Integración de Postfix, con clamav y spamassassin empleando amavis

Si queremos un entorno integrado para todas estas aplicaciones necearias para el servidor de correo que hemos montado, lo mas fácil será recurrir a amavis-new que proporciona un interfaz de configuración común para clamav, postfix y spamassassin.

Para ello, en primer lugar instalamos el paquete:

sudo apt-get install amavisd-new re2c

para que funcione con clamav, añadimos el usuario clamav al grupo amavis y al revés para que puedan acceder a los ficheros temporales.

sudo useradd clamav -g amavis
sudo useradd amavis -g clamav

Control de spam

Antepenúltima entrega de la serie de administración de servidores linux, en este caso en la parte referente a la instalación de clientes y servidores de correo electrónico.

Para controlar el spam que llega a nuestro correo es el empleo del programa spamassassin, para instalarlo empleamos

sudo apt-get install spamassassin

y una serie de paquetes opcionales para una mejor detección:

sudo apt-get install libnet-dns-perl libmail-spf-query-perl pyzor razor

Para activar el demonio spamassassin debemos cambiar la línea del fichero /etc/default/spamassassin y poner:

ENABLED=1

E iniciamos Spamassassin

/etc/init.d/spamassassin start

Para integrarlo con postfix podemos debemos añadir las siguientes lineas al fichero /etc/postfix/master.cf

Buscamos la linea:

smtp inet n - - - - smtpd

Y la modificamos para que quede así:

smtp inet n - - - - smtpd
[aquivauntabulador] -o content_filter=spamassassin

vamos al final del fichero y añadimos la siguiente línea:

spamassassin unix - n n - - pipe user=spamd argv=/usr/bin/spamc -f -e /usr/sbin/sendmail -oi -f ${sender} ${recipient}

para continuar viendo el resto de manuales Linux siga el enlace:administración de servidores con Linux

Filtro de Virus con ClamSMTP

ClamSMTP es un filtro SMTP que permite escanear los correos en busca de virus empleando el software antivirus ClamAV. Acepta conexiones SMTP y reenvía los comandos SMTP y sus respuestas a otro servidor SMTP. Los datos -campo DATA- del correo electrónico se interceptan y escanean antes de proceder a su reenvio.

También se puede emplear como proxy transparente para filtrar todo el tráfico SMTP en el router.

Instalación de ClamSMTP y ClamAV

Necesitamos instalar el demonio ClamAV para que trabaje conjuntamente con ClamSMTP. Lo instalamos con los siguientes paquetes:

apt-get install clamav-daemon clamav clamsmtp

También podemos instalar algunas aplicaciones para comprimir/descomprimir con el objeto de poder

El hombre cruzado de brazos en medio del saludo nazi

Aunque no es habitual de este blog, no me he podido resistir a publicar esta fotografía que nada tiene que ver con la tecnología,... hay imágenes que hablan por sí solas sin necesidad, ni tan siquiera, de contextualización:

 

pero si quieres conocer algo más sobre la historia de esta imagen, puedes echarle un vistazo a los siguentes enlaces:

Blog dónde encontré la historia vía meneame.net: http://sentadoenlatrebede.blogspot.com/2010/09/el-hombre-cruzado-de-brazos-en-medio.html

Más información y fuentes 1, 2, 3, 4, 

La fotografía está extraída de aquí

Configurando encriptación en Courier

Siguiendo con el tema de la instalación del servidor de correo electrónico, en esta entrada veremos cómo configurar el uso de encriptación en Courier.
Simplemente instalamos los paquetes necesarios:

apt-get install courier-ssl courier-imap-ssl courier-pop-ssl

generamos los certificados:

openssl req -x509 -newkey rsa:1024 -keyout /etc/courier/imapd.pem -out /etc/courier/imapd.pem -nodes -days 3650

Editamos el fichero /etc/courier/imapd-ssl y nos aseguramos de tener la línea:

TLS_CERTFILE=/etc/courier/imapd.pem

Repetimos la operación para el servidor pop o usamos uno de los anteriores certificados:

openssl req -x509 -newkey rsa:1024 -keyout /etc/courier/pop3d.pem -out /etc/courier/pop3d.pem -nodes -days 3650

Editamos el fichero /etc/courier/pop-ssl y nos aseguramos de tener la línea:

TLS_CERTFILE=/etc/courier/pop3d.pem

para continuar viendo el resto de manuales Linux siga el enlace:administración de servidores con Linux

Carta en el diario "El País"

pues eso, que me han publicado una carta, esta vez sobre las operadoras de Internet en "el país", :) ... os copio el enlace:
http://www.elpais.com/articulo/opinion/golpe/elpepuopi/20100920elpepiopi_10/Tes

Postfix sobre internet, SMTP Autenticado

Si queremos que nuestros usuarios puedan enviar correos desde fuera de nuestra red local, por ejemplo desde sucursales, o desde su casa y además queremos tener más control sobre quien envía correo por nuestro servidor debemos usar SMTP Autenticado (SMTP-AUTH). Lo que haremos es configurar Postfix para que cuando se establezca la conexión con el servidor, primero se autentique con su usuario (email) y contraseña. Si lo hace correctamente podrá enviar correos.

Además y dado que vamos a emplear nombres de usuarios con sus passwords y no sabemos quienes pueden estar escuchando en medio, vamos a encriptar las conversaciones empleando certificados, con lo que además nos garantizaremos -una vez instalado el certificado- que nadie va a suplantar la identidad de nuestro servidor.

Squirrelmail: consulta del correo vía web

Una vez hemos instalado y configurado nuestro servidor de correo, veremos en esta entrada un modo de permitir la consulta del mismo vía web mediante squirrelmail.

Instalaremos ahora un paquete que nos permitirá consultar nuestro correo vía web sin necesidad de instalar o configurar ningún cliente de correo electrónico en nuestro equipo. Para ello, en primer lugar

Fichero /etc/postfix/main.cf completo antes de encriptación, smtp-auth,....:

Este es el fichero antes de introducir las modificaciones que veremos en las siguientes entregas (encriptación, smtp-auth, antivirus y antispam)

# see /usr/share/postfix/main.cf.dist for a commented, fuller
# version of this file.
# Do not change these directory settings - they are critical to Postfix
# operation.
command_directory = /usr/sbin
daemon_directory = /usr/lib/postfix
program_directory = /usr/lib/postfix
setgid_group = postdrop
# appending .domain is the MUA's job.

Script para la creación automática de los directorios de los usuarios de correo

Una vez hemos instalado y configurado nuestro servidor de correo debemos crear los directorios de los usuarios. Dentro del apéndice correspondiente al servidor de correo, he copiado este script realizado por Sergio Gon´zalez para automatizar la tarea.

Cada vez que se añada un usuario deberemos ejecutar el usuario como root con lo que crearemos la estrucutura de directorios Maildir en su directorio particular o /home/vmail/$user si no es un usuario del dominio.

#!/bin/sh
#
# Copyright (C) 2004 Sergio González González <sergio.gonzalez@hispalinux.es>
#
# Depends on:
# - ldapsearch
# - maildirmake ( from courier )
#
# Based on http://jeroen.protheus.com/postfix-courier-ldap-howto.html
# (c) J.Vriesman
#
# and
#
# Based on http://bulma.net/body.phtml?nIdNoticia=2013
# (c) Jesús Roncero Franco

Servidor de Correo integrado con LDAP en Ubuntu: Courier + Postfix + LDAP,

Servidor de correo

Básicamente un servidor de correo se compone de dos servicios,por un lado el envío de los correos, para lo que se hace uso del protocolo SMTP (simple mail transport protocol ) que se emplea para intercambiar mensajes entre los servidores de correo; por el otro debe existir algún modo de permitir que un usuario pueda obtener o descargar sus mensajes guardados en el servidor, para ello se puede hacer uso del protocolo POP post office transport protocol o de IMAP internet message access protocol. Aunque la finalidad de estos últimos es la misma, lo cierto es que IMAP presenta algunas ventajas como tiempos de respuesta menores, acceso remoto a los mensajes (podemos descargarnos sólo las cabeceras sin descargar el cuerpo del mensaje) ,accesos simultáneos a múltiples clientes, vigilancia en el estado del mensaje , agilidad en las búsquedas...

Como servidor SMTP emplearé Postfix y tanto para POP como IMAP instalaré Courier, ambos conectados al servidor LDAP instalado previamente que proveerá las autenticaciones de los usuarios.

1.- Configuraciones previas

En primer lugar configuraré el servidor DNS para que los equipos de la red reconozcan al equipo correo.mczones.es como el servidor de correo, para ello agregamos un registro MX con prioridad 10 que apunte al equipo “correo” que ya tenemos definido. Con esto lo que estamos haciendo es que todas las peticiones de correo electrónico serán redireccionadas al host “correo” que no es mas que un alias de servidor ubuntu. Tal y cómo se ve en las siguientes imágenes podemos comprobar su funcionamiento tras reiniciar bind (/etc/init.d/bind9 restart) simplemente abriendo una consola y tecleando:

nsookup

set q=any

mczones.es

Servidor Webdav en Apache bajo https

Instalación

En la instalación de apache2 por defecto ya están incluidos los módulos necesarios, tan sólo tenemos que habilitarlos, para ello:

a2enmod dav_fs

a2enmod dav # en realidad al habilitar el anterior ya lo hará con este también

Configurando el host virtual

En mi caso crearé una carpeta llamada upload en la que daré permiso para la utilización de webdav para la subida y bajada de archivos, haré al usuario de apache (www-data) propietario del directorio:

mkdir /var/www/websegura/upload

chown www-data /var/www/websegura/upload

Certificados en Apache: https

Carpetas seguras con certificados

Una página o web segura es aquella que emplea el protocolo https en lugar de emplear http. Con ello nos aseguramos de que la información viaja encriptada y sólo podrá ser descifrada por el emisor del certificado.

1.- Generación del certificado

Al instalar apache2 se instala también el módulo ssl, tan sólo debemos generar el certificado para nuestro servidor y activar el módulo ssl.

Podremos emplear el cerficado que por defecto viene con apache2 autofirmado o generar uno nuevo.

En mi caso voy a generar uno nuevo empleando el common name websegura.mczones.es ya que es el dominio cuya información quiero encriptar. Para ello ejecutaré el comando:

make-ssl-cert /usr/share/ssl-cert/ssleay.cnf /etc/ssl/certs/websegura.pem

probablemente preguntará -en caso de no haber configurado el fichero ssh.cnf previamente- algunos datos sobre el país, servidor,...

2.- Configurando el servidor para emplear certificados