PDF de programación - Instalación y bastionamiento de un servidor de correo bajo GNU/Linux

Instalación y

bastionamiento de un

servidor de correo bajo

GNU/Linux

Lorena Fernández a.k.a. Loretahur

www.loretahur.es

INDICE

1. Introducción.............................................................................................
1.1. Características de Postfix ........................................................
2. Protocolos...............................................................................................
3. Funcionamiento de un sistema de correo...............................................
4. Instalación y configuración de Postfix.....................................................

1
2
3
7
11
4.1. Main.cf……………………………………………………………… 11
4.2. Master.cf…………………………………………………………… 15
4.3. Mysql_virt.cf, ids.cf y gids.cf……………………………………..
16
5. Instalación y configuración de MySQL....................................................
19
6. Instalación y configuración de Courier..................................................... 23
6.1. Courier POP3 y Courier POP3S…………………………………... 24
25
6.2. Courier IMAP y Courier IMAPS…………………………………..
7. Postfix-TLS…………………………………………………………………… 27
8. Postfix-SASL…………………………………………………………………..
29
33
9. SPAM......................................................................................................
9.1. Listas negras............................................................................
34
35
9.2. Restricciones orientadas a la conexión del cliente...................
35
9.3. Restricciones orientadas al saludo inicial.................................
9.4. Restricciones orientadas al remitente......................................
36
37
10. Filtros de correo....................................................................................
10.1. Filtrado por cabeceras ...........................................................
37
38
10.2. Filtrado por contenido.............................................................
11. Amavisd-New……………………………………………………………….
39
12. ClamAV……………………………………………………………………… 43
45
13. SpamAssassin......................................................................................
46
13.1. Aprendizaje en la clasificación de SPAM ..............................
Anexo A: Certificados.................................................................................
49
50
A.1. Creación de una autoridad certificadora..................................
A.2. Creación de un certificado.......................................................
51
51
A.3. Firmar el certificado con nuestra CA .......................................
Recursos.....................................................................................................
53

Licencia.......................................................................................................

54

iii

Loretahur

1. INTRODUCCIÓN

Esta documentación recoge la instalación de un servidor de correo usando la
distribución Debian Sarge con un kernel 2.4.27-2-386 y usando exclusivamente
software libre.

Para el ejemplo usaremos el dominio prueba.com gestionado por un servidor DNS
(con bind 9) que reside en la propia máquina. En él hemos creado un registro de tipo
MX para el servidor de correo con el siguiente nombre: mail.prueba.com.

Se ha elegido Postfix en su versión 2.1.5-9 como MTA. A Postfix se le han agregado
los siguientes mecanismos de seguridad: TLS (Transport Layer Security) para cifrar las
conexiones y SASL (Simple Authentication and Security Layer) como sistema de
autentificación.

Todo el correo que pase a través del servidor SMTP será revisado en busca de virus y
SPAM. Para llevar a cabo esta tarea se utilizará AMaViSd-new (en su versión
20030616p10-5) como interfaz entre el servidor de correo SMTP y las aplicaciones
ClamAV (v. 0.84-2.sarge.10) y Spamassassin (v. 3.0.3-2sarge1), las cuales
analizarán el correo en busca de virus y SPAM respectivamente.

Para la consulta de mensajes por parte de los usuarios se dispondrá de un servidor
POP3 e IMAP, con sus respectivas versiones seguras con protocolo SSL, para lo cual
se hará uso de Courier (courier-pop y courier-pop-ssl versión 0.47-4sarge5,
courier-imap y courier-imap-ssl versión 3.0.8-4sarge5).

Los usuarios del correo no serán usuarios físicos de la máquina sino que serán
usuarios virtuales almacenados en una Base de Datos MySQL (v. 4.0.24-10sarge2).
Ha sido seleccionada esta tecnología para evitar que el archivo /etc/passwd se haga
enorme. Sin embargo, ha sido descartada la idea de montar un directorio ldap puesto
que el número de usuarios no es muy grande.

Para crear una autoridad certificadora y generar certificados propios se ha dispuesto
de OpenSSL 0.9.7e.

1

Instalación y bastionamiento de un servidor de correo bajo GNU/Linux

2. CARACTERÍSTICAS DE POSTFIX

Postfix es un MTA que funciona sobre sistemas tipo UNIX. Se creó como alternativa a
Sendmail y fue escrito en C por Wietse Zweitze Venema cuando trabajaba para IBM.
Es un servidor de código abierto y además gratuito.

Tiene una arquitectura y diseño muy modular lo que hace que sea muy rápido y tenga
un gran rendimiento. Es fácil de administrar y configurar.

Además ofrece soporte para las tecnologías más usadas hoy día: LDAP, Bases de
datos (MySQL y PostgreSQL), autenticación mediante SASL, LMTP, etc.

Se pueden lanzar varias instancias de Postfix en la misma máquina con distintas
configuraciones, usando cada una distinta dirección IP, distintos puertos, etc. con la
única limitación de que ambas no compartan el directorio de colas y que usen distintos
valores para myhostname.

Las ventajas que presenta Postfix frente a Sendmail son las siguientes:

 Postfix es más seguro que Sendmail. Los procesos que conforman Postfix
se comunican a través de sockets que se crean en un directorio de acceso
restringido (trabajan en modo chroot, por tanto, cualquier directorio o
fichero que esté fuera les quedará inaccesible). La información que
intercambian los diversos procesos es la mínima posible y cada proceso
corre con los mínimos permisos necesarios para realizar su tarea.

 Mientras que Sendmail es monolítico, Postfix es modular y esto le hace ser

más liviano puesto que sólo carga los módulos que necesita en cada
momento. Por tanto, presenta un mejor rendimiento y una mayor rapidez.

 Postfix es mucho más fácil de configurar y administrar que Sendmail.

 Postfix evita utilizar buffers de tamaño fijo, evitando que tengan éxito

ataques buffer overflow.



Los procesos que no se necesitan se pueden desactivar. Por ejemplo, en
una máquina dial-up que sólo envía correo podemos desactivar el proceso
servidor SMTPD.

 Postfix complementa su seguridad con un uso sencillo de listas negras y

una fácil integración con antivirus.

2

Loretahur

3. PROTOCOLOS

A continuación se va a describir los protocolos más relevantes que intervienen en las
comunicaciones de correo.

POP o POP3 (Post Office Protocol)

Es el protocolo de nivel de aplicación que se usa para que los clientes locales de
correo se descarguen los mensajes almacenados en un buzón de un servidor de
correo. A diferencia de IMAP, no requiere estar conectado permanentemente al
servidor, sino que podemos descargarnos los correos y trabajar en local. Es un
protocolo poco pesado para la máquina servidora (se produce una conexión, una
descarga y luego una desconexión) y además es muy simple: tan sólo 13 comandos
que pueden responder con +OK o –ERR.

Normalmente, las conexiones con este protocolo se realizan a través del puerto TCP
110.

Este protocolo tiene su versión cifrada: POP3S cuyo puerto well known es el 995/tcp.

Los principales comandos que se usan son los siguientes:

 USER <nombre>: identificación de usuario (sólo se realiza una vez).
 PASS <password>: envías la clave del servidor.
 STAT: da el número de mensajes no borrados en el buzón y su longitud total.
 LIST: muestra todo los mensajes no borrados con su longitud.
 RETR <número>: solicita el envío del mensaje especificando el número (no se

borra del buzón).

 TOP <número> <líneas>: muestra la cabecera y el número de líneas requerido

del mensaje especificando el número.

 DELE <número>: borra el mensaje especificando el número.
 RSET: recupera los mensajes borrados (en la conexión actual).
 QUIT: salir.

Ejemplo:
telnet mail.prueba.com 110
+OK Hello there.
USER [email protected]
+OK Password required.
PASS ****
+OK logged in.
STAT
+OK 2 2397
QUIT
+OK Bye-bye.

3

Instalación y bastionamiento de un servidor de correo bajo GNU/Linux

IMAP (Internet Message Access Protocol)

Protocolo de recepción de correos similar a POP pero con la diferencia de que con
POP, el cliente de correo se descarga los mensajes para que el usuario interaccione
con ellos y con IMAP, se accede directamente al buzón de correo del servidor, por lo
que, cualquier modificación que haga el usuario, la está haciendo sobre el servidor.
Por ejemplo, si con IMAP marcamos un correo como leído, lo marcamos en el servidor
mientras que con POP, lo marcamos en el cliente utilizando un ID. Además, este
protocolo soporta crear, modificar y/o eliminar buzones.

El puerto TCP por el que escucha por defecto es el 143. La versión cifrada de IMAP:
IMAPS, escucha por defecto en el 993/tcp.

A la hora de recomendar el uso de un protocolo de recepción de mensajes al usuario,
será mejor POP frente a IMAP puesto que consume menos recursos del servidor de
correo y menos espacio en disco.

SMTP (Simple Mail Transfer Protocol)

Protocolo de red basado en texto utilizado para el intercambio de mensajes de correo
electrónico entre dispositivos sin ningún tipo de autenticación. Es un protocolo muy
simple pero a la vez muy inseguro:

-

Las cabeceras son altamente spoofeables, lo que deriva en la aparición de
SPAM.

- Habitualmente las comunicaciones mediante proto