PDF de programación - Notas para configurar Postfix

Notas para configurar Postfix

(c) Guillermo Ballester Valor
[email protected]
Ogijares, Granada, España

Version 0.1 (11-Oct-2002)
Este documento tiene licencia GPL.

Sumario:

Acerca de las restricciones
Filtrado por tablas
Modelos de direcciones
Acciones
Cómo se utilizan
Postfix +dominios virtuales
Estilo Postfix
Estilo Sendmail
Cómo se incluye más de un dominio virtual
Postfix + autentificacion SMTP mediante SASL
Filtrado de correo no deseado. Listas negras.
Un ejemplo real.

1) Acerca de las listas de restricciones

Como en todos los servidores de correos, la configuración de los mismos es una
tarea que puede ser suficientemente complicada como para desanimar a más de
un administrador. Por fortuna, la configuración de postfix es sencilla y
extremadamente flexible. Postfix es un servidor libre (y gratuito), rápido,
seguro, flexible y sobre todo fácil de configurar. Recomiendo sinceramente un
cambio desde Sendmail a Postfix.

Es conveniente leerse la documentación de Postfix. Sobre todo lo referente a las
restricciones. En ningún caso debe omitirse la lectura del documento de
configuración de Postfix . Aquí solo daremos, de forma muy resumida y no
exahaustiva, unas pocas claves del proceso de filtrado y selección que sufre un
mensaje cuando llega a un servidor Postfix :

1) Los filtros de Postfix estan organizados en forma de listas de restriciones.
Para que un mensaje sea admitido debe pasar TODAS LAS LISTAS de
restricciones. Una lista vacia sin restricciones tiene el valor por defecto OK. El
orden en que se analizan las restricciones dentro de una lista es que esta escrito
en main.cf

2) Una restriccion puede dar como resultado OK, REJECT o DUNNO.

Las que comienzan con permit_ dan como resultado OK o
DUNNO. Si OK entonces salta a la lista siguiente, si DUNNO
entonces pasa a la siguiente restriccion de la lista.

Las que comienzan con reject_ dan como resultado REJECT o
DUNNO. SiREJECT entonces el mensaje se rechaza y el proceso
de filtrado se detiene, si DUNNO entonces se analiza la siguiente
restricción de la lista.

Algunas otras comienzan con check_ y su misión es analizar
determinados ficheros en los que, a modo de tablas, se analizan
determinadas partes del mensaje. El resultado del análisis puede ser
OK, REJECT o DUNNO.

Por último check_relay_domains da como resultado OK o
REJECT, nunca DUNNO.

Existen, por supuesto, restriciones genéricas como permit y reject
cuyo único resultado posible se deriva del nombre.

3) El Flujo de filtrado de un mensaje es el siguiente:

3.a) Requisitos previos (analiza el formato y protocolo de los
mensajes):

smtpd_helo_required = yes/no
smtpd_rfc821_envelopes = yes/no

3.b) Filtrado por listas, el orden preestablecido de listas predefinidas
es:

smtpd_client_restrictions
smtpd_helo_restrictions
smtpd_sender_restrictions

smtpd_recipient_restrictions

Además, el usuario puede definir sus propias clases de listas.

3.c) Por último, como última oportunidad para rechazar el mensaje ,
se puede analizar las cabeceras y cuerpo del mensaje

header_checks
body_checks


Los anteriores mecanismos (y otros que por sencillez aquí no se incluyen), dotan
a Postix de una potencia y sencillez extraordinaria.

Si cambiamos algun parámetro de configuración de postfix no hay que
recompilar nada, ni siquiera detener el servidor. Simplemente

#) rcpostfix reload

hará que postfix trabaje con la nueva configuración.

2) Limitando, filtrando o personalizando acceso a
Postfix mediante tablas o ficheros.

En postfix, una de las formas más flexibles de personalizar o limitar el acceso a
nuestro servidor es a través de tablas que se encuentran en ficheros definidos por
el administrador. Cada fichero incluye una serie de líneaspatrón - acción .
Como puede verse más abajo, estos ficheros son invocados en alguna de las
listas de restricciones y el resultado determina si el mensaje se rechaza
(REJECT) si pasa a la siguiente lista de restricciones (OK) o si se continua en la
siguiente restriccion de la lista (DUNNO).

Podemos tener uno o varios ficheros que controlan el acceso segun distintos
elementos (cliente, remitente, destinatario etc).

El formato de las tablas de accesso sigue siendo

modelo accion

cuando un modelo se reconoce en una direccion e-mail, dominio o nombre de
host, se realiza la accion.

Una linea que comience con # es un comentario. Una linea que comience en
blanco es una continuación.

2.1) MODELOS DE DIRECCION E-MAIL:

usuario@dominio
Se reconoce la direccion e-mail si coincide

mi.dominio
Se reconoce la parte de dominio de una dirección si esta coincide.

usuario@
reconoce todas las direcciones e-mail de usuario independientemente del
dominio.

Para que se reconozcan subdominios en nombre de hosts

.dominio.ejemplo

(nótese el punto inicial). En cuanto a direcciones IP podemos incluir 1, 2, 3 o los
4 octetos. Si ponemos menos de cuatro octetos estos se entenderán como los
mas significativos. Por ejemplo

217.127

reconocerá cualquier dirección ip 217.127.xxx.xxx

2.2) ACCIONES:

Cuando se reconce un patrón, entonces se produce una acción y se termina el
procesado del fichero. Como el fichero ha sido invocado desde una lista de
restricciones, entonces postfix tendrá en cuenta ese resultado y procederá en
consecuencia. Las posibles acciones son:

REJECT
Rechaza la dirección, dominio etc, que es reconocida en el modelo
corespondiente. Se genera una respuesta genérica de error

[45]NN texto
Rechaza la direccion, dominio etc, que es reconocida en el modelo
correspondiente generando el codigo de error [45]NN con el texto indicado. Por

ejemplo, para un reconocido emisor de spamm podríamos poner

@spammers.com 550 Lo siento, no admitimos correo de spammers.

OK
Acepta la direccion, dominio. etc.

restriccion
Aquí se puede poner una lista de restricciones. Es decir, si se reconoce el
modelo, entonces se tiene que pasar por la lista de retricciones indicada. Es una
forma de recursividad. Por ejemplo, se podría invocar analizar otra lista de
restricciones

@sospechosos.com mis_restricciones

donde mis_restricciones ha sido definido en main.cf de la forma

smtpd_restriction_classes = mis_restricciones
mis_restricciones = reject_non_fqdn_sender,
check_sender_access regexp:otros_remitentes_access


En este caso se invoca a un fichero con expresiones regulares.

2.3) CÓMO SE UTILIZAN

Para utilizar estos ficheros desde una lista de restricciones tenemos que
indicarlos de la forma tipo_de_restriccion tipo_de_fichero:fichero_map

Dependiendo del tipo de restriccion, el análisis del fichero se centrará sobre
distintos campos. Estos son los tipos de restricciones

check_client_access
chequea el cliente (IP-hostname) de donde se solicita el servicio de nuestro
servidor

check_sender_access
chequea la direccion del remitente.

check_helo_access
chequea la direccion etc que un cliente envia en los comandos SMTP,
HELO o EHLO.

check_recipient_access
chequea la direccion del destinatario

Por ejemplo, para filtrar qué remitentes admito, podría editar el fichero
/etc/postfix/sender_access. Una vez editado, con postmap

#) postmap hash:/etc/postfix/sender_access

Por último, en el fichero /etc/postfix/main.cf puedo poner la siguiente lista de
restricciones

smtpd_sender_restrictions =
reject_unknown_sender_domain
check_sender_access hash:/etc/postfix/sender_access

Con ello, postfix realizará un chequeo del remitente de acuerdo con las tablas
modelo-accion que hayamos puesto en ’/etc/postfix/sender_access’ . Si el
resultado es REJECT, entonces se rechaza el correo, si es OK entonces se
analizan las restantes listas de restricciones en ’main.cf’ (si es que las hay).
Nótese que el resultado puede ser derivado de aplicar, a su vez, otra lista de
restricciones indicada en ese fichero.

3) Postfix + dominios virtuales

Es muy habitual que un servidor SMTP aloje y dé servicios a mas de un
dominio. Este documento trata de aclarar un poco la configuracion de Postfix
para que pueda implementar esta funcionalidad. Por su puesto, la lectura de este
documento debe complemetarse con la consulta de la documentación oficial del
desarrollador de Postfix.

La mayor parte de lo que aquí se expone proviene de la documentación html que
incluye el paquete postfix y del directorio de ejemplos de configuración que
suele encontrarse en el directorio /etc/postfix tras la instalación.

Los usuarios de Sendmail que estén acostumbrados a manejar dominios
virtuales a través de virtusertable no deben tener dificultad alguna para migrar
esa funcionalidad a Postfix.

En general, hay dos formas de manejar los dominios virtuales en postfix: con el
Estilo Postfix y con el Estilo Sendmail

3.1-Estilo Postfix

Los alias, usuarios locales y listas de correos no son visibles en un dominio
virtual (mas abajo explico qué es eso). Para especificar ese estilo, tenemos que
incluir en ’/etc/postfix/virtual’ líneas como las siguientes:

mi_dominio.virtual Y aqui ponemos cualquier cosa, no
importa.
usuario1@mi_dominio.virtual direccion1
usuario2@mi_dominio.virtual direccion2, direccion3, ...
usuario3 direccion4, direccion5, ...
@mi_dominio.virtual direccion6, ....

En general, la forma de las líneas es

patrón resultado

cuando uno de los patrones es reconocido en una dirección de correo, entonces
ésta última es sustituida por el resultado.

En el ejemplo, la primera linea es obligatoria para especificar el estilo postfix, las
otras líneas ilustran las distintas posibilidades. Nótese que podemos redirigir a
una o más direcciones.

La segunda línea redirigira todo correo cuyo destinatario es
usuario1@mi_dominio.virtual a direccion1.

La tercera línea muestra el hecho de que se puede redirigir a más de una
dirección.

En la cuarta línea, us