PDF de programación - Sistema de correo con Postfix, Cyrus y MySQL

Sistema de correo con Postfix, Cyrus y MySQL



© Copyright 2006 Liberalia Tempus, S.L.



Índice


I.

Introducción ……………………………………………………………………..

II. Tecnologías ……………………………………………………………………..

III.

Instalando software ……………………………………………………………

V. Configuración de PAM ………………………………………………………..

IV. Seguridad en MySQL ……………………………………………………………

VI. Postfix …………………………………………………………………………….

VII. Cyrus IMAP y SASL ……………………………………………………………

03
04
08
12
14
15
21
27
30
32
36
XI. Filtrado ……………………………………………………………………………..
XII. Squirrelmail ……………………………………………………………………… 45
51
XIII. Mailman …………………………………………………………………………….
XIV. Apéndice …………………………………………………………………………… 54

IX. Web-Cyradm ……………………………………………………………………..

VIII. Cifrado del canal

……………………………………………………………

X. Probando la configuración …………………………………………………..

© Copyright 2006 Liberalia Tempus, S.L. Todos los derechos reservados.
El manual queda publicado sin coste alguno y es de libre distribución siempre que se respete la inclusión
de su procedencia en los medios donde sea publicado y no sea modificado de ninguna forma.
Se prohíbe expresamente la publicación parcial del contenido de este manual sin permiso de su autor.
Se prohíbe expresamente la modificación de este manual y su posterior publicación en cualquier medio.

Sistema de correo con Postfix, Cyrus y MySQL



2



I – Introducción


A partir de este documento, instalaremos y configuraremos de forma adecuada un sistema de
correo con el MTA Postfix y el servidor Cyrus IMAP. Conseguiremos con ello tener en
funcionamiento un potentísimo sistema de correo que abarcará las últimas tecnologías en
servidores y seguridad.

Se potenciará, una vez realizada dicha instalación, la facilidad de administración del sistema,
que procuraremos sea independiente de la configuración de los distintos paquetes. Así,
configuraremos una interfase web que nos permita el control total del sistema de usuarios,
siendo accesible desde cualquier ordenador y contando con las mayores garantías de
seguridad.

El objetivo de nuestra instalación será completar un sistema de correo con las siguientes
características:

• Cuentas de correo independientes del sistema operativo.
• Opción de gestionar varios dominios desde una misma máquina.
• Dominios virtuales redirigidos a la cuenta principal.
• Auteticación mediante SASL con texto plano o login.
• Tabla de MySQL con datos de usuarios.
• Transporte de datos bajo TLS.
• Protocolos IMAP, POP, y webmail para el acceso de los buzones.
• Seguridad SSL de conexión.
• Filtros de correo (Sieve).
• Filtros antivirus (ClamAV) y antispam (SpamAssassin).
• Listas de correo.



Nota:
Agradecer con sinceridad a Jaume Sabater y a Luc de Louw su gran trabajo, sin el cual este
manual no hubiera sido posible. Al finalizar el manual, añadiré un capítulo de biografías donde
se detallarán ampliamente los distintos trabajos en los cuales se ha inspirado este manual.



Sistema de correo con Postfix, Cyrus y MySQL



3



II – Tecnologías


Resumiremos a continuación las diferentes tecnologías usadas en la instalación del sistema de
correo.


Fedora Core - Linux (kernel-2.6)

Fedora es el sistema operativo que siguió con el proyecto de software libre iniciado por el
famoso Red Hat. Corre con el núcleo linux y la mayor parte de sus herramientas son de libre
distribución y uso. En la última actualización de este manual (junio de 2006), el sistema Fedora
alcanza ya su quinta distribución. Las configuraciones de este manual se referirán a la
configuración bajo esta distribución. Aunque se ha probado la misma bajo otras distribuciones y
versiones, es problable que sean necesarios ciertos cambios para que nuestro sistema de
correo funcione de forma adecuada fuera de la versión tratada.


Postfix (postfix-2.2.2-2)

Postfix es un MTA (Mail Transport Agent) rápido, fácil de administrar y seguro. Aunque no
venga al caso, es totalmente compatible con sendmail, manteniendo externamente las formas
de éste.
Postfix es una combinación de diversos programas que realizan su función determinada dentro
del conjunto.
Nos podemos hacer una pequeña idea de esto observando la imágen siguiente:



Aunque parezca mentira, el resultado es menos complejo de lo que a primera vista puede
parecer, pero no nos extenderemos más. Para más información a cerca de postfix, se puede
consultar la documentación de su website: http://www.postfix.org/docs.html .


TLS (Transportation Layer Security) y OpenSSL (openssl-0.9.7f-7)

Todos los datos que viajan a través de Internet, lo hacen por defecto sin ningún tipo de
encriptación ni autenticación fiable. En la práctica, cualquier persona con los conocimientos
adecuados y con acceso físico a la línea de datos a través de la cual viaja un paquete, tendría
acceso a dicha información. Por supuesto, si dicho acceso se efectúa, el contenido de los
distintos paquetes puede ser alterado o redirigido con cualquier propósito.
Para evitar este tipo de accesos, la compañía Netscape Inc. introdujo el protocolo de seguridad
SSL (Secure Sockets Layer), cuya evolución ha terminado en el actual TLS. Este protocolo
aporta encriptación de la comunicación (evitando escuchas no deseadas) y una alta fiabilidad
en la autenticación que se asegura de tener correctamente identificadas a las distintas partes
de una comunicación para que los datos no puedan ser alterados.

Sistema de correo con Postfix, Cyrus y MySQL



4



El protocolo de seguridad será implantado en nuestro sistema gracias a OpenSSL. Para una
mayor información sobre el particular, consultar la página web http://www.openssl.org .


Cyrus IMAP (cyrus-imapd-2.2.12-6)

Cyrus IMAP (Internet Message Access Protocol) es desarrollado y mantenido por Andrew
Systems Group, de la Carnegie Mellon University.
A diferencia de otros gestores de correo IMAP, Cyrus almacena cada correo en un fichero
independiente. Las ventajas son obvias: mayor fiabilidad de almacenamiento y una rapidez de
acceso inusitada. Los índices de cada mensaje y su estado se guardan en una base de datos a
parte y los mensajes se indexan para una mayor rapidez en el acceso o la búsqueda.
No es necesaria una cuenta de sistema linux para cada uno de los usuarios de correo. Esto
hace que la creación de usuarios se pueda automatizar y no sea demasiado ardua en el caso
de una gran cantidad de las mismas.
Como la administración de cada cuenta se realiza mediante comandos específicos, la
programación de interfaces dinámicos sirve para tener un mayor control sobre todas las
funcionalidades del programa, a la vez que se hace más seguro que la manipulación del
/etc/passwd.
La versión de Cyrus analizada en este manual utiliza la versión 2 de la librería SASL para la
autenticación. Así, Cyrus realizará la autenticación en tres fases o capas: el demonio
saslauthdaemon redirigirá la petición al mecanismo definido (en nuestro caso será PAM a
través de MySQL), el cual buscará la información del usuario en una base de datos MySQL.


Cyrus SASL (cyrus-sasl-2.1.20-5)

SASL son las siglas de Simple Authentication and Security Layer, método que añade un
soporte adicional para la autenticación de los protocolos que fundamentan su conexión en la
estandarización fijada por la IETF (Internet Engineering Task Force). Se usa en servidores,
como Cyrus IMAP, para controlar las peticiones de acceso de los clientes. El protocolo de
autenticación incluirá comandos para la correcta apertura del canal cliente-servidor y las
subsiguientes aperturas del canal para la toma de nuevos datos. Opcionalmente, puede
negociarse una capa de seguridad entre el protocolo mismo y la conexión.
Cyrus SASL utiliza OpenSSL para encriptar los datos.


LMTP (Local Mail Transfer Protocol)

SMTP (Simple Mail Transfer Protocol) y sus extensiones ESMTP (SMTP Service Extensions),
proporcionan los mecanismos necesarios para el trasporte de correo fiable y eficaz. El servidor
bajo SMTP controlará las colas de envío de correo.
LMTP actúa de forma que el servidor no tenga que manejar colas de correo, a modo de MDA
(Mail Delivery Agent). Aunque LMTP puede utilizar extensiones que en un primer momento
estarían definidas para su uso por ESMTP, nunca debería funcionar como receptor de escucha
sobre el puerto 25.


MySQL (mysql--4.1.12-2)

MySQL es un servidor de bases de datos rápido, potente y muy fácil de usar e implementar
bajo cualquier plataforma.
Ya que Cyrus puede utilizar PAM como mecanismo de autenticación, usaremos la extensión
pam_mysql para conectar a Cyrus con una base de datos de usuarios creada en MySQL. A
partir de aquí, podemos crear un interface web que nos permita la gestión administrativa
completa de todo el servicio de correo. La potencia de PHP y la fiabilidad de MySQL harán del
sistema que desarrollaremos en este manual algo seguro, fiable y rápido.



Sistema de correo con Postfix, Cyrus y MySQL



5



todas

las necesidades que pueda

Pam_MySQL (pam_mysql-0.50-6)

PAM (Pluggable Authentication module) fue desarrollado en primera instancia por el equipo de
desarrollo de Sun Microsystems. Como puede suponerse, han quedado una gran cantidad de
módulos de conexión con diferentes tecnologías. Uno de esos módulos es Pam_MySQL.
Con Pam_MySQL será posible almacenar las contraseñas de los usuarios del servidor de
correo en una base de datos MySQL, así como