PDF de programación - Guia rápida de Postfix

Guia r´apida de Postfix

Paco Brufal [email protected]

Versi´on: 0.9, Agosto 2004

Esta guia r´apida explica c´omo instalar y configurar el servidor de correo Postfix. Se basa en la distribuci´on
Debian Sid. Cualquier comentario ser´a bienvenido. Esta guia se distribuye SIN NINGUNA GARANTIA. No me
responsabilizo de los posibles problemas que conlleve el ejecutar todos los pasos que se describen. Esta guia se
distribuye bajo licencia GPL ( http://www.gnu.org/ ). La ´ultima versi´on de esta guia siempre estar´a disponible
en http://www.servitux.org/

Contents

1 Introducci´on

2 Paquetes Debian

3 Instalaci´on

4 Comandos b´asicos de Postfix

5 Modos de ejecuci´on del servidor

5.1

5.2

internet site . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

internet site with smarthost

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

6 Seguridad

6.1 Listas de bloqueo basadas en DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

6.2 Control de env´ıos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

6.2.1 Por host o redes

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

6.2.2

relay-host

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

6.2.3 ACL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

6.2.4

pop-before-smtp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

6.3 Cifrado del env´ıo de mensajes mediante TLS . . . . . . . . . . . . . . . . . . . . . . . . . . .

6.3.1 Configuraci´on en el cliente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

6.3.2 Configuraci´on en el servidor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

6.3.3 Configuraci´on conjunta y comentarios

. . . . . . . . . . . . . . . . . . . . . . . . . . .

7 Configuraciones avanzadas

7.1 Servidores Virtuales

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

7.2 Servidores de backup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

7.3 Medios de transporte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

7.4 Antivirus y AntiSpam . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

2

2

3

3

3

3

4

4

4

5

5

5

6

6

7

8

8

9

9

9

9

10

11

1.

Introducci´on

7.4.1 Mediante expresiones regulares . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

7.4.2

Integraci´on con Amavisd-New . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

7.4.3 Greylisting

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

2

11

12

13

1 Introducci´on

Postfix es un servidor de correo (MTA) muy potente, programado por Wietse Venema , y cuya p´agina web
es http://www.postfix.org/ . En este documento voy a explicar c´omo instalar el MTA Postfix en una Debian
Sid (inestable), pero es totalmente v´alido para otras versiones de Debian, incluso para otras distribuciones
de Linux.

Cada vez que quieras comprobar que tu servidor est´a funcionando de manera correcta, tanto para enviar
como para recibir, puedes enviar un mensaje de correo a la siguiente direcci´on: [email protected] . Cualquier
mensaje que env´ıes a esta direcci´on te ser´a devuelto.

2 Paquetes Debian

Los paquetes de Postfix para Debian que existen en este momento son (apt-cache search postfix)

postfix - A high-performance mail transport agent
postfix-dev - Postfix loadable modules development environment
postfix-doc - Postfix documentation
postfix-ldap - LDAP map support for Postfix
postfix-mysql - MYSQL map support for Postfix
postfix-pcre - PCRE map support for Postfix
postfix-snap - Postfix Mail Transport Agent - snapshot release
postfix-snap-dev - Postfix-snap loadable modules development environment
postfix-snap-doc - Postfix-snap documentation
postfix-snap-ldap - LDAP map support for Postfix-snap
postfix-snap-mysql - MYSQL map support for Postfix-snap
postfix-snap-pcre - PCRE map support for Postfix-snap
postfix-snap-tls - TLS and SASL support for Postfix snapshots
postfix-tls - TLS and SASL support for Postfix

Voy a dar una explicaci´on r´apida de qu´e es cada paquete. Los paquetes necesarios est´an marcados con un
asterisco (*).

• postfix. Este es el paquete principal de Postfix. (*)
• postfix-dev. Entorno de desarrollo.
• postfix-doc. Documentaci´on. (*)
• postfix-ldap. Soporte LDAP.
• postfix-mysql. Soporte MySQL.
• postfix-pcre. Soporte de expresiones regulares. (*)
• postfix-snap-*. Versiones snapshot. Pueden ser inestables.
• postfix-tls. Soporte TLS y SASL (SMTP autentificado).

3.

Instalaci´on

3 Instalaci´on

3

La instalaci´on de los paquetes Debian se puede realizar de manera sencilla con el comando

apt-get install postfix postfix-doc postfix-pcre

Si existen dependencias con otros paquetes, apt-get tambi´en las instalar´a. Despu´es de bajarse los paquetes
de Internet, y antes de instalarlos, posiblemente se nos preguntar´an una serie de cosas (relativas a la config-
uraci´on). Respoderemos a esas preguntas, ya que son muy sencillas y nos permitiran crear una configuraci´on
base. Luego podemos depurar m´as la configuraci´on siguiendo esta guia.

El directorio donde se encuentran los ficheros de configuraci´on de Postfix es /etc/postfix/, y el fichero
principal de configuraci´on se llama main.cf.

4 Comandos b´asicos de Postfix

Existen varios comandos que nos pueden ser ´utiles mientras usemos Postfix. Una breve lista ser´ıa

• postfix stop. Este comando para el servidor.
• postfix start. Este comando arranca el servidor.
• postfix reload. Este comando hace que el servidor relea la configuraci´on sin parar el servicio.
• mailq. Para ver la cola de mensajes.
• postfix flush. Fuerza el env´ıo de mensajes de la cola de espera.
• postmap. Este comando sirve para construir los ficheros auxiliares de Postfix.
• postconf . Muestra toda la configuraci´on de Postfix.
• newaliases. Este comando reconstruye la base de datos de alias.

5 Modos de ejecuci´on del servidor

Existen 2 modos de ejecuci´on, por as´ı decirlo. El modo internet site y el modo internet site with smarthost

5.1 internet site

El modo internet site se caracteriza porque el propio servidor se encarga de repartir los mensajes a sus
destinatarios directamente, sin pasar por otro servidor predefinido. Para usar este modo, en el fichero de
configuraci´on /etc/postfix/main.cf NO debe estar definida la opci´on relayhost

relayhost =

Esta configuraci´on es util para ordenadores individuales que no est´an en una red local o tienen conexi´on
permanente a Internet (como ADSL, cable, ...).

6. Seguridad

4

5.2 internet site with smarthost

El modo internet site with smarthost se caracteriza porque el servidor no env´ıa los mensajes directamente
a sus destinatarios, sino que los envia a otro servidor de correo, y aquel ya se encargar´a de enviarlo. Para
usar este modo, hay que definir la opci´on relayhost y ponerle como argumento la direcci´on IP o el nombre
de host del servidor SMTP que queramos

relayhost = smtp.mi-red-local.com

Esta configuraci´on se suele dar en redes locales que ya tienen un servidor SMTP o en conexiones espor´adicas
a Internet con m´odem, por ejemplo (el servidor definido ser´ıa el de tu proveedor).

6 Seguridad

Por seguridad me refiero a configurar el servidor para que solo lo usen las personas que nosotros queremos,
y no abusen de ´el para enviar spam.

6.1 Listas de bloqueo basadas en DNS

Las listas de bloqueo son unas listas de IP de servidores que supuestamente envian spam. Entre las listas m´as
usadas se encuentran las RBL de mail-abuse.org o las SBL de spamhaus.org. Puede ver un listado completo
de listas de bloqueo en http://www.declude.com/JunkMail/Support/ip4r.htm . Al configurar Postfix para
que use estas listas significa que cada vez que llegue un correo a nuestro servidor, Postfix comprobar´a que
la IP del servidor que nos envia el mensaje no se encuentra en esas listas. Una configuraci´on t´ıpica en el
main.cf ser´ıa

maps_rbl_domains =

relays.ordb.org
list.dsbl.org
blackholes.mail-abuse.org
dialups.mail-abuse.org
relays.mail-abuse.org

smtpd_client_restrictions =

permit_mynetworks
reject_maps_rbl
check_relay_domains

Otro ejemplo, esta vez para Postfix 2.0

smtpd_client_restrictions =

permit_mynetworks
reject_non_fqdn_recipient
hash:/etc/postfix/access
reject_rbl_client sbl.spamhaus.org
reject_rbl_client relays.ordb.org
reject_rbl_client opm.blitzed.org
reject_unauth_destination

NOTA. El uso de listas RBL puede producir el rechazo de mensajes leg´ıtimos. Antes de usar una lista
RBL se recomienda encarecidamente comprobar cu´ales son los criterios de dicha lista para incluir o no un

6. Seguridad

5

determinado IP. Algunas listas (como SBL o DSBL) utilizan unos criterios muy claros y objetivos y producen
pocos o ning´un efecto indeseado, mientras que otras tienen unas normas mucho m´as agresivas y producen el
bloqueo a veces de proovedores enteros, incluyendo un mont´on de usuarios leg´ıtimos.

6.2 Control de env´ıos

El control de envios significa que se pueden definir qu´e direcciones de correo pueden enviar correo a trav´es
de nuestro servidor, y qu´e direcciones de correo no pueden enviar correo a nuestro servidor.

6.2.1 Por host o redes

Mediante la directiva mynetworks definimos qu´e redes o hosts pueden enviar correo a trav´es de nuestro
Postfix. Un ejemplo ser´ıa

mynetworks = 127.0.0.0/8, 192.168.2.0/24, 172.16.3.4/32

Con esta configuraci´on estamos definiendo:

• La red 127.0.0.0 puede enviar. Esta red siempre ser´a nuestra propia m´aquina (localhost).
• Los 254 hosts de la red 192.168.2.0 pueden usar nuestro servidor.
• Solo el host 172.16.3.4 puede usar nuestro servidor, y ninguno m´as de la red 172.16.3.0. Por ejemplo,

el 172.16.3.14 no podr´ıa.

6.2.2 relay-host

Mediante el sistema relay-host definimos que direcciones de correo pue