159.90.10.114]Nov 17 14:07:12 mail postfix/smtpd[5624]: NOQUEUE: reject: RCPT from xxxxxx.xxx.xxx.ve[159.90.10.114]: 450 4.7.1 <[email protected]>: Recipient address rejected: Greylisted, see http://isg.ee.ethz.ch/tools/postgrey/help/xxxxxx.xxx.xxx.html; from=<[email protected].> to=<[email protected]> proto=ESMTP helo=<post-office.ldc.usb.ve>Nov 17 14:07:12 mail postfix/smtpd[5624]: disconnect from xxxxxx.xxx.xxx.[159.90.10.114]

Uso de Amavis - Clamav - Spamassassin

• Instalación

apt-get install clamav amavis spamassassin spamcgunzip /usr/share/doc/amavisd-new/examples/amavisd.conf-sample.gzcp /usr/share/doc/amavisd-new/examples/amavisd.conf-sample /etc/amavisd/amavisd.confln -s /etc/amavisd/amavisd.conf /etc/amavisd.conf

• Editar /etc/amavisd.conf

$mydomain = 'sl.ldc.ub.ve'; # (no useful default)$myhostname = mail.sl.cnti.gob.ve$daemon_user = 'amavis'; # (no default; customary: vscan or amavis), -u$daemon_group = 'amavis'; # (no default; customary: vscan or amavis), -g

# POSTFIX, or SENDMAIL in dual-MTA setup, or EXIM V4# (set host and port number as required; host can be specified# as an IP address or a DNS name (A or CNAME, but MX is ignored)$forward_method = 'smtp:[127.0.0.1]:10025'; # where to forward checked mail$notify_method = $forward_method; # where to submit notifications@local_domains_maps = ( [".$mydomain","localhost"] ); # $mydomain and its subdomains$inet_socket_port = 10024; # accept SMTP on this local TCP port # (default is undef, i.e. disabled)



http://isg.ee.ethz.ch/tools/postgrey/help/xxxxxx.xxx.xxx.html


# true (e.g. 1) => syslog; false (e.g. 0) => logging to file$DO_SYSLOG = 1; # (defaults to 0)

$syslog_ident = 'amavis'; # Syslog ident string (defaults to 'amavis') $syslog_facility = 'mail'; # Syslog facility as a string # e.g.: mail, daemon, user, local0, ... local7, ...$syslog_priority = 'debug'; # Syslog base (minimal) priority as a string, # choose from: emerg, alert, crit, err, warning, notice, info, debug

# Log file (if not using syslog)$LOGFILE = "$MYHOME/amavis.log"; # (defaults to empty, no log)$final_virus_destiny = D_DISCARD; # (defaults to D_DISCARD)$final_banned_destiny = D_BOUNCE; # (defaults to D_BOUNCE)$final_spam_destiny = D_PASS; # (defaults to D_BOUNCE)#$final_spam_destiny = D_BOUNCE; # (defaults to D_BOUNCE)$final_bad_header_destiny = D_PASS; # (defaults to D_PASS)#$banned_quarantine_to = 'banned-quarantine'; # local quarantine#$bad_header_quarantine_to = 'bad-header-quarantine'; # local quarantine#$spam_quarantine_to = 'spam-quarantine'; # local quarantine# or to a mailbox:#$spam_quarantine_to = "spam-quarantine\@$mydomain";##@spam_quarantine_to_maps = ( # per-recip multiple quarantines# new_RE( [qr'^(.*)@example\.com$'i => 'spam-${1}@example.com'] ),# $spam_quarantine_to, # the usual default#);

• Editar /etc/default/spamassassin

ENABLED=0

• Editar /etc/postfix/main.cf

smtpd_recipient_restrictions = permit_mynetworks,permit_sasl_authenticated,check_policy_service inet:127.0.0.1:60000,reject_unauth_destination

mailbox_transport = lmtp:unix:/var/run/cyrus/socket/lmtp

content_filter = smtp-amavis:[127.0.0.1]:10024receive_override_options = no_address_mappings

• Editar /etc/postfix/master.cf

cyrus unix - n n - - pipe




flags=R user=cyrus argv=/usr/sbin/cyrdeliver -e -m ${extension} ${user}

• Agregar al final de /etc/postfix/master.cf

127.0.0.1:10025 inet n - n - - smtpd -o content_filter= -o local_recipient_maps= -o relay_recipient_maps= -o smtpd_restriction_classes= -o smtpd_client_restrictions= -o smtpd_helo_restrictions= -o smtpd_sender_restrictions= -o smtpd_recipient_restrictions=permit_mynetworks,reject -o mynetworks=127.0.0.0/8 -o strict_rfc821_envelopes=yes -o smtpd_soft_error_limit=1001 -o smtpd_hard_error_limit=1000 -o receive_override_options=no_unknown_recipient_checks,no_header_body_checks -o smtpd_bind_address=127.0.0.1

smtp-amavis unix - - n - 2 lmtp -o lmtp_data_done_timeout=1200 -o lmtp_send_xforward_command=yes -o disable_dns_lookups=yes

Nota: Esto último puede ir en cualquier lugar, pero para evitar confusiones se coloca de último.

• Habilitar la carga de codigo anti-spam y antivirus en amavis, descomentando las siguientes líneas en el archivo /etc/amavis/conf.d/15-content_filter_mode

@bypass_virus_checks_maps = ( \%bypass_virus_checks, \@bypass_virus_checks_acl, \$bypass_virus_checks_re);

@bypass_spam_checks_maps = ( \%bypass_spam_checks, \@bypass_spam_checks_acl, \$bypass_spam_checks_re);

• Modificar /etc/amavis/conf.d/20-debian_defaults

#$final_spam_destiny = D_BOUNCE;$final_spam_destiny = D_PASS;

• Iniciamos los servicios





/etc/init.d/spamassassin start/etc/init.d/amavis restart

NOTA: De presentar el siguiente error en los logs:

Can’t connect to UNIX socket /var/run/clamav/clamd.ctl ... No such file or directory

Ejecute el siguiente procedimiento:

touch /var/run/clamav/clamd.ctlchown amavis:clamav /var/run/clamav/clmad.ctl

Reinicie los servicios

/etc/init.d/amavis restart/etc/init.d/clamav-daemon restart

Manejo de Cyrus

Para el manejo de Cyrus, es necesario entrar en el administrador del sistema de buzones como usuario administrador, el mismo que se definió en el archivo de configuración /etc/imapd.conf bajo la directiva:

admins: cdasilva

Para entrar en la interfáz de administración se ejecuta el siguiente comando:

cyradm --user cdasilva mail.sl.cnti.gob.veIMAP password: *****

prompt de logeomail.sl.cnti.gob.ve>

Y ya se encuentra dentro.

Creación de buzones

mail.sl.cnti.gob.ve> cm user.cdasilva

Listar buzones

mail.sl.cnti.gob.ve> lm




Chequeo de cuotas

• Como usuario cyrus

$cyrquota

Despliega estadísticas por usuario.

• Por interfáz de administrador

lqr user.cdasilva

Uso del scrypt syncldap2cyrus.pl"

El Script syncldap2cyrus permite la sincronización de los usuarios LDAP con los buzones Cyrus, viene distribuido con el paquete cyrus-imap y normalmente se encuentra en el directorio /usr/share/doc/cyrus-imap

Para su uso, primero es necesario editar la información respecto al servidor LDAP y el usuario administrador del sistema cyrus de forma adecuada y por último se copia el script en una ubicación standard como: /usr/sbin/syncldap2cyrus.pl

• Syncldap2cyrus.pl -a

Crea los buzones para usuarios que se encuentran en LDAP y no en Cyrus. Sí el usuario ya existe en Cyrus, lo ignora.

• Syncldap2cyrus.pl -n

No hace nada, solo muestra los cambios que haría en el caso de usarse la opción -a

• Syncldap2cyrus.pl -r

Muestra las diferencias entre LDAP y Cyrus, es decir, usuarios que se encuentran en LDAP y no en Cyrus, y viceversa.

Por último es útil permitir la ejecución de este script de forma planificada, para mantener sincronizados los usuarios LDAP y Cyrus. Esto se logra mediante la colocación de la tarea en el sistema cron de la máquina.

crontab -e

0 * * * * /usr/sbin/syncldap2cyrus.pl -a

La línea anterior le indica al cron ejecutar el comando cada hora.



Servidor_de_Correo

Documents

Transcript of Servidor_de_Correo