SERVIDOR DE CORREO SEGURO EN CENTOS 6

REALIZADO POR: CHRISTIAN AMAYA GMEZ

GRUPO 175666

INSTRUCTOR MAURICIO ORTIZ

SERVICIO NACIONAL DE APRENDIZAJE SENA MEDELLIN 2012

INTRODUCCIN

El correo electrnico es uno de las aplicaciones ms importantes dentro de una empresa, ya que esta un medio directamente relacionado con la productividad de una empresa. Por otro lado el sistema operativo Centos, es de los ms estables y seguros, lo cual da un grado de confiabilidad elevado, para instalar los servidores dentro de una empresa. Este manual es un detallado paso a paso de la configuracin que se hizo al instalar un servidor de correo en la plataforma Centos. Se ha mostrado todo desde el principio, instalando todo lo que se requiere, todos los prerrequisitos, de tal modo que quien quiera hacerlo en su empresa, es si no que siga el manual desde el principio.

SERVIDOR DE CORREO Un servidor de correo es una aplicacin de red ubicada en un servidor en internet cuya funcin es parecida al Correo postal solo que en este caso los correos (otras veces llamados mensajes) que circulan, lo hacen a travs de nuestras Redes de transmisin de datos y a diferencia del correo postal, por este medio solo se pueden enviar adjuntos de ficheros de cualquier extensin y no bultos o paquetes al viajar la informacin en formato electrnico. POSTFIX: Es un servidor de correo de software libre / cdigo abierto, un programa informtico para el enrutamiento y envo de correo electrnico, creado con la intencin de que sea una alternativa ms rpida, fcil de administrar y segura al ampliamente utilizado Sendmail. Anteriormente conocido como VMailer e IBM Secure Mailer, fue originalmente escrito por Wietse Venema durante su estancia en el Thomas J. Watson Research Center de IBM, y contina siendo desarrollado activamente. DOVECOT: Es un servidor de IMAP y POP3 de cdigo abierto para sistemas GNU/Linux / UNIX-like, escrito fundamentalmente pensando en seguridad. Desarrollado por Timo Sirainen, Dovecot fue liberado por primera vez en julio del ao 2002. Dovecot apunta fundamentalmente a ser un servidor de correo de cdigo abierto ligero, rpido, fcil de instalar y por sobre todo seguro. MOZILLA THUNDERBIRD: Es un cliente de correo electrnico de la Fundacin Mozilla. Su objetivo es desarrollar un Mozilla ms liviano y rpido mediante la extraccin y rediseo del gestor de correo del Mozilla oficial. Es multiplataforma, utiliza el lenguaje de interfaz XUL y es software libre.

INSTALACIN EN CENTOS 6 Para empezar, procedemos a instalar el servidor DNS que se necesitar ms adelante. Para ello accedemos a la consola y nos logueamos como root, y all instalamos el paquete bind, as: (NOTA: el numeral, significa que estamos con privilegios de administrador). # Yum install y bind bind-chroot bind-utils Luego procedemos a configurar el archivo donde colocaremos la zona directa. Ese archivo se configura en la carpeta /var/named/chroot/var/named/. Este archivo no existe originalmente, enronces para ello procedemos a copiar todas las lneas pertinentes, as:

Ahora, configuramos la zona inversa. El archivo no existe, as de que se copia lo siguiente:

Luego configuramos el archivo named.conf que se encuentra dentro de /etc/named.conf dentro de /var/named/chroot/etc/. En este archivo des comentamos las siguientes lneas. Nota: Esta configuracin es de acuerdo a los requerimientos que necesitemos. Para comentar una lnea, se escribe # antes de la lnea que no queremos que el archivo de configuracin lo lea. En la parte allow-query, agregamos la direccin IP esttica que estemos usando.

Ahora agregamos la ruta de los archivos de configuracin directa e inversa. As:

Luego procedemos a editar el archivo que se encuentra en /etc/resolv.conf, all colocamos el dominio principal y la direccin IP que estamos usando para traducir los dominios.

Luego reiniciamos el servicio DNS con el comando service named restart. Luego verificamos si el servidor est traduciendo los dominios, para ello procedemos a colocar el comando nslookup, as:

Despus de configurar el DNS, procedemos a instalar postfix, as: (Nota: me aparece que ya est instalado pero normalmente se instala correctamente el postfix.)

Ahora procedemos a mirar los puertos que estn habilitados, as:

Luego creamos un usuario al que le enviaremos los correos por medio de postfix. Adems le enviamos un correo con el comando mail, luego accedemos al usuario y verificamos si el correo s lleg.

Luego miramos los log del maillog, y podemos observar que el mensaje se envi satisfactoriamente.

Ahora reiniciamos postfix y miramos el estado del mta. Adems, probamos enviando otro mensaje, y podemos ver que estn llegando satisfactoriamente al usuario.

Ac observamos que llegaron los 2 mensajes.

Ahora volvemos a mirar los log para observar los datos del mensaje.

Ahora editamos el archivo main.cf que se encuentra en /etc/postfix, as: Mydomain, colocamos nuestro dominio, y en las interfaces habilitamos all, para escuchar por todas.

Ahora habilitamos para que el postfix lea no por una IP, sino por subred, as: mynetworks_style = subnet.

Si se desea se puede configurar la linea mynetworks, y la descomentamos y colocamos la direccin de red que tenemos en nuestras maquinas.

Ahora habilitamos Maildir, para que all lleguen los correos enviados.

Luego reiniciamos los servicios y verificamos que estn habilitados los puertos necesarios.

Ahora envo un correo a mi mail personal.

Luego miro en mi correo personal, y verifico que s me lleg el mail desde postfix.

Y como observamos que dice prueba de postfix para chris.

Ahora verificamos enviando un mail localmente, as:

Ya terminamos las verificaciones y pruebas que dan veracidad del buen funcionamiento de postfix. Ahora vamos a proceder a instalar dovecot, que es otro sistema para enviar correo as como el postfix. Para ello debemos tener actualizados los repositorios del sistema y luego ejecutamos el comando yum install y dovecot (sin las comillas).

Para configurarlo de tal manera que funcione el dovecot, debemos modificar el archivo dovecot.conf, que est ubicado en /etc/dovecot/. Para ello descomentamos la lnea de protocols y que use imap y pop; y descomentamos la lnea que dice listen, para que pueda escuchar por sus respectivos puertos.

Ahora configuramos que el servicio se inicie automticamente cuando el equipo se inicie, y posteriormente reiniciamos el servicio dovecot y el servicio web.

Ahora verificamos que estn escuchando por los puertos 110 y 143, y por cualquier IP.

Ahora vamos a exportar un schema de mail para el servicio openldap para usarlo en el administrador de base de datos de ldap llamado Apache Directory Studio, y para ello debemos copiar el schema de internet as: buscamos en google mail.schema, y all copiamos el schema que aparezca de mandriva directory server. Posteriormente ese archivo se debe crear en el directorio /etc/openldap/schema/ y all le colocamos el nombre mail.schema, y luego guardamos los cambios realizados, as:

Luego para que el servidor de ldap reconozca el schema, debemos agregar la ruta del schema al archivo /etc/openldap/slapd.conf, as:

Luego reiniciamos el servicio de ldap, y nos mostrar un error al reiniciar, pero eso lo arreglamos comentando la lnea 64 y las de su mismo prrafo.

Luego volvemos a reiniciar el servicio, y lo hace satisfactoriamente.

Ahora creamos un usuario llamado vmail que se usuar para que a los usuarios de ldap les lleguen los correos a esta ruta: /var/vmail/usuario/Maildir/new/

Ahora en postfix, vamos a agregar las siguientes lneas al archivo main.cf que est en la ruta /etc/postfix/, as:

Posteriormente creamos un archivo en el cual colocamos las siguientes lneas. Esto servir para que a los usuarios les lleguen los correos exitosamente. (/etc/postfix/).

Ahora ejecutamos el Apache ldap studio y all damos clic en new value.

Ahora agregamos un nuevo objeto llamado mailAccount, clic en next.

Luego ingresamos la direccin de mail que deseamos asignarle al usuario. Clic en finish.

Ahora vamos a agregar un nuevo atributo para el usuario.

El atributo para agregar es mailbox, para poder colocar all la ruta donde se almacenarn los correos localmente.

En mailbox agregamos el nombre de usuario y Maildir, que esa es la ruta para los mail.

Luego vamos a agregar un atributo que nos va ha servir para indicarnos la contrasea que hemos asignado al usuario. (La contrasea va a aparecer cifrada con SSHA).

Agregamos el atributo userPassword para poder asignar una contrasea al usuario.

Luego ingresamos la contrasea que deseamos, y posteriormente seleccionamos el tipo de cifrado de contrasea que queremos usar, en este caso voy a usar el cifrado SSHA. Damos clic en OK para aplicar los cambios que hemos realizado.

Luego vamos a hacer un postmap para poder crear consultas de una o ms tablas de bsqueda de Postfix, o para actualizar una existente. Luego enviamos un mail al correo especificado, y observamos que el correo ha llegado satisfactoriamente al usuario especfico.

Luego vamos a ingresar al archivo /etc/dovecot/conf.d/10-auth.conf, y descomentamos la linea que dice !include auth-ldap.conf.ext, para que en la configuracion de dovecot al reiniciar el servio, tenga encuenta ese archivo especifico.

Ahora especificamos en el archivo 10-mail.conf, la ruta donde se almacenarn los correos de cada usuario, o sea, en /var/vmail/%n/Maildir. (%n: significa cualquier usuario.)

Ahora especificamos el usuario vmail, que es el que usamos para que procese los mail de los usuarios de la base de datos de openldap.

Posteriormente descomentamos las lineas especificadas en el archivo auth-ldap.conf.ext.

Ahora copiamos el archivo dovecot-ldap.conf.ext a la carpeta /etc/dovecot/, y all descomentamos las siguientes lneas. En la parte de hosts, especificamos la direccin del localhost, o sea, la 127.0.0.1. En sasl_bind decimos no, para que el archivo no tome esa configuracin. Nota: Si no encuentra el archivo dovecot-ldap.conf.ext, podemos probar con el comando find / -iname *dovecot-ldap.conf.ext*

Adems debemos asignar la base del dominio, en mi caso es dc=abc25,dc=com y descomentar la lnea scope = subtree y guardamos los cambios.

Ahora descomentamos las siguientes lneas y agregamos lo siguiente:

Ahora descomentamos la linea protocols y listen.

Despues reiniciamos el servicio dovecot.

Luego instalamos telnet para podernos conectar con la direccion de localhost.

Luego vamos a Apache para agregar un atributo que nos va a servir para indicarnos que el mail o la cuenta de correo est activa y funcionando correctamente.

Agregamos el atributo mailenabled y damos clic en finish.

Luego en el atributo, colocamos ok, para dar a entender que el mail est activado.

Voy a agregar otro usuario, as: (Actualizado). El home de los usuarios es en /var/vmail/

Las 2 cuantas de correo estn activadas: mailenable ok

Ahora procedemos a contectarnos con un usuario de ldap via telnet con el servidor dovecot, y especificamos el puerto por el que escucha dovecot para que haya una exitosa conexin.

Ahora vamos a deshabilitar el firewall en la maquina servidor y en el cliente, para poder tener una buena comunicacin y poder verificar las cuentas de usuario de openldap en una mquina remota. (En centos se llama cortafuegos y en Windows firewall).

En la maquina cliente (windows 7), vamos a instalar thunderbird y para ello vamos descargar el archivo desde la pagina oficial de mozilla, as:

Descapues de descargado, lo ejecutamos y damos clic en siguiente.

Posteriormente damos clic en instalar. Nota: Para que haya conectividad entre la maquina servidor y cliente, deben tener cada uno un adptador de red en modo red interna, y en el cliente se debe especificar la ip del servidor DNS. De lo contrario no se podrn crear las cuentas de usuarios.

Ahora iniciamos thunderbird, y procedemos a crear una cuenta de correo de algun usuario que haya en la base de datos de ldap en la maquina servidor. Ahora damos clic en crear cuenta.

Habilitamos la casilla entiendo los riegos, y damos en crear cuenta.

La creacion de todas las cuentas de correo que necesitemos, se har de la manera que lo hice anteriormente. Despues de crear las cuentas de correo, procedemos a enviar un mail entre s. Escribir un mensaje simple, solo para probar que los correos estan llegando a la bandeja de entrada del otro usuario.

Y efectivamente los mails estan llegando satisfactoriamente.

Ahora voy a configurar la cuota de almacenamiento que va en tener cada usuario en subandeja de entrada. Para ello empezamos editando el archivo dovecot.conf. All descaomentamos las lineas que se muestran, y adems, se agrega la linea quota = maildir, y la parte de storage, colocamos el lmite de cantidad de espacio de disco que quero que el usuario use. (1 M)

Posteriormente vamos a agregar las siguientes lineas en el archivo /etc/postfix/master.cf, y luego guardamos los cambios en el archivo.

Ahora editamos el archivo main.cf y colocamos las siguientes lineas subrayadas.

Luego en el archivo /etc/dovecot/conf.d/15-lda.conf vamos a colocar el correo postmaster.

Y al final de todas las lineas vamos a colocar lo subrayado a continuacin.

Luego nos dirigimos al archivo /etc/dovecot/conf.d/20-imap.conf y descomentamos la siguiente linea y agregamos el siguiente dato:

Luego nos dirigimos al archivo /etc/dovecot/conf.d/20-pop3.conf y descomentamos la siguiente linea y agregamos la palabra quota, as:

Luego editamos el archivo 10-master.cf y agregamos el usuario y el grupo vmail.

Posteriormente reiniciamos los servicios postfix y dovecot, para que puedan surtir efecto los cambios que he realizado.

Luego verificamos si est funcionando el sistema de cuota de disco. Para ello basta con enviar un correo con archivo adjunto que pese mas de 1 M, as:

Ahora damos clic en adjuntar.

Posteriormente buscamos un archivo cualquiera que sea mas pesado de la cantidad que se asign de cuota para la bandeja de entrada de el usuario. En este caso la cuota es de 1 M, y el archivo que estoy adjuntando pesa 4.3 M.

Procedemos a dar clic en enviar el correo con el archivo comprimido en zip, que supera el limite de cuota asignado.

Ahora aparece el error de overquota, que significa que el usuario con el mail rich@abc25.com, ha excedido el limite de cuota de disco permitido por el administrador del servidor de correo.

Ahora vamos a configurar la CA, para ello vamos a descargar e instalar una entidad certificadora, para ello voy a instalar TinyCA2. Voy a ingresar a la pargina rpm forge de la cual descargar el repositorio indicado para poder instalar el programa, as: El link de descargar es deacuerdo a la distribucion del sistema operativo que estemos usando, ya sea de 32 o 64 bits. (32 bits: i686, 64 bits: x86_64). Luego de la descargar damos doble clic sobre el archivo descargado para poder instalar el rpm.

Ahora escribimos el siguiente comando para instalar el programa.

Abrimos el programa y configuramos lo siguiente de acuerdo a nuestras necesidades. Clic en aceptar.

Luego seleccionamos en Uso Clave, firmar certificado, clic en aceptar.

Ahora miramos que el certificado ha sido creado satisfactoriamente.

Ahora hacemos una peticin del certificado para poder agregarlo al servidor de correo.

Ah lo llenamos a nuestros requerimientos.

Despus de generar la peticin debemos hacerla firmar de una entidad, as:

Agregamos una contrasea para el certificado.

La peticin ha sido firmada exitosamente.

Luego procedemos a exportar el certificado, as:

En browse, agregamos la ruta donde lo deseamos guardar.

Ahora procedemos a exportar la clave

Agregamos la misma ruta donde guardamos el certificado.

Ahora vamos a habilitar los puertos seguros, el 993 y el 995, en el archivo /etc/dovecot/conf.d/10-master.conf., as:

Ahora agregamos la ruta de los certificados que descargamos en el archivo 10-ssl.conf

Luego accedemos al archivo main.cf y agregamos las siguientes lneas.

Luego procedemos a descargar el certificado, as:

rt d

Ahora agrego de nuevo el certificado al archivo 10-ssl.conf

Luego al mirar los log aparece el siguiente error.

Para ello cambiamos los permisos as

Adems, procedemos a cambiar el formato del certificado que descargamos de pem a rsa.

Ahora cambiamos el nombre del archivo en el archivo main.cf y en el 10-ssl.conf, as:

Posteriormente reiniciamos todos los servicios, y despus hacemos lo siguiente:

Cambiamos la seguridad de la conexin, colocando ssl/tls, para que la conexin sea segura, escuchando por el puerto 993.

Luego cambiamos al puerto SMTP seguro, que es el puerto 587.

Ahora procedemos a enviar un correo a cualquiera de los usuarios.

Observamos que ha llegado perfectamente el correo al destinatario especfico.