Plataforma de correo segura
PROYECTO 1 CUARTO TRIMESTRE
TITULACION ADMINISTRACION DE REDES DE COMPUTADORES
GRUPO # 2
INTEGRANTES
SERGIO ALEXIS CANO YEISON HERRERA BALBIN JESUS MARIA TABORDA HUGO ALBERTO ALVAREZ VICTOR HUGO NARVAEZ STIVEN MARIN DAVID ECHEVERRY JORGE JIMENEZ
SENA CENTRO DE SERVICIOS Y GESTION EMPRESARIAL REGIONAL ANTIOQUIA MEDELLIN 2008
1
Plataforma de correo segura INDICE Pág. Portada Indice Indice de Imágenes Introducción Objetivo general Objetivos Específicos Nombre del hosts y del Dominio Descarga de paquetes para MDS Configuración del Slapd Samba Server Configuración Postfix Configuración de libnss-ldap Configuración libpam-ldap Configuración de libpam-ldap Configuración LDAP LDAP OpenLDAP Configuración Básica Samba Configuración Básica Que es samba Directorio LDAP Configuración del NNS LDAP Directorios Samba Configuración del PAM LDAP Configuración del Postfix Dovecot Deliver Configuración amavis, clamav y spamassassin Configuración del BIND Configuración del DHCP MMC plugins Configuración del plugin mmc network Configuración del plugin mmc mail Configuración del plugin mmc samba MMC web interface Primeros pasos para la configuración DNS Primeros pasos para la configuración DHCP Pasos para crear usuarios Como unir un equipo Windows XP a un dominio Configuración Squirrelmail Que es Squirrelmail Como crear usuarios y dominios virtuales Dominios virtuales y usuarios virtuales Certificados digitales y conexiones seguras Conclusiones Netgrafia
2
1 2 3 5 6 6 7 8 9 11 12 13 14 16 18 18 18 19 23 23 23 27 28 29 29 33 36 38 39 42 43 43 44 45 45 47 48 50 53 59 63 63 67 67 79 89 89
Plataforma de correo segura
INDICE DE IMÁGENES IMAGEN
NOMBRE
PAG
1
Configuración de Slapd
9
2
Introducción de Contraseñas
10
3
Términos DHCP Server
10
4
Introducción del nombre de dominio
11
5
Modificación del smb.conf
11
6
Términos de configuración Postfix
12
7
Tipo genérico de configuración
12
8
Introducción del FQDN
13
9
Identificador de recursos
13
10
Introducción del nombre distintivo (DN)
14
11
Versión del LDAP a utilizar
14
12
Cuenta del LDAP para el root
15
13
Verificación de la cuenta del LDAP para el root
15
14
Términos relacionados nsswitch.conf
16
15
Base de datos del Administrador
16
16
Acceso a la base de datos LDAP
17
17
Cuenta del LDAP para el root
17
18
Contraseña de al cuenta del LDAP para el root
18
19
Administración vía web de módulos MDS
47
20
Plataforma de administración MDS
48
21
Configuración DNS
49
22
Creación de zona DNS
49
23
Creación de un miembro en la zona DNS
50
24
Ingresar a la configuración DHCP
51
25
Configuración DHCP
52
26
Inicialización del DHCP
53
27
Pasos de creación de usuarios
54
28
Agregar un usuario
55-56
29
Agregar un segundo usuario
57-58
30
Lista de usuarios creados
59
31
Ejecutar símbolo del sistema
59
32
Pedir asignación de IP al DHCP
60
33
Propiedades del sistema Mi PC
60
3
Plataforma de correo segura 34
Introducción del nombre del dominio
61
35
Autentificar para unirse al dominio
61
36
El equipo ha sido unido al dominio
62
37
Reiniciar le Equipo
62
38
Autentificarnos y conectarnos al Dominio
63
39
Interfaz del Squirrelmail
64
40
Buzón del correo electrónico
64
41
Envió de mensaje electrónico
65
42
Correos electrónicos enviados
65
43
Autentificación de usuario
66
44
Revisión de bandeja de entrada
66
45
Revisión de correos entrantes
67
46
Nuevo modulo de Mail Service
73
47
Creación de un dominio virtual
73
48
Lista de dominios virtuales
74
49
Lista de nuevos usuarios creados
75
50
Configuración de usuarios virtuales
76
51
Autentificación con un usuario nuevo
76
52
Envió de un mensaje electrónico
77
53
Configuración de envió del mensaje
77
54
Envió de mensaje a un usuario virtual
78
55
Verificación de los correos entrantes
78
56
Lista de correos electrónicos entrantes
79
57
Certificados de los sitios web
83
58
Ver Certificados
83
59
Parámetros de los Certificados
84
60
Aceptar los Certificados
84
61
Sitio Web seguro de MDS
85
62
Crear un alias para el sitio web Squirrelmail
85
63
Edición de un miembro de la zona DNS
86
64
Agregar el nombre del Alias
86
65
Ha sido creado el Alias del Squirrelmail
87
66
Sitio Web seguro del Squirrelmail
88
4
Plataforma de correo segura
INTRODUCCION
Este trabajo los hemos realizado para adquirir conocimientos acerca de la implementación de una plataforma de correo segura en Mandriva Directory Server, sobre el sistema operativo Linux Debían. Nos hemos valido de los mejores recursos que logramos reunir esperando que sea de ayuda para todo aquel que lo desee utilizar.
5
Plataforma de correo segura
OBJETIVO GENERAL
El objetivo de este trabajo es que los aprendices adquieran espíritu investigativo que los conlleve a un buen desempeño laboral y un desarrollo de habilidades que le permitan solucionar futuros problemas.
OBJETIVOS ESPECIFICOS
Cifrar el tráfico entre usuario y servidor. Validar usuarios contra un sistema de directorios. Almacenar los correos de los usuarios en un sistema de directorios o en una base de datos. Permita configurar usuarios y dominios virtuales. Soporte un sistema de antivirus, antispam y antimalware en general. Soporte administración gráfica (fácil de administrar para el usuario). Soporte acceso POP, IMAP y Squirrelmail (hacerlo de forma segura - SSL)
6
Plataforma de correo segura
MANUAL PARA LA IMPELMENTACION DE UNA PLATAFORMA DE CORREO SEGURA CON ADMINISTRACION EN MANDRIVA DIRECTORY SERVER EN LINUX DEBIAN NOMBRE DEL HOST Y DEL DOMINIO Primero especificamos el nombre del hosts y del dominio. Vamos al archivo de configuración: Nano /etc/hosts 127.0.0.1 192.168.0.10
localhost.localdomain debian.sergio.com
localhost debian
# The following lines are desirable for IPv6 capable hosts ::1 ip6-localhost ip6-loopback fe00::0 ip6-localnet ff00::0 ip6-mcastprefix ff02::1 ip6-allnodes ff02::2 ip6-allrouters ff02::3 ip6-allhosts
Después insertamos el nombre de nuestra maquina en el archivo hostname Ejecutamos echo debian.sergio.com > /etc/hostname Ahora reiniciamos el sistema reboot Cuando reinicie el sistema ejecutamos el comando. hostname hostname -f
Que sirve para ver el nombre de la maquina Que sirve para ver el FQDN (Nombre de Dominio Totalmente Calificado).
Debe aparecer de esta forma debian.sergio.com Para que samba sea capaz de mapear los ficheros ACL (lista de control de acceso) entre el servidor Linux y los clientes Windows, es necesario añadir acl en el archivo de configuración /etc/fstab (en el determinaremos dónde deben montarse los sistemas de ficheros, en qué orden y cuales deben comprobarse (por fallos de integridad) antes de montarse). nano /etc/fstab # /etc/fstab: static file system information. # #
<mount point> <pass> proc /proc proc defaults 0 0 /dev/sda1 / ext3 defaults,acl,errors=remount-ro 0 1 /dev/sda5 none swap sw 0 0 /dev/hdc /media/cdrom0 udf,iso9660 user,noauto 0 0 /dev/fd0 /media/floppy0 auto rw,user,noauto 0 0
7
Plataforma de correo segura Después de hacer el montaje para que tengan efecto los cambios ejecutamos el comando. mount -o remount / y si todo esta bien ejecumos el comando mount -l que nos muestra los anteriores cambios efectuados. DESCARGA DE PAQUETES PARA MDS Para poder descargar los paquetes necesarios para configurar el MDS en debían, es necesario agregar las siguientes direcciones de los repositorios, MDS, Volatiles, Backports. - El MDS proporciona el repositorio de paquetes relacionados con MDS y también paquetes para bind9 y dhcp3. - El repositorio de Debían volátiles proporciona nuevos paquetes de ClamAV y Spamassassin del repositorio bebían estándar. - El repositorio de Debían backports proporciona nuevos paquetes para Dovecot. En archivo de configuración agregamos y descomentamos las siguientes líneas debe quedar de la siguiente manera, vamos a. nano /etc/sources.list # # deb cdrom:[Debian GNU/Linux 4.0 r1 _Etch_ - Official i386 CD Binary-1 20070819-11:52]/ etch contrib $ #deb cdrom:[Debian GNU/Linux 4.0 r1 _Etch_ - Official i386 CD Binary-1 20070819-11:52]/ etch contrib m$ # Line commented out by installer because it failed to verify: deb http://security.debian.org/ etch/updates main contrib # Line commented out by installer because it failed to verify: deb-src http://security.debian.org/ etch/updates main contrib #deb http://10.3.64.195:81/debian sarge main contrib non-free deb http://ftp.de.debian.org/debian/ etch main contrib non-free ### Debian MDS ### deb http://mds.mandriva.org/pub/mds/debian etch main ### Debian Volatiles ### deb http://volatile.debian.org/debian-volatile etch/volatile main contrib non-free ### Debian Backporst ### deb http://www.backports.org/debian etch-backports main
-Ahora ejecutamos el siguiente comando. Que es una llave para poder tener permiso para descargar los paquetes de backports. wget –O – http://backports.org/debian/archive.key | apt-key add -
Después actualizamos con el siguiente comando. apt-get update
Ahora instalaremos los paquetes necesarios para poder configurar el MDS en debían. Ejecutamos:
8
Plataforma de correo segura
apt-get install mmc-web-base mmc-web-mail mmc-web-network mmc-web-proxy mmc-websamba mmc-agent python-mmc-plugins-tools python-mmc-base python-mmc-mail python-mmcnetwork python-mmc-proxy python-mmc-samba postfix postfix-ldap sasl2-bin libsasl2 libsasl2modules amavisd-new libdbd-ldap-perl libnet-ph-perl libnet-snpp-perl libnet-telnet-perl lzop nomarch zoo clamav clamav-daemon gzip bzip2 unzip unrar-free unzoo arj spamassassin libnet-dns-perl razor pyzor dcc-client slapd ldap-utils libnss-ldap libpam-ldap dhcp3-server dhcp3-server-ldap bind9 samba smbclient smbldap-tools
Si nos aparece un error en la instalación con el paquete dcc-client lo borramos de la lista. Los paquetes del real-Dovecot en el repositorio estándar de Debian tienen un error en relación con LDAP, por lo que tendremos que utilizar los paquetes Dovecot del repositorio Debian backports. Ejecutamos: apt-get install -t etch-backports dovecot-common dovecot-imapd dovecot-pop3d
Durante la instalación de los nuevos paquetes nos pedirá una serie de preguntas, las respuestas pueden ser de la siguiente manera. Configuración de slapd Nos pedirá que introduzcamos la contraseña para la entrada de administrador de su directorio LDAP. Damos aceptar. Imagen 1- Configuración de Slapd
9
Plataforma de correo segura
Luego nos pedirá que introduzcamos de nuevo la contraseña, para verificar si las dos contraseñas son correctas y si coinciden. Imagen 2- Introducción de Contraseñas
Luego nos muestra unos términos con base al Servidor DHCP. Damos aceptar. Imagen 3- Términos DHCP Server
10
Plataforma de correo segura
Samba Server En el siguiente recuadro nos pedirá que ingresemos el nombre de nuestro dominio. Imagen 4- Introducción del nombre de dominio
Luego seleccionamos "No" cuando nos pregunte si el smb.conf debe ser modificado para utilizar la configuración WINS que proviene de DHCP. Imagen 5- Modificación del smb.conf
11
Plataforma de correo segura
Configuración Postfix Luego nos muestra unos términos relacionados con la configuración Postfix. Damos aceptar. Imagen 6- Términos de configuración Postfix
Seleccionamos "Sitio de Internet" como tipo genérico de configuración. Damos aceptar. Imagen 7- Tipo genérico de configuración
Después introducimos (FQDN), como nombre de correo. Damos aceptar.
12
Plataforma de correo segura
Imagen 8- Introducción del FQDN
Configuración de libnss-ldap Introducimos el URI (Identificador uniforme de recursos), para el servidor LDAP. Seria la dirección IP “127.0.0.1”. Damos aceptar. Imagen 9- Identificador de recursos
13
Plataforma de correo segura
Introducimos el nombre distintivo (DN) de la base de búsquedas. Damos aceptar. Imagen 10- Introducción del nombre distintivo (DN)
Seleccionamos la versión del protocolo LDAP que debería usar ldapns. La versión de LDAP seria “3”. Damos aceptar. Imagen 11- Versión del LDAP a utilizar
14
Plataforma de correo segura
Introducimos la cuenta LDAP para el root. Damos aceptar. Imagen 12- Cuenta del LDAP para el root
Introducimos la contraseña para la cuenta LDAP de root. Damos aceptar. Imagen 13- Verificación de la cuenta del LDAP para el root
15
Plataforma de correo segura Luego nos muestra unos términos relacionados nsswitch.conf. Damos aceptar. Imagen 14- Términos relacionados nsswitch.conf
Configuración de libpam-ldap Seleccionamos "Sí" cuando nos pregunte sí local root debe ser la base de datos del administrador. Imagen 15- Base de datos del Administrador
16
Plataforma de correo segura Seleccionamos "No" cuando nos pregunte, si hace falta un usuario para acceder a la base de datos LDAP. Damos aceptar. Imagen 16- Acceso a la base de datos LDAP
Luego nos pide que ingresemos la cuenta LDAP para el root. Damos aceptar. Imagen 17- Cuenta del LDAP para el root
17
Plataforma de correo segura Introducimos la contraseña para la cuenta LDAP de root. Damos aceptar. Imagen 18- Contraseña de al cuenta del LDAP para el root
Configuración de LDAP LDAP (Lightweight Directory Access Protocol), (Protocolo Ligero de Acceso a Directorios) es un protocolo a nivel de aplicación que permite el acceso a un servicio de directorio ordenado y distribuido para buscar diversa información en un entorno de red. LDAP también es considerado una base de datos (aunque su sistema de almacenamiento puede ser diferente) a la que pueden realizarse consultas. Habitualmente, almacena la información de login (usuario y contraseña) y es utilizado para autenticarse aunque es posible almacenar otra información (datos de contacto del usuario, ubicación de diversos recursos de la red, permisos, certificados, etc). En conclusión, LDAP es un protocolo de acceso unificado a un conjunto de información sobre una red. OpenLDAP Se trata de una implementación libre del protocolo que soporta múltiples esquemas por lo que puede utilizarse para conectarse a cualquier otro LDAP OpenLDAP tiene cuatro componentes principales: • • • •
slapd - demonio LDAP autónomo. slurpd - demonio de replicación de actualizaciones LDAP autónomo. Rutinas de biblioteca de soporte del protocolo LDAP. Utilidades, herramientas y clientes.
18
Plataforma de correo segura En primer lugar copiamos los archivos del esquema MMC, correo, Samba, DNS y DHCP, que fueron suministrados por los paquetes del MDS anteriormente descargados del repositorio deb http://mds.mandriva.org/pub/mds/debian etch main. Y que se encuentran en la ruta por defecto /usr/share/doc/python-mmcbase/contrib/ldap/ y seran copiados al esquema del directorio LDAP. cp /usr/share/doc/python-mmc-base/contrib/ldap/mmc.schema /etc/ldap/schema/ cp /usr/share/doc/python-mmc-base/contrib/ldap/mail.schema /etc/ldap/schema/ zcat /usr/share/doc/python-mmc-base/contrib/ldap/samba.schema.gz > /etc/ldap/schema/samba.schema zcat /usr/share/doc/python-mmc-base/contrib/ldap/dnszone.schema.gz > /etc/ldap/schema/dnszone.schema zcat /usr/share/doc/python-mmc-base/contrib/ldap/dhcp.schema.gz > /etc/ldap/schema/dhcp.schema
Ahora incluiremos la ruta de los esquemas, en el archivo de configuración LDAP. nano /etc/ldap/slapd.conf Incluir el esquema de archivos después de (inetorgperson schema). include include include include include
/etc/ldap/schema/mmc.schema /etc/ldap/schema/samba.schema /etc/ldap/schema/mail.schema /etc/ldap/schema/dnszone.schema /etc/ldap/schema/dhcp.schema
Para habilitar schemacheck agregamos schemacheck on por debajo de los esquemas anteriormente incluidos. (Esta directiva significa que todos los cambios se verán obligados a seguir los esquemas de carga, se define a través de incluir las declaraciones en el archivo conf) Configuración Básica En este paso necesitaremos la contraseña de administrador ldap (que hemos definido anteriormente en el paso 4) la cual vamos a cifrar en forma encriptada (SSHA). Ejecutamos: slappasswd -s "contraseña"
La salida debe ser similar a esta: {SSHA}Zdn+Zec1IhobOTBuGzwJWdSndPSNr9xA
Ahora vamos al archivo de configuración del LDAP nano /etc/ldap/slapd.conf (Es el archivo principal de OpenLDAP y es aquí donde se configuran todos sus parámetros)
19
Plataforma de correo segura Y buscamos la siguiente línea que se encuentra comentada y la descomentamos. rootdn "cn=admin,dc=sergio,dc=com" (Esta línea establece el nodo ("usuario") que tiene privilegios globales para
modificar la "base de datos" LDAP, en este caso cn=Admin,) Después agregamos debajo la línea la contraseña del ldap encriptada. rootpw {SSHA}Zdn+Zec1IhobOTBuGzwJWdSndPSNr9xA (Indica la contraseña para el usuario Admin)
Ahora tenemos que modificar un indice de opciones para la base de datos. Buscamos la siguiente línea (aquí añadimos los índices nuevos y los permisos de modificación) # Indexing options for database #1
Y removemos la línea que esta debajo index objectClass eq
Luego insertamos las siguientes líneas index objectClass,uidNumber,gidNumber eq index cn,sn,uid,displayName pres,sub,eq index memberUid,mail,givenname eq,subinitial index sambaSID,sambaPrimaryGroupSID,sambaDomainName eq index zoneName,relativeDomainName eq index dhcpHWAddress,dhcpClassData eq
Ahora agregamos samba para la lista de acceso a la base de datos. Buscamos la siguiente línea. (Que le permite al administrador cambiar cualquier entrada del directorio y al resto de los usuarios solo leerlas. access to attrs=userPassword,shadowLastChange
Y la cambiamos de la siguiente manera access to attrs=userPassword,sambaLMPassword,sambaNTPassword
En este punto el archivo de configuración del servidor LDAP debe quedar de la siguiente manera. # This is the main slapd configuration file. See slapd.conf(5) for more # info on the configuration options. ####################################################################### # Global Directives: # Features to permit #allow bind_v2 # Schema and objectClass definitions
20
Plataforma de correo segura include include include include include include include include include
/etc/ldap/schema/core.schema /etc/ldap/schema/cosine.schema /etc/ldap/schema/nis.schema /etc/ldap/schema/inetorgperson.schema /etc/ldap/schema/mmc.schema /etc/ldap/schema/samba.schema /etc/ldap/schema/mail.schema /etc/ldap/schema/dnszone.schema /etc/ldap/schema/dhcp.schema
schemacheck on # Where the pid file is put. The init.d script # will not stop the server if you change this. pidfile /var/run/slapd/slapd.pid # List of arguments that were passed to the server argsfile /var/run/slapd/slapd.args # Read slapd.conf(5) for possible values loglevel 0 # Where the dynamically loaded modules are stored modulepath /usr/lib/ldap moduleload back_bdb # The maximum number of entries that is returned for a search operation sizelimit 500 # The tool-threads parameter sets the actual amount of cpu's that is used # for indexing. tool-threads 1 ####################################################################### # Specific Backend Directives for bdb: # Backend specific directives apply to this backend until another # 'backend' directive occurs backend bdb checkpoint 512 30 ####################################################################### # Specific Backend Directives for 'other': # Backend specific directives apply to this backend until another # 'backend' directive occurs #backend ####################################################################### # Specific Directives for database #1, of type bdb: # Database specific directives apply to this databasse until another # 'database' directive occurs database bdb # The base of your directory in database #1 suffix "dc=sergio,dc=com" # rootdn directive for specifying a superuser on the database. This is needed # for syncrepl. rootdn "cn=admin,dc=sergio,dc=com" rootpw {SSHA}Zdn+Zec1IhobOTBuGzwJWdSndPSNr9xA
21
Plataforma de correo segura # Where the database file are physically stored for database #1 directory "/var/lib/ldap" # For the Debian package we use 2MB as default but be sure to update this # value if you have plenty of RAM dbconfig set_cachesize 0 2097152 0 # Sven Hartge reported that he had to set this value incredibly high # to get slapd running at all. See http://bugs.debian.org/303057 # for more information. # Number of objects that can be locked at the same time. dbconfig set_lk_max_objects 1500 # Number of locks (both requested and granted) dbconfig set_lk_max_locks 1500 # Number of lockers dbconfig set_lk_max_lockers 1500 # Indexing options for database #1 index objectClass,uidNumber,gidNumber eq index cn,sn,uid,displayName pres,sub,eq index memberUid,mail,givenname eq,subinitial index sambaSID,sambaPrimaryGroupSID,sambaDomainName eq index zoneName,relativeDomainName eq index dhcpHWAddress,dhcpClassData eq # Save the time that the entry gets modified, for database #1 lastmod on # Where to store the replica logs for database #1 # replogfile /var/lib/ldap/replog # The userPassword by default can be changed # by the entry owning it if they are authenticated. # Others should not be able to see it, except the # admin entry below # These access lines apply to database #1 only access to attrs=userPassword,sambaLMPassword,sambaNTPassword by dn="cn=admin,dc=sergio,dc=com" write by anonymous auth by self write by * none # Ensure read access to the base for things like # supportedSASLMechanisms. Without this you may # have problems with SASL not knowing what # mechanisms are available and the like. # Note that this is covered by the 'access to *' # ACL below too but if you change that as people # are wont to do you'll still need this if you # want SASL (and possible other things) to work # happily. access to dn.base="" by * read # The admin dn has full write access, everyone else # can read everything. access to * by dn="cn=admin,dc=sergio,dc=com" write by * read
22
Plataforma de correo segura # For Netscape Roaming support, each user gets a roaming # profile for which they have write access to #access to dn=".*,ou=Roaming,o=morsnet" # by dn="cn=admin,dc=sergio,dc=com" write # by dnattr=owner write ####################################################################### # Specific Directives for database #2, of type 'other' (can be bdb too): # Database specific directives apply to this databasse until another # 'database' directive occurs #database # The base of your directory for database #2 #suffix "dc=debian,dc=org"
Además tenemos que editar el fichero de configuración LDAP. nano /etc/ldap/ldap.conf Y añadimos las siguientes líneas de modo que apunten al servidor ldap host 127.0.0.1 base dc=sergio,dc=com
Después reiniciamos el servidor LDAP /etc/init.d/slapd restart SAMBA Configuración Básica Que es Samba? es una implementación libre del protocolo de archivos compartidos de Microsoft Windows, para sistemas de tipo UNIX. De esta forma, es posible que ordenadores con Linux, Mac OS X o Unix en general se vean como servidores o actúen como clientes en redes de Windows. Samba también permite validar usuarios haciendo de Controlador Principal de Dominio (PDC), como miembro de dominio e incluso como un dominio Active Directory para redes basadas en Windows; aparte de ser capaz de servir colas de impresión, directorios compartidos y autenticar con su propio archivo de usuarios. Primero paramos el servidor samba /etc/init.d/samba stop Copiamos el archivo de configuración del ejemplo samba dentro del directorio samba. cp /usr/share/doc/python-mmc-base/contrib/samba/smb.conf /etc/samba/
Y ajustamos a nuestras necesidades nano /etc/samba/smb.conf Establecer los siguientes valores en la sección global workgroup = SERGIO
23
Plataforma de correo segura netbiosname = PDC-SRV-SERGIO ldap admin dn = cn=admin,dc=sergio,dc=com ldap suffix = dc=sergio,dc=com logon path = \\%N\profiles\%U
Agregamos las siguientes líneas en esta misma sección. preferred master = yes os level = 65 wins support = yes timeserver = yes socket options = SO_KEEPALIVE IPTOS_LOWDELAY SO_SNDBUF=8192 SO_RCVBUF=8192 logon drive = H: passwd program = /usr/sbin/smbldap-passwd -u %u passwd chat = "Changing password for*\nNew password*" %n\n "*Retype new password*" %n\n add user script = /usr/sbin/smbldap-useradd -m "%u" add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g" set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u" add group script = /usr/sbin/ambldap-groupadd -p "%g" delete user script = /usr/sbin/smbldap-userdel "%u" delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g" delete group script = /usr/sbin/smbldap-groupdel "%g" obey pam restrictions = no ldap idmap suffix = ou=Users ldap delete dn = no security = user
Ahora agregamos la siguiente línea en la sección [homes]. Que le indica al samba que para cada usuario creado le cree un buzon de correo en la carpeta Maildir. hide files = /Maildir/
Agregamos la siguiente linea en la sección [profiles]. Que nos indica que oculte los archivos del samba en la siguiente ruta. hide files = /desktop.ini/ntuser.ini/NTUSER.*/
Establecemos los siguientes valores en la sección [archives]. Con esta línea le damos la ruta al samba para que guarde los archivos ocultos que definimos el la línea anterior. path = /home/samba/archives
En este punto el archivo de configuración, de samba debería quedar así. [global] workgroup = SERGIO netbiosname = PDC-SRV-SERGIO server string = Mandriva Directory Server - SAMBA %v log level = 3 null passwords = yes # unix charset = ISO8859-1 name resolve order = bcast host domain logons = yes
24
Plataforma de correo segura domain master = yes printing = cups printcap name = cups logon path = \\%N\profiles\%U logon script = logon.bat map acl inherit = yes nt acl support = yes force unknown acl user = Yes passdb backend = ldapsam:ldap://127.0.0.1/ ldap admin dn = cn=admin,dc=sergio,dc=com ldap suffix = dc=sergio,dc=com ldap group suffix = ou=Groups ldap user suffix = ou=Users ldap machine suffix = ou=Computers ldap idmap suffix = ou=Idmap idmap backend = ldap:ldap://127.0.0.1/ idmap uid = 20000-30000 idmap gid = 20000-30000 enable privileges = yes add machine script = /usr/lib/mmc/add_machine_script '%u' add share command = /usr/lib/mmc/add_change_share_script delete share command = /usr/lib/mmc/delete_share_script add printer command = /usr/lib/mmc/add_printer_script deleteprinter command = /usr/lib/mmc/delete_printer_script preferred master = yes os level = 65 wins support = yes timeserver = yes socket options = SO_KEEPALIVE IPTOS_LOWDELAY SO_SNDBUF=8192 SO_RCVBUF=8192 logon drive = H: passwd program = /usr/sbin/smbldap-passwd -u %u passwd chat = "Changing password for*\nNew password*" %n\n "*Retype new password*" %n\n add user script = /usr/sbin/smbldap-useradd -m "%u" add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g" set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u" add group script = /usr/sbin/ambldap-groupadd -p "%g" delete user script = /usr/sbin/smbldap-userdel "%u" delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g" delete group script = /usr/sbin/smbldap-groupdel "%g" obey pam restrictions = no ldap idmap suffix = ou=Users ldap passwd sync = yes ldap delete dn = no security = user [homes] comment = Home directories browseable = no writeable = yes create mask = 0700 directory mask = 0700 hide files = /Maildir/ [public] comment = Public share path = /home/samba/shares/public browseable = yes public = yes
25
Plataforma de correo segura writeable = yes [archives] comment = Backup share path = /home/samba/archives browseable = yes public = no writeable = no [netlogon] path = /home/samba/netlogon public = no writeable = no browseable = no [profiles] path = /home/samba/profiles writeable = yes create mask = 0700 directory mask = 0700 browseable = no hide files = /desktop.ini/ntuser.ini/NTUSER.*/ [partage] comment = aucun path = /home/samba/partage browseable = yes public = no writeable = yes
Si todo anda bien, ejecutamos el comando. testparm Que sirve para ver los cambios efectuados.
Ahora le damos al SAMBA las credenciales necesarias para escribir en el LDAP. smbpasswd -w contraseña
Debe salir algo similar a esto, que nos indica que las credenciales fueron bien asignadas. Setting stored password for "cn=admin,dc=sergio,dc=com"in sec rets.tdb
Ahora crearemos un SID (Identificador de seguridad), para nuestro grupo de trabajo, ejecutamos. net getlocalsid SERGIO
La salida debería ser algo así como esto SID for domain SERGIO is: S-1-5-21-3647057178-929924568-909873380
Comprobamos si el SID ha sido registrado en el ldap con el siguiente comando slapcat | grep sambaDomainName
La salida debe ser similar a esta
26
Plataforma de correo segura dn: sambaDomainName = sergio, dc = sergio, dc = com sambaDomainName:SERGIO sambaDomainName:SERGIO
Ahora reiniciamos el SAMBA /etc/init.d/samba start Directorio LDAP Lo primero que necesitamos crear es el archivo de configuración smbldap-tools. Y dentro de el crearemos los ficheros configuración smbldap_bind.conf y smbldap.conf. Que definen la manera de comunicarse con el servidor LDAP. nano /etc/smbldap-tools/smbldap_bind.conf El contenido debe ser similar a este slaveDN="cn=admin,dc=sergio,dc=com" slavePw="contraseña" masterDN="cn=admin,dc=sergio,dc=com" masterPw="contraseña"
Y ahora, podemos crear el fichero de configuración principal. nano /etc/smbldap-tools/smbldap.conf El contenido debe ser similar a este (Sustituimos el SID por el nuestro) SID="S-1-5-21-3647057178-929924568-909873380" sambaDomain="SERGIO" ldapTLS="0" suffix="dc=sergio,dc=com" usersdn="ou=Users,${suffix}" computersdn="ou=Computers,${suffix}" groupsdn="ou=Groups,${suffix}" idmapdn="ou=Idmap,${suffix}" sambaUnixIdPooldn="sambaDomainName=SERGIO,${suffix}" scope="sub" hash_encrypt="SSHA" userLoginShell="/bin/bash" userHome="/home/%U" userHomeDirectoryMode="700" userGecos="System User" defaultUserGid="513" defaultComputerGid="515" skeletonDir="/etc/skel" defaultMaxPasswordAge="45" userSmbHome="\\PDC-SRV-SERGIO\%U" userProfile="\\PDC-SRV-SERGIO\profiles\%U" userHomeDrive="H:" userScript="logon.bat" mailDomain="sergio.com" smbpasswd="/usr/bin/smbpasswd"
Ha llegado la hora de poblar el directorio ldap. Esto también creara la cuenta de administrador de dominio.
27
Plataforma de correo segura
Ejecutamos el siguiente comando smbldap-populate -m 512 -a Administrator
Nos pedirá que introduzcamos la contraseña del administrador. Luego tendremos que modificar el uid-number de esta cuenta - de otro modo no podremos utilizar el servidor de correo con esta cuenta. Además añadimos esta cuenta al grupo "Domain Users" Ejecutamos el siguiente comando smbldap-usermod -u 3000 -G "Domain Users" Administrator
Configuración del NSS LDAP (El NNS permite autenticar usuarios vía LDAP). En este paso tendremos que configurar el sistema para usar el directorio ldap, y así conseguir listas de grupos y usuarios Editamos el nsswitch Que define el orden de la búsqueda de las bases de datos en la red. nsswitch.conf es el nombre del archivo de configuración para modificar el servicio de nombres, generalmente está ubicado en el directorio /etc. Su propósito es decirle al sistema en qué orden debería consultar los distintos servicios de nombres para resolver información acerca de los usuarios, resolución de nombres, y grupos de red. Ejemplo hosts: files dns (Esto le dice al sistema que primero busque la información de host en el archivo hosts y si no lo encuentra allí que realice una consulta DNS. nano /etc/nsswitch.conf El contenido debe ser parecido a este. # /etc/nsswitch.conf # # Example configuration of GNU Name Service Switch functionality. # If you have the `glibc-doc' and `info' packages installed, try: # `info libc "Name Service Switch"' for information about this file. passwd: compat ldap group: compat ldap shadow: compat ldap hosts: files dns networks: files protocols: db files services: db files ethers: db files rpc: db files netgroup: nis
28
Plataforma de correo segura Directorios Samba. Crearemos los directorios necesarios para el servidor samba mkdir -p /home/samba/shares/public/ mkdir /home/samba/netlogon/ mkdir /home/samba/profiles/ mkdir /home/samba/partage/ mkdir /home/samba/archives/
Cambiamos la propiedad y ajustamos los derechos. chown -R :"Domain Users" /home/samba/ chmod 777 /var/spool/samba/ /home/samba/shares/public/ chmod 755 /home/samba/netlogon/ chmod 770 /home/samba/profiles/ /home/samba/partage/ chmod 700 /home/samba/archives/
Configuración del PAM LDAP Pam_ldap Es el módulo que proporciona los medios para Solaris y Linux servidores y estaciones de trabajo para autenticarse contra directorios LDAP, y para cambiar sus passwords en el directorio. En este paso agregaremos ldap de soporte para el PAM. Vamos a nano /etc/pam.d/common-account El contenido debe ser igual al siguiente. # # /etc/pam.d/common-account - authorization settings common to all services # # This file is included from other service-specific PAM config files, # and should contain a list of the authorization modules that define # the central access policy for use on the system. The default is to # only deny service to users whose accounts are expired in /etc/shadow. # account required pam_unix.so account sufficient pam_ldap.so
En el archivo nano /etc/pam.d/common-auth El contenido debe ser igual al siguiente # # /etc/pam.d/common-auth - authentication settings common to all services # # This file is included from other service-specific PAM config files, # and should contain a list of the authentication modules that define # the central authentication scheme for use on the system # (e.g., /etc/shadow, LDAP, Kerberos, etc.). The default is to use the # traditional Unix authentication mechanisms. # auth sufficient pam_unix.so nullok_secure auth sufficient pam_ldap.so use_first_pass
29
Plataforma de correo segura auth
required
pam_deny.so
En el archivo nano /etc/pam.d/common-password El contenido debe ser igual al siguiente # # /etc/pam.d/common-password - password-related modules common to all services # # This file is included from other service-specific PAM config files, # and should contain a list of modules that define the services to be #used to change user passwords. The default is pam_unix # The "nullok" option allows users to change an empty password, else # empty passwords are treated as locked accounts. # # (Add `md5' after the module name to enable MD5 passwords) # # The "obscure" option replaces the old `OBSCURE_CHECKS_ENAB' option in # login.defs. Also the "min" and "max" options enforce the length of the # new password. password sufficient pam_unix.so nullok obscure min=4 max=8 md5 password sufficient pam_ldap.so use_first_pass use_authtok password required pam_deny.so # Alternate strength checking for password. Note that this # requires the libpam-cracklib package to be installed. # You will need to comment out the password line above and # uncomment the next two in order to use this. # (Replaces the `OBSCURE_CHECKS_ENAB', `CRACKLIB_DICTPATH') # # password required pam_cracklib.so retry=3 minlen=6 difok=3 # password required pam_unix.so use_authtok nullok md5
En el archivo nano /etc/pam.d/common-session El contenido debe ser igual al siguiente # # /etc/pam.d/common-session - session-related modules common to all services # # This file is included from other service-specific PAM config files, # and should contain a list of modules that define tasks to be performed # at the start and end of sessions of *any* kind (both interactive and # non-interactive). The default is pam_unix. # session required pam_unix.so session optional pam_ldap.so
Después reiniciamos el sistema reboot Cuando el sistema arranque de nuevo, damos al grupo "Domain Admins" el derecho de agregar maquinas al dominio. Ejecutamos el siguiente comando.
30
Plataforma de correo segura net -U Administrator rpc rights grant 'SERGIO\Domain Admins' SeMachineAccountPrivilege
Nos pedirá el password y a continuación sedera los derechos. SSL para el correo (Protocolo de capa de conexión segura) SSL (Security Socket Layer) proporciona autenticación y privacidad de la información entre extremos sobre Internet mediante el uso de criptografía. En primer lugar preparamos un archivo de configuración con la información necesaria. nano /etc/ssl/mail.cnf Agregamos el siguiente contenido [ req ] default_bits = 2048 default_keyfile = privkey.pem distinguished_name = req_distinguished_name prompt = no string_mask = nombstr x509_extensions = server_cert [ req_distinguished_name ] countryName = CO stateOrProvinceName = Antioquia localityName = Medellin organizationName = Sena organizationalUnitName = IT commonName = debian.sergio.com emailAddress = [email protected] [ server_cert ] basicConstraints = critical, CA:FALSE subjectKeyIdentifier = hash keyUsage = digitalSignature, keyEncipherment extendedKeyUsage = serverAuth, clientAuth nsCertType = server nsComment = "mailserver"
Ahora podemos crear el certificado ssl ejecutando la siguiente línea: openssl req -x509 -new -config /etc/ssl/mail.cnf -out /etc/ssl/certs/mail.pem -keyout /etc/ssl/private/mail.key -days 365 -nodes -batch
Y ajustar los derechos de la clave con el fin de que sólo el root tenga permisos para leerlo. chmod 600 /etc/ssl/private/mail.key
Configuración de SASL (Simple Authentication Security Layer) Postfix utilizará SASL para autenticar usuarios contra un servidor LDAP Tenemos que cambiar algunas cosas para que funcione correctamente. Porque Postfix se ejecuta chroot en /var/spool/postfix cambio tenemos un par de caminos a vivir en las falsas raíz. (Es decir, /var/run/saslauthd se convierte en /var/spool/postfix/var/run/saslauthd).
31
Plataforma de correo segura
Creamos el directorio con el –p (el –p es para crear cada directorio padre que falten para cada directorio) Ejecutamos mkdir -p /var/spool/postfix/var/run/saslauthd/
Ahora modificamos el archivo /etc/default/saslauthd con el fin de activar saslauthd. Vamos a: nano /etc/default/saslauthd Debe tener un aspecto como este. # # Settings for saslauthd daemon # # Should saslauthd run automatically on startup? (default: no) START=yes # Which authentication mechanisms should saslauthd use? (default: pam) # # Available options in this Debian package: # getpwent -- use the getpwent() library function # kerberos5 -- use Kerberos 5 # pam -- use PAM # rimap -- use a remote IMAP server # shadow -- use the local shadow password file # sasldb -- use the local sasldb database file # ldap -- use LDAP (configuration is in /etc/saslauthd.conf) # # Only one option may be used at a time. See the saslauthd man page # for more information. # # Example: MECHANISMS="pam" MECHANISMS="ldap" # Additional options for this mechanism. (default: none) # See the saslauthd man page for information about mech-specific options. MECH_OPTIONS="" # How many saslauthd processes should we run? (default: 5) # A value of 0 will fork a new process for each connection. THREADS=5 # Other options (default: -c) # See the saslauthd man page for information about these options. # # Example for postfix users: "-c -m /var/spool/postfix/var/run/saslauthd" # Note: See /usr/share/doc/sasl2-bin/README.Debian OPTIONS="-c -m /var/spool/postfix/var/run/saslauthd -r"
El archivo de configuración nano /etc/saslauthd.conf
32
Plataforma de correo segura Debe tener un aspecto como este. ldap_servers: ldap://127.0.0.1 ldap_search_base: ou=Users,dc=sergio,dc=com ldap_filter: (&(objectClass=mailAccount)(mail=%u@%r)(mailenable=OK))
El archivo de configuración nano /etc/postfix/sasl/smtpd.conf Debe quedar asi. pwcheck_method: saslauthd mech_list: plain login
Añadimos Postfix al grupo SASL Ejecutamos adduser postfix sasl
Y reiniciamos SASL /etc/init.d/saslauthd restart Configuración del POSTFIX El MTA (Mail Transportation Agent) Es el servidor de correo para unix, Postfix pretende ser rápido, fácil de administrar y seguro, a la vez que suficientemente compatible con Sendmail como para que los usuarios existentes no se asusten. Por lo tanto, externamente mantiene el estilo de Sendmail, mientras que internamente es completamente diferente. Primero copiamos el ejemplo del archivo de configuracion dentro del directorio postfix. Es la base para la siguiente configuracion. cp /usr/share/doc/python-mmc-base/contrib/postfix/no-virtual-domain/* /etc/postfix/
En primer lugar ajustamos el archivo de configuracion principal. Vamos al archivo de configuracion nano /etc/postfix/main.cf (define la mayoría de parámetros de configuración general por ejemplo quien es el servidor de correo, los dominios para enmascarar los correos que va a enviar ,cuales son las redes que pueden enviar a través de el para actuar como Cname, por que interfaces va a escuchar entre otros) Editamos el archivo de modo que se ajuste a nuestro dominio, adicionalmente agregamos algunas restricciones y configuraciones de autenticación. El contenido debe ser similar a este # See /usr/share/postfix/main.cf.dist for a commented, more complete version smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU) biff = no
33
Plataforma de correo segura # appending .domain is the MUA's job. append_dot_mydomain = yes append_at_myorigin = yes # Uncomment the next line to generate "delayed mail" warnings #delay_warning_time = 4h myhostname = debian.sergio.com mydomain = sergio.com alias_maps = ldap:/etc/postfix/ldap-aliases.cf, hash:/etc/aliases alias_database = hash:/etc/aliases myorigin = /etc/mailname mydestination = debian.sergio.com,sergio.com,localhost.localdomain,localhost mail_destination_recipient_limit = 1 mailbox_command = /usr/lib/dovecot/deliver -d "$USER"@"$DOMAIN" relayhost = mynetworks = 127.0.0.0/8 mailbox_size_limit = 0 recipient_delimiter = + inet_interfaces = all # Use Maildir home_mailbox = Maildir/ # Wait until the RCPT TO command before evaluating restrictions smtpd_delay_reject = yes # Basics Restrictions smtpd_helo_required = yes strict_rfc821_envelopes = yes # Requirements for the connecting server smtpd_client_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_rbl_client bl.spamcop.net, reject_rbl_client dnsbl.njabl.org, reject_rbl_client cbl.abuseat.org, reject_rbl_client sbl-xbl.spamhaus.org, reject_rbl_client list.dsbl.org, permit # Requirements for the HELO statement smtpd_helo_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_non_fqdn_hostname, reject_invalid_hostname, permit # Requirements for the sender address smtpd_sender_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_non_fqdn_sender, reject_unknown_sender_domain, permit # Requirement for the recipient address smtpd_recipient_restrictions =
34
Plataforma de correo segura permit_mynetworks, permit_sasl_authenticated, reject_non_fqdn_recipient, reject_unknown_recipient_domain, reject_unauth_destination, permit # Enable SASL authentication for the smtpd daemon smtpd_sasl_auth_enable = yes smtpd_sasl_type = dovecot smtpd_sasl_path = private/auth # Fix for outlook broken_sasl_auth_clients = yes # Reject anonymous connections smtpd_sasl_security_options = noanonymous smtpd_sasl_local_domain = # SSL/TLS smtpd_tls_security_level = may smtpd_tls_loglevel = 1 smtpd_tls_cert_file = /etc/ssl/certs/mail.pem smtpd_tls_key_file = /etc/ssl/private/mail.key smtpd_tls_session_cache_database = btree:${queue_directory}/smtpd_scache # Amavis content_filter = amavis:[127.0.0.1]:10024 receive_override_options = no_address_mappings
Configuración del alias en LDAP Ahora tendremos que editar la configuracion del alias. Vamos al archivo /etc/postfix/ldap-aliases.cf Que contiene la lista de alias del LDAP, en el se especifica al inicio un nombre ó alias de correo. Editamos el archivo que se ajuste a nuestro dominio Que debe ser similar a este server_host = 127.0.0.1 search_base = ou=Users,dc=sergio,dc=com query_filter = (&(objectClass=mailAccount)(mailalias=%s)(mailenable=OK)) result_attribute = maildrop version = 3
Configuración del master.cf. Esta es la última parte en la configuración del postfix. Vamos al archivo nano /etc/postfix/master.cf (En este archivo se definen los parámetros de configuración de los servicios que trabajan en conjunto con el postfix, se define por ejemplo si se va a trabajar con spamassassin, clamav , y amavis)
35
Plataforma de correo segura
Descomentamos las siguientes líneas. -o smtpd_enforce_tls=yes -o smtpd _sasl_auth_enable=yes
Y agregamos las siguientes líneas # SMTPS smtps inet n - - - - smtpd -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes # Dovecot dovecot unix - n n - - pipe flags=DRhu user=dovecot:mail argv=/usr/lib/dovecot/deliver -d $recipient # Mail to Amavis amavis unix - - - - 10 smtp -o smtp_data_done_timeout=1200 -o smtp_send_xforward_command=yes -o disable_dns_lookups=yes -o max_use=20 # Mail from Amavis 127.0.0.1:10025 inet n - - - - smtpd -o content_filter= -o local_recipient_maps= -o relay_recipient_maps= -o smtpd_restriction_classes= -o smtpd_delay_reject=no -o smtpd_client_restrictions=permit_mynetworks,reject -o smtpd_helo_restrictions= -o smtpd_sender_restrictions= -o smtpd_recipient_restrictions=permit_mynetworks,reject -o smtpd_data_restrictions=reject_unauth_pipelining -o smtpd_end_of_data_restrictions= -o mynetworks=127.0.0.0/8 -o smtpd_error_sleep_time=0 -o smtpd_soft_error_limit=1001 -o smtpd_hard_error_limit=1000 -o smtpd_client_connection_count_limit=0 -o smtpd_client_connection_rate_limit=0 -o receive_override_options=no_header_body_checks,no_unknown_recipient_checks
Reiniciamos el postfix /etc/init.d/postfix restart DOVECOT (agente de descarga de mail) Dovecot proporcionara POP3- (SSL/TLS), IMAP- (SSL/TLS) y contingentes de apoyo para el servidor de correo. Configuracion principal Ejecutamos: echo " " > /etc/dovecot/dovecot.conf Para limpiar este archivo
36
Plataforma de correo segura Ahora vamos al archivo nano /etc/dovecot/dovecot.conf El contenido debe ser similar a este protocols = imap imaps pop3 pop3s listen = 0.0.0.0 login_greeting = sergio.com mailserver ready. mail_location = maildir:~/Maildir disable_plaintext_auth = no ssl_cert_file = /etc/ssl/certs/mail.pem ssl_key_file = /etc/ssl/private/mail.key log_path = /var/log/dovecot.log info_log_path = /var/log/dovecot.log # IMAP configuration protocol imap { mail_plugins = quota imap_quota } # POP3 configuration protocol pop3 { pop3_uidl_format = %08Xu%08Xv mail_plugins = quota } # LDA configuration protocol lda { postmaster_address = postmaster auth_socket_path = /var/run/dovecot/auth-master mail_plugins = quota } # LDAP authentication auth default { mechanisms = plain login } passdb ldap { args = /etc/dovecot/dovecot-ldap.conf } userdb ldap { args = /etc/dovecot/dovecot-ldap.conf } socket listen { master { path = /var/run/dovecot/auth-master mode = 0660 user = dovecot group = mail } client { path = /var/spool/postfix/private/auth mode = 0660 user = postfix group = postfix } }
37
Plataforma de correo segura Configuración de LDAP Para configurar Dovecot, para utilizar LDAP editamos este archivo contiene detalles acerca de su servidor LDAP. Ejecutamos echo "" > /etc/dovecot/dovecot-ldap.conf Para limpiar este archivo
Ahora vamos al archivo nano /etc/dovecot/dovecot-ldap.conf El contenido debe ser similar a este hosts = 127.0.0.1 auth_bind = yes ldap_version = 3 base = dc=sergio,dc=com scope = subtree user_attrs = homeDirectory=home,uidNumber=uid,mailbox=mail,mailuserquota=quota=maildir:storage user_filter = (&(objectClass=mailAccount)(mail=%u)(mailenable=OK)) pass_attrs = mail=user,userPassword=password pass_filter = (&(objectClass=mailAccount)(mail=%u)(mailenable=OK)) default_pass_scheme = CRYPT user_global_gid = mail
DELIVER. (Termino que define al dovecot como agente de entrega de correos). Ahora ajustamos los derechos para el dovecot deliver. Entonces dovecot usara los derechos uid (identificador de usuario) y gid (identificador de grupos de usuarios), Cuando almacene los mensajes en los maildirs (Maildir es un formato de spool, Operación On Line y Simultánea con Periféricos) de correo electrónico que no bloquea los ficheros para mantener la integridad del mensaje, porque los mensajes se almacenan en ficheros distintos con nombres únicos. Maildir es un directorio con tres subdirectorios llamados tmp, new, y cur. Todos los subdirectorios deben residir en el mismo sistema de archivos Luego cedemos los derechos para poder autorizar al Dovecot, de modo que este pueda administrar los indicadores relativos de usuarios y de grupos, cuando sean guardados los correos en la carpeta Mialdir de los usuarios. Ejecutamos el siguiente comando dpkg-statoverride --update --add root dovecot 4755 /usr/lib/dovecot/deliver
Después reiniciamos el dovecot /etc/init.d/dovecot restart Postfix va a pasar el correo a Amavisd. Amavis por otra parte pasará a Spamassassin y ClamAV. Después de que los mails han sido chequeados, serán pasados de nuevo al postfix.
38
Plataforma de correo segura AMAVISD es un interfaz de alto rendimiento y fiabilidad entre el MTA y uno o más filtros de contenidos: antivirus (clamAV o el módulo Mail: SpamAssassin) Está escrito en Perl, asegurando alta fiabilidad, portabilidad y facilidad de mantenimiento. Se comunica con el MTA via SMTP o LMTP, o mediante el uso de otros programas. No existen problemas de sincronización en su diseño que pudieran causar pérdidas de correos. ClamAV es una herramienta antivirus GPL para UNIX. El propósito principal de este software es la integración con los servidores de correo (escaneo de datos adjuntos). El paquete proporciona un servicio multihilo flexible y escalable, un analizador de línea de comandos y una utilidad para la actualización automática via Internet. Los programas están basados en una librería distribuida con el paquete Clam AntiVirus, la cual puede ser usada por su propio software. Y lo más importante, la base de datos se mantiene actualizada constantemente. SpamAssassin es un filtro de correo que trata de identificar el spam mediante el análisis del texto y el uso en tiempo real de algunas listas negras a través de Internet. A partir de su base de datos de reglas, utiliza un amplio abanico de pruebas heurísticas en las cabeceras y el cuerpo de los correos para identificar el spam, también conocido como correo electrónico comercial no solicitado. Una vez identificado, el correo puede ser opcionalmente marcado como spam o más tarde filtrado usando el cliente de correo del usuario. Configuremos Amavis de forma tal que los correos pasen por este y los revise estrictamente y los descomprima si es necesario. Vamos al archivo nano /etc/amavis/conf.d/15-content_filter_mode Debe tener un aspecto como este use strict; @bypass_virus_checks_maps = ( \%bypass_virus_checks, \@bypass_virus_checks_acl, \$bypass_virus_checks_re); @bypass_spam_checks_maps = ( \%bypass_spam_checks, \@bypass_spam_checks_acl, \$bypass_spam_checks_re); 1;
Ahora vamos a nano /etc/amavis/conf.d/50-user Debe tener un aspecto como este use strict; $pax='pax'; 1;
A continuación añadir el usuario clamav al grupo amavis y reiniciar amavis y ClamAV.
39
Plataforma de correo segura Ejecutamos: adduser clamav amavis
/etc/init.d/amavis restart /etc/init.d/clamav-daemon restart /etc/init.d/clamav-freshclam restart Spamassassin En este paso tendremos que habilitar plugins adicionales para aumentar la detención de spam. Vamos al archivo de configuracion nano /etc/spamassassin/local.cf Y agregamos el siguiente contenido en el fichero #pyzor use_pyzor 1 pyzor_path /usr/bin/pyzor #razor use_razor2 1 razor_config /etc/razor/razor-agent.conf #bayes use_bayes 1 use_bayes_rules 1 bayes_auto_learn 1
Luego vamos al archivo nano /etc/spamassassin/v310.pre Des comentamos la línea para el DCC-plugin. Debe tener un aspecto como este #loadplugin Mail::SpamAssassin::Plugin::DCC loadplugin Mail::SpamAssassin::Plugin::Pyzor loadplugin Mail::SpamAssassin::Plugin::Razor2 loadplugin Mail::SpamAssassin::Plugin::SpamCop loadplugin Mail::SpamAssassin::Plugin::AWL loadplugin Mail::SpamAssassin::Plugin::AutoLearnThreshold loadplugin Mail::SpamAssassin::Plugin::WhiteListSubject loadplugin Mail::SpamAssassin::Plugin::MIMEHeader loadplugin Mail::SpamAssassin::Plugin::ReplaceTags loadplugin Mail::SpamAssassin::Plugin::Pyzor loadplugin Mail::SpamAssassin::Plugin::Razor2 loadplugin Mail::SpamAssassin::Plugin::SpamCop loadplugin Mail::SpamAssassin::Plugin::AWL loadplugin Mail::SpamAssassin::Plugin::AutoLearnThreshold loadplugin Mail::SpamAssassin::Plugin::WhiteListSubject loadplugin Mail::SpamAssassin::Plugin::MIMEHeader loadplugin Mail::SpamAssassin::Plugin::ReplaceTags
40
Plataforma de correo segura Ahora modificaremos los siguientes archivos, donde definiremos la forma como trabajara el Spam. nano /etc/amavis/conf.d/20-debian_defaults Descomentamos la siguiente línea para saber como mostrara el spam $sa_spam_subject_tag = '***SPAM*** '; Y cambiamos las siguientes líneas, deben quedar de la siguiente manera donde especificaremos el nivel de búsqueda del spam. $sa_tag_level_deflt = 0.2; # add spam info headers if at, or above that level $sa_tag2_level_deflt = 0.2; # add 'spam detected' headers at that level $sa_kill_level_deflt = 0.1; # triggers spam evasive actions $sa_dsn_cutoff_level = 10; # spam level beyond which a DSN is not sent Agregamos las dos siguientes líneas $forward_method = 'smtp:127.0.0.1:10025'; $notify_method = $forward_method; Esto lo hacemos para comprobar el acierto, es decir, para ver si detecta todos los mensajes con spam o falla en algunos. $sa_spam_subject_tag. Y modificamos la siguiente línea para que pasen los mensajes con spam (aunque la cabecera del mensaje nos lo dirá, si hemos puesto la directiva). D_REJECT Por D_PASS Debe quedar de la siguiente manera. $final_spam_destiny = D_PASS ;
Vamos al siguiente archivo de configuración nano /etc/amavis/conf.d/05-domain_id Donde Modificaremos y agregaremos el dominio y debe quedar de la siguiente manera chomp($mydomain = `sergio.com`); Ahora vamos al archivo de configuración nano /etc/spamassassin/local.cf Descomentamos las siguientes líneas para reescribir la cabecera asignada y habilitar el informe de seguridad. rewrite_header Subject *****SPAM***** report_safe 1
41
Plataforma de correo segura
Y modificar la siguiente línea que será el modo en el que el spamassassin identificara el spam. required_score 5.0 Por required_score 0.3 En el archivo de configuración nano /etc/postfix/main.cf Modificar la siguiente línea para filtrar el amavis por el siguiente puerto: content_filter = amavis:[127.0.0.1]:10024 Por content_filter = amavis:[localhost]:10024 Ahora configuramos spamassassin para correr como demonio. Vamos al archivo de configuracion nano /etc/default/spamassassin Modificamos y debe tener un aspecto como este. ENABLED=1 OPTIONS="--create-prefs --max-children 5 --helper-home-dir" PIDFILE="/var/run/spamd.pid" #NICE="--nicelevel 15" CRON=0
Después de iniciamos el spamassassin y reiniciamos el amavis. /etc/init.d/spamassassin start /etc/init.d/amavis restart Configuración del BIND (DEMONIO DNS) En primer lugar copiamos un archivo de configuración personalizada en el directorio BIND. Ejecutamos el comando cp /usr/share/doc/python-mmc-base/contrib/bind/named.conf /etc/bind/
En la mayoría de las distribuciones, BIND se inicia antes de OpenLDAP durante la secuencia de arranque. Si BIND / LDAP se utiliza, BIND no será capaz de conectar con el directorio LDAP, y no se iniciará. Por lo tanto, debemos modificar el sistema de arranque para solucionar este problema. Ejecutamos el siguiente comando para hacer los cambios. update-rc.d -f slapd remove && update-rc.d slapd start 14 2 3 4 5 . stop 86 0 1 6 .
42
Plataforma de correo segura Después vamos a configurar el resolv.conf. Es necesario configurar correctamente el archivo /etc/resolv.conf para poder resolver los nombres de los servidores en Internet. • •
search: dominio de Internet al que pertenece la máquina nameserver: dirección IP del servidor de nombres a usar. Si no se conoce este dato, se debe preguntar al proveedor. Es posible usar más de un servidor de nombres, siendo habitual usar dos, uno como primario y otro como secundario.
Ejecutamos nano /etc/resolv.conf Debe tener un aspecto como este search sergio.com nameserver 127.0.0.1 nameserver 192.168.0.10
Configuración del DHCP Primero copiamos el archivo de configuración personalizado en el directorio dhcp3. cp /usr/share/doc/python-mmc-base/contrib/dhcpd/dhcpd.conf /etc/dhcp3/
Luego vamos al archivo de configuracion nano /etc/dhcp3/dhcpd.conf Editamos el archivo que se ajuste a nuestras necesidades - que debe ser similar a este. ldap-server "localhost"; ldap-port 389; ldap-username "cn=admin, dc=sergio, dc=com"; ldap-password "contraseña"; ldap-base-dn "dc=sergio, dc=com"; ldap-method dynamic; ldap-debug-file "/var/log/dhcp-ldap-startup.log";
Ahora reiniciamos apache /etc/init.d/apache2 restart MMC PLUGINS Configuración del plugin mmc base (Es el principal complemento para la administración ldap.Tiene como base de operaciones gestión de LDAP (usuarios, grupos, etc), la autenticación de usuarios y provisión). Editamos el archivo de configuración del plugin base para MMC. nano /etc/mmc/plugins/base.ini
43
Plataforma de correo segura Editamos la baseDN de modo que concuerde con nuestro dominio, insertamos la contraseña correcta del administrador ldap y cambiamos la ruta de destino para los archivos. El contenido debería verse como este [ldap] # LDAP we are connected to host = 127.0.0.1 # LDAP base DN baseDN = dc=sergio, dc=com # Users location in the LDAP baseUsersDN = ou=Users, %(basedn)s # Groups location in the LDAP baseGroupsDN = ou=Groups, %(basedn)s # Computers Locations baseComputersDN = ou=Computers, %(basedn)s # LDAP manager rootName = cn=admin, %(basedn)s password = contraseña # If enabled, the MMC will create/move/delete the home of the users # Else will do nothing, but only write user informations into LDAP userHomeAction = 1 # Skeleton directory to populate a new home directory skelDir = /etc/skel # If set, all new users will belong to this group when created defaultUserGroup = Domain Users # Default home directory for users defaultHomeDir = /home # user uid number start uidStart = 10000 # group gid number start gidStart = 10000 # LDAP log file path Logfile = /var/log/ldap.log # FDS log file path # logfile = /opt/fedora-ds/slapd-hostname/logs/access # you can specify here where you can authorized creation of your homedir # default is your defaultHomeDir # example: # authorizedHomeDir = /home, /home2, /mnt/depot/newhome [backup-tools] # Path of the backup tools path = /usr/lib/mmc/backup-tools # Where are put the archives destpath = /home/samba/archives
Configuración del plugin mmc network (Permite en la MMC administrar host y zonas DNS, host y subredes DHCP dentro del LDAP) Editamos el archivo de configuración del plugin de red para MMC. nano /etc/mmc/plugins/network.ini Editamos el dominio de modo que concuerde con el nuestro El contenido debería verse como este [main] disable = 0
44
Plataforma de correo segura [dhcp] dn = ou=DHCP,dc=sergio,dc=com pidfile = /var/run/dhcpd.pid init = /etc/init.d/dhcp3-server logfile = /var/log/daemon.log leases = /var/lib/dhcp3/dhcpd.leases [dns] dn = ou=DNS,dc=sergio,dc=com pidfile = /var/run/bind/run/named.pid init = /etc/init.d/bind9 logfile = /var/log/daemon.log bindroot = /etc/bind/ binduser = bind # dnsreader = DNS Reader # dnsreaderpassword = DNSReaderPassword
Configuración del plugin mmc mail. (Permite por medio de la MMC añadir/ eliminar atributos de administración de entrega de correo a los usuarios y grupos, correos electrónicos y dominios virtuales) Editamos el archivo de configuración del plugin de correo para MMC. nano /etc/mmc/plugins/mail.ini Editamos el vDomainDN de modo que concuerde con nuestro dominio, comentamos la linea para entrega postfix y descomentamos la linea para entrega dovecot - el contenido debería verse como este [main] disable = 0 # Enable virtual domain support vDomainSupport = 0 # If vdomain enabled, OU where the domain are stored vDomainDN = ou=mailDomains, dc=sergio, dc=com [userDefault] # For Postfix delivery # mailbox = %homeDirectory%/Maildir/ # For Dovecot delivery mailbox = maildir:%homeDirectory%/Maildir/ # Default quota (200 MBytes) set for user mailuserquota = 204800
Configuración del plugin mmc samba. (Permite a la MMC añadir/eliminar Atributos compartidos de usuarios y grupos SAMBA). Editamos el archivo de configuración del plugin de samba para MMC. nano /etc/mmc/plugins/samba.ini Lo editamos y el contenido debería verse como este [main] disable = 0 # Computers Locations baseComputersDN = ou=Computers, dc=sergio, dc=com
45
Plataforma de correo segura sambaConfFile = /etc/samba/smb.conf sambaInitScript = /etc/init.d/samba sambaClamavSo = /usr/lib/samba/vfs/vscan-clamav.so # Default SAMBA shares location defaultSharesPath = /home/samba # You can specify authorized paths for share creation # Default value is the defaultSharesPath value # authorizedSharePaths = /shares, /opt, /srv # Default value when adding samba attributes to an user # DELETE means the attibute is removed from the user LDAP entry [userDefault] sambaPwdMustChange = DELETE
Arranque inicial del agente mmc. (Este se comunica con el MMC Web para la gestión de servicios, recursos y directorios LDAP). En este punto el agente mmc se encuentra listo para el arranque inicial. /etc/init.d/mmc-agent start Durante el arranque inicial el agente mmc escribiremos algunas configuraciones relacionadas con bind y dhcp en el LDAP de modo que es necesario que reiniciemos el bind (el servidor dhcp no está corriendo de momento). /etc/init.d/bind9 restart
46
Plataforma de correo segura
MMC Web interface. (Esta interfaz permite administrar vía Web los módulos del MDS). Ahora podemos acceder a la interfaz web del MMC vía http://127.0.0.1/mmc o http://localhost/mmc, Ingresamos como root. (Pues anteriormente le habíamos dado los permisos de administrador). Imagen 19- Administración vía web de módulos MDS
47
Plataforma de correo segura Esta es la plataforma de Administración de Mandriva Directory Server en debían. (MMC). Ahora vamos a configurar el modulo de Network Imagen 20- Plataforma de administración MDS
Primeros pasos para la configuración DNS. Hacemos clic en "Network" en el menú principal y luego en "Add DNS Zone" en el menu de la izquierda. Editamos la configuración de acuerdo a lo que se muestra en la imagen inferior. Hacemos clic en "Create" para guardar los cambios.
48
Plataforma de correo segura Imagen 21- Configuración DNS
Ahora podemos ver como quedo creada la zona DNS, con el dominio y su identificador de red, y luego damos clic en la lupa que aparece en la parte derecha de la pantalla. Imagen 22- Creación de zona DNS
49
Plataforma de correo segura Como podemos apreciar ahora, hemos creado también un miembro en la zona DNS en este caso nuestro servidor. Nombre del equipo: debían IP address: 192.168.0.10 Imagen 23- Creación de un miembro en la zona DNS
Primeros pasos para la configuración DHCP. Ahora debemos editar la subred DHCP. Hacemos click en "DCHP subnets" en el lado izquierdo y luego en el símbolo del "lápiz & papel" junto a la entrada de la subred.
50
Plataforma de correo segura Imagen 24- Ingresar a la configuración DHCP
Editamos la configuración de acuerdo a la imagen inferior. Hacemos clic en "Create" para guardar los cambios realizados.
51
Plataforma de correo segura Imagen 25- Configuración DHCP
52
Plataforma de correo segura Ahora la configuración de DHCP está completa y podemos arrancar el servidor DHCP. Hacemos clic en "Network services management" sobre el lado izquierdo y luego clic en el triángulo verde para iniciar el servidor DHCP. Nota: Siempre que creemos/eliminemos/cambiemos subredes DHCP debemos reiniciar el servidor DHCP. Imagen 26- Inicialización del DHCP
Pasos para crear usuarios. Ahora crearemos dos usuarios. Vamos al modulo de User and Group. Y damos clic en “Users”.
53
Plataforma de correo segura Imagen 27- Pasos de creación de usuarios
Hacemos clic en "Users" en el menú principal y luego en "Add" en el menu de la izquierda, para crear los usuarios. Y llenamos los campos necesarios como aparecen el la imagen inferior. Y por ultimo damos clic en “confirm” para crear el usuario.
54
Plataforma de correo segura Imagen 28- Agregar un usuario
55
Plataforma de correo segura
Lo mismo hacemos para crear el otro usuario, damos clic "Add" en el menu de la izquierda. Y llenamos los campos necesarios como aparecen el la imagen inferior. Y por ultimo damos clic en “confirm” para crear el usuario.
56
Plataforma de correo segura Imagen 29- Agregar un segundo usuario
57
Plataforma de correo segura
58
Plataforma de correo segura Ahora damos clic en “list” en la parte izquierda de la pantalla, y como podemos observar en la lista de usuarios, han sido creados los dos usuarios con éxito. Imagen 30- Lista de usuarios creados
COMO UNIR UN EQUIPO WINDOWS XP A UN DOMINIO. Ahora uniremos un equipo Windows XP al MDS en el dominio Sergio.com Vamos a inicio damos clic en Ejecutar y nos aparecerá un recuadro como el siguiente. Copiamos cmd para abrir el Símbolo del sistema, y damos aceptar. Imagen 31- Ejecutar símbolo del sistema
59
Plataforma de correo segura Después de que nos aparezca la consola o Símbolo del sistema, pedimos una asignación de IP al DHCP que se en encuentra en el dominio sergio.com, con el siguiente comando. ipconfig /renew Imagen 32- Pedir asignación de IP al DHCP
Luego vamos al icono de Mi PC y damos clic derecho sobre el. Y nos aparecerá un recuadro como el siguiente. Damos clic en la pestaña Nombre de equipo y luego en la opción Cambiar. Imagen 33- Propiedades del sistema Mi PC
60
Plataforma de correo segura
Ahora señalamos la opción Dominio y copiamos el nombre del dominio al que se va a unir el equipo, en este caso será SERGIO. Damos aceptar. Imagen 34- Introducción del nombre del dominio
Y nos aparecerá un recuadro donde nos autentificaremos con un usuario y contraseña que tenga permiso para unirse al dominio. Damos aceptar. Imagen 35- Autenticar para unirse al dominio
61
Plataforma de correo segura Y como podemos apreciar ha sido unido el Equipo al dominio SERGIO. Damos aceptar. Imagen 36- El equipo ha sido unido al dominio
Y nos pedirá que reiniciemos el Equipo para que los cambios tengan efectos. Damos aceptar. Imagen 37- Reiniciar le Equipo
62
Plataforma de correo segura Al reiniciar el Equipo damos clic en Opciones, y nos conectamos al dominio SERGIO. Y por ultimo nos autentificamos con un usuario valido dentro del dominio Sergio.com, en este caso será alexis. Y damos aceptar. Imagen 38- Autentificarnos y conectarnos al Dominio
Configuración Squirrelmail Para poder ver el entorno grafico del squirrelmail hay que descargar unos paquetes. Que es Squirrelmail es una aplicación Webmail, escrita en PHP, que le permite al cliente de un servidor de correo electrónico acceder por un interfaz Web para su autenticación. Vamos a la terminal y ejecutamos apt-get install squirrelmail El archivo de configuración Squirrelmail-configure Para poder acceder a la interfaz squirrelmail es necesario crear un enlace entre el archivo apache.conf del squirellmail y el archivo /etc/apache2/apache.conf, de este modo cuando tratemos de ingresar a nuestro correo por medio del navegador Web, el apache2 cargara la aplicación del squirrelmail. Nos paramos en /etc/apache2/conf.d/ y ejecutamos: ln -s /usr/share/squirrelmail/config/apache.conf /etc/apache2/apache.conf Ahora vamos a nuestro navegador web, e ingresamos a http://localhost/src/webmail.php o http://localhost/src/login.php y nos autentificamos con uno de los usuarios que creamos en el MDS en este caso será [email protected] y la contraseña que le asignamos.
63
Plataforma de correo segura Imagen 39- Interfaz del Squirrelmail
Ahora hemos entrado al buzón del correo electrónico del usuario alexis y damos clic en compose para enviar un correo de prueba al otro usurio creado. Imagen 40- Buzón del correo electrónico
64
Plataforma de correo segura Luego editamos los campos necesarios para enviar el mensaje de práctica. Llenamos el campo “To”: [email protected] quien va ser el que le llegue el correo. Y le copiamos un mesaje. Para enviarlo damos clic en “Send”. Imagen 41- Envió de mensaje electrónico
En la opción “sent” podemos ver el correo fue enviado a [email protected] Imagen 42- Correos electrónicos enviados
65
Plataforma de correo segura Ahora ingresamos con el otro usuario creado en este caso es [email protected] y su contraseña. Imagen 43- Autentificación de usuario
Ahora hemos ingresado, damos clic en Inbox (bandeja de entrada) y como podemos observar en la imagen inferior el mesaje ha llegado con éxito. Damos clic en el mensaje. Imagen 44- Revisión de bandeja de entrada
66
Plataforma de correo segura
Y veremos una serie de parámetros que nos dice por quien fue enviado, la hora y fecha que fue enviado, a quien se dirigía y con su respectivo mensaje. En este caso es “Hola este es un correo de practica”. Imagen 45- Revisión de correos entrantes
COMO CREAR USUARIOS Y DOMINIOS VIRTUALES
Dominios virtuales. Una opción muy común en la configuración de servidores de correo electrónico es hospedar las cuentas de correo de varios dominios. Estos dominios son, efectivamente, tratados como dominios virtuales pero, a diferencia de los alias virtuales, es preciso disponer de un buzón de correo para las cuentas de cada dominio. El uso de dominios virtuales y alias virtuales es complementario, no exclusivo. Usuarios virtuales. Es una cuenta adicional o un alias de un usuario real perteneciente a un dominio, con el fin de que cuando se solicite esta cuenta adicional (correo electrónico) esta sea redirigida al buzón del usuario real, de este modo el usuario real se podrá solicitar ya sea por su nombre o por su alias (usuario virtual). Vamos a: nano /usr/share/doc/python-mmc-base/contrib/postfix/with-virtual-domains/main.cf
67
Plataforma de correo segura
Y copiamos las siguientes lineas y las llevamos al archivo de configuración /etc/postfix/main.cf # Virtual Domains Control virtual_mailbox_domains = ldap:/etc/postfix/ldap-domains.cf virtual_mailbox_maps = ldap:/etc/postfix/ldap-accounts.cf virtual_alias_maps = ldap:/etc/postfix/ldap-aliases.cf, ldap:/etc/postfix/ldapvirtual_mailbox_base = / virtual_alias_domains = virtual_minimum_uid = 100 virtual_uid_maps = ldap:/etc/postfix/ldap-uid.cf virtual_gid_maps = ldap:/etc/postfix/ldap-gid.cf
El archivo /etc/postfix/main.cf debe quedar de la siguiente manera # See /usr/share/postfix/main.cf.dist for a commented, more complete version smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU) biff = no # appending .domain is the MUA's job. append_dot_mydomain = yes append_at_myorigin = yes # Uncomment the next line to generate "delayed mail" warnings #delay_warning_time = 4h myhostname = debian.sergio.com alias_maps = ldap:/etc/postfix/ldap-aliases.cf, hash:/etc/aliases alias_database = hash:/etc/aliases myorigin = /etc/mailname mydestination = debian.sergio.com,sergio.com,localhost.localdomain,localhost relayhost = mynetworks = 127.0.0.0/8 mailbox_size_limit = 0 recipient_delimiter = + inet_interfaces = all # Virtual Domains Control virtual_mailbox_domains = ldap:/etc/postfix/ldap-domains.cf virtual_mailbox_maps = ldap:/etc/postfix/ldap-accounts.cf virtual_alias_maps = ldap:/etc/postfix/ldap-aliases.cf, ldap:/etc/postfix/ldap-maildrop.cf virtual_mailbox_base = / virtual_alias_domains = virtual_minimum_uid = 100 virtual_uid_maps = ldap:/etc/postfix/ldap-uid.cf virtual_gid_maps = ldap:/etc/postfix/ldap-gid.cf # Use Maildir home_mailbox = Maildir/ # Wait until the RCPT TO command before evaluating restrictions smtpd_delay_reject = yes # Basics Restrictions
68
Plataforma de correo segura smtpd_helo_required = yes strict_rfc821_envelopes = yes # Requirements for the connecting server smtpd_client_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_rbl_client bl.spamcop.net, reject_rbl_client dnsbl.njabl.org, reject_rbl_client cbl.abuseat.org, reject_rbl_client sbl-xbl.spamhaus.org, reject_rbl_client list.dsbl.org, permit # Requirements for the HELO statement smtpd_helo_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_non_fqdn_hostname, reject_invalid_hostname, permit # Requirements for the sender address smtpd_sender_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_non_fqdn_sender, reject_unknown_sender_domain, permit # Requirement for the recipient address smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_non_fqdn_recipient, reject_unknown_recipient_domain, reject_unauth_destination, permit # Enable SASL authentication for the smtpd daemon smtpd_sasl_auth_enable = yes smtpd_sasl_type = dovecot smtpd_sasl_path = private/auth # Fix for outlook broken_sasl_auth_clients = yes # Reject anonymous connections smtpd_sasl_security_options = noanonymous smtpd_sasl_local_domain = # SSL/TLS smtpd_tls_security_level = may smtpd_tls_loglevel = 1 #smtpd_tls_cert_file = /etc/ssl/certs/mail.pem #smtpd_tls_key_file = /etc/ssl/private/mail.key smtpd_tls_session_cache_database = btree:${queue_directory}/smtpd_scache # Amavis #content_filter = amavis:[127.0.0.1]:10024
69
Plataforma de correo segura #receive_override_options = no_address_mappings
Ahora nos paramos en: cd /usr/share/doc/python-mmc-base/contrib/postfix/with-virtual-domains/
y ejecutamos ls -l para que nos muestre los archivos de configuracion, que vamos a copiar a la ruta /etc/postfix -rw-r--r-- 1 root root 211 2007-09-10 03:20 ldap-accounts.cf -rw-r--r-- 1 root root 175 2007-09-10 03:20 ldap-aliases.cf -rw-r--r-- 1 root root 196 2007-09-10 03:20 ldap-domains.cf -rw-r--r-- 1 root root 213 2007-09-10 03:20 ldap-gid.cf -rw-r--r-- 1 root root 192 2007-09-10 03:20 ldap-maildrop.cf -rw-r--r-- 1 root root 218 2008-04-02 06:53 ldap-transport.cf -rw-r--r-- 1 root root 213 2007-09-10 03:20 ldap-uid.cf -rw-r--r-- 1 root root 959 2007-09-10 03:20 main.cf
copiamos cada uno de los archivos. cp ldap-accounts.c cp ldap-aliases.cf cp ldap-domains.cf cp ldap-gid.cf cp ldap-maildrop.cf cp ldap-transport.cf cp ldap-uid.cf
/etc/postfix/ /etc/postfix/ /etc/postfix/ /etc/postfix/ /etc/postfix/ /etc/postfix/ /etc/postfix/
Ahora modificaremos cada archivo que copiamos nos paramos en cd /etc/postfix/ vamos cada uno de los archivos. nano ldap-accounts.cf debe tener un aspecto similar a este. server_host = 127.0.0.1 server_port = 389 search_base = ou=Users,dc=sergio,dc=com query_filter = (&(objectClass=mailAccount)(mailenable=OK)(mail=%s)) result_attribute = mailbox version = 3 expansion_limit = 1
nano ldap-aliases.cf debe tener un aspecto similar a este.
70
Plataforma de correo segura
server_host = 127.0.0.1 search_base = ou=Users,dc=sergio,dc=com query_filter = (&(objectClass=mailAccount)(mailalias=%s)(mailenable=OK)) result_attribute = mail version = 3
nano ldap-domains.cf debe tener un aspecto similar a este. server_host = 127.0.0.1 server_port = 389 search_base = ou=mailDomains,dc=sergio,dc=com query_filter = (&(objectClass=mailDomain)(virtualdomain=%s)) result_attribute = virtualdomain version = 3
nano ldap-gid.cf debe tener un aspecto similar a este. server_host = 127.0.0.1 server_port = 389 search_base = ou=Users,dc=sergio,dc=com query_filter = (&(objectClass=mailAccount)(mail=%s)(mailenable=OK)) result_attribute = gidNumber version = 3 expansion_limit = 1
nano ldap-maildrop.cf debe tener un aspecto similar a este. server_host = 127.0.0.1 server_port = 389 search_base = ou=Users,dc=sergio,dc=com query_filter = (&(objectClass=mailAccount)(mailenable=OK)(mail=%s)) result_attribute = maildrop version = 3
nano ldap-transport.cf debe tener un aspecto similar a este. server_host = 127.0.0.1 server_port = 389 search_base = ou=Users,dc=sergio,dc=com query_filter = (&(objectClass=mailAccount)(mailenable=OK)(mail=%s)) result_attribute = mailhost result_format = smtp:[%s] version = 3
71
Plataforma de correo segura nano ldap-uid.cf debe tener un aspecto similar a este. server_host = 127.0.0.1 server_port = 389 search_base = ou=Users,dc=sergio,dc=com query_filter = (&(objectClass=mailAccount)(mail=%s)(mailenable=OK)) result_attribute = uidNumber version = 3 expansion_limit = 1
Ahora vamos a nano /etc/mmc/plugins/mail.ini y hacemos unas modificaciones y el archivo debe ser parecido a este. [main] disable = 0 # Enable virtual domain support vDomainSupport = 1 # If vdomain enabled, OU where the domain are stored vDomainDN = ou=mailDomains, dc=sergio, dc=com [userDefault] # For Postfix delivery mailbox = %homeDirectory%/Maildir/ # For Dovecot delivery mailbox = maildir:%homeDirectory%/Maildir/ # Default quota (200 MBytes) set for user mailuserquota = 204800
reiniciamos el MMC-AGENT /etc/init.d/mmc-agent restart Ahora vamos a nuestro navegador web http://localhost/mmc ingresamos como root Y como podemos ver ya nos aparece el modulo de configuracion grafica del Mail service.
72
Plataforma de correo segura Imagen 46- Nuevo modulo de Mail Service
Ahora vamos a crear un dominio virtual. vamos al modulo del mail service , damos clic en el enlace mail y al lado izquierdo damos clic en add domain , alli especificaremos el nombre del domino virtual (grupinho.com), una breve descripcion , y el numero maximo de usuarios que contendra el dominio (ulimited quota), damos crear. Imagen 47- Creación de un dominio virtual
73
Plataforma de correo segura Ahora damos clic en la parte izquierda de la pantalla, en la pestaña “Mail Domain list”, y como podemos apreciar en la imagen, el dominio virtual fue creado. Imagen 48- Lista de dominios virtuales
Ahora vamos a la pestaña “Users”, y como podemos ver hemos creado dos nuevos usuarios para hacer la prueba de los dominios y usuarios virtuales. Damos clic en el usuario ([email protected]).
74
Plataforma de correo segura
Imagen 49- Lista de nuevos usuarios creados
Y en la parte de Mail plugin, llenamos los campos del “Mail alias”. Agregamos un alias para el usuario virtual en el primer campo, en este caso sera ([email protected]) y en el segundo campo especificamos el nuevo dominio virtual para este usuario ([email protected]), y damos clic en confirm para efectuar los cambios.
75
Plataforma de correo segura Imagen 50- Configuración de usuarios virtuales
Ahora realizaremos las pruebas enviando varios correos. vamos al squirrelmail ingresamos como un usuario valido dentro del dominio original ([email protected]). Imagen 51- Autentificación con un usuario nuevo
76
Plataforma de correo segura Despues que ingresemos damos clic en compose, para enviar un correo. Imagen 52- Envió de un mensaje electrónico
Luego especificamos el dominio virtual al que se le enviara el correo como podemos ver a continuacion. damos send y listo. Imagen 53- Envió de mensaje a un dominio virtual
77
Plataforma de correo segura Luego especificamos el usuario virtual al que se le enviara el correo como podemos ver a continuacion. damos send y listo. Imagen 54- Envió de mensaje a un usuario virtual
Ahora verificamos si los correos han llegado correctamente, vamos al squirrelmail ingresamos como un usuario valido dentro del dominio original ([email protected]). Imagen 55- Verificación de los correos entrantes
78
Plataforma de correo segura Y como podemos ver los dos correos tanto el del usuario virtual como el del dominio virtual han llegado al buzon del usuario ([email protected]). Imagen 56- Lista de correos electrónicos entrantes
CERTIFICADOS DIGITALES Y CONEXIONES SEGURAS Ahora crearemos los certificados SSL (SECURITY SOCKET LAYER). Ofrece tanto cifrado de la comunicación “frenando las escuchas” como autenticación fuerte, “asegurando que ambas partes de una comunicación son correctamente identificadas y que la comunicación no puede ser alterada” Crearemos dos host virtuales - uno para las conexiones http y otro para las conexiones https. En el archivo de configuración /etc/apache2/sites-available/http Modificamos las siguientes líneas. RewriteRule (.*) https://debian.sergio.com/mmc
peticiones a modo seguro. Debe quedar de la siguiente manera. ServerName debian.sergio.com RewriteEngine On RewriteCond %{HTTPS} off RewriteRule (.*) https://debian.sergio.com/mmc
79
para que escuche por todos y para que redireccione las
Plataforma de correo segura
Ahora crearemos el siguiente archivo de configuración. nano /etc/apache2/sites-available/https Agregamos la siguiente configuración NameVirtualHost *:443 ServerName debian.sergio.com ServerAdmin [email protected] DocumentRoot /usr/share/mmc/ SSLEngine on SSLCertificateKeyFile ssl/server.key SSLCertificateFile ssl/server.crt SSLProtocol all SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL AllowOverride None Order allow,deny Allow from all php_flag short_open_tag on SSLRequire %{SSL_CIPHER_USEKEYSIZE} >= 128 ErrorLog /var/log/apache2/mmc_error.log CustomLog /var/log/apache2/mmc_access.log combined LogLevel warn
Crearemos el certificado para la consola administrtiva MMC Creamos un directorio que contendra el certificado mkdir /etc/apache2/ssl/
Después ejecutamos el siguiente comando para crear el certificado. openssl req -new -x509 -keyout /etc/apache2/ssl/server.key –out /etc/apache2/ssl/server.crt -days 365 –nodes
Aquí nos pedirán uno parámetros personales y los respondemos de cuerdo a nuestras necesidades. Country Name (2 letter code) [AU]: CO State or Province Name (full name) [Some-State]: Antioquia Locality Name (eg, city) []: Medellin Organization Name (eg, company) [Internet Widgits Pty Ltd]: Sena Organizational Unit Name (eg, section) []: IT Common Name (eg, YOUR name) []: debian.sergio.com Email Address []: [email protected]
80
Plataforma de correo segura Damos permisos al archivo y lo copiamos a la siguiente ruta. chmod600/etc/apache2/ssl/server.key cp /etc/apache2/ssl/* /etc/cups/ssl/ Ahora crearemos el certificado para nuestro sitio web (SQUIRRELMAIL). Ahora configuraremos el siguiente archivo que fue tomado del http anteriormente configurado, hacia el archivo que vamos a crear, que será llamado webmail y va tener la configuración para nuestro sitio web (SQUIRRELMAIL). Copiamos lo siguiente. cp /etc/apache2/sites-available/http /etc/apache2/sites-available/http/webmail Webmail Vamos archivo nano /etc/apache2/sites-available/webmail. Modificamos las siguientes líneas. para que escuche por todos y RewriteRule (.*) https:// webmail.sergio.com para que redireccione las peticiones a modo seguro. Debe que dar de la siguiente manera ServerName webmail.sergio.com RewriteEngine On RewriteCond %{HTTPS} off RewriteRule (.*) https://webmail.sergio.com
Ahora para configurar el siguiente archivo (webmails) es necesario mover o copiar los parámetros de configuración encontrados en el fichero /etc/apache2/conf.d Damos mv /etc/apache2/conf.d /etc/apache2/sites-available/webmails Webmails Vamos al archivo nano /etc/apache2/sites-available/webmails El archivo debería quedar de la siguiente forma Alias /squirrelmail /usr/share/squirrelmail # users will prefer a simple URL like http://webmail.example.com NameVirtualHost *:80 DocumentRoot /usr/share/squirrelmail ServerName webmail.sergio.com ServerAdmin [email protected] SSLEngine on
81
Plataforma de correo segura SSLCertificateKeyFile ssl/webmail.key SSLCertificateFile ssl/webmail.crt SSLProtocol all SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL Options Indexes FollowSymLinks php_flag register_globals off php_flag register_globals off DirectoryIndex index.php # access to configtest is limited by default to prevent information leak order deny,allow allow from all SSLRequire %{SSL_CIPHER_USEKEYSIZE} >= 128 # redirect to https when available (thanks [email protected]) # # Note: There are multiple ways to do this, and which one is suitable for # your site's configuration depends. Consult the apache documentation if # you're unsure, as this example might not work everywhere. # # # # # RewriteEngine on # RewriteCond %{HTTPS} !^on$ [NC] # RewriteRule . https://%{HTTP_HOST}%{REQUEST_URI} [L] # # #
Ejecutamos el siguiente comando para crear el certificado. Openssl req -new -x509 -keyout /etc/apache2/ssl/webmail.key -out /etc/apache2/ssl/webmail.crt -days 365 –nodes
Damos permisos al archivo y lo copiamos a la siguiente ruta chmod600/etc/apache2/ssl/webmail.key cp /etc/apache2/ssl/* /etc/cups/ssl/ Ahora vamos a agregar el puerto de escucha para HTTPS a la configuración de apache. nano /etc/apache2/ports.conf Agregamos la siguiente linea:
82
Plataforma de correo segura Listen 443
Por ultimo habilitaremos los sitios anteriormente configurados. a2ensite http a2ensite https a2ensite webmail a2ensite webmails Ahora probaremos nuestro certificado vía web ingresamos a nuestro navegador y copiamos la URL de la MMC. http://debian.sergio.com/mmc.Y continuación aparecerá el certificado: Damos ok. Imagen 57- Certificados de los sitios web
Imagen 58- Ver Certificados
Elegimos la opcion ver certificado
83
Plataforma de correo segura
Imagen 59- Parámetros de los Certificados
Imagen 60- Aceptar los Certificados
Damos ok y como podemos ver nos a redireccionado a una pagina segura.
84
Plataforma de correo segura Imagen 61- Sitio Web seguro de MDS
Ahora tendremos que crear un alias para nuestro sitio Web (squirrelmail). Vamos al modulo network. Imagen 62- Crear un alias para el sitio web Squirrelmail
85
Plataforma de correo segura Y editamos la opcion debian de hostmane. Imagen 63- Edición de un miembro de la zona DNS
En la opción para el alias agregamos nuestro sitio “webmail” y confirmamos. Imagen 64- Agregar el nombre del Alias
86
Plataforma de correo segura Y como podemos ver se a agregado satisfactoriamente. Imagen 65. Creado el Alias del Squirrelmail
Ahora ingresar desde nuestro navegedor web, al squirrelmail. Copiamos la URL http://webmail.sergio.com y nos mostrara el certificado que anteriormente pudimos apreciar, y como podemos ver en la siguiente imagen nos a re direccionado a una pagina segura.
87
Plataforma de correo segura Imagen 66- Sitio Web seguro del Squirrelmail
88
Plataforma de correo segura
CONCLUCIONES En el proceso de la investigacion fuimos adquirendo conocimientos sobre la implementacion y la configuraicon tanto del MDS como los archivos necesarios para montar un servidor de correo. Nos dimos cuenta que este proyecto nos puede ayudar de una forma guiada a realizar nuevas investigaciones relacionadas con todo lo que tiene que ver con administracion de redes. Este trabajo fue realizado con fotos y explicaciones detalladas para lograr un buen entendimiento para todos aquellos puedan o quierea acceder a el.
NETGRAFIA http://www.howtoforge.com/mandriva-directory-server-on-debian-etch http://www.wikipedia.org http://wiki.red-sena.net
Agradecimientos especiales al Intructor del SENA Andres Mauricio Ortiz
89