Академический Документы
Профессиональный Документы
Культура Документы
Lo primero que haremos sera escribir los repositorios que usaremos para descargar
nuestros paquetes en la ruta /etc/apt/suorces.list.
#nano /etc/apt/sources.list
Antes de actualizar debemos crear las llaves para permitir las descargas de los paquetes
necesarios de los repositorios backports.
#apt-get update
#apt-get upgrade.
SERVIDOR DNS.
Instalación:
zone "mundoredes.com" {
type master;
file "/etc/bind/directa.";
};
zone "1.168.192.in-addr.arpa" {
type master;
file "/etc/bind/inversa.";
};
Vamos ala ruta donde están los archivos de configuración del dns.
#cd /etc/bind
copiamos los archivos de muestra para nuestras zonas estas archivos de muestra son
para la inversa db.127 y para la directa db.local.
Copiamos:
#pico /etc/bind/inversa
#pico /etc/bind/directa
Configuramos normalmente el dns y lo mas importante es agregar el host de nuestro
servidor de correo y su nombre sera mail y la dirección ip sera 192.168.1.1, agregamos e l
registro mx con una prioridad de 10.
ya creadas las zonas reiniciamos nuestro servidor dns
#/etc/init.d/bind9 restart
prueba:
vamos a sistema, luego administración, y por ultimo damos clic en red, aquí configuramos
nuestra interfaz de red le ponemos una ip fija la ip de nuestro servidor en mi caso sera
192.168.1.1 y en la pestaña dns escribimos nuestro nombre de dominio en dominios de
búsqueda que en este ejemplo sera mundoredes.com y en servidores dns escribimos la
dirección ip del servidor que sera 192.168.1.1.
Luego
abrimos la
consola y escribimos el comando nslookup.
#nslookup
> mundoredes.com
Al escribir las dos lineas anteriores me debe mostrar toda la configuración de mi dominio,
miremos que aparezca la configuración de nuestro servidor de correo como en la imagen
anterior.
myhostname = mail.mundoredes.com
Este es el nombre del host que tiene nuestro correo este debe ser el que le configuramos
en nuestro dns.
mydomain = mundoredes.com
Esta opcion es para poder recibir correos en nuestra maquina local aquí realizaremos
nuestras primeras pruebas.
Definimos la direccion de red donde deseemos que entren y salgan los correos.
Ahora no queda si no reiniciar el servicio
#/etc/init.d/postfix restart
#telnet 127.0.0.1 25
#telnet mail.mundoredes.com 25
Si el servidor no contesta eso quiere decir que vamos por buen camino.
Ahora probaremos enviando mensajes, primero que todo creamos usuarios en el sistema.
#useradd -m carlos
#passwd carlos
#useradd -m jeison
#passwd jeison
despues instalamos el mutt que es un software con el cual podemos enviar y recibir
correos.
Para abrir el mutt debemos estar logueados como root y escribimos el comando
#mutt
me dice que el usuario no existe y deseo crear el directorio tecleamos la letra s y enter,
cuando abrimos por primera ves el mutt nos aparece vacio ya que no se ha enviado
ningun mensaje entonces enviamos un mensaje con la tecla m para enviar el mensaje en
el lado superior e inferior de la pantalla encontramos las opciones.
después nos logueamos en el mutt con el usuario del sistema jeison y hay vemos el
mensaje.
#su jeison
En este manual hablaremos de dos formas de almacenar el correo y ellas son maildir y
mailbox.
Maildir es un formato de spool de correo electrónico que no bloquea los ficheros para
mantener la integridad del mensaje, porque los mensajes se almacenan en ficheros
distintos con nombres únicos. Maildir es un directorio (usualmente llamado Maildir) con
tres subdirectorios llamados tmp, new, y cur. Todos los subdirectorios deben residir en el
mismo sistema de archivos.
Mailbox al contrario de maildir guarda los mensajes en un solo archivo y este es que usa
el dovecot.
Cuando recivimos un correo electrónico se almacena en la ruta /var/mail y encambio
cuando usamos un formato maildir todos los ficheros se guardan en /var/spool/mail.
El servidor que escogimos para instalar los protocolos imap y pop3 fue el dovecot por
defecto dovecot utiliza solamente imap pero se puede configurar para que trabaje con
pop3.
y procedemos a instalarlos.
#/etc/dovecot/dovecot.conf
Listen = *
por cual puerto escuchara. Como tenemos el signo * quiere decir que tomara el puerto por
defecto.
disable_plaintext_auth = no
esta linea quiere decir que si deshabilitaremos la autenticacion en texto plano ponemos no
por que la vamos a utilizar.
ssl_disable = yes
esto nos dece que se queremos deshabilitar ssl
mail_location = mbox:~/mail:INBOX=/var/mail/%u
esto nos indica el lugar donde se alojaran los correos que por defecto es la carpeta
/var/mail/
Nos autenticaremos por medio de un servidor asi sea imap o pop3 contra PAM.
En las distribuciones modernas de Linux el mecanismo de autenticación de los usuarios
es un servicio modular, proporcionado a las aplicaciones por el propio sistema.
Por ejemplo, cuando una aplicación como "login" requiere la autenticación de un usuario,
no la realiza ella misma sino que "solicita" al sistema que autentique al usuario. La parte
del sistema que realiza la autenticación es una pila de módulos PAM, que se van
ejecutando encadenadamente hasta devolver el resultado del proceso (autenticación OK
o incorrecta) a la aplicación. Una vez que la aplicación obtiene este resultado, puede
seguir realizando acciones (mostrar un mensaje de rechazo o ejecutar los scripts de
arranque del usuario autenticado.
Para habilitar la autenticaron por texto plano solo basta con agrgar las siguientes lineas al
final del archivo de configuracion.
auth default {
userdb passwd {
}
socket listen {
client {
Ahora solo queda reiniciar el servicio al princiopio nos saldrán algunos errores por lineas
repetidas las comentamos # y guardamos los cambios y reiniciamos
#/etc/init.d/dovecot restart
CONFIGURACIÓN DE EVOLUTION.
Para configurar el evolution primero cerramos cesión y nos logueamos como usuarios del
sistema.
El evolution esta en Aplicaciones, internet, y cliente de correo evolution.
Cuando lo abrimos por primera vez nos pide algunos datos que hay que llenar.
responder a: carlos@mundoredes.com
organización lo podemos dejar en blanco
chuleamos hace que esta sea mi cuenta predetermina hacemos clic en adelante.
En la plantilla recepción de correo ponemos tipo de servidor imap y llenamos los otros
campos . En configuración servidor ponemos la dirección de nuestro servidor en usuario
ponemos la dirección de correo electrónico.
Servidor: 192.168.1.1
usuario: carlos@mundoredes.com
En opciones de recepción.
En esta plantilla solo activamos comprobar si hay correo nuevo cada 2 minutos o el valor
que le deseemos dar pulsamos adelante.
La plantilla que sigue es envío de correo. En esta escogemos en la opción tipo de servidor
smtp,
en configuración del servidor en la opción servidor escribimos la dirección ip de nuestro
servidor y chuleamos el servidor requiere autenticación. En seguridad en la opción usar
conexión segura escogemos sin cifrado, en autenticación tipo PLAIN y llenamos la casilla
usuario pulsamos adelante.
Servidor: 192.168.1.0
usuario: mailcarlos
Ya entramos a evolution y nos pedirá la contraseña por el mecanismo pam que es que ya
hemos configurado introducimos la contraseña y el usuario.
Ahora probaremos nuestro servidor. Nos enviaremos un correo a nuestra propia cuenta
de correo.
Buscamos la opción nuevo en el entorno le damos clic se nos desplegan barias opciones
elegimos mensaje de correo.
Ahora escribimos la dirección de la persona a quien le mandaremos el correo como es
una prueba local y es la primera que haremos lo vamos a enviar a nosotros mismos.
Ahora buscamos la opción enviar y le damos clic esto bastara para enviar el mensaje.
MOZILLA THUNDERBIRD.
Ahora para comenzar con la configuración del mozila thunderbird nos dirigimos al meno
principal : aplicaciones/internet /mozila thunderbird.
Cuando iniciamos Mozilla Thunderbird por primera vez nos aparece la siguiente pantalla.
Escogemos la opción email account y pulsamos siguiente. A continuación se nos solicitan
los datos de nuestra identidad. Introducimos nuestro nombre y nuestra dirección de correo
Creamos una cuenta nueva de correo en nuestro servidor utilizando el Mozilla
Thunderbird en la opción que dice email account o cuenta de correo nueva.
Luego de seleccionamos next y nos disponemos a llenar los dos campos que nos piden
en esta parte de nuestra configuración el your name (nombre que te identifique o usuario)
y en el segundo campo colocaremos la dirección de correo electrónico.
Son solo datos de identidad
Esta última opción permite modificar el nombre que le dará Thunderbird a la cuenta que
estamos creando. Normalmente la opción por defecto es aceptable. Podemos aceptar la
sugerencia de Thunderbir pulsando el botón de siguiente pero seguiremos como el
usuario con el que venimos trabajando.
Esta ventana resume toda la configuración que hemos hecho hasta el momento, si vemos
algún dato que no es correcto estamos a tiempo de pulsar cuantas veces sea necesario el
botón de “Anterior” y solucionar el problema. Si la configuración es correcta pulsamos
“Terminar”.
Después de que cumplamos con esto podemos ingresar a nuestro mua y empezar a
utilizar sus múltiples funciones
AUTENTICACION ATRAVES DEL SASL.
Es un protocolo que que nos permite autenticarnos con un servidor imap o pop3
configuramos el archivo principal de configuración de postfix.
#nano /etc/postfix/main.cf
Guardaremos y cerramos.
Reiniciamos el servidor
#/etc/init.d/postfix restart
Base64 = Es un sistema para la codificacion de los datos, aunque podemos utlizar otros.
Habrimos nuestro MTA y nos daremos cuenta que nuestros que nos estamos
autenticando a traves de sasl cuando enviamos un correo nos debe salir un menu de
autenticacion.
Escribimos la contraseña para poder enviar el correo.
TLS PARA POSTFIX
#openssl req -new -x509 -nodes -out certificado.pem -keyout postfix.pem -days 3000
#cd /etc/ssl/
certificado.pem cert openssl.cnf postfix.pem private
#nano /etc/postifx/main.cf
# TLS Parameters
smtpd_tls_cert_file=/etc/ssl/certificado.pem
smtpd_tls_key_file=/etc/ssl/postfix.pem
smtp_use_tls = yes
smtp_tls_loglevel = 0
smtp_tls_session_cache_timeout = 3600s
smtp_tls_note_starttls_offer = yes
smtp_starttls_timeout = 300s
Reiniciamos postfix
#/etc/init.d/postfix restart
LDAP
Cuando se esta instalando este ultimo paquete nos pedira la contraseña del administrador
de ldap.
Despues de instalarlo lo configuraremos de la siguiente forma:
escribimos el siguiente comando:
#dpkg-reconfigure slapd
y se iniciara un asistente.
En esta primera opcion decimos NO por que la configuración de nuestro ldap va ser
básica.
Escribimos el nombre de nuestro dominio.
En esta plantilla escribimos la contraseña del administrador que es que va a realizar los
cambios en la configuracion si deseamos cambiar la configuracion de nuestro servidor
debemos estar logueados como administradores.
Nos preguntara que deseamos borrar la base de datos cuando se purgue el paquete
slapd. Escogemos la opción NO para que la base de datos quede en el sistema después
de que se elimine el paquete de instalación.
En esta plantilla nos preguntara si deseamos mover la base de datos antigua en esta
opcion le decimos SI.
En esta ultima opción nos preguntara si deseamos el protocolo LDAPv2 decimos que no
ya que los servidores que tenemos son compatibles es con LDAPv3.
Ahora configuraremos el servidor para que se autentique con LDAP.
Miramos si los paquetes se encuentran en la cache de los repositorios
#idapsearch -x -b “dc=mundoredes,dc=com”
resultado correcto.
Si no tenemos apache instalado lo instalamos.
wget http://www.silcom.com.pe/soft/mkntpwd.tar.gz
#cd mkntpwd
#make
#mkdir /home/samba/
#mkdir /home/samba/netlogon
#mkdir /home/samba/profiles
CONFIGURACION DE LDAP
descomprimimos:
#gunzip samba.schema.gz
nano /etc/ldap/slapd.conf
y agragamos el schema
#include /etc/ldap/schema/samba.schema
Guardamos Ctrl+x Si
CONFIGURACIÓN DE SAMBA
#cd /etc/samba
#cp smb.conf smb.conf.bkp
#nano smb.conf
# This will prevent nmbd to search for NetBIOS names through DNS.
dns proxy = no
# What naming service and in what order should we use to resolve host names
# to IP addresses
; name resolve order = lmhosts host wins bcast
# Only bind to the named interfaces and/or networks; you must use the
# 'interfaces' option above to use this.
# It is recommended that you enable this feature if your Samba machine is
# not protected by a firewall or is a firewall itself. However, this
# option cannot handle dynamic or non-broadcast interfaces correctly.
; bind interfaces only = yes
# This tells Samba to use a separate log file for each machine
# that connects
log file = /var/log/samba/log.%m
# If you want Samba to only log through syslog then set the following
# parameter to 'yes'.
# syslog only = no
# "security = user" is always a good idea. This will require a Unix account
# in this server for every user accessing the server. See
# /usr/share/doc/samba-doc/htmldocs/Samba3-HOWTO/ServerType.html
# in the samba-doc package for details.
# security = user
# This boolean parameter controls whether Samba attempts to sync the Unix
# password with the SMB password when the encrypted SMB password in the
# passdb is changed.
unix password sync = yes
# For Unix password sync to work on a Debian GNU/Linux system, the following
# parameters must be set (thanks to Ian Kahan <<kahan@informatik.tu-muenchen.de>
for
# sending the correct chat script for the passwd program in Debian Sarge).
passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n
*password\supdated\ssuccessfully* .
# This boolean controls whether PAM will be used for password changes
# when requested by an SMB client instead of the program listed in
# 'passwd program'. The default is 'no'.
pam password change = yes
# This allows Unix users to be created on the domain controller via the SAMR
# RPC pipe. The example command creates a user account with a disabled Unix
# password; please adapt to your needs
; add user script = /usr/sbin/adduser --quiet --disabled-password --gecos "" %u
# Most people will find that this option gives better performance.
# See smb.conf(5) and /usr/share/doc/samba-doc/htmldocs/Samba3-HOWTO/speed.html
# for details
# You may want to add the following on a Linux system:
# SO_RCVBUF=8192 SO_SNDBUF=8192
# socket options = TCP_NODELAY
# The following parameter is useful only if you have the linpopup package
# installed. The samba maintainer and the linpopup maintainer are
# working to ease installation and configuration of linpopup and samba.
; message command = /bin/sh -c '/usr/bin/linpopup "%f" "%m" %s; rm %s' &
# Some defaults for winbind (make sure you're not using the ranges
# for something else.)
; idmap uid = 10000-20000
; idmap gid = 10000-20000
; template shell = /bin/bash
[homes]
comment = Home Directories
browseable = no
# File creation mask is set to 0700 for security reasons. If you want to
# create files with group=rw permissions, set next parameter to 0775.
create mask = 0700
# Directory creation mask is set to 0700 for security reasons. If you want to
# create dirs. with group=rw permissions, set next parameter to 0775.
directory mask = 0700
# Un-comment the following and create the netlogon directory for Domain Logons
# (you need to configure Samba to act as a domain controller too.)
;[netlogon]
; comment = Network Logon Service
; path = /home/samba/netlogon
; guest ok = yes
; read only = yes
; share modes = no
[printers]
comment = All Printers
browseable = no
path = /var/spool/samba
printable = yes
guest ok = no
read only = yes
create mask = 0700
[print$]
comment = Printer Drivers
path = /var/lib/samba/printers
browseable = yes
read only = yes
guest ok = no
# Uncomment to allow remote administration of Windows print drivers.
# Replace 'ntadmin' with the name of the group your admin users are
# members of.
; write list = root, @ntadmin
# The next two parameters show how to auto-mount a CD-ROM when the
# cdrom share is accesed. For this to work /etc/fstab must contain
# an entry like this:
#
# /dev/scd0 /cdrom iso9660 defaults,noauto,ro,user 0 0
#
# The CD-ROM gets unmounted automatically after the connection to the
#
# If you don't want to use auto-mounting/unmounting make sure the CD
# is mounted on /cdrom
#
; preexec = /bin/mount /cdrom
; postexec = /bin/umount /cdrom
NOTA:
- el archivo esta ajustado para la configuración de este caso
- si copian el archivo directamente hay que darle permisos de lectura al grupo y a others
- modificaciones :chmod u-x smb.conf chmod g+r smb.conf chmod o+r smb.conf
- ajustar en el smb.conf : hosts allow = 127.0.0.1 169.254.0.0/255.255.255.0 a su red
PROBAR LA CONFIGURACIÓN
#testparm
Load smb config files from /etc/samba/smb.conf
Processing section “[netlogon]“
Processing section “[homes]“
Processing section “[profiles]“
Loaded services file OK.
Server role: ROLE_DOMAIN_PDC
Press enter to see a dump of your service definitions
Si nos responde de esta forma entonces todo esta correcto hasta ahora
Le damos a contraseña de ldap a samba.
#smbpasswd -w carlosem
reiniciamos
#/etc/init.d/samba restart
#sambaDomainName=mundoredes
#nano /etc/nsswitch.conf
passwd: compat
group: compat
shadow: compat
Comprobar.
#getent group
Debe mostrar
sambaadmins:*:20000:
sambausers:*:20001:
sambaguests:*:20002:
sambamachines:*:20003:
#nano /etc/pam.d/common-account
Comentar.
Y agregar.
#nano /etc/pam.d/common-auth
Comentar.
auth required pam_unix.so nullok_secure
Y agregar.
#nano /etc/pam.d/common-password
Comentar.
Y agregar al final.
Reiniciar samba.
#/etc/init.d/samba restart
AGREGAR USUARIOS.
#getent passwd
administrator:*:0:20000:administrator:/home/administrator:
carlos:*:10000:20000:carlos:/home/carlos:
sebastian:*:10001:20001:sebastian:/home/sebastian:
CREACION DE HOME
#mkdir /home/carlos
#cp /etc/skel/.* /home/carlos/
#cd /usr/share/doc/smbldap-tools/examples
#cp smbldap.conf.gz smbldap_bind.conf /etc/smbldap-tools
#cd /etc/smbldap-tools
#gunzip smbldap.conf.gz
#chown root:root *
#chmod 600 *
Hay que editar 2 archivos.
#nano /etc/smbldap-tools/smbldap_bind.conf
slaveDN=”cn=admin,dc=mundoredes,dc=com”
slavePw=”carlosem″
masterDN=”cn=admin,dc=mundoredes,dc=com”
masterPw=”carlosem″
smbldap.conf
#nano /etc/smbldap-tools/smbldap.conf
# Purpose :
# . be the configuration file for all smbldap-tools scripts
#######################################################################
#######
#
# General Configuration
#
#######################################################################
#######
# Put your own SID. To obtain this number do: "net getlocalsid".
# If not defined, parameter is taking from "net getlocalsid" return
SID="S-1-5-21-94669559-3115132172-2268991497"
#######################################################################
#######
#
# LDAP Configuration
#
#######################################################################
#######
# Notes: to use to dual ldap servers backend for Samba, you must patch
# Samba with the dual-head patch from IDEALX. If not using this patch
# just use the same server for slaveLDAP and masterLDAP.
# Those two servers declarations can also be used when you have
# . one master LDAP server where all writing operations must be done
# . one slave LDAP server where all reading operations must be done
# (typically a replication directory)
# LDAP Suffix
# Ex: suffix=dc=IDEALX,dc=ORG
suffix="dc=silcom,dc=com"
# Where are stored Idmap entries (used if samba is a domain member server)
# Ex: groupsdn="ou=Idmap,dc=IDEALX,dc=ORG"
# Warning: if 'suffix' is not set here, you must set the full dn for idmapdn
#idmapdn="ou=Idmap,${suffix}"
# Where to store next uidNumber and gidNumber available for new users and groups
# If not defined, entries are stored in sambaDomainName object.
# Ex: sambaUnixIdPooldn="sambaDomainName=${sambaDomain},${suffix}"
# Ex: sambaUnixIdPooldn="cn=NextFreeUnixId,${suffix}"
sambaUnixIdPooldn="sambaDomainName=SILCOM,${suffix}"
#######################################################################
#######
#
# Unix Accounts Configuration
#
#######################################################################
#######
# Login defs
# Default Login Shell
# Ex: userLoginShell="/bin/bash"
userLoginShell="/bin/bash"
# Home directory
# Ex: userHome="/home/%U"
userHome="/home/%U"
# Gecos
userGecos="System User"
# Skel dir
skeletonDir="/etc/skel"
# Default password validation time (time in days) Comment the next line if
# you don't want password to be enable for defaultMaxPasswordAge days (be
# careful to the sambaPwdMustChange attribute's value)
#defaultMaxPasswordAge="45"
#######################################################################
#######
#
# SAMBA Configuration
#
#######################################################################
#######
#######################################################################
#######
#
# SMBLDAP-TOOLS Configuration (default are ok for a RedHat)
#
#######################################################################
#######
# comment out the following line to get rid of the default banner
# no_banner="1"
Nota : cuidado si copian directamente smbldap.conf lo que hay que modificar el nro sid de
su implementación además por seguridad hay que hacer esto : chmod u-x smbldap.conf
ahora copiamos algunos archivos a etc.
AGREGANDO OBJECTCLASS.
Creación de homes por defecto, para esto hay que insertar una linea dentro de smb.conf
en la seccion [homes]
root preexec = /etc/samba/mk_sambadir “/home/%u” “%u” “%g”
Y reiniciar
#/etc/init.d/samba restart
Primer prueba.
Poder validar por ssh al pdc, si bien es cierto los usuarios del dominio no tienen shell
deberia ser posible hacer un inicio via SSH
Segunda prueba.
Poder validar desde un win$ aun asi no se halla unido al dominio, sin pertenecer al
dominio debería poder validar como un simple server de archivos
\\pdc\carlos
creamos un schema para realizar usuarios y grupos virtuales que ese puedan validar con
LDAP.
#nano /etc/ldap/slapd.conf
Include /etc/ldap/schema/postfix.schema
#touch /etc/ldap/schema/postfix.schema
virtual _mailbox_domains=mundoredes.com
virtual_mailbox_base=/vmail/correos
virtual_mailbox_maps=ldap:/etc/postfix/ldap.conf
virtual_uid_maps= stactics:5000
virtual_gid_maps=stactics:5000
attributetype ( 1.3.6.1.4.1.15347.2.101
NAME 'mailRoutingAddress'
SUP mail )
attributetype ( 1.3.6.1.4.1.15347.2.100
NAME ( 'maildrop' )
DESC 'RFC1274: RFC822 Mailbox'
EQUALITY caseIgnoreIA5Match
SUBSTR caseIgnoreIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26{256} )
objectclass ( 1.3.6.1.4.1.15347.2.1
NAME 'mailUser'
DESC 'E-Mail User'
SUP top
AUXILIARY
MUST ( uid $ mail $ maildrop )
MAY ( cn $ mailbox $ maildest $ mailaccess )
)
objectclass ( 1.3.6.1.4.1.15347.2.2
NAME 'mailGroup'
DESC 'E-Mail Group'
SUP top
STRUCTURAL
MUST ( cn $ mail )
MAY ( mailRoutingAddress $ member $ description )
)
objectclass ( 1.3.6.1.4.1.15347.2.3
NAME 'transportTable'
DESC 'MTA Transport Table'
SUP top
STRUCTURAL
MUST ( cn $ transport )
)
# LDAP settings
ldapalias_server_host = localhost
ldapalias_server_port = 389
ldapalias_search_base = ou=Users,dc=mundoredes,dc=com
ldapalias_bind = no
ldapalias_timeout = 30
ldapalias_query_filter = (&(mail=%s)(objectclass=mailUser))
ldapalias_result_attribute = maildrop
transport_maps = ldap:ldaptransport
ldaptransport_server_host = localhost
ldaptransport_server_port = 389
ldaptransport_search_base = ou=Transport,dc=mundoredes,dc=com
ldaptransport_bind = no
ldaptransport_timeout = 30
ldaptransport_query_filter =
(&(cn=%s)(!(cn=server.mydomain.com))(objectclass=transportTable))
ldaptransport_result_attribute = transport
#/etc/init.d/postfix restart
#/etc/init.d/slapd restart
ANTIVIRUS Y ANTISPAM.
El filtro antispam: examina todo mensaje remitido a las direcciones de correo electrónico
de su dominio y les asigna una probabilidad de que sean mensajes de SPAM, aplicando
una serie de reglas internas. Posteriormente usted podrá crear unas reglas de actuación
en su WebMail para eliminar los mensajes marcados como SPAM.
Primero lo que debemos hacer es mirar si tenemos en nuestros repositorios los paquetes
que necesitamos para comensar con la instalación de nuestro antivirus, utilizamos este
por que para este anti-virus hay buena documentación :
Después y de la misma forma como instalmos este paquete instalaremos otros paquetes
adicionales que nos facilitara la integración con nuestro servidor anti-virus.
Primero lo que debemos hacer es mirar si tenemos en nuestros repositorios los paquetes
que necesitamos para comensar con la instalación de nuestro antivirus, utilizamos este
por que para este anti-virus hay buena documentación :
Y lo mismo haremos con los demas paquetes para no extendernos mucho
Luego nos dispondremos a cambiar el puerto por el que escucha nuestro servidor anti-
virus.
Listen: 127.0.0.1:10025
Ahora Colocaremos La ruta donde estará el archivo de clamd.
ClamAddress: /var/run/clamav/clamd.ctl
Colocaremos un encabezado para saber cuales son los correos que han sido analizados
correctamente por nuestro sistema anti virus.
Header: X-AV-Checked: ClamAV using ClamSMTP. (En este espacio colocas el mensaje
que quieres que salga cuando el antivirus analice tus correos ).
Este será la localización del pid (el pidfile es el archivo en el servidor que registra el
identificador de proceso del demonio. El PidFile sólo se utiliza en modo autónomo. A
menudo es útil para poder enviar la señal de un servidor, de manera que luego se cierra y
reabre su ErrorLog y TransferLog, y vuelve a leer sus archivos de configuración. Esto se
realiza mediante el envío de un SIGHUP (matar -1) señal para el proceso de identificación
del capitán demonio que figuran en el PidFile.
PidFile: /var/run/clamsmtp/clamsmtpd.pid
Lugar donde dejar los ficheros temporales
TempDirectory: /var/spool/clamsmtp
El usuario con el que lanzarlo
User: clamsmtp
#touch virusalert.sh
#nano virusalert.sh
Después de que estemos dentro de este archivo lo que haremos será pegar las siguientes
líneas:
TS
MAILER='/usr/sbin/sendmail -it'
SUBJECT=`/bin/echo "El correo contiene un virus" | /usr/bin/nkf -jMB`
$MAILER <<EOM
From: $FROM
To: $TO
Subject: =?ISO-2022-JP?B?$SUBJECT?=
Se ha detectado codigo malicioso en el adjunto que contenía el correo. Pongase en
contacto con el administrador de su sistema mundo redes si está seguro/a de que no es
un virus, pida a la persona que le envía el fichero que por favor lo ponga en un fichero
comprimido protegido por una contraseña. Que pena con usted.
[Virus]
$VIRUS
[De]
$SENDER
[Para]
$RECIPIENTS
EOM
exit 0
Al modificar este archivo lo hacemos es con el fin de que si de pronto por algún motivo el
sistema anti virus clamav mira que hay algún tipo de archivo sospechoso o algún virus el
automáticamente le hara saber al administrador por medio de un mail, diciéndole
simplemente que hay alun archivo sospechoso o un virus y que lo ha detectado, y estos
serán almacenados en un lugar especial
Después de esto lo que haremos es decirle a postfix que todos los correos que entren y
que salgan sean analizados por un sistema antivirus en este caso clamav.
Vamos al archivo de configuración del postfix :
#nano /etc/postfix/master.cf
## FILTRO ANTIVIRUS
## Filtro antivirus usado por content filter
scan unix - - n - 16 smtp
-o smtp_send_xforward_command=yes
-o smtp_enforce_tls=no
# Para inyectar el correo a postfix una vez analizado
127.0.0.1:10026 inet n - n - 16 smtpd
-o content_filter=
-o receive_override_options=no_unknown_recipient_checks,no_header_body_checks
-o smtpd_recipient_restrictions=permit_mynetworks,reject
-o mynetworks_style=host
-o smtpd_authorized_xforward_hosts=127.0.0.0/8
Nos dirigimos al archivo main.cf y adicionamos unas cuantas lineas del filtro y el escaneo.
#nano /etc/postfix/main.cf
content_filter = scan: [127.0.0.1]:10025
#/etc/init.d/clamsmtp restart
#/etc/init.d/postfix restart
Llegado a este punto, ya tendremos configurado postfix con un sistema de seguridad
completo como es con antivirus y probaremos que los mensajes sean analizados con el
mutt.