Вы находитесь на странице: 1из 36

3 Practica Servidor de Correo en Centos Postfix

BY
ADMIN
23 ABRIL 2009POSTED IN: ASAD, UNIVERSIDAD
Se va a proceder a configurar 2 sistemas en la red que tenemos asignada, el primer sistema sera el
sistema principal y el 2 el sistema de reserva.
Sistema Principal
1) Obtener e instalar el servidor de
correo Postfix.
Para realizar la instalacin del servidor de correo Postfix, vamos a usar la herramienta para agregar y
quitar software que viene con Centos, seguimos los siguientes pasos:

Aplicaciones Agregar/Quitar software Servidores Servidores de correo Opciones adicionales
Una vez aqu seleccionamos el servidor Postfix. A continuacin aplicamos los cambios y ya tendremos el
servidor instalado y el Sendmail eliminado.
2) Configurar el sistema para que se
active el servicio de correo cada vez
que se inicia el sistema.
Para ello vamos al men Sistema y all hacemos lo siguiente:
Sistema Administracin Servicios
En la ventana que nos aparece, seleccionamos el servidor Postfix para activarlo como servicio: Ya con
estos sencillos pasos, tenemos el servidor Postfix activado como servicio.
3) Configurar el servidor de correo
con las siguientes caractersticas:
3-a) Se configurar una estafeta de nivel 2, siendo la
estafeta de nivel 1 correspondiente la residente en la
mquina neptuno.redes.dis.ulpgc.es.
Para la configuracin del servidor Postfix vamos a hacer uso de su archivo de configuracin que esta
presente en /etc/postfix/main.cfg. En primer lugar se nos pide que configuremos una estafeta de nivel 2,
esta sera la mquina llamada pasarela, mientras que la estafeta de nivel 1 sera la que nos indican en el
enunciado. Las modificaciones que hay que realizar en el archivo de configuracin son las siguientes:
$ vim /etc/postfix/main.cfg
en donde introduciremos la lnea
relayhost = [neptuno.redes.dis.ulpgc.es]
3-b) Debe aceptar correo para buzones de la forma
usuario@red2.redes.dis.ulpgc.es.
Para que acepte los correos para los buzones de esa forma, tenemos que insertar en el archivo de
configuracin /etc/postfix/main.cfg
myhostname = pasarela.red2.redes.dis.ulpgc.es mydomain = red2.redes.dis.ulpgc.es myorigin =
$mydomain mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain
En donde:
myhostname = Nombre de la mquina que corre Postfix.
mydomain = El dominio de la estafeta de nivel 2.
myorigin = El nombre de dominio del correo saliente.
mydestination = Para que dominios recibe correos.
3-c) Crear al menos 3 buzones de correo.
Para crear buzones de correo, nos basta con crear usuarios nuevos, ya el sistema automticamente crea
buzones para estos que estn presentes en /var/spool/mail. Para crear los usuarios vamos a usar el
gestor grfico, para ello vamos al gestor de usuarios y creamos 3 usuarios nuevos:
user1
user2
user3
con lo que automticamente se nos crean 3 archivos para los buzones de correo en el sistema:
/var/spool/mail/user1 /var/spool/mail/user2 /var/spool/mail/user3
3-d) Deber permitir relaying nicamente a las mquinas de
su propia red o dominio.
El permitir relaying significa que los mails enviados desde el MTA local, son pasados a otro MTA, para
que este enve el correo. De tal forma lo que tenemos que aadir al fichero de configuracin son la
siguientes lneas:
mynetworks = 172.16.2.0/8, 127.0.0.0/8 relay_domains = $mynetworks, $mydestination
3-e) El tamao mximo del buzn de correo ser de 10
Mbytes.
Para limitar el tamao del buzn de correo a una capacidad especfica, hacemos uso de la siguiente lnea
que introducimos en el archivo de configuracin.
mailbox_size_limit = 10000000
3-f) Debe definirse alias para los siguientes buzones:
webmaster@redx.redes.dis.ulpgc.es
postmaster@redx.redes.dis.ulpgc.es
ftp@redx.redes.dis.ulpgc.es
Para la creacin de alias para los buzones de correo vamos a modificar el archivo /etc/aliases y vamos a
introducir al final las siguientes lneas
webmaster: user1 postmaster: user2 ftp: user3
3-g) No debern aceptarse mensajes de correo
provenientes de dominios no declarados.
Para limitar los correos que no son de dominios existentes introducimos la siguiente lnea
unknown_local_recipient_reject_code = 55
3-h) Se llevar a cabo relaying de correo solo para los
mensajes en los cuales el emisor del mensaje (mail from)
pertenezca al dominio red2.redes.dis.ulpgc.es.
Introducimos la siguiente lnea
smtpd_sender_restrictions = check_sender_access regexp:/exp/postfix/access
Y en el fichero al que hacemos referencia en /etc/postfix/access introducimos.
/@red2\.redes\.dis\.ulpgc\.es$/ OK /.*/ 554 La direccion de correo no pertenece a nuestra red
4) Instalar y configurar el servicio
imapd para el acceso cifrado (SSL) y
sin cifrar de los agentes de usuario a
sus buzones de correo.
Para ello haremos uso del demonio Dovecot que es un servidor de IMAP y POP3 de cdigo abierto para
sistemas GNU/Linux / UNIX-like, escrito fundamentalmente pensando en seguridad. Para ello lo haremos
a travs de la utilidad para agregar y quitar software en Centos, alli seleccionamos Dovecot y una vez
instalado, procedemos a editar su archivo de configuracin presente en /etc/dovecot.conf. En este
fichero aadimos las siguientes lneas
protocols = imap imaps
Sistema de Reserva
1) Obtener e instalar el servidor de
correo Postfix .
Este proceso es el mismo que cuando instalamos el servidor Postfix en la mquina pasarela.
2) Configurar el sistema para que se
active el servicio de correo cada vez
que se inicia el sistema.
Igual que como se hizo en la mquina pasarela.
3) Configurar el servidor de correo
con las siguientes caractersticas:
3-a) Actuar exclusivamente como relayer de correo para
el dominio red2.redes.dis.ulpgc.es.
Para configurar el servidor Postfix presente en la mquina estacin, editaremos el archivo de
configuracin/etc/postfix/main.cfg e introduciremos la siguiente lnea
relay_domains = $mydestination
Con este ltimo paso damos por concluida la prctica, ahora slo nos queda configurar un cliente de
correo y comprobar que todo funciona como es debido, o tambin podemos enviar un correo por telnet y
luego acceder al archivo donde se guarda el correo recibido y comprobar que funciona todo
correctamente.
Enviar un correo por Telnet.
Abrimos un terminal y en el tecleamos el comando telnet + servidor de correo + puerto a usar del servidor
$ telnet pasarela.red2.redes.dis.ulpgc.es 25 Trying 172.16.2.1 Connected to
pasarela.red2.redes.dis.ulpgc.es (172.16.2.1). Escape character is ^]. 220
pasarela.red2.redes.dis.ulpgc.es ESMTP Postfix
Nos identificamos en el sistema como AaronMR por medio del comando helo
helo AaronMR 250 pasarela.red2.redes.dis.ulpgc.es
indicamos quien es el remitente del correo, que en este caso es aaronMR@red2.redes.dis.ulpgc.es y
que se le va a enviar un correo al destinatario user3@red2.redes.dis.ulpgc.es
mail from: aaronMR@red2.redes.dis.ulpgc.es 250 2.1.0 Ok rcpt to: user3@red2.redes.dis.ulpgc.es
250 2.1.5 Ok
Y comenzamos a escribir el cuerpo del mensaje por medio del comando data, para terminar de escribir
introducimos un . y damos a enter, a continuacion tecleamos quit para cerrar la conexin con el servidor.
data 354 End data with . esto es una prueba de envio al user 3 por telnet . 250 2.0.0 Ok:
queued as 8DB7817AF7 quit 221 2.0.0 Bye Connection closed by foreign host. .
Gracias por vuestra atencin
Instalacin y configuracin de Postfix y Dovecot
con soporte para TLS y autenticacin.
Autor: Joel Barrios Dueas
Correo electrnico: darkshram en gmail punto com
Sitio de Red: http://www.alcancelibre.org/
J abber ID: darkshram@jabber.org
Creative Commons Reconocimiento-NoComercial-CompartirIgual 2.1
1999-2014 Joel Barrios Dueas. Usted es libre de copiar, distribuir y comunicar pblicamente la obra y hacer obras derivadas bajo las
condiciones siguientes: a) Debe reconocer y citar al autor original. b) No puede utilizar esta obra para fines comerciales (incluyendo
su publicacin, a travs de cualquier medio, por entidades con fines de lucro). c) Si altera o transforma esta obra o genera una
obra derivada, slo puede distribuir la obra generada bajo una licencia idntica a sta. Al reutilizar o distribuir la obra, tiene que dejar
bien claro los trminos de la licencia de esta obra. Alguna de estas condiciones puede no aplicarse si se obtiene el permiso del titular de
los derechos de autor. Los derechos derivados de usos legtimos u otras limitaciones no se ven afectados por lo anterior. Licencia
completa en castellano. La informacin contenida en este documento y los derivados de ste se proporcionan tal cual son y los autores
no asumirn responsabilidad alguna si el usuario o lector hace mal uso de stos.
Introduccin.
Es imprescindible primero estudiar y comprender, los conceptos descritos en el documento
titulado Introduccin a los protocolos de correo electrnico.
Acerca de Postfix.
Postfix, originalmente conocido por los nombres VMailer e IBM Secure Mailer, es un popular
agente de transporte de correo (MTA o Mail Transport Agent), creado con la principal intencin
de ser una alternativa ms rpida, fcil de administrar y segura que Sendmail. Fue
originalmente escrito por Wietse Venema durante su estancia en el Thomas J. Watson
Research Center de IBM.
URL: http://www.postfix.org/.
Acerca de Dovecot.
Dovecot es un servidor de POP3 e IMAP de fuente abierta que funciona en Linux y sistemas
basados sobre Unix y diseado con la seguridad como principal objetivo. Dovecot puede
utilizar tanto el formato mbox como maildir y es compatible con las implementaciones de los
servidores UW-IMAP y Courier IMAP.
URL: http://dovecot.procontrol.fi/.
Acerca de SASL y Cyrus SASL.
SASL (Simple Authentication and Security Layer) es un estructura para la seguridad de datos
en protocolos de Internet. Desempareja mecanismos de la autenticacin desde protocolos de
aplicaciones, permitiendo, en teora, cualquier mecanismo de autenticacin soportado por
SASL para ser utilizado en cualquier protocolo de aplicacin que capaz de utilizar SASL.
Actualmente SASL es un protocolo de la IETF (Internet Engineering Task Force) que ha sido
propuesto como estndar. Est especificado en el RFC 2222 creado por John Meyers en la
Universidad Carnegie Mellon.
Cyrus SASL es una implementacin de SASL que puede ser utilizada del lado del servidor o
del lado del cliente y que incluye como principales mecanismos de autenticacin soportados a
ANONYMOUS, CRAM-MD5, DIGEST-MD5, GSSAPI y PLAIN. El cdigo fuente incluye tambin
soporte para los mecanismos LOGIN, SRP, NTLM, OPT y KERBEROS_V4.
URL: http://asg.web.cmu.edu/sasl/sasl-library.html.
Acerca de DSA.
DSA (Digital Signature Algorithm o Algoritmo de Firma digital) es un algoritmo creado por el
NIST (National Institute ofStandards and Technology o Instituto Nacional de Normas y
Tecnologa de EE.UU.), publicado el 30 de agosto de 1991, como propuesta para el proceso de
firmas digitales. Se utiliza para firmar informacin, ms no para cifrar sta.
URL: http://es.wikipedia.org/wiki/DSA
Acerca de RSA.
RSA, acrnimo de los apellidos de sus autores, Ron Rivest, Adi Shamir y Len Adleman, es un
algoritmo para el ciframiento de claves pblicas que fue publicado en 1977, patentado en
EE.UU. en 1983 por el el Instituto Tecnolgico de Michigan (MIT).RSA es utilizado
ampliamente en todo el mundo para los protocolos destinados para el comercio electrnico.
URL: http://es.wikipedia.org/wiki/RSA
Acerca de X.509.
X.509 es un estndar ITU-T (estandarizacin de Telecomunicaciones de
la International Telecommunication Union ) para infraestructura de claves pblicas
(PKI o Public Key Infrastructure). Entre otras cosas, establece los estndares para certificados
de claves pblicas y un algoritmo para validacin de ruta de certificacin. Este ltimo se
encarga de verificar que la ruta de un certificado sea vlida bajo una infraestructura de clave
pblica determinada. Es decir, desde el certificado inicial, pasando por certificados intermedios,
hasta el certificado de confianza emitido por una Autoridad Certificadora
(CA oCertification Authority).
URL: http://es.wikipedia.org/wiki/X.509
Acerca de OpenSSL.
OpenSSL es una implementacin libre, de cdigo abierto, de los
protocolos SSL (Secure Sockets Layer o Nivel de Zcalo Seguro)
y TLS (Transport Layer Security o Seguridad para Nivel de Transporte). Est basado sobre el
extinto proyectoSSLeay, iniciado por Eric Young y Tim Hudson, hasta que stos comenzaron a
trabajar para la divisin de seguridad de EMC Corporation.
URL: http://www.openssl.org/
Equipamiento lgico necesario.
Instalar los paquetes postfix, dovecot, cyrus-sasl y cyrus-sasl-plain:
yum -y install postfix dovecot cyrus-sasl cyrus-
sasl-plain
Si acaso estuviese instalado, elimine el paquete cyrus-sasl-gssapi, ya que este utiliza el
mtodo de autenticacin GSSAPI, mismo que requerira de la base de datos de cuentas de
usuario de un servidor Kerberos:
yum remove cyrus-sasl-gssapi
De igual manera, si estuviese instalado, elimine el paquete cyrus-sasl-md5, ya que este utiliza
los mtodos de autenticacin CRAM-MD5 y Digest-MD5, mismos que requeran asignar las
claves de acceso para SMTP a travs del mandato saslpasswd2. Outlook carece de soporte
para estos mtodos de autenticacin.
yum remove cyrus-sasl-md5
Procedimientos.
Todos los procedimientos deben realizarse como el usuario root.
Definiendo Postfix como agente de transporte de correo predeterminado.
El mandato alternatives, con la opcin alternatives--config mta, se utiliza para conmutar el
servicio de correo electrnico del sistema y elegir que paquete utilizar. Slo es necesario
utilizar ste si previamente estaban instalados Sendmail o Exim. S este es el caso, ejecute lo
siguiente desde una terminal y defina Postfix como agente de transporte de correo
(MTA, MailTransport Agent), seleccionado ste.
alternatives --config mta
Lo anterior devolver una salida similar a la siguiente, donde deber elegir
entre postfix y sendmail como MTA predeterminado del sistema:

Hay 2 programas que proporcionan 'mta'.

Seleccin Comando
-----------------------------------------------
*+ 1 /usr/sbin/sendmail.postfix
2 /usr/sbin/sendmail.sendmail

Presione Intro para mantener la seleccin actual[+] o escriba el nmero de la
seleccin: 1
Si estuviera presente sendmail, detenga ste (es el MTA predeterminado en CentOS 5 y Red
Hat Enterprise Linux 5) e inicie postfix:
service sendmail stop
chkconfig sendmail off
service postfix start
chkconfig postfix on
SELinux y Postfix.
A fin de que SELinux permita a Postfix escribir el el directorio de entrada de correo electrnico
(/var/spool/mail/), es necesario habilitar la siguiente poltica:
setsebool -P allow_postfix_local_write_mail_spool
1
Solo en CentOS 5 y Red Hat Enterpise Linux 5, a fin de que SELinux permita la lectura de
correo electrnico, es necesario habilitar la siguiente poltica:
setsebool -P mail_read_content 1
En CentOS 6 y Red Hat Enterpise Linux 6, esta poltica dej de existir, pues se volvi
innecesaria.
Configuracin de Postfix.
Generando firma digital y certificado para ambos servicios.
Acceda al directorio /etc/pki/tls/.
cd /etc/pki/tls/
La creacin de la firma digital y certificado requiere utilizar una clave con algoritmo RSA de
2048 octetos (bits), con estructuraX.509 y sin DES. En el ejemplo a continuacin, se establece
una validez por 1825 das (cinco aos) para el certificado creado:
openssl req -x509 -nodes -newkey rsa:2048 -days
1825 \
-out certs/dominio.tld.crt -keyout
private/dominio.tld.key
Lo anterior solicitar se ingresen varios datos:
Cdigo de dos letras para el pas.
Estado o provincia.
Ciudad.
Nombre de la empresa o razn social.
Unidad o seccin.
Nombre del anfitrin.
Direccin de correo.
La salida debe devolver algo similar a lo siguiente:
Generating a 1024 bit DSA private key
writing new private key to 'smtp.key'
-----
You are about to be asked to enter information that will be
incorporated into your certificate request.
What you are about to enter is what is called a Distinguished Name
or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [GB]:MX
State or Province Name (full name) [Berkshire]:Distrito Federal
Locality Name (eg, city) [Newbury]:Mexico
Organization Name (eg, company) [My Company Ltd]:Empresa, S.A. de C.V.
Organizational Unit Name (eg, section) []:Direccion Comercial
Common Name (eg, your name or your server's hostname) []:*.dominio.tld
Email Address []:webmaster@dominio.com
Si defini un nombre de anfitrin absoluto (ejemplo: mail.dominio.tld), el certificado slo ser
vlido cuando el servidor de correo electrnico sea invocado con el nombre definido en el
campo Common Name. Es decir, slo podr utilizarlo cuando se definamail.dominio.tld como
servidor SMTP/IMAP/POP3 con soporte TLS desde el cliente de correo electrnico. Funcionar
incorrectamente si se invoca al servidor como, por mencionar un ejemplo, correo.dominio.tld.
Es por eso que se sugiere utilizar *.dominio.com si se planea acceder hacia el mismo servidor
con diferentes subdominios del mismo dominio.
A fin de facilitar a los clientes de correo electrnico el poder gestionar una futura actualizacin
de certificado, conviene aadir una huella distintiva indubitable (fingerprint) al certificado.
openssl x509 -subject -fingerprint -noout -in
certs/dominio.tld.crt
Es indispensable que todos los archivos de claves y certificados tengan permisos de acceso de
slo lectura para el usuarioroot:
chmod 400 certs/dominio.tld.crt
private/dominio.tld.key
Regrese al directorio de inicio del usuario root.
cd
Archivo de configuracin /etc/postfix/master.cf.
Editar el archivo /etc/postfix/master.cf:
vim /etc/postfix/master.cf
Si utiliza CentOS 5 o Red Hat Enterprise Linux 5, debe descomentar las siguientes lneas
resaltadas en negrita:
smtp inet n - n - -
smtpd
submission inet n - n - -
smtpd
-o smtpd_enforce_tls=yes
-o smtpd_sasl_auth_enable=yes
-o
smtpd_client_restrictions=permit_sasl_authenticated,reject
smtps inet n - n - -
smtpd
-o smtpd_tls_wrappermode=yes
-o smtpd_sasl_auth_enable=yes
-o
smtpd_client_restrictions=permit_sasl_authenticated,reject
Si utiliza CentOS 6 o Red Hat Enterprise Linux 6, debe descomentar las siguientes lneas
resaltadas en negrita:
smtp inet n - n - -
smtpd
submission inet n - n - -
smtpd
-o smtpd_tls_security_level=encrypt
-o smtpd_sasl_auth_enable=yes
-o
smtpd_client_restrictions=permit_sasl_authenticated,reject
-o milter_macro_daemon_name=ORIGINATING
smtps inet n - n - -
smtpd
-o smtpd_tls_wrappermode=yes
-o smtpd_sasl_auth_enable=yes
-o
smtpd_client_restrictions=permit_sasl_authenticated,reject
-o milter_macro_daemon_name=ORIGINATING
Archivo de configuracin /etc/postfix/main.cf.
A continuacin, se debe editar el archivo /etc/postfix/main.cf:
vim /etc/postfix/main.cf
Respetando el resto del contenido original de este archivo y asumiendo que el nombre de
anfitrin del servidor esmail.dominio.com y que se va a utilizar para gestionar el correo
electrnico de dominio.com, solo se deben localizar y configurar los siguientes parmetros:

# Todo lo siguiente solo requiere descomentarse o bien modificar la lnea
# correspondiente que est descomentada.

# Definir el nombre de anfitrin del sistema (hostname).
myhostname = mail.dominio.com

# Definir el dominio principal a gestionar.
mydomain = dominio.com

myorigin = $mydomain

# Definir se trabaje por todas las interfaces.
# De modo predeterminado solo trabaja por la interfaz de retorno del sistema
# (loopback), es decir, solo escucha peticiones a travs de sobre 127.0.0.1
#inet_interfaces = localhost
inet_interfaces = all

# Si se van a manejar ms dominios de correo electrnico, aadirlos tambin.
mydestination = $myhostname, $mydomain, localhost.localdomain, localhost

# Definir tus redes locales, ejemplo asume que tu LAN es 192.168.1.0/24
mynetworks = 192.168.1.0/24, 127.0.0.0/8

# Si se van a manejar ms dominios de correo electrnico, aadirlos tambin.
relay_domains = $mydestination

# Importante para poder utilizar procmail para filtrar correo.
mailbox_command = /usr/bin/procmail

# Todo lo siguiente est ausente en la configuracin.
# Aadir todo al final del archivo main.cf
#
smtpd_tls_security_level = may
smtpd_tls_CAfile = /etc/pki/tls/certs/ca-bundle.crt
# Las rutas deben corresponder a las del certificado y firma digital creados.
smtpd_tls_key_file = /etc/pki/tls/private/dominio.tld.key
smtpd_tls_cert_file = /etc/pki/tls/certs/dominio.tld.crt
smtpd_tls_auth_only = no
smtp_use_tls = yes
smtpd_use_tls = yes
smtp_tls_note_starttls_offer = yes
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom
# Descartar SSLv2, slo utilizar SSLv3 y TLSv1 y slo permitir
# cifrados mayores a 128-bit.
smtpd_tls_mandatory_protocols = SSLv3, TLSv1
smtpd_tls_mandatory_ciphers = medium, high


# Soporte para autenticar a travs de SASL.
# smtpd_sasl_local_domain = # Solo como referencia.
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
broken_sasl_auth_clients = yes
smtpd_sasl_authenticated_header = yes
smtpd_recipient_restrictions =
permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination
A fin de ahorrar tiempo realizando bsqueda de los parmetros anteriores, todo lo anterior
tambin se puede configurar utilizando el mandato postconf, del siguiente modo:
postconf -e 'myhostname = mail.dominio.com'
postconf -e 'mydomain = dominio.com'
postconf -e 'myorigin = $mydomain'
postconf -e 'inet_interfaces = all'
postconf -e 'mydestination = $myhostname, $mydomain, localhost.localdomain, localhost'
postconf -e 'mynetworks = 192.168.1.0/24, 127.0.0.0/8'
postconf -e 'relay_domains = $mydestination'
postconf -e 'mailbox_command = /usr/bin/procmail'
postconf -e 'smtpd_tls_CAfile = /etc/pki/tls/certs/ca-bundle.crt'
postconf -e 'smtpd_tls_key_file = /etc/pki/tls/private/dominio.tld.key'
postconf -e 'smtpd_tls_cert_file = /etc/pki/tls/certs/dominio.tld.crt'
postconf -e 'smtpd_tls_auth_only = no'
postconf -e 'smtp_use_tls = yes'
postconf -e 'smtpd_use_tls = yes'
postconf -e 'smtp_tls_note_starttls_offer = yes'
postconf -e 'smtpd_tls_loglevel = 1'
postconf -e 'smtpd_tls_received_header = yes'
postconf -e 'smtpd_tls_session_cache_timeout = 3600s'
postconf -e 'tls_random_source = dev:/dev/urandom'
postconf -e 'smtpd_tls_mandatory_protocols = SSLv3, TLSv1'
postconf -e 'smtpd_tls_mandatory_ciphers = medium, high'
postconf -e 'smtpd_sasl_auth_enable = yes'
postconf -e 'smtpd_sasl_security_options = noanonymous'
postconf -e 'broken_sasl_auth_clients = yes'
postconf -e 'smtpd_sasl_authenticated_header = yes'
postconf -e 'smtpd_recipient_restrictions =
permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination'
Archivo de configuracin /etc/aliases.
Se debe editar tambin el archivo /etc/aliases:
vim /etc/aliases
Se debe definir que el correo del usuario root se entregue al cualquier otro usuario del sistema.
El objetivo de esto es que jams se tenga necesidad de utilizar la cuenta del usuario root y se
prefiera en su lugar una cuenta de usuario sin privilegios. Solo se requiere descomentar la
ltima lnea de este archivo, que como ejemplo entrega el correo del usuario root al
usuariomarc y definir un usuario existente en el sistema
#root: marc
root: fulano
Al terminar, se ejecuta el mandato postalias para generar el archivo /etc/aliases.db que ser
utilizado por Postfix:
postalias /etc/aliases
Configuracin de Dovecot en CentOS 5 y Red Hat Enterprise Linux 5.
Parmetros del archivo /etc/dovecot.conf.
Editar el archivo /etc/dovecot.conf:
vim /etc/dovecot.conf
En el parmetro protocols, se deben activar todos los servicios (imap, imaps, pop3 y pop3s).
protocols = imap imaps pop3 pop3s
De modo predeterminado, el soporte SSL de Dovecot est activo. Verifique que el
parmetro ssl_disable tenga el valor no o bien solo est comentado.
#ssl_disable = no
Y se especifican las rutas del certificado y clave a travs de los
parmetros ssl_cert_file y ssl_key_file, del siguiente modo:
ssl_cert_file = /etc/pki/tls/certs/dominio.tld.crt
ssl_key_file =
/etc/pki/tls/private/dominio.tld.key
Configuracin de Dovecot en CentOS 6 y Red Hat Enterprise Linux 6.
CentOS 6 y Red Hat Enterprise Linux 6 utilizan la versin 2.0 de Dovecot y por lo cual
cambia radicalmente la configuracin respecto de la versin 1.0.x, utilizada en CentOS 5 y Red
Hat Enterprise Linux 5.
Parmetros del archivo /etc/dovecot/dovecot.conf.
Edite el archivo /etc/dovecot/dovecot.conf y descomente el parmetro protocolos,
estableciendo como valor pop3 imap lmtp.
# Protocols we want to be serving.
protocols = imap pop3
Parmetros del archivo /etc/dovecot/conf.d/10-mail.conf.
Alrededor de la lnea 30 del archivo /etc/dovecot/conf.d/10-mail.conf,
establezca mbox:~/mail:INBOX=/var/mail/%u como valor del parmetro mail_location.
mail_location = mbox:~/mail:INBOX=/var/mail/%u
Parmetros del archivo /etc/dovecot/conf.d/10-ssl.conf.
En el archivo /etc/dovecot/conf.d/10-ssl.conf, descomente las siguientes lneas resaltadas en
negrita:
# SSL/TLS support: yes, no, required.
<doc/wiki/SSL.txt>
ssl = yes

# PEM encoded X.509 SSL/TLS certificate and
private key. They're opened before
# dropping root privileges, so keep the key file
unreadable by anyone but
# root. Included doc/mkcert.sh can be used to
easily generate self-signed
# certificate, just make sure to update the
domains in dovecot-openssl.cnf
ssl_cert = </etc/pki/tls/certs/dominio.tld.key
ssl_key = </etc/pki/tls/private/dominio.tld.key
Iniciar servicios y aadir stos al arranque del sistema.
Se deben aadir al arranque del sistema e iniciar (o reiniciar) los
servicios saslauthd, dovecot y postfix:
chkconfig saslauthd on
chkconfig dovecot on
chkconfig postfix on
service saslauthd start
service dovecot start
service postfix restart
Soporte para LMTP.
Si utiliza CentOS 6 o Red hat Enterprise Linux 6, es decir Dovecot 2.0 y Postfix 2.6.6, podr
utilizar LMTP (Local MailTransfer Protocol) o protocolo de transporte local de correo. Este
protocolo esta basado sobre el protocolo SMTP y est diseado como una alternativa a SMTP
para situaciones donde el lado receptor carece de cola de correo (queue mail), como un MTA
que entiende conversaciones SMTP. Puede ser utilizado como una forma alternativa y ms
eficiente para el transporte de correo entre Postfix y Dovecot.
Edite el archivo /etc/dovecot/dovecot.conf y aada lmtp a los valores del
parmetro protocolos, de la siguiente forma.
# Protocols we want to be serving.
protocols = imap pop3 lmtp
A fin de poder hacer uso de LMTP de manera apropiada, es necesario aadir las siguientes
dos opciones en el archivo/etc/postfix/main.cf:
mailbox_transport =
lmtp:unix:/var/run/dovecot/lmtp
virtual_transport =
lmtp:unix:/var/run/dovecot/lmtp
O bien ejecutar lo siguiente:
postconf -e 'virtual_transport =
lmtp:unix:/var/run/dovecot/lmtp'
postconf -e 'mailbox_transport =
lmtp:unix:/var/run/dovecot/lmtp'
Y reiniciar los servicios dovecot y postfix.
service dovecot restart
service postfix restart
Modificaciones necesarias en el muro cortafuegos.
Si se utiliza un cortafuegos con polticas estrictas, como por ejemplo Shorewall, es necesario
abrir, adems de los puertos 25, 110, 143 y 587 por TCP (SMTP, POP3, IMAP y Submission,
respectivamente), los puertos 465, 993 y 995 por TCP (SMTPS, IMAP y POP3S,
respectivamente).
Editar el archivo /etc/shorewall/rules:
vim /etc/shorewall/rules
Las reglas para el archivo /etc/shorewall/rules de Shorewall correspondera a algo similar a lo
siguiente:
#ACTION SOURCE DEST PROTO DEST
SOURCE
# PORT PORT(S)1
ACCEPT net fw tcp
25,110,143,465,587,993,995
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE --
DO NOT REMOVE
Para que tomen efecto los cambios, hay que reiniciar el servicio Shorewall.
service shorewall restart
Requisitos en la zona de reenvo en el servidor DNS.
Es indispensable que exista un DNS que resuelva correctamente el dominio y apunte el
servicio de correo electrnico hacia la IP del servidor de correo electrnico recin configurado.
Asumiendo que se hizo correctamente todo lo mencionado en este documento, la nica forma
en que se imposibilitara la llegada y/o salida del correo electrnico se est utilizando un enlace
ADSL con IP dinmica (restringido por le proveedor para utilizar el puerto 25) o bien que el
servidor DNS que resuelve el dominio, est apuntando hacia otra direccin IP para el servicio
de correo electrnico. En el DNS se requieren al menos los siguientes registros,
donde xx.xx.xx.xx corresponde a la IP del servidor de correo electrnico.
$TTL 86400
@ IN SOA dns1.isp.com alguien.algo.com (
2010061901 ; Nmero de serie
28800 ; Tiempo de refresco
7200 ; Tiempo entre reintentos
604800 ; tiempo de espiracin
86400 ; Tiempo total de vida
)
@ IN NS dns1.isp.com.
@ IN NS dns2.isp.com.
@ IN A a.b.c.d
@ IN MX 10 mail
@ IN TXT "v=spf1 a mx -all"
mail IN A xx.xx.xx.xx
www IN A a.b.c.d
ftp IN A a.b.c.d
Comprobaciones.
A travs de terminal.
Realice una conexin con el mandato nc (netcat) o bien el mandato telnet, al puerto 25 del
sistema. Ingrese el mandato EHLOcon el dominio configurado. La salida deber devolver, entre
todas las funciones del servidor, una lnea que indica STARTTLS. La salida puede ser similar a
la siguiente:
nc 127.0.0.1 25
220 emachine.alcancelibre.org ESMTP Postfix
EHLO dominio.com
250-mail.dominio.com
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-STARTTLS
250-AUTH PLAIN LOGIN
250-AUTH=PLAIN LOGIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
QUIT
Para salir, solo escriba QUIT y pulse la tecla ENTER.
A travs de clientes de correo electrnico.
Utilice cualquier cliente de correo electrnico con soporte para TLS/SSL y configure ste para
conectarse hacia el sistema a travs de IMAPS (puerto 993) o bien POP3S (puerto 995). Tras
aceptar el certificado del servidor, el sistema deber permitir autenticar, con nombre de usuario
y clave de acceso y realizar la lectura del correo electrnico.
Configuracin de GNOME Evolution.
Para GNOME Evolution, la configuracin de IMAP o POP3, se realiza seleccionando el tipo de
servidor, definiendo el nombre del servidor utilizado para crear el certificado, nombre de usuario
y usar encriptacin segura TLS.

Configuracin IMAP, en GNOME Evolution.
Se hace lo mismo para la configuracin de SMTP (utilizar conexin segura TLS), pero
considerando adems que tambin se puede utilizar el puerto 587 (submission) en caso de que
el proveedor de acceso a Internet del cliente haya restringido el uso del puerto 25 (smtp).

Configuracin SMTP, GNOME Evolution.
Configuracin Mozilla Thunderbird.
Para Mozilla Thunderbird, se define el nombre del servidor utilizado para crear el certificado,
usuario y usar conexin segura TLS.

Configuracin IMAP, Mozilla Thunderbird.
Se hace lo mismo para la configuracin de SMTP (utilizar conexin segura TLS), pero
considerando adems que tambin se puede utilizar el puerto 587 (submission) en caso de que
el proveedor de acceso a Internet del cliente haya restringido el uso del puerto 25 (smtp).

Configuracin SMTP, Mozilla Thunderbird.
Modificaciones necesarias en el muro cortafuegos.
Si se utiliza un cortafuegos con polticas estrictas, como por ejemplo Shorewall, es necesario
abrir, adems de los puertos 25, 110, 143 y 587 por TCP (SMTP, POP3, IMAP y Submission,
respectivamente), los puertos 465, 993 y 995 por TCP (SMTPS, IMAP y POP3S,
respectivamente).
La regla para el archivo /etc/shorewall/rules de Shorewall correspondera a algo similar a lo
siguiente:
#ACTION SOURCE DEST PROTO DEST
SOURCE
# PORT PORT(S)1
ACCEPT all fw tcp
25,110,143,465,587,993,995
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE --
DO NOT REMOVE

es,
Publicado por Tenshi-kun en 3:10
Introduccin.

Un servidor de correo es una aplicacin de red ubicada en un servidor en internet, cuya funcin es
parecida al Correo postal tradicional, slo que en este caso lo que se maneja son los correos
electrnicos (a veces llamados mensajes o e-mails), a los que se hace circular a travs de redes de
transmisin de datos. A diferencia del correo postal, por este medio slo se pueden enviar como adjuntos,
ficheros de cualquier extensin, y no bultos o paquetes o documentacin, al viajar la informacin en
formato electrnico.


Instalacin.

Tecleamos la siguiente orden.
yum -y install mailx nc dovecot postfix


Accedemos al fichero /etc/dovecot/conf.d/10-mail.conf

gedit /etc/dovecot/conf.d/10-mail.conf &

Descomentamos las siguientes lneas.

mail_location = mbox:~/mail:INBOX=/var/mail/%u

protocols = imap pop3 lmtp



Para iniciar el servicio dovecot y mantenerlo arrancado de forma permanente, escribimos en la terminal
las siguientes dos lneas.

service dovecot start
chkconfig dovecot on

Escribimos tambin estas dos lneas en el terminal.

service postfix start
chkconfig postfix on

Para escribir un mail a algun usuario, podemos escribir en la terminal mail usuario, o nc 127.0.0.1
25 escribimos el asunto y el cuerpo del mail. Terminamos con un punto al final del mail.




Si queremos ver nuestra bandeja de entrada desde la terminal, simplemente escribimos maildesde nuestro
usuario.




Para leer un mensaje solo tenemos que escribir el nmero del mensaje deseado.


Prueba del email




Instalamos los siguientes paquetes:

yum -y install postfix dovecot cyrus-sasl cyrus-sasl-plain

Y desinstalamos estas otras:

yum remove cyrus-sasl-gssapi
yum remove cyrus-sasl-md5

Escribimos la siguiente lnea para que SElinux nos permita el servicio postfix.

setsebool -P allow_postfix_local_write_mail_spool 1

Acceda al directorio /etc/pki/tls/

cd /etc/pki/tls/

Se crea primero un archivo de parmetros DSA:

openssl dsaparam 1024 -out dsa1024.pem



Creamos el certificado DSA:

openssl req -x509 -nodes -newkey dsa:dsa1024.pem -days 1095 -out certs/smtp.crt -keyout
private/smtp.key



Al terminar, ya no ser necesario conservar el archivo dsa1024.pem, mismo que puede eliminarse con
plena seguridad.

rm -f dsa1024.pem


cambiamos los permisos de acceso de solo lectura para el usuario root:

chmod 400 certs/smtp.crt private/smtp.key


Cambiamos al directorio cd /etc/pki/dovecot/

cd /etc/pki/dovecot/

Eliminamos los certificados de prueba creados durante la instalacin.

rm -f private/dovecot.pem certs/dovecot.pem

Escribimos las siguientes lneas para crear otro certificado firmado

openssl req -x509 -nodes -newkey rsa:1024 -days 1095 -out certs/dovecot.pem -keyout
private/dovecot.pem
openssl x509 -subject -fingerprint -noout -in certs/dovecot.pem



Es indispensable que todos los archivos de claves y certificados tengan permisos de acceso de solo lectura
para el usuario root:

chmod 400 private/dovecot.pem certs/dovecot.pem

Regrese al directorio de inicio del usuario root.

cd


Editar el archivo /etc/postfix/master.cf:

gedit /etc/postfix/master.cf &


Descomentamos las siguientes lneas.

submission inet n - n - - smtpd
-o smtpd_tls_security_level=encrypt
-o smtpd_sasl_auth_enable=yes
-o smtpd_client_restrictions=permit_sasl_authenticated,reject
-o milter_macro_daemon_name=ORIGINATING
smtps inet n - n - - smtpd
-o smtpd_tls_wrappermode=yes
-o smtpd_sasl_auth_enable=yes
-o smtpd_client_restrictions=permit_sasl_authenticated,reject
-o milter_macro_daemon_name=ORIGINATING



A continuacin, en una terminal ponemos todas estas lneas

postconf -e 'myhostname = mail.red20.local'
postconf -e 'mydomain = red20.local'
postconf -e 'myorigin = $mydomain'
postconf -e 'inet_interfaces = all'
postconf -e 'mydestination = $myhostname, $mydomain, localhost.localdomain, localhost'
postconf -e 'mynetworks = 172.16.13.120/16, 127.0.0.0/8'
postconf -e 'relay_domains = $mydestination'
postconf -e 'mailbox_command = /usr/bin/procmail'
postconf -e 'smtpd_tls_CAfile = /etc/pki/tls/certs/ca-bundle.crt'
postconf -e 'smtpd_tls_key_file = /etc/pki/tls/private/smtp.key'
postconf -e 'smtpd_tls_cert_file = /etc/pki/tls/certs/smtp.crt'
postconf -e 'smtpd_tls_auth_only = no'
postconf -e 'smtp_use_tls = yes'
postconf -e 'smtpd_use_tls = yes'
postconf -e 'smtp_tls_note_starttls_offer = yes'
postconf -e 'smtpd_tls_loglevel = 1'
postconf -e 'smtpd_tls_received_header = yes'
postconf -e 'smtpd_tls_session_cache_timeout = 3600s'
postconf -e 'tls_random_source = dev:/dev/urandom'
postconf -e 'smtpd_sasl_auth_enable = yes'
postconf -e 'smtpd_sasl_security_options = noanonymous'
postconf -e 'broken_sasl_auth_clients = yes'
postconf -e 'smtpd_sasl_authenticated_header = yes'
postconf -e 'smtpd_recipient_restrictions =
permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination'

Accedemos al archivo /etc/dovecot/conf.d/10-ssl.conf

gedit /etc/dovecot/conf.d/10-ssl.conf &

Y modificamos las siguientes lneas.

ssl = yes
ssl_cert = </etc/pki/dovecot/certs/dovecot.pem
ssl_key = </etc/pki/dovecot/private/dovecot.pem




En una terminal ponemos las siguientes lneas para que arranque desde el sistema e iniciar los servicios.

chkconfig saslauthd on
chkconfig dovecot on
chkconfig postfix on
service saslauthd start
service dovecot start
service postfix restart


Configuracin de GNOME Evolution.


Para acceder al cliente de correo Evolution, picamos sobre Aplicaciones -> Oficina -> Correo y
calendario Evolution.





Mediante el asistente, le ponemos un nombre significativo a la cuenta, nombre completo y direccin de
correo.


En el apartado Recepcin de correo, ponemos nuestro nomrbe, y como nombre de nuestro servidor
mail.red20.local.


Y en el apartado Envo de correo especificamos SMTP como Tipo de servidor y ponemos como servidor
mail.red20.local


Enviar por correo electrnico Escribe un blog Compartir con Twitter Compartir con Facebook
Etiquetas: CentOS
6 comentarios:
1.
Annimo
21 de febrero de 2013, 2:32
Hola,

He seguido este tutorial pero me sale un error:

postfix/smtpd[2141]: warning: cannot get RSA private key from file /etc/pki/tls/private/smtp.key:
disabling TLS support

Alguna idea de que puede ser, revise todo varias veces y no encuentro el error
2.
Annimo
21 de febrero de 2013, 2:38
Olviden lo anterior, era un problema con una palabra mal escrita.


Gracias
3.
Tenshi-kun
21 de febrero de 2013, 3:15
Estaba investigando a ver cual era el error, pero si ya la has descubierto ya no hace falta seguir buscando.
La verdad es que CentOS es bastate puetero con las faltas y con el case sensitive. Espero que te haya
sido util el tutorial :)
4.
Jose Francisco Flores Quezada
6 de marzo de 2013, 18:19
Yo agarro el siguiente mensaje welcome response error operation now in progress tienes alguna idea de
que puede andar mal en mi configuracion
5.
Annimo
10 de junio de 2013, 14:10
al realizar la autoprueba conmigo de enviar el mensaje ni siquiera me llega por q sera
6.
Annimo
6 de agosto de 2013, 9:59
hola el tutorial es muy bueno pero me surge el problema al momento de enviar un correo de prueba a otro
usuario no aparece en la bandeja de entrada de evolution pero si confirmo que llega por medio del
terminal que sera?????

Servidor GNU/Linux CentOS Desde 0 (cero) ::
Servidor Postfix - (Parte 8)

En esta ocasin hablaremos de Postfix, el servidor de correos de
preferencia y actualidad en la mayora de los servidores gnu/linux en
Internet, tambin considerado un tema algo complejo debido a la
multitud de cosas que se puede hacer por el lado del administrador
con los correos, desde correr aplicaciones al momento de recibir un
correo con cierta caracterstica, hasta el procedimiento de lidear con
los dominios virtuales, buzones y reenvo de correos a otros
servidores (respaldo o relay).

El tema es algo completo que posiblemente nos lleve mas de una
publicacin, pero trataremos de ser lo mas amenos y amplios en el
tema ya que la mayora del material esta en ingles y el poco material
que esta en castellano se encuentra cortado en diversos temas (nadie
habla de TODO sobre postfix).


Servidores de Correos


Los Servidores de correos tienen la ardua tarea de recibir todo el
correo electrnico que llegue a su puerto de red 25 (smtp),
posteriormente debe hacer "algo" con ese correo, que puede ser
desde ignorarlo, guardarlo o reenviarlo.

En el procedimiento de ignorarlo es porque simplemente el correo no
corresponde con los dominios que este sostiene.

En el caso de guardarlo es porque existe el dominio en el servidor y
existe una cuenta que se asocia con el receptor, por lo cual prosigue a
guardarlo en el buzn de correo (Maildir/).

Y el procedimiento de reenvo consiste bsicamente en que ese
dominio lo reconoce, pero esta en otro servidor dentro de la red que
puede saber que hacer con ese correo, por lo cual lo reenva
(transporte) hacia la IP del otro Servidor de Correos.


Clientes de Correos


Son las aplicaciones y plataformas de software que nos brindan un
ambiente visual y practico para interactuar con el Servidor de Correos
y utilizar sus servicios como son: bajar correo, consultar y enviar
correo.

Como recomendacin existen aplicaciones de software libre muy
buenas como: Evolution, Thunderbird y Outlook.


Postfix


Postfix es el servidor de correos preferente en Internet, de los mas
seguros y con la capacidad de manipular las diversas secciones por
donde va pasando correo electrnico, desde su recepcin hasta su
salida. Podemos tanto validar cabeceras o disparar una aplicacin si
fuese en caso de tener un sistema automtico de respuesta.

El servidor de correo regularmente trabaja en los puertos: 25 y 587.
El puerto 25 es conocido como SMTP.
El puerto 587 es conocido como submission.

Regularmente algunos ISP (Proveedores de Internet) mantienen
bloqueado el puerto 25 para evitar que sus usuarios hagan envo de
correos, ya sea para evitar la generacin de SPAM o bien porque no
se incorpora en el servicio de Internet comn.

El puerto 587 (submission) es una alternativa para cuando se tiene el
25 bloqueado, pero claro, es por obviedad que si tu servidor no tiene
el puerto 25 abierto, entonces deberas enviar tu correo a un Servidor
que si pueda usar el 25, a lo que llamamos relay.


IMAP y POP3

Es el servicio que se encarga de proporcionar todo el correo
electrnico almacenado en el buzn del usuario que se esta
autenticando con el servidor de correos, el POP3 generalmente
trabaja en el puerto 110. En este mtodo POP3 la descarga del
correo es en modo plano, as que cualquier que intervenga la conexin
puede cachar tambin nuestros mails.

Existe tambin la posibilidad de manejar un servicio POP3 Seguro en
donde se cifre la conexin mediante TLS o SASL, el servicio de POP3
Seguro funciona sobre el puerto 995.

Es importante recordar que en POP3 cada vez que se descarga el
correo, es eliminado del servidor, por lo cual mantener varios gestores
de correos bajando del POP3 de nuestra cuenta, puede hacer que
nuestros correos queden algunos en un PC, otros en otro PC, y as en
cualquier dispositivo que tengamos conectado al POP3.

El servicio IMAPs es muy parecido a POP3, con la diferencia que al
momento que se descarga el correo, este continua presente en el
servidor, solamente cuando eliminamos un correo es cuando se
elimina del servidor.

IMAP funciona en el puerto 143 y tambin existe una versin de IMAP
Seguro que funciona en el puerto 993.


Configurando POSTFIX

Una configuracin bsica y recomendada de postfix es aquella que
simplemente nos brinda el servicio de envi y recepcin de correos
utilizando como medio de conexin al servicio una autentican
mediante TLS o SASL.

Codigo:
shell# cat /etc/postfix/main.cf
queue_directory = /var/spool/postfix
command_directory = /usr/sbin
daemon_directory = /usr/libexec/postfix
data_directory = /var/lib/postfix
mail_owner = postfix
inet_interfaces = all
myhostname = mail.miservidor.com
mydomain = miservidor.com
myorigin = $mydomain
mydestination = $myhostname, $mydomain, localhost.$mydomain,
mail.$mydomain, localhost, /etc/postfix/dominios.cf,
hash:/etc/postfix/virtual
unknown_local_recipient_reject_code = 550
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
smtpd_banner = $myhostname ESMTP
debug_peer_level = 2
debugger_command =
PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin
ddd $daemon_directory/$process_name $process_id & sleep 5
sendmail_path = /usr/sbin/sendmail.postfix
newaliases_path = /usr/bin/newaliases.postfix
mailq_path = /usr/bin/mailq.postfix
setgid_group = postdrop
html_directory = no
manpage_directory = /usr/share/man
sample_directory = /usr/share/doc/postfix-2.6.6/samples
readme_directory = /usr/share/doc/postfix-2.6.6/README_FILES
smtpd_sasl_local_domain =
smtpd_sasl_auth_enable = yes
smtp_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
smtp_sasl_security_options = noanonymous
broken_sasl_auth_clients = yes
smtpd_sasl_authenticated_header = yes
smtpd_recipient_restrictions =
permit_sasl_authenticated,permit_mynetworks,reject_unauth_destinati
on,hash:/etc/postfix/access,reject_unknown_sender_domain
mynetworks = 127.0.0.0/8, 192.168.1.0/24
smtpd_tls_auth_only = no
smtpd_use_tls = yes
smtp_use_tls = yes
smtp_tls_note_starttls_offer = yes
smtpd_tls_key_file = /etc/postfix/ssl/smtpd.key
smtpd_tls_cert_file = /etc/postfix/ssl/smtpd.crt
smtpd_tls_CAfile = /etc/postfix/ssl/cacert.pem
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom
smtp_tls_key_file = /etc/postfix/ssl/smtpd.key
smtp_tls_cert_file = /etc/postfix/ssl/smtpd.crt
smtp_tls_CAfile = /etc/postfix/ssl/cacert.pem
smtp_tls_session_cache_database =
btree:/var/lib/postfix/smtp_tls_session_cache
smtpd_tls_security_level = may
smtpd_helo_required = yes
strict_rfc821_envelopes = yes
relay_domains = $mydestination
smtpd_error_sleep_time = 0
smtp_connect_timeout = 0
home_mailbox = Maildir/
mailbox_command =


Explicaremos las partes que mantienen archivos incorporados a la
configuracin, para una mejor comprensin:

Codigo:
mydestination = $myhostname, $mydomain, localhost.$mydomain,
mail.$mydomain, localhost, /etc/postfix/dominios.cf,
hash:/etc/postfix/virtual


mydestination indica a postfix todos los posibles destinos que sern
validos para tomar el correo, entre los parmetros destacan dos
archivos/etc/postfix/dominios.cf y hash:/etc/postfix/virtual.

/etc/postfix/dominios.cf
Contiene los dominios que soporta nuestro servidor, o bueno, los
dominios que tenemos funcionando en el servidor. En mi caso tengo:

Codigo:
shell# cat /etc/postfix/dominios.cf
midominio.com
midominio2.com
midominio3.com


hash:/etc/postfix/virtual
Contiene la asociacin de nuestros correos electrnicos con las
cuentas de usuario en el sistema. Por ejemplo si el correo del usuario
"carlos" es "carlitos.perez@midominio.com", al existir una "diferencia"
entre el usuario y el nombre del correo, debemos indicarle a postfix
que hara con ese correo que reciba y sepa donde depositara el
correo.

En mi caso tengo:
Codigo:
shell# cat /etc/postfix/virtual
midomino.com anything
carlitos.perez@midominio.com carlos
jorge.ruiz@midominio.com jruiz

midominio2.com anything
webmaster@midominio2.com andres
soporte@midominio2.com pedro


OJO: antes de declarar las asociaciones debemos declara el dominio
original con el valor de "anything".

En el caso de los archivos que sean hash de postfix (como "virtual"),
despus de hacer modificaciones debemos crear la BD de esa
configuracin nueva o modificacin, por lo cual debemos ejecutar el
comando:

Codigo:
shell# postmap /etc/postfix/virtual


Esto har que postmap guarde la configuracin con un nombre
de virtual.db. Que es el archivo que finalmente lee Postfix.

hash:/etc/postfix/access
Nos permite indicar que dominios o correos (usuario@dominio) podrn
ser aceptados por Postfix, ya sea bien para recibir y/o enviar. En mi
caso tengo:

Codigo:
shell# cat /etc/postfix/access
miservidor.com OK
miservidor2.com OK
miservidor3.com OK
192.168 RELAY


Los valores OK indican que puedes recibirlos y enviarlos.
El valor RELAY indica que las direcciones IP 192.168 pueden hacer
uso del RELAY del servidor (despus hablaremos sobre Relays).

Una vez creado o realizado cambios a /etc/postfix/access debemos
incorporarlo a BD:

Codigo:
shell# postmap /etc/postfix/access


En nuestra siguiente entrega hablaremos sobre los Certificacdos
Digitales para la autenticacion de los usuarios....