16/2/2014

Instalacin y configuracin de Postfix y Dovecot con soporte para TLS y autenticacin. - Alcance Libre
Ingresar | Registrarse | Enviar Nota

Twitter

Portada

Sondeo
Escritorios alternativos
Linux

Foros

Manuales

Servicios

Cursos Linux

Google+

Descargas

Servicios

Buscar...
Buscar

Prximas fechas Curso Global de Servidores con CentOS 6.

Taller de programacin de Python.
Curso de programacin de PHP.
Prueba ALDOS 1.4.5. Nuestro sistema operativo para escritorio.

Instalacin y configuracin de Postfix y Dovecot con soporte para TLS y

autenticacin.

Cul prefieres?
Xfce

Autor: Joel Barrios Dueas

LXDE

Correo electrnico: dark shram en gmail punto com

Razor-qt

Sitio de Red: http://www.alcancelibre.org/

Enlightenment 0.17

Jabber ID: dark shram@jabber.org

Creative Com m ons Reconocim iento-NoCom ercial-Com partirIgual 2.1

Voto Resultados
Other polls | 1,397 v oters | 2

1999-2014 Joel Barrios Dueas. Usted es libre de copiar, distribuir y comunicar pblicamente la obra y hacer obras deriv adas bajo las condiciones

comentarios

siguientes: a) Debe reconocer y citar al autor original. b) No puede utilizar esta obra para fines comerciales (incluyendo su publicacin, a
travs de cualquier medio, por entidades con fines de lucro). c) Si altera o transf orma esta obra o genera una obra deriv ada, slo puede
distribuir la obra generada bajo una licencia idntica a sta. Al reutilizar o distribuir la obra, tiene que dejar bien claro los trminos de la licencia de
esta obra. Alguna de estas condiciones puede no aplicarse si se obtiene el permiso del titular de los derechos de autor. Los derechos deriv ados de
usos legtimos u otras limitaciones no se v en af ectados por lo anterior. Licencia completa en castellano. La inf ormacin contenida en este
documento y los deriv ados de ste se proporcionan tal cual son y los autores no asumirn responsabilidad alguna si el usuario o lector hace mal uso
de stos.

Introduccin.
Es imprescindible primero estudiar y comprender, los conceptos descritos en el documento titulado Introduccin a los
protocolos de correo electrnico.

Acerca de Postfix.
Postfix, originalmente conocido por los nombres VMailer e IBM Secure Mailer, es un popular agente de transporte de correo
(MTA o Mail Transport Agent), creado con la principal intencin de ser una alternativa ms rpida, fcil de administrar y segura
que Sendmail. Fue originalmente escrito por Wietse Venema durante su estancia en el Thomas J. Watson Research Center de
IBM.
URL: http://www.postfix.org/.

Acerca de Dovecot.
Dovecot es un servidor de POP3 e IMAP de fuente abierta que funciona en Linux y sistemas basados sobre Unix y
diseado con la seguridad como principal objetivo. Dovecot puede utilizar tanto el formato mbox como maildir y es
compatible con las implementaciones de los servidores UW-IMAP y Courier IMAP.
URL: http://dovecot.procontrol.fi/.

Acerca de SASL y Cyrus SASL.

SASL (Simple Authentication and Security Layer) es un estructura para la seguridad de datos en protocolos de Internet.
Desempareja mecanismos de la autenticacin desde protocolos de aplicaciones, permitiendo, en teora, cualquier mecanismo
de autenticacin soportado por SASL para ser utilizado en cualquier protocolo de aplicacin que capaz de utilizar SASL.
Actualmente SASL es un protocolo de la IETF (Internet Engineering Task Force) que ha sido propuesto como estndar. Est
especificado en el RFC 2222 creado por John Meyers en la Universidad Carnegie Mellon.
Cyrus SASL es una implementacin de SASL que puede ser utilizada del lado del servidor o del lado del cliente y que incluye
como principales mecanismos de autenticacin soportados a ANONYMOUS, CRAM-MD5, DIGEST-MD5, GSSAPI y PLAIN. El
cdigo fuente incluye tambin soporte para los mecanismos LOGIN, SRP, NTLM, OPT y KERBEROS_V4.
URL: http://asg.web.cmu.edu/sasl/sasl-library.html.

Acerca de DSA.
DSA (Digital Signature Algorithm o Algoritmo de Firma digital) es un algoritmo creado por el NIST (National Institute of
Standards and Technology o Instituto Nacional de Normas y Tecnologa de EE.UU.), publicado el 30 de agosto de 1991, como
propuesta para el proceso de firmas digitales. Se utiliza para firmar informacin, ms no para cifrar sta.

http://www.alcancelibre.org/staticpages/index.php/como-postfix-tls-y-auth

1/9

16/2/2014

Instalacin y configuracin de Postfix y Dovecot con soporte para TLS y autenticacin. - Alcance Libre
URL: http://es.wikipedia.org/wiki/DSA

Acerca de RSA.
RSA, acrnimo de los apellidos de sus autores, Ron Rivest, Adi Shamir y Len Adleman, es un algoritmo para el ciframiento de
claves pblicas que fue publicado en 1977, patentado en EE.UU. en 1983 por el el Instituto Tecnolgico de Michigan (MIT).
RSA es utilizado ampliamente en todo el mundo para los protocolos destinados para el comercio electrnico.
URL: http://es.wikipedia.org/wiki/RSA

Acerca de X.509.
X.509 es un estndar ITU-T (estandarizacin de Telecomunicaciones de la International Telecommunication Union ) para
infraestructura de claves pblicas (PKI o Public Key Infrastructure). Entre otras cosas, establece los estndares para
certificados de claves pblicas y un algoritmo para validacin de ruta de certificacin. Este ltimo se encarga de verificar que la
ruta de un certificado sea vlida bajo una infraestructura de clave pblica determinada. Es decir, desde el certificado inicial,
pasando por certificados intermedios, hasta el certificado de confianza emitido por una Autoridad Certificadora (CA o
Certification Authority).
URL: http://es.wikipedia.org/wiki/X.509

Acerca de OpenSSL.
OpenSSL es una implementacin libre, de cdigo abierto, de los protocolos SSL (Secure Sockets Layer o Nivel de Zcalo
Seguro) y TLS (Transport Layer Security o Seguridad para Nivel de Transporte). Est basado sobre el extinto proyecto
SSLeay, iniciado por Eric Young y Tim Hudson, hasta que stos comenzaron a trabajar para la divisin de seguridad de EMC
Corporation.
URL: http://www.openssl.org/

Equipamiento lgico necesario.

Instalar los paquetes postfix, dovecot, cyrus-sasl y cyrus-sasl-plain:
yum -y install postfix dovecot cyrus-sasl cyrus-sasl-plain
Si acaso estuviese instalado, elimine el paquete cyrus-sasl-gssapi, ya que este utiliza el mtodo de autenticacin GSSAPI,
mismo que requerira de la base de datos de cuentas de usuario de un servidor Kerberos:
yum remove cyrus-sasl-gssapi
De igual manera, si estuviese instalado, elimine el paquete cyrus-sasl-md5, ya que este utiliza los mtodos de autenticacin
CRAM-MD5 y Digest-MD5, mismos que requeran asignar las claves de acceso para SMTP a travs del mandato saslpasswd2.
Outlook carece de soporte para estos mtodos de autenticacin.
yum remove cyrus-sasl-md5

Procedimientos.
Todos los procedimientos deben realizarse como el usuario root.

Definiendo Postfix como agente de transporte de correo predeterminado.

El mandato alternatives, con la opcin alternatives--config mta, se utiliza para conmutar el servicio de correo electrnico del
sistema y elegir que paquete utilizar. Slo es necesario utilizar ste si previamente estaban instalados Sendmail o Exim. S
este es el caso, ejecute lo siguiente desde una terminal y defina Postfix como agente de transporte de correo (MTA, Mail
Transport Agent), seleccionado ste.
alternatives --config mta
Lo anterior devolver una salida similar a la siguiente, donde deber elegir entre postfix y sendmail como MTA
predeterminado del sistema:
Hay 2 programas que proporcionan 'mta'.
Seleccin
Comando
----------------------------------------------*+ 1
/usr/sbin/sendmail.postfix
2
/usr/sbin/sendmail.sendmail
Presione Intro para mantener la seleccin actual[+] o escriba el nmero de la seleccin: 1

Si estuviera presente sendmail, detenga ste (es el MTA predeterminado en CentOS 5 y Red Hat Enterprise Linux 5) e
inicie postfix:
service sendmail stop
chkconfig sendmail off
service postfix start
chkconfig postfix on

http://www.alcancelibre.org/staticpages/index.php/como-postfix-tls-y-auth

2/9

16/2/2014

Instalacin y configuracin de Postfix y Dovecot con soporte para TLS y autenticacin. - Alcance Libre

SELinux y Postfix.
A fin de que SELinux permita a Postfix escribir el el directorio de entrada de correo electrnico (/var/spool/mail/), es
necesario habilitar la siguiente poltica:
setsebool -P allow_postfix_local_write_mail_spool 1
Solo en CentOS 5 y Red Hat Enterpise Linux 5, a fin de que SELinux permita la lectura de correo electrnico, es necesario
habilitar la siguiente poltica:
setsebool -P mail_read_content 1
En CentOS 6 y Red Hat Enterpise Linux 6, esta poltica dej de existir, pues se volvi innecesaria.

Configuracin de Postfix.
Generando firma digital y certificado para ambos servicios.
Acceda al directorio /etc/pki/tls/.
cd /etc/pki/tls/
La creacin de la firma digital y certificado requiere utilizar una clave con algoritmo RSA de 2048 octetos (bits), con estructura
X.509 y sin DES. En el ejemplo a continuacin, se establece una validez por 1825 das (cinco aos) para el certificado creado:
openssl req -x509 -nodes -newkey rsa:2048 -days 1825 \
-out certs/dominio.tld.crt -keyout private/dominio.tld.key
Lo anterior solicitar se ingresen varios datos:
Cdigo de dos letras para el pas.
Estado o provincia.
Ciudad.
Nombre de la empresa o razn social.
Unidad o seccin.
Nombre del anfitrin.
Direccin de correo.
La salida debe devolver algo similar a lo siguiente:
Generating a 1024 bit DSA private key
writing new private key to 'smtp.key'
----You are about to be asked to enter information that will be
incorporated into your certificate request.
What you are about to enter is what is called a Distinguished Name
or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
----Country Name (2 letter code) [GB]:MX
State or Province Name (full name) [Berkshire]:Distrito Federal
Locality Name (eg, city) [Newbury]:Mexico
Organization Name (eg, company) [My Company Ltd]:Empresa, S.A. de C.V.
Organizational Unit Name (eg, section) []:Direccion Comercial
Common Name (eg, your name or your server's hostname) []:*.dominio.tld
Email Address []:webmaster@dominio.com

Si defini un nombre de anfitrin absoluto (ejemplo: mail.dominio.tld), el certificado slo ser vlido cuando el servidor de correo
electrnico sea invocado con el nombre definido en el campo Common Name. Es decir, slo podr utilizarlo cuando se defina
mail.dominio.tld como servidor SMTP/IMAP/POP3 con soporte TLS desde el cliente de correo electrnico. Funcionar
incorrectamente si se invoca al servidor como, por mencionar un ejemplo, correo.dominio.tld. Es por eso que se sugiere
utilizar *.dominio.com si se planea acceder hacia el mismo servidor con diferentes subdominios del mismo dominio.
A fin de facilitar a los clientes de correo electrnico el poder gestionar una futura actualizacin de certificado, conviene aadir
una huella distintiva indubitable (fingerprint) al certificado.
openssl x509 -subject -fingerprint -noout -in certs/dominio.tld.crt
Es indispensable que todos los archivos de claves y certificados tengan permisos de acceso de slo lectura para el usuario
root:
chmod 400 certs/dominio.tld.crt private/dominio.tld.key
Regrese al directorio de inicio del usuario root.
cd

Archivo de configuracin /etc/postfix/master.cf.

Editar el archivo /etc/postfix/master.cf:
vim /etc/postfix/master.cf
Si utiliza CentOS 5 o Red Hat Enterprise Linux 5, debe descomentar las siguientes lneas resaltadas en negrita:

http://www.alcancelibre.org/staticpages/index.php/como-postfix-tls-y-auth

3/9

16/2/2014

Instalacin y configuracin de Postfix y Dovecot con soporte para TLS y autenticacin. - Alcance Libre
Si utiliza CentOS 5 o Red Hat Enterprise Linux 5, debe descomentar las siguientes lneas resaltadas en negrita:
smtp
inet n
n
smtpd
submission inet n
n
smtpd
-o smtpd_enforce_tls=yes
-o smtpd_sasl_auth_enable=yes
-o smtpd_client_restrictions=permit_sasl_authenticated,reject
smtps
inet n
n
smtpd
-o smtpd_tls_wrappermode=yes
-o smtpd_sasl_auth_enable=yes
-o smtpd_client_restrictions=permit_sasl_authenticated,reject
Si utiliza CentOS 6 o Red Hat Enterprise Linux 6, debe descomentar las siguientes lneas resaltadas en negrita:
smtp
inet n
n
smtpd
submission inet n
n
smtpd
-o smtpd_tls_security_level=encrypt
-o smtpd_sasl_auth_enable=yes
-o smtpd_client_restrictions=permit_sasl_authenticated,reject
-o milter_macro_daemon_name=ORIGINATING
smtps
inet n
n
smtpd
-o smtpd_tls_wrappermode=yes
-o smtpd_sasl_auth_enable=yes
-o smtpd_client_restrictions=permit_sasl_authenticated,reject
-o milter_macro_daemon_name=ORIGINATING

Archivo de configuracin /etc/postfix/main.cf.

A continuacin, se debe editar el archivo /etc/postfix/main.cf:
vim /etc/postfix/main.cf
Respetando el resto del contenido original de este archivo y asumiendo que el nombre de anfitrin del servidor es
mail.dominio.com y que se va a utilizar para gestionar el correo electrnico de dominio.com, solo se deben localizar y
configurar los siguientes parmetros:

# Todo lo siguiente solo requiere descomentarse o bien modificar la lnea

# correspondiente que est descomentada.
# Definir el nombre de anfitrin del sistema (hostname).
myhostname = mail.dominio.com
# Definir el dominio principal a gestionar.
mydomain = dominio.com
myorigin = $mydomain
# Definir se trabaje por todas las interfaces.
# De modo predeterminado solo trabaja por la interfaz de retorno del sistema
# (loopback), es decir, solo escucha peticiones a travs de sobre 127.0.0.1
#inet_interfaces = localhost
inet_interfaces = all
# Si se van a manejar ms dominios de correo electrnico, aadirlos tambin.
mydestination = $myhostname, $mydomain, localhost.localdomain, localhost
# Definir tus redes locales, ejemplo asume que tu LAN es 192.168.1.0/24
mynetworks = 192.168.1.0/24, 127.0.0.0/8
# Si se van a manejar ms dominios de correo electrnico, aadirlos tambin.
relay_domains = $mydestination
# Importante para poder utilizar procmail para filtrar correo.
mailbox_command = /usr/bin/procmail
# Todo lo siguiente est ausente en la configuracin.
# Aadir todo al final del archivo main.cf
#
smtpd_tls_security_level = may
smtpd_tls_CAfile = /etc/pki/tls/certs/ca-bundle.crt
# Las rutas deben corresponder a las del certificado y firma digital creados.
smtpd_tls_key_file = /etc/pki/tls/private/dominio.tld.key
smtpd_tls_cert_file = /etc/pki/tls/certs/dominio.tld.crt
smtpd_tls_auth_only = no
smtp_use_tls = yes
smtpd_use_tls = yes
smtp_tls_note_starttls_offer = yes
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom

# Soporte para autenticar a travs de SASL.

# smtpd_sasl_local_domain = # Solo como referencia.
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
broken_sasl_auth_clients = yes
smtpd_sasl_authenticated_header = yes
smtpd_recipient_restrictions = permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination

A fin de ahorrar tiempo realizando bsqueda de los parmetros anteriores, todo lo anterior tambin se puede configurar
utilizando el mandato postconf, del siguiente modo:

http://www.alcancelibre.org/staticpages/index.php/como-postfix-tls-y-auth

4/9

16/2/2014

Instalacin y configuracin de Postfix y Dovecot con soporte para TLS y autenticacin. - Alcance Libre

postconf -e 'myhostname = mail.dominio.com'

postconf -e 'mydomain = dominio.com'
postconf -e 'myorigin = $mydomain'
postconf -e 'inet_interfaces = all'
postconf -e 'mydestination = $myhostname, $mydomain, localhost.localdomain, localhost'
postconf -e 'mynetworks = 192.168.1.0/24, 127.0.0.0/8'
postconf -e 'relay_domains = $mydestination'
postconf -e 'mailbox_command = /usr/bin/procmail'
postconf -e 'smtpd_tls_CAfile = /etc/pki/tls/certs/ca-bundle.crt'
postconf -e 'smtpd_tls_key_file = /etc/pki/tls/private/dominio.tld.key'
postconf -e 'smtpd_tls_cert_file = /etc/pki/tls/certs/dominio.tld.crt'
postconf -e 'smtpd_tls_auth_only = no'
postconf -e 'smtp_use_tls = yes'
postconf -e 'smtpd_use_tls = yes'
postconf -e 'smtp_tls_note_starttls_offer = yes'
postconf -e 'smtpd_tls_loglevel = 1'
postconf -e 'smtpd_tls_received_header = yes'
postconf -e 'smtpd_tls_session_cache_timeout = 3600s'
postconf -e 'tls_random_source = dev:/dev/urandom'
postconf -e 'smtpd_sasl_auth_enable = yes'
postconf -e 'smtpd_sasl_security_options = noanonymous'
postconf -e 'broken_sasl_auth_clients = yes'
postconf -e 'smtpd_sasl_authenticated_header = yes'
postconf -e 'smtpd_recipient_restrictions = permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination'

Archivo de configuracin /etc/aliases.

Se debe editar tambin el archivo /etc/aliases:
vim /etc/aliases
Se debe definir que el correo del usuario root se entregue al cualquier otro usuario del sistema. El objetivo de esto es que
jams se tenga necesidad de utilizar la cuenta del usuario root y se prefiera en su lugar una cuenta de usuario sin privilegios.
Solo se requiere descomentar la ltima lnea de este archivo, que como ejemplo entrega el correo del usuario root al usuario
marc y definir un usuario existente en el sistema
#root: marc
root: fulano
Al terminar, se ejecuta el mandato postalias para generar el archivo /etc/aliases.db que ser utilizado por Postfix:
postalias /etc/aliases

Configuracin de Dovecot en CentOS 5 y Red Hat Enterprise Linux 5.

Parmetros del archivo /etc/dovecot.conf.
Editar el archivo /etc/dovecot.conf:
vim /etc/dovecot.conf
En el parmetro protocols, se deben activar todos los servicios (imap, imaps, pop3 y pop3s).
protocols = imap imaps pop3 pop3s
De modo predeterminado, el soporte SSL de Dovecot est activo. Verifique que el parmetro ssl_disable tenga el valor no o
bien solo est comentado.
#ssl_disable = no
Y se especifican las rutas del certificado y clave a travs de los parmetros ssl_cert_file y ssl_key_file, del siguiente modo:
ssl_cert_file = /etc/pki/tls/certs/dominio.tld.crt
ssl_key_file = /etc/pki/tls/private/dominio.tld.key

Configuracin de Dovecot en CentOS 6 y Red Hat Enterprise Linux 6.

CentOS 6 y Red Hat Enterprise Linux 6 utilizan la versin 2.0 de Dovecot y por lo cual cambia radicalmente la configuracin
respecto de la versin 1.0.x, utilizada en CentOS 5 y Red Hat Enterprise Linux 5.

Parmetros del archivo /etc/dovecot/dovecot.conf.

Edite el archivo /etc/dovecot/dovecot.conf y descomente el parmetro protocolos, estableciendo como valor pop3 imap
lmtp.
# Protocols we want to be serving.

http://www.alcancelibre.org/staticpages/index.php/como-postfix-tls-y-auth

5/9

16/2/2014

Instalacin y configuracin de Postfix y Dovecot con soporte para TLS y autenticacin. - Alcance Libre
# Protocols we want to be serving.
protocols = imap pop3

Parmetros del archivo /etc/dovecot/conf.d/10-mail.conf.

Alrededor de la lnea 30 del archivo /etc/dovecot/conf.d/10-mail.conf, establezca mbox:~/mail:INBOX=/var/mail/%u como
valor del parmetro mail_location.
mail_location = mbox:~/mail:INBOX=/var/mail/%u

Parmetros del archivo /etc/dovecot/conf.d/10-ssl.conf.

En el archivo /etc/dovecot/conf.d/10-ssl.conf, descomente las siguientes lneas resaltadas en negrita:
# SSL/TLS support: yes, no, required. <doc/wiki/SSL.txt>
ssl = yes
# PEM encoded X.509 SSL/TLS certificate and private key. They're opened before
# dropping root privileges, so keep the key file unreadable by anyone but
# root. Included doc/mkcert.sh can be used to easily generate self-signed
# certificate, just make sure to update the domains in dovecot-openssl.cnf
ssl_cert = </etc/pki/tls/certs/dominio.tld.key
ssl_key = </etc/pki/tls/private/dominio.tld.key

Iniciar servicios y aadir stos al arranque del sistema.

Se deben aadir al arranque del sistema e iniciar (o reiniciar) los servicios saslauthd, dovecot y postfix:
chkconfig saslauthd on
chkconfig dovecot on
chkconfig postfix on
service saslauthd start
service dovecot start
service postfix restart

Soporte para LMTP.

Si utiliza CentOS 6 o Red hat Enterprise Linux 6, es decir Dovecot 2.0 y Postfix 2.6.6, podr utilizar LMTP (Local Mail
Transfer Protocol) o protocolo de transporte local de correo. Este protocolo esta basado sobre el protocolo SMTP y est
diseado como una alternativa a SMTP para situaciones donde el lado receptor carece de cola de correo (queue mail), como
un MTA que entiende conversaciones SMTP. Puede ser utilizado como una forma alternativa y ms eficiente para el transporte
de correo entre Postfix y Dovecot.
Edite el archivo /etc/dovecot/dovecot.conf y aada lmtp a los valores del parmetro protocolos, de la siguiente forma.
# Protocols we want to be serving.
protocols = imap pop3 lmtp
A fin de poder hacer uso de LMTP de manera apropiada, es necesario aadir el siguiente parmetro en el archivo
/etc/postfix/main.cf:
virtual_transport = lmtp:unix:/var/run/dovecot/lmtp
O bien ejecutar lo siguiente:
postconf -e 'virtual_transport = lmtp:unix:/var/run/dovecot/lmtp'
Y reiniciar los servicios dovecot y postfix.
service dovecot restart
service postfix restart

Modificaciones necesarias en el muro cortafuegos.

Si se utiliza un cortafuegos con polticas estrictas, como por ejemplo Shorewall, es necesario abrir, adems de los puertos
25, 110, 143 y 587 por TCP (SMTP, POP3, IMAP y Submission, respectivamente), los puertos 465, 993 y 995 por TCP
(SMTPS, IMAP y POP3S, respectivamente).
Editar el archivo /etc/shorewall/rules:
vim /etc/shorewall/rules
Las reglas para el archivo /etc/shorewall/rules de Shorewall correspondera a algo similar a lo siguiente:
#ACTION SOURCE DEST
PROTO DEST
SOURCE
#
PORT
PORT(S)1
ACCEPT net
fw
tcp
25,110,143,465,587,993,995
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
Para que tomen efecto los cambios, hay que reiniciar el servicio Shorewall.
service shorewall restart

Requisitos en la zona de reenvo en el servidor DNS.

Es indispensable que exista un DNS que resuelva correctamente el dominio y apunte el servicio de correo electrnico hacia la
IP del servidor de correo electrnico recin configurado. Asumiendo que se hizo correctamente todo lo mencionado en este

http://www.alcancelibre.org/staticpages/index.php/como-postfix-tls-y-auth

6/9

16/2/2014

Instalacin y configuracin de Postfix y Dovecot con soporte para TLS y autenticacin. - Alcance Libre

IP del servidor de correo electrnico recin configurado. Asumiendo que se hizo correctamente todo lo mencionado en este
documento, la nica forma en que se imposibilitara la llegada y/o salida del correo electrnico se est utilizando un enlace
ADSL con IP dinmica (restringido por le proveedor para utilizar el puerto 25) o bien que el servidor DNS que resuelve el
dominio, est apuntando hacia otra direccin IP para el servicio de correo electrnico. En el DNS se requieren al menos los
siguientes registros, donde xx.xx.xx.xx corresponde a la IP del servidor de correo electrnico.
$TTL 86400
@
IN

@
@
@
@
@
mail
www
ftp

IN
IN
IN
IN
IN
IN
IN
IN

SOA
dns1.isp.com
alguien.algo.com (
2010061901 ; Nmero de serie
28800 ; Tiempo de refresco
7200 ; Tiempo entre reintentos
604800 ; tiempo de espiracin
86400 ; Tiempo total de vida
)
NS
dns1.isp.com.
NS
dns2.isp.com.
A
a.b.c.d
MX
10
mail
TXT
"v=spf1 a mx -all"
A
xx.xx.xx.xx
A
a.b.c.d
A
a.b.c.d

Comprobaciones.
A travs de terminal.
Realice una conexin con el mandato nc (netcat) o bien el mandato telnet, al puerto 25 del sistema. Ingrese el mandato EHLO
con el dominio configurado. La salida deber devolver, entre todas las funciones del servidor, una lnea que indica STARTTLS.
La salida puede ser similar a la siguiente:
nc 127.0.0.1 25
220 emachine.alcancelibre.org ESMTP Postfix
EHLO dominio.com
250-mail.dominio.com
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-STARTTLS
250-AUTH PLAIN LOGIN
250-AUTH=PLAIN LOGIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
QUIT
Para salir, solo escriba QUIT y pulse la tecla ENTER.

A travs de clientes de correo electrnico.

Utilice cualquier cliente de correo electrnico con soporte para TLS/SSL y configure ste para conectarse hacia el sistema a
travs de IMAPS (puerto 993) o bien POP3S (puerto 995). Tras aceptar el certificado del servidor, el sistema deber permitir
autenticar, con nombre de usuario y clave de acceso y realizar la lectura del correo electrnico.

Configuracin de GNOME Evolution.

Para GNOME Evolution, la configuracin de IMAP o POP3, se realiza seleccionando el tipo de servidor, definiendo el nombre
del servidor utilizado para crear el certificado, nombre de usuario y usar encriptacin segura TLS.

http://www.alcancelibre.org/staticpages/index.php/como-postfix-tls-y-auth

7/9

16/2/2014

Instalacin y configuracin de Postfix y Dovecot con soporte para TLS y autenticacin. - Alcance Libre

Configuracin IMAP, en GNOME Evolution.

Se hace lo mismo para la configuracin de SMTP (utilizar conexin segura TLS), pero considerando adems que tambin se
puede utilizar el puerto 587 (submission) en caso de que el proveedor de acceso a Internet del cliente haya restringido el uso
del puerto 25 (smtp).

Configuracin SMTP, GNOME Evolution.

Configuracin Mozilla Thunderbird.

Para Mozilla Thunderbird, se define el nombre del servidor utilizado para crear el certificado, usuario y usar conexin segura
TLS.

Configuracin IMAP, Mozilla Thunderbird.

Se hace lo mismo para la configuracin de SMTP (utilizar conexin segura TLS), pero considerando adems que tambin se
puede utilizar el puerto 587 (submission) en caso de que el proveedor de acceso a Internet del cliente haya restringido el uso
del puerto 25 (smtp).

http://www.alcancelibre.org/staticpages/index.php/como-postfix-tls-y-auth

8/9

16/2/2014

Instalacin y configuracin de Postfix y Dovecot con soporte para TLS y autenticacin. - Alcance Libre

Configuracin SMTP, Mozilla Thunderbird.

Modificaciones necesarias en el muro cortafuegos.

Si se utiliza un cortafuegos con polticas estrictas, como por ejemplo Shorewall, es necesario abrir, adems de los puertos
25, 110, 143 y 587 por TCP (SMTP, POP3, IMAP y Submission, respectivamente), los puertos 465, 993 y 995 por TCP
(SMTPS, IMAP y POP3S, respectivamente).
La regla para el archivo /etc/shorewall/rules de Shorewall correspondera a algo similar a lo siguiente:
#ACTION SOURCE DEST
PROTO DEST
SOURCE
#
PORT
PORT(S)1
ACCEPT all
fw
tcp
25,110,143,465,587,993,995
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
ltima Edicin: 28/01/2014, 14:25 | Hits: 54,476

Derechos de autor 2014 Joel Barrios Dueas

Todas las marcas y logotipos mencionados en este sitio de Internet son propiedad de sus respectivos dueos..
1999-2014 Joel Barrios Dueas. Salvo que se indique lo contrario, todo el contenido est disponible bajo los trminos de la
licencia Creativ e Commons Reconocimiento 2.5.
Visite nuestro Directorio de noticias y Delti.com.mx.

http://www.alcancelibre.org/staticpages/index.php/como-postfix-tls-y-auth

9/9