Академический Документы
Профессиональный Документы
Культура Документы
Instalacin y configuracin de Postfix y Dovecot con soporte para TLS y autenticacin. - Alcance Libre
Ingresar | Registrarse | Enviar Nota
Portada
Sondeo
Escritorios alternativos
Linux
Foros
Manuales
Servicios
Cursos Linux
Google+
Descargas
Servicios
Buscar...
Buscar
Cul prefieres?
Xfce
LXDE
Razor-qt
Enlightenment 0.17
Voto Resultados
Other polls | 1,397 v oters | 2
1999-2014 Joel Barrios Dueas. Usted es libre de copiar, distribuir y comunicar pblicamente la obra y hacer obras deriv adas bajo las condiciones
comentarios
siguientes: a) Debe reconocer y citar al autor original. b) No puede utilizar esta obra para fines comerciales (incluyendo su publicacin, a
travs de cualquier medio, por entidades con fines de lucro). c) Si altera o transf orma esta obra o genera una obra deriv ada, slo puede
distribuir la obra generada bajo una licencia idntica a sta. Al reutilizar o distribuir la obra, tiene que dejar bien claro los trminos de la licencia de
esta obra. Alguna de estas condiciones puede no aplicarse si se obtiene el permiso del titular de los derechos de autor. Los derechos deriv ados de
usos legtimos u otras limitaciones no se v en af ectados por lo anterior. Licencia completa en castellano. La inf ormacin contenida en este
documento y los deriv ados de ste se proporcionan tal cual son y los autores no asumirn responsabilidad alguna si el usuario o lector hace mal uso
de stos.
Introduccin.
Es imprescindible primero estudiar y comprender, los conceptos descritos en el documento titulado Introduccin a los
protocolos de correo electrnico.
Acerca de Postfix.
Postfix, originalmente conocido por los nombres VMailer e IBM Secure Mailer, es un popular agente de transporte de correo
(MTA o Mail Transport Agent), creado con la principal intencin de ser una alternativa ms rpida, fcil de administrar y segura
que Sendmail. Fue originalmente escrito por Wietse Venema durante su estancia en el Thomas J. Watson Research Center de
IBM.
URL: http://www.postfix.org/.
Acerca de Dovecot.
Dovecot es un servidor de POP3 e IMAP de fuente abierta que funciona en Linux y sistemas basados sobre Unix y
diseado con la seguridad como principal objetivo. Dovecot puede utilizar tanto el formato mbox como maildir y es
compatible con las implementaciones de los servidores UW-IMAP y Courier IMAP.
URL: http://dovecot.procontrol.fi/.
Acerca de DSA.
DSA (Digital Signature Algorithm o Algoritmo de Firma digital) es un algoritmo creado por el NIST (National Institute of
Standards and Technology o Instituto Nacional de Normas y Tecnologa de EE.UU.), publicado el 30 de agosto de 1991, como
propuesta para el proceso de firmas digitales. Se utiliza para firmar informacin, ms no para cifrar sta.
http://www.alcancelibre.org/staticpages/index.php/como-postfix-tls-y-auth
1/9
16/2/2014
Instalacin y configuracin de Postfix y Dovecot con soporte para TLS y autenticacin. - Alcance Libre
URL: http://es.wikipedia.org/wiki/DSA
Acerca de RSA.
RSA, acrnimo de los apellidos de sus autores, Ron Rivest, Adi Shamir y Len Adleman, es un algoritmo para el ciframiento de
claves pblicas que fue publicado en 1977, patentado en EE.UU. en 1983 por el el Instituto Tecnolgico de Michigan (MIT).
RSA es utilizado ampliamente en todo el mundo para los protocolos destinados para el comercio electrnico.
URL: http://es.wikipedia.org/wiki/RSA
Acerca de X.509.
X.509 es un estndar ITU-T (estandarizacin de Telecomunicaciones de la International Telecommunication Union ) para
infraestructura de claves pblicas (PKI o Public Key Infrastructure). Entre otras cosas, establece los estndares para
certificados de claves pblicas y un algoritmo para validacin de ruta de certificacin. Este ltimo se encarga de verificar que la
ruta de un certificado sea vlida bajo una infraestructura de clave pblica determinada. Es decir, desde el certificado inicial,
pasando por certificados intermedios, hasta el certificado de confianza emitido por una Autoridad Certificadora (CA o
Certification Authority).
URL: http://es.wikipedia.org/wiki/X.509
Acerca de OpenSSL.
OpenSSL es una implementacin libre, de cdigo abierto, de los protocolos SSL (Secure Sockets Layer o Nivel de Zcalo
Seguro) y TLS (Transport Layer Security o Seguridad para Nivel de Transporte). Est basado sobre el extinto proyecto
SSLeay, iniciado por Eric Young y Tim Hudson, hasta que stos comenzaron a trabajar para la divisin de seguridad de EMC
Corporation.
URL: http://www.openssl.org/
Procedimientos.
Todos los procedimientos deben realizarse como el usuario root.
Si estuviera presente sendmail, detenga ste (es el MTA predeterminado en CentOS 5 y Red Hat Enterprise Linux 5) e
inicie postfix:
service sendmail stop
chkconfig sendmail off
service postfix start
chkconfig postfix on
http://www.alcancelibre.org/staticpages/index.php/como-postfix-tls-y-auth
2/9
16/2/2014
Instalacin y configuracin de Postfix y Dovecot con soporte para TLS y autenticacin. - Alcance Libre
SELinux y Postfix.
A fin de que SELinux permita a Postfix escribir el el directorio de entrada de correo electrnico (/var/spool/mail/), es
necesario habilitar la siguiente poltica:
setsebool -P allow_postfix_local_write_mail_spool 1
Solo en CentOS 5 y Red Hat Enterpise Linux 5, a fin de que SELinux permita la lectura de correo electrnico, es necesario
habilitar la siguiente poltica:
setsebool -P mail_read_content 1
En CentOS 6 y Red Hat Enterpise Linux 6, esta poltica dej de existir, pues se volvi innecesaria.
Configuracin de Postfix.
Generando firma digital y certificado para ambos servicios.
Acceda al directorio /etc/pki/tls/.
cd /etc/pki/tls/
La creacin de la firma digital y certificado requiere utilizar una clave con algoritmo RSA de 2048 octetos (bits), con estructura
X.509 y sin DES. En el ejemplo a continuacin, se establece una validez por 1825 das (cinco aos) para el certificado creado:
openssl req -x509 -nodes -newkey rsa:2048 -days 1825 \
-out certs/dominio.tld.crt -keyout private/dominio.tld.key
Lo anterior solicitar se ingresen varios datos:
Cdigo de dos letras para el pas.
Estado o provincia.
Ciudad.
Nombre de la empresa o razn social.
Unidad o seccin.
Nombre del anfitrin.
Direccin de correo.
La salida debe devolver algo similar a lo siguiente:
Generating a 1024 bit DSA private key
writing new private key to 'smtp.key'
----You are about to be asked to enter information that will be
incorporated into your certificate request.
What you are about to enter is what is called a Distinguished Name
or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
----Country Name (2 letter code) [GB]:MX
State or Province Name (full name) [Berkshire]:Distrito Federal
Locality Name (eg, city) [Newbury]:Mexico
Organization Name (eg, company) [My Company Ltd]:Empresa, S.A. de C.V.
Organizational Unit Name (eg, section) []:Direccion Comercial
Common Name (eg, your name or your server's hostname) []:*.dominio.tld
Email Address []:webmaster@dominio.com
Si defini un nombre de anfitrin absoluto (ejemplo: mail.dominio.tld), el certificado slo ser vlido cuando el servidor de correo
electrnico sea invocado con el nombre definido en el campo Common Name. Es decir, slo podr utilizarlo cuando se defina
mail.dominio.tld como servidor SMTP/IMAP/POP3 con soporte TLS desde el cliente de correo electrnico. Funcionar
incorrectamente si se invoca al servidor como, por mencionar un ejemplo, correo.dominio.tld. Es por eso que se sugiere
utilizar *.dominio.com si se planea acceder hacia el mismo servidor con diferentes subdominios del mismo dominio.
A fin de facilitar a los clientes de correo electrnico el poder gestionar una futura actualizacin de certificado, conviene aadir
una huella distintiva indubitable (fingerprint) al certificado.
openssl x509 -subject -fingerprint -noout -in certs/dominio.tld.crt
Es indispensable que todos los archivos de claves y certificados tengan permisos de acceso de slo lectura para el usuario
root:
chmod 400 certs/dominio.tld.crt private/dominio.tld.key
Regrese al directorio de inicio del usuario root.
cd
http://www.alcancelibre.org/staticpages/index.php/como-postfix-tls-y-auth
3/9
16/2/2014
Instalacin y configuracin de Postfix y Dovecot con soporte para TLS y autenticacin. - Alcance Libre
Si utiliza CentOS 5 o Red Hat Enterprise Linux 5, debe descomentar las siguientes lneas resaltadas en negrita:
smtp
inet n
n
smtpd
submission inet n
n
smtpd
-o smtpd_enforce_tls=yes
-o smtpd_sasl_auth_enable=yes
-o smtpd_client_restrictions=permit_sasl_authenticated,reject
smtps
inet n
n
smtpd
-o smtpd_tls_wrappermode=yes
-o smtpd_sasl_auth_enable=yes
-o smtpd_client_restrictions=permit_sasl_authenticated,reject
Si utiliza CentOS 6 o Red Hat Enterprise Linux 6, debe descomentar las siguientes lneas resaltadas en negrita:
smtp
inet n
n
smtpd
submission inet n
n
smtpd
-o smtpd_tls_security_level=encrypt
-o smtpd_sasl_auth_enable=yes
-o smtpd_client_restrictions=permit_sasl_authenticated,reject
-o milter_macro_daemon_name=ORIGINATING
smtps
inet n
n
smtpd
-o smtpd_tls_wrappermode=yes
-o smtpd_sasl_auth_enable=yes
-o smtpd_client_restrictions=permit_sasl_authenticated,reject
-o milter_macro_daemon_name=ORIGINATING
A fin de ahorrar tiempo realizando bsqueda de los parmetros anteriores, todo lo anterior tambin se puede configurar
utilizando el mandato postconf, del siguiente modo:
http://www.alcancelibre.org/staticpages/index.php/como-postfix-tls-y-auth
4/9
16/2/2014
Instalacin y configuracin de Postfix y Dovecot con soporte para TLS y autenticacin. - Alcance Libre
http://www.alcancelibre.org/staticpages/index.php/como-postfix-tls-y-auth
5/9
16/2/2014
Instalacin y configuracin de Postfix y Dovecot con soporte para TLS y autenticacin. - Alcance Libre
# Protocols we want to be serving.
protocols = imap pop3
http://www.alcancelibre.org/staticpages/index.php/como-postfix-tls-y-auth
6/9
16/2/2014
Instalacin y configuracin de Postfix y Dovecot con soporte para TLS y autenticacin. - Alcance Libre
IP del servidor de correo electrnico recin configurado. Asumiendo que se hizo correctamente todo lo mencionado en este
documento, la nica forma en que se imposibilitara la llegada y/o salida del correo electrnico se est utilizando un enlace
ADSL con IP dinmica (restringido por le proveedor para utilizar el puerto 25) o bien que el servidor DNS que resuelve el
dominio, est apuntando hacia otra direccin IP para el servicio de correo electrnico. En el DNS se requieren al menos los
siguientes registros, donde xx.xx.xx.xx corresponde a la IP del servidor de correo electrnico.
$TTL 86400
@
IN
@
@
@
@
@
mail
www
ftp
IN
IN
IN
IN
IN
IN
IN
IN
SOA
dns1.isp.com
alguien.algo.com (
2010061901 ; Nmero de serie
28800 ; Tiempo de refresco
7200 ; Tiempo entre reintentos
604800 ; tiempo de espiracin
86400 ; Tiempo total de vida
)
NS
dns1.isp.com.
NS
dns2.isp.com.
A
a.b.c.d
MX
10
mail
TXT
"v=spf1 a mx -all"
A
xx.xx.xx.xx
A
a.b.c.d
A
a.b.c.d
Comprobaciones.
A travs de terminal.
Realice una conexin con el mandato nc (netcat) o bien el mandato telnet, al puerto 25 del sistema. Ingrese el mandato EHLO
con el dominio configurado. La salida deber devolver, entre todas las funciones del servidor, una lnea que indica STARTTLS.
La salida puede ser similar a la siguiente:
nc 127.0.0.1 25
220 emachine.alcancelibre.org ESMTP Postfix
EHLO dominio.com
250-mail.dominio.com
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-STARTTLS
250-AUTH PLAIN LOGIN
250-AUTH=PLAIN LOGIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
QUIT
Para salir, solo escriba QUIT y pulse la tecla ENTER.
http://www.alcancelibre.org/staticpages/index.php/como-postfix-tls-y-auth
7/9
16/2/2014
Instalacin y configuracin de Postfix y Dovecot con soporte para TLS y autenticacin. - Alcance Libre
http://www.alcancelibre.org/staticpages/index.php/como-postfix-tls-y-auth
8/9
16/2/2014
Instalacin y configuracin de Postfix y Dovecot con soporte para TLS y autenticacin. - Alcance Libre
http://www.alcancelibre.org/staticpages/index.php/como-postfix-tls-y-auth
9/9