PDF de programación - Postfix

Postfix

[Tutorial]



Fernando Limón
Madrid, Octubre de 2002

Postfix [Tutorial] - 06/10/02

ÍNDICE


1.- Introducción..................................................................................................1
1.1.- Arquitectura..........................................................................................1
1.2.- Descripción de main.cf.........................................................................3
1.3.- Descripción de master.cf. .....................................................................6
2.- Configuración.............................................................................................10
2.1.- Estafeta de Primer Nivel.....................................................................10
2.2.- Estafeta de Segundo Nivel. ................................................................13
3.- Soporte de múltiples dominios...................................................................16
4.- Soporte de Transportation Layer Security (TLS).......................................19
4.1.- Compilación. ......................................................................................20
4.2.- Configuración.....................................................................................20
5.- Soporte de Simple Authentication and Security Layer (SASL).................23
5.1.- Compilación. ......................................................................................23
5.2.- SMTP AUTH en todos los puertos SMTP. ........................................25
5.3.- SMTP AUTH en determinados puertos SMTP..................................26
5.4.- Postfix como cliente SMTP AUTH....................................................28
6.- Integración de filtros por contenido. ..........................................................30
6.1.- Solución simple. .................................................................................30
6.2.- Solución avanzada..............................................................................33
7.- Mecanismos de seguridad. .........................................................................36
7.1.- Notificaciones a Postmaster. ..............................................................36
7.2.- Rechazo por no resolución inversa.....................................................37
7.3.- Verificación de RBL. .........................................................................37
7.4.- Requerimiento de HELO/EHLO y verificaciones..............................38
7.5.- Filtrado por cabeceras. .......................................................................38
7.6.- Filtrado por contenido. .......................................................................39
7.7.- Limitación del tamaño de mensaje.....................................................40
7.8.- Ejecución en modo chroot..................................................................40

Pag. ii

Postfix [Tutorial] - 06/10/02

1.- Introducción.

En 1998 comenzó a difundirse el uso de un nuevo sistema de gestión de correo
electrónico bajo la denominación de IBM Secure Mailer, aunque posteriormente pasaría
a denominarse Postfix. Este producto se desarrolló en el centro de investigación
Thomas J. Watson Research Center, de IBM.

El autor, Wietse Zweitze Venema, conocido por sus desarrollos software para la
protección contra intrusiones de sistemas informáticos, había elaborado un sistema de
gestión de correo electrónico cuyas características básicas eran rapidez, facilidad de
configuración y, sobre todo, seguridad.

Son muchos los que en alguna ocasión han intentado probar Postfix con el fin de
analizar sus prestaciones y facilidad de configuración. Desgraciadamente
las
configuraciones que se instalan en las distribuciones distan mucho de ser fácilmente
comprensibles, al incluirse multitud de tablas y ficheros que no se utilizan.

Considero que lo más didáctico es partir de una configuración base sencilla y
bien documentada, y que las necesidades puntuales harán que cada administrador
profundice en las soluciones concretas que aporta Postfix a su problemática.

Éste es el objetivo de este documento: proporcionar una configuración base
sencilla, comentada, que atienda a necesidades generales, y que pueda servir como
núcleo de una configuración más compleja.

En la elaboración de esta guía se han tenido en consideración los criterios de
seguridad y calidad planteados por la iniciativa Red Académica de Correo Electrónico
(RACE) propuesta por RedIRIS.

Por tanto, no es objetivo de este documento proporcionar una descripción
exhaustiva de directivas y opciones que soporta Postfix. Para ello ya existen numerosas
referencias en Internet y en fondos bibliográficos.

En una primera parte se proporcionará una visión arquitectónica y funcional de
Postfix, para posteriormente ir abordando problemáticas concretas y plantear solución a
las mismas. Solución que en ocasiones puede que no sea la única, en cuyo caso entrará
en juego la visión subjetiva del autor.



1.1.- Arquitectura.

Al contrario de Sendmail, que es un gestor de correo monolítico, en el diseño de
Postfix se han disgregado los diversos tratamientos que se realizan sobre un mensaje a
su paso por un Mail Transfer Agent (MTA), adjudicando cada tratamiento o grupo de
tratamientos a un proceso independiente. El conjunto de todos estos procesos es Postfix.
Los procesos que conforman Postfix se comunican a través de sockets que se
crean, por razones de seguridad, en un directorio de acceso restringido. La información
que intercambian los diversos procesos es la mínima posible, limitándose en la mayoría
de los casos a la referencia de la entrada en una cola y la relación de destinatarios, o a
un simple identificador de estado.

Pag. 1

La siguiente figura proporciona una visión global de los elementos que

componen Postfix:



Postfix [Tutorial] - 06/10/02

Figura 1



Postfix basa su funcionamiento en cuatro colas: maildrop, incoming, active y

deferred (cuadrados coloreados en verde).

El correo que se genera de forma local se deposita en maildrop para su posterior
proceso. El proceso pickup toma los mensajes que llegan a maildrop y los pasa a
cleanup, que analiza las cabeceras de los mensajes y deposita éstos en la cola incoming.
En la cola active se encuentran aquellos mensajes que están en fase de
encaminamiento, y en deferred los mensajes que por diversas causas no se pueden
encaminar o están pendientes de reintentar su encaminamiento.

El proceso qmgr es el encargado de tratar los mensajes que llegan a la cola
incoming, depositarlos en active y lanzar el proceso adecuado para su encaminamiento,
como pueden ser local, smtp o pipe.

El correo procedente de otros sistemas se atiende a través del proceso smtpd,
utilizando el protocolo SMTP, pudiendo utilizar accesos a servidores de RBL o tablas
internas para aplicar las políticas de acceso a cada mensaje entrante.

Coloreadas de azul aparecen las tablas que, creadas por el administrador, sirven
a los diferentes procesos para concretar el tratamiento que debe darse a cada mensaje.
Se usan seis tablas: access, aliases, canonical, relocated, transport y virtual. Aunque no
es obligatoria la existencia ni utilización de todas ellas.

La tabla access permite definir una relación explícita de sistemas a los que se les

deben aceptar o rechazar sus mensajes. La utiliza el proceso smptd.

La tabla aliases, al igual que en Sendmail, define una serie de nombres

alternativos a usuarios locales, y la consulta el proceso local.

El proceso cleanup, mediante la tabla canonical establece relaciones entre

nombres alternativos y nombres reales, ya sean usuarios locales o no.

El proceso qmgr utiliza la tabla relocated para devolver los mensajes de usuarios

que han cambiado de dirección: “User has moved to new-email”.

Pag. 2

Postfix [Tutorial] - 06/10/02

Con la tabla transport, que es utilizada por el proceso trivial-rewrite, se define la
política de encaminamiento por dominios, subdominios e incluso por dirección concreta
de usuario.

Para la gestión y soporte de dominios virtuales el proceso cleanup utiliza la tabla
virtual. En ella se establecen las relaciones entre usuarios virtuales y reales, e incluso de
dominios completos.

Todas estas tablas pueden usar alguno de los siguientes tipos de formato de base

de datos:

- Fichero binario indexado (btree, hash, dbm, etc).
- Fichero de texto basado en expresiones regulares ( regexp).
- Sistema externo de base de datos (NIS, LDAP, MySQL, etc).

Para conocer qué tipos de formato de base de datos soporta nuestra instalación,

se puede usar la directiva /usr/sbin/postconf –m

Para indicar a Postfix el método de acceso a un determinado fichero se antepone
al nombre del mismo el método de acceso. Así por ejemplo hash:/etc/postfix/tabla
indica que /etc/postfix/tabla es un fichero en formato db.

Para crear los ficheros binarios indexados, Postfix dispone de la directiva:
postmap. Por ejemplo, para generar el correspondiente binario del fichero anterior se
usaría la directiva postmap /etc/postfix/tabla, con lo que se crearía el fichero
/etc/postfix/tabla.db .

En el caso particular de la tabla aliases, existe la directiva /usr/bin/newaliases .
Los ficheros que contienen expresiones regulares se tratan directamente desde

Postfix.


1.2.- Descripción de main.cf.

El fichero donde se define gran parte del funcionamiento de Postfix es main.cf,

que habitualmente se encontr