PDF de programación - Zimbra como solución libre a un servidor de correo

Zimbra como solución libre

a un servidor de correo










por Alejandro Moreno

amperisblog[@]gmail.com
http://amperis.blogspot.com

28 de enero de 2008




























..para todos aquellos que quieran instalar un servidor de correo open-source profesional y
tengan la suficiente destreza para ver que puñeta de librería le falta cuando esta compilando.

















Zimbra como solución libre a un servidor de correo


Introducción

Cuando trabajas en un empresa pequeña y con pocas ganas de gastar dinero soluciones como
montar un Microsoft Exchange quedan descartadas, por eso un administrador se tiene inclinar
por soluciones más baratas; y más barato que un Linux no hay nada.
El único problema que encuentro es el esfuezo en el aprendizaje-instalación-configuración que
tiene Linux (Postfix, Sendmail, QMail., etc) en comparación con Exchange. Eso si, una vez
montado tú sistema de correo en Linux olvídate de el.

En este documento se explica el proceso de instalación, las impresiones y las modificaciones
hechas durante más de un año a un sistema de correo Linux basado en la versión libre de Zimbra
Collaboration Suite que implementé en un trabajo.

Zimbra te permite montar todo un sistema de correo electrónico basado en paquetes libres. Se
trata de una recopilación de paquetes ya existentes y probados junto con una programación de
Webmail. El mérito de Zimbra esta en su interfaz de Webmail (con soporte a Ajax) y en el
empaquetado de todas las aplicaciones de terceros. Hace poco Yahoo compró a Zimbra, y si los
compró por algo sería.

Todo el conjunto de aplicaciones de terceros es:


 Apache + Tomcat (servidor Web),
 Clamav (antivirus),
 Spamassessin + DSpam (filtro de spam),
 Amavis-new (conector entre los antivirus y el servidor de correo),

 MySQL (servidor de base datos),
 OpenLdap (servidor de directorio),
 Postfix (servidor de correo SMTP) y
 Cyrus (servidor de correo POP/IMAP).

Jdk (Maquina Java),


Primero empezaremos explicando el método de instalación de la 4.5 (mientras escribo esto estoy
preparando una maquina de prueba para migrar a la 5.0), la configuración estándar y
terminaremos por las modificaciones hechas por mí como son:


Instalación de un segundo antivirus,
traducción al castellano,



 método común de actualización del motor de antivirus por defecto,
 método de copia de seguridad,

 método renovar los certificados,




cambio de los puertos estándar del Zimbra,
añadir más soporte PHP a Zimbra y
adjuntar un mensaje de confidencialidad a todos los mails salientes.

recogida externa del correo con Fechmail,


El tiempo estimado para montar este sistema de correo perfectamente funcionando es de unas
dos jornadas de trabajo. Tal como esta funcionando ahora mismo, se está dando soporte a 200
cuentas de correo, más de 3000 mensajes diarios y un relay de backup externo.

Para los que realmente se decidan a instalar este sistema en producción les recomendaría ver
soluciones open-source más sencillas como Scalix y sobre todo trabajar una temporada con un
sistema de correo montado a “pelo”. Es decir, montarse un sistema de correo Postfix con



2

Zimbra como solución libre a un servidor de correo

antivirus, antispam, webmail y servidor de base de datos. Esto te permitirá tener más
experiencia en ver como funcionan estos paquetes por separado y como se enlazan unos con
otros.

Antes de tener Zimbra funcionábamos con esta arquitectura, instalando los paquetes por
separado: Potfix como servidor de correo SMTP, Cyrus-SASL como servidor POP/IMAP con
SSL, Squirrelmail como servidor de Webmail, Postfixadmin+MySQL para almacenar los
usuarios, Clamav+Amavis-new como sistema de antivirus, y Postfix VDA para dar cuotas de
disco a los buzones.

Panorama de partida

Para implementar nuestro servidor de correo utilizaremos un servidor Xeon 3Ghz, con 3Gb de
RAM y dos discos de 200Gb minino en RAID 0+1 (por hardware). Esta maquina la
colocaremos en una DMZ con salida a Internet garantizada 100% con simetría. Lógicamente
esta configuración dependerá mucho de las necesidades de cada uno y de su presupuesto. Lo
que tenemos que tener 100% garantizado es la salida a Internet. Si no hay Internet no hay
correo, y puedo a segurar que un usuario puede estar 1 hora si navegar por la Web, pero no
puede estar ni 10 minutos sin correo; con lo cual llaman diciendo “parece que el correo no va,
¿no?”

Lo de la simetría a Internet depende de cada uno. Por regla general se recibe más correo del que
se envía (por culpa del Spam), pero tenemos que tener en cuenta que no solo es posible
implementar el correo, sino que también podemos tener una Web o que nuestros usuarios se
conecten por VPN a la oficina.

Aun así si no tenemos garantizada la conexión a Internet necesitaremos un relay de correo con
otra empresa para que nos recoja el correo que nos envían hasta que nuestra conexión a Internet
este levantada. Esto lo explicaremos luego.

Para terminar necesitaremos control sobre nuestro dominio (para los ejemplos utilizaremos
midominio.com) y acceso a la configuración del DNS para poder modificar los registros según
nuestras necesidades.








3

Zimbra como solución libre a un servidor de correo


Instalación del SO

Una vez tengamos el servidor listo y montado el RAID de los disco instalaremos el sistema
operativo. En este caso para la versión 4.5 de Zimbra Open-Source utilizaremos Fedora Core 4
para 32 bits (x86). Me hubiera gustado instalarlo para 64 bits (x86_64) teniendo un Xeon pero a
dia de hoy la versión 5.0 de Zimbra no esta (ni estará) para 64 bits y esto me hubiera
complicado.

Nota: antes de comenzar a instalar recomiendo comprobar el BIOS del Server para ver las
posibilidades. Si es un servidor HP con soporte iLO podemos configurarlo para tener el control
remoto del hardware si el SO cae. En este caso necesitaremos dos bocas ethernets. Una para
iLO y otra para el servidor. El servidor e iLO van por interfaces de redes diferentes.

En esta fase colocaremos la maquina dentro de la DMZ. Esto no debería ser así mientras
estamos montando la maquina. Aun así, si la colocasemos tampoco seria muy grave porque aun
no tenemos hechos los PATs necesarios en el router y en el firewall para tener acceso desde el
exterior al servidor. Si eres un administrador paranoico deberías tenerlo todo configurado y
probado antes de poner la maquina en la DMZ.

La instalación del SO no la explicaremos porque no tiene más misterio que botar del DVD e
instalar. Dos cosas: al seleccionar los paquetes, seleccionaremos el mínimo posible (si que
seleccionaremos las ‘Development Tools”, las “Administration Tools” y las “System Tools”, el
resto de paquetes necesarios los instalara Zimbra) y configuraremos la IP con un dirección libre
de la DMZ.

Nota: la instalación de servidores en producción de cualquier tipo siempre debería realizarse
en ingles (salvo manías de cada uno). Sobre todo porque los primeros parches salen en inglés y
a la hora de buscar información (sobre todo mensajes de errores)..

Una vez botado y comprobado que tenemos salida Web, actualizaremos todos los paquetes con
un “yum update”. Aquí nos podemos ir a tomar el primer café mientras se instalan los
300Mb de actualizaciones.

El siguiente paso es habilitar y deshabilitar con “ntsysv” los servicios que necesitemos. Hay
que deshabilitar: bluetooth, cups, isdn, pcmcia y sendmail. Habilitaremos los servicios: iptables
y sshd.

El siguiente paso es configurar el firewall de la propia maquina. No confundir con el firewall de
nivel superior como pueda ser por ejemplo un PIX, un ISA o simplemente las funciones de
firewall del router.
El firewall que viene con los Fedoras es iptables. La configuración del firewall se encuentra en
“/etc/sysconfig/iptables”. Listo la configuración básica del firewall.






4

Zimbra como solución libre a un servidor de correo

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
:LOGDROP - [0:0]

# Buscar en "cat /var/log/messages | grep IPTABLES"
-A LOGDROP -j LOG --log-prefix "IPTABLES "
-A LOGDROP -j DROP
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# puertos especiales solo para el administrador
-A
192.168.1.3/255.255.255.255 --dport 22 -j ACCEPT
-A
192.168.1.3/255.255.255.255 --dport 7071 -j ACCEPT
# Servicios publicos
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 995 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 993 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 110 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 143 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 25 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 8443 -j ACCEPT
# Denegamos el resto de paquetes. Lo paquetes UDP denegados no los logeamos
-A RH-Firewall-1-INPUT -m tcp -p tcp -j LOGDROP
-A RH-Firewall-1-INPUT -j DROP

COMMIT

RH-Firewall-1-INPUT
RH-Firewall-1-INPUT

NEW
NEW

tcp
tcp

-m
-m

state
state

--state
--state

-m
-m

-p
-p

tcp
tcp

-s
-s


Nota: para el que no e