PDF de programación - Configuración de un completo servidor de correo seguro con Postfix y Cyrus

Configuración de un completo servidor de correo seguro
con Postfix y Cyrus

(Debian GNU/Linux + Postfix + Cyrus IMAP + SASL + TLS + LMTP + Sieve +
Amavisd-new + SpamAssassin + ClamAV + Mailman + SquirrelMail)

Índice

1. Introducción y objetivos.
2. Tecnologías usadas.
2.1. Debian GNU/Linux.
2.2. Postfix.
2.3. TLS.
2.4. Cyrus IMAP.
2.5. Cyrus SASL.
2.6. LMTP.
2.7. Sieve.
2.8. Amavisd-new.
2.9. SpamAssassin.
2.10. Clam Antivirus.
2.11. Mailman.
2.12. SquirrelMail.
3. Versiones usadas del software.
4. Instalación y configuración de Cyrus SASL.
4.1. El fichero /etc/cyrus.conf.
4.2. El fichero /etc/imapd.conf.
4.3. Perspectiva general, conceptos y administración del servidor Cyrus IMAP.
4.3.1. Espacio de nombres de los buzones de correo.
4.3.2. Listas de control de acceso.
4.3.3. Cuotas de usuario.
4.3.4. Procesos de recuperación de las bases de datos.
4.3.5. El fichero de buzones.
4.3.6. Suscripciones.
4.3.7. Logging.
4.3.8. El directorio proc.
4.4. Configuración de buzones de correo.
5. Instalación y configuración de Postfix.
5.1. El fichero /etc/postfix/master.cf.
5.2. El fichero /etc/postfix/main.cf.
5.3. Autenticación y autorización.
5.4. Alias virtuales
5.5. Dominios virtuales
6. Cifrado del canal de comunicación usando TLS.
6.1. La generación de los certificados.
6.2. Modificaciones en Postfix.
6.3. Modificaciones en Cyrus IMAP.
7. El uso de Sieve.
8. Filtros de contenidos.
8.1. SpamAssassin.
8.2. Clam Antivirus.
8.3. Amavisd-new.
8.4. Modificaciones en Postfix.
8.5. Medidas anti-UCE.
9. Listas de correo con Mailman.
10. Correo a través de web con Squirrelmail.
11. Puertos en un firewall.
12. Uso de sockets TCP con LMTP.
13. RFCs.
14. Agradecimientos.
15. Bibliografía.
16. Historial de revisiones.

1. Introducción y objetivos.

Este documento le guiará a través de los pasos a seguir para instalar y configurar el
MTA Postfix y el servidor Cyrus IMAP. El objetivo es conseguir un sistema de correo
electrónico totalmente funcional y de alto rendimiento que use un completo abanico de
modernas tecnologías y protocolos que mejoren su eficiencia, robustez, flexibilidad y
seguridad. Asimismo, se proporcionan muchas facilidades de uso para los usuarios de
este sistema.

Al final del artículo conseguiremos tener un sistema de correo con las siguientes
características:

Independencia de los usuarios de sistema y las cuentas de correo electrónico.
Un dominio principal donde se crean cuentas de correo.
Múltiples dominios virtuales con redirecciones a las cuentas del dominio
principal.
Autenticación a través de SASL (Simple Authentication and Security Layer), con
métodos de texto plano o login.
Transporte seguro del tráfico mediante TLS.
Acceso a los buzones por IMAP sobre SSL y por webmail.
Filtrado de correo en el servidor a través de Sieve.
Filtros antivirus y antispam.
Listas de correo.

2. Tecnologías.

2.1. Debian GNU/Linux.

Debian es un sistema operativo (SO) libre para ordenadores. El sistema operativo es
el conjunto de programas básicos y utilidades que hacen que funcione el ordenador.
Debian utiliza el núcleo Linux (el corazón del sistema operativo), pero la mayor parte
de las herramientas básicas vienen del Proyecto GNU; de ahí el nombre GNU/Linux.

Debian GNU/Linux ofrece más que un SO puro; viene con miles de paquetes,
programas precompilados distribuidos en un formato que hace más fácil la instalación
en su ordenador. En este artículo se utilizará la rama Sarge de Debian.

2.2. Postfix.

El MTA (Mail Transportation Agent) Postfix pretende ser rápido, fácil de administrar y
seguro, a la vez que suficientemente compatible con Sendmail como para que los
usuarios existentes no se asusten. Por lo tanto, externamente mantiene el estilo de
Sendmail, mientras que internamente es completamente diferente.

A diferencia de Sendmail, Postfix no es un programa monolítico, sino una combinación
de pequeños programas, cada uno de los cuales lleva a cabo una función
especializada. En este documento, el lector encontrará la información necesaria para
tener el sistema funcionando junto a otros componentes que completan la instalación
de un sistema de correo electrónico. Puede encontrarse más información sobre Postfix
en la documentación online de su website.

2.3. TLS.

Por defecto, toda comunicación en Internet se hace sin ningún tipo de cifrado y sin
una autenticación fiable. Esto significa que cualquiera con acceso físico a la línea de
datos por la que viaja un paquete puede espiar dicha comunicación. Aún peor, es
posible redirigir o alterar esa comunicación para que la información que se desea
mandar se pierda y nadie se dé cuenta.

De cara a solventar estos problemas de seguridad, Netscape, Inc. introdujo el
protocolo SSL (Secure Sockets Layer), que ha ido evolucionando en el protocolo
estandarizado TLS (Transportation Layer Security). Ofrece tanto cifrado de la
comunicación (frenando las escuchas) como autenticación fuerte (asegurando que
ambas partes de una comunicación son correctamente identificadas y que la
comunicación no puede ser alterada).

Postfix/TLS no implementa el protocolo TLS por sí mismo, sino que usa el paquete
OpenSSL para esta tarea. En el website de OpenSSL pueden encontrarse enlaces a
documentación que profundiza en el protocolo y sus características.

2.4. Cyrus IMAP.

Cyrus IMAP (Internet Message Access Protocol) es desarrollado y mantenido por el
Andrew Systems Group de la Carnegie Mellon University.

A diferencia de otros servidores IMAP, Cyrus usa su propio método para almacenar el
correo de los usuarios. Cada mensaje es almacenado en su propio fichero. El
beneficio de usar ficheros separados es una mayor fiabilidad ya que sólo un mensaje
se pierde en caso de error del sistema de ficheros. Los metadatos, tales como el
estado de un mensaje (leído, etc.) se almacenan en una base de datos. Además, los
mensajes son indexados para mejorar el rendimiento de Cyrus, especialmente con
muchos usuarios e ingentes cantidades de mensajes. No hay nada tan rápido como el
servidor IMAP Cyrus.

Otra característica muy importante es que no son necesarias cuentas locales de Linux
para cada usuario. Todos los usuarios son autenticados por el servidor IMAP. Esto lo
convierte en una magnífica solución cuando se tiene una gran cantidad de usuarios.

La administración es llevada a cabo mediante comandos especiales de IMAP. Esto le
permite usar tanto la interfaz de línea de comandos como los interfaces web. Este
método es mucho más seguro que un interfaz web para /etc/passwd.

Desde la versión 2.1 de Cyrus, se usa la versión 2 de la librería SASL para la
autenticación. En la configuración descrita en este artículo se implementa una
autenticación de tres capas. Cyrus se autentica con saslauthdaemon, quien redirige la
petición al mecanismo que le hayamos definido, por ejemplo sasldb, que buscará la
información del usuario en una base de datos Berkeley DB.

2.5. Cyrus SASL.

SASL son las siglas de Simple Authentication and Security Layer, un método para
añadir soporte para la autenticación a protocolos basados en la conexión que ha sido
estandarizado por la IETF (Internet Engineering Task Force). Se usa en servidores
(en este caso Cyrus IMAP) para manejar las peticiones de autenticación de los
clientes. Para ello, el protocolo incluye un comando para identificar y autenticar un
usuario contra un servidor y para, opcionalmente, negociar la protección de las
subsiguientes interacciones del protocolo. Si se negocia su uso, una capa de
seguridad es añadida entre el protocolo y la conexión.

La librería SASL de Cyrus también usa la librería OpenSSL para cifrar los datos. El
lector encontrará más información en la página web de Cyrus SASL.

2.6. LMTP.

SMTP (Simple Mail Transfer Protocol) y sus extensiones ESMTP (SMTP Service
Extensions) proporcionan un mecanismo para transferir correo fiable y eficientemente.
El diseño del protocolo SMTP requiere que el servidor maneje colas de envío de
correo.

En ciertas circunstancias, fuera del área que engloba el intercambio entre hosts
independientes en redes públicas, es deseable implementar un sistema donde el
receptor del correo no maneje colas, como es el caso de un MDA (Mail Delivery
Agent). Esto es precisamente lo que hace el protocolo LMTP (Local Mail Transfer
Protocol).

Aunque LMTP es una alternativa al protocolo ESMTP, usa (con algunos pequeños
cambios) la sintaxis y la semántica de ESMTP. Este diseño permite al LMTP utilizar las
extensiones definidas para el ESMTP. LMTP no debería ser nunca usado en el puerto
25.

2.7. Sieve.

Sieve es un lenguaje que puede usarse para crear filtros de correo electrónico en el
momento de la entrega final del correo (en el lado del servidor). No está ligado a
ningún sistema operativo o servidor de correo en particular. Requiere el uso de la
especificación de mensajes del RFC 822. El lenguaje es suficientemente potente para
ser útil, pero está limitado de modo que permita la creación de sistemas de filtrado
seguros en el lado del servidor. El objetivo es no permitir a los usuarios hacer nada
más complejo (y peligroso) que escribir sencillos filtros de correo, además de facilitar
editores basados en interfaces gráficas de usuario. El lenguaje no permite definir
bucles o funciones, ni tampoco proporciona variables.

Se supone que el uso del lenguaje tiene lugar al final de la entrega, cuando el mensaje
se mueve a una cuenta accesible por el usuario. En aquellos sistemas donde el MTA
(Mail Transport Agent) realiza la entrega final (como es tradicional en los sistemas
UNIX), es razonable clasificar cuando el MTA deposita el correo en la cuenta del
usuario. Sin embargo, los filtros Sieve pueden ser usados por varios "puntos finales de
entrega" del sistema de correo: por el servidor SMTP, por un servidor IMAP o POP
que archive una o más cuentas de usuario, o por un cliente de correo (MUA, Mail User
Agent) que actúe como gestor de las entregas (por ejemplo, un cliente POP o IMAP
sin conexión).

2.8. Amavisd-new.

Amavisd-new es un interfaz de alto