En este trabajo podrás ver cada uno de los procesos que necesitas saber para

instalar un correo seguro en centos, veras la instalación del dovecot, el

postfix y el ldap que son 3 elementos que van conjuntamente para que tu
correo sea funcional totalmente, veras también como protegerlo de
cualquier ataque para que puedas brindarle seguridad a las personas que
quieran utilizarlo, también veras los lugares en donde , saque informacion
importante que en nuestro caso es la netgrafia y conceptos que debes
manejar de este tema para que puedas entender lo que vas a realizar.
El principal objetivo de la realización de este proyecto, es
dar a conocer como se realiza paso a paso la instalación
de un correo seguro basado en software libre. Con el fin
de brindar covertura y eficaz implementación, lo mas
destacado es el proceso y los protocolos empleados con
el fin de garantizar los tres aspectos principales de la
seguridad, como los son confidencialidad, disponibilidad
e integridad.
CentOS (Community ENTerprise Operating System) es un clon a nivel binario de
la distribución Linux Red Hat Enterprise Linux RHEL, compilado por voluntarios a
partir del código fuente liberado por Red Hat.
Red Hat Enterprise Linux se compone de software libre y código abierto, pero se
publica en formato binario usable (CD-ROM o DVD-ROM) solamente a
suscriptores pagados. Como es requerido, Red Hat libera todo el código
fuente del producto de forma pública bajo los términos de la Licencia pública
general de GNU y otras licencias. Los desarrolladores de CentOS usan ese código
fuente para crear un producto final que es muy similar al Red Hat Enterprise
Linux y está libremente disponible para ser bajado y usado por el público, pero
no es mantenido ni asistido por Red Hat. Existen otras distribuciones también
derivadas de los fuentes de Red Hat.
Postfix es un servidor de correo de software libre / código abierto, un
programa informático para el enrutamiento y envío de correo
electrónico, creado con la intención de que sea una alternativa más
rápida, fácil de administrar y segura al ampliamente utilizado
Sendmail. Anteriormente conocido como VMailer e IBM Secure Mailer,
fue originalmente escrito por Wietse Venema durante su estancia en
el Thomas J. Watson Research Center de IBM, y continúa siendo
desarrollado activamente.
LDAP son las siglas de Lightweight Directory Access Protocol (en
español Protocolo Ligero de Acceso a Directorios) que hacen
referencia a un protocolo a nivel de aplicación el cual permite el
acceso a un servicio de directorio ordenado y distribuido para buscar
diversa información en un entorno de red. LDAP también es
considerado una base de datos, aunque su sistema de
almacenamiento puede ser diferente, a la que pueden realizarse
consultas.
Dovecot es un servidor de IMAP y POP3 de código abierto para
sistemas GNU/Linux / UNIX-like, escrito fundamentalmente pensando en
seguridad. Desarrollado por Timo Sirainen, Dovecot fue liberado por
primera vez en julio del año 2002. Dovecot apunta fundamentalmente a
ser un servidor de correo de código abierto ligero, rápido, fácil de instalar y
por sobre todo seguro.
Domain Name System o DNS (en español: sistema de nombres de
dominio) es un sistema de nomenclatura jerárquica para computadoras,
servicios o cualquier recurso conectado a Internet o a una red privada.
Este sistema asocia información variada con nombres de
dominios asignado a cada uno de los participantes. Su función más
importante, es traducir (resolver) nombres inteligibles para los humanos
en identificadores binarios asociados con los equipos conectados a la red,
esto con el propósito de poder localizar y direccionar estos equipos
mundialmente.
Mozilla Thunderbird (anteriormente Minotaur) es un cliente de
correo electrónico de la Fundación Mozilla. Su objetivo es
desarrollar un Mozilla más liviano y rápido mediante la extracción y
rediseño del gestor de correo del Mozilla oficial. Es multiplataforma,
utiliza el lenguaje de interfaz XUL y es software libre.
Webmail, correo electrónico de sitio web, correo basado en web o
correo web, es un servicio que permite acceder a tu cuenta de correo
electrónico a través de una página web utilizando un navegador y sin
descargar los mensajes al propio ordenador.
Este servicio es muy útil, ya que puedes leer, enviar y organizar
tu correo electrónico desde cualquier ordenador, desde cualquier
parte del mundo, con conexión a Internet.
SASL: Siglas en inglés para Simple Authentication and Security Layer (capa
de seguridad y autenticación simple).
SASL es un framework para autenticación y autorización en protocolos de
internet. Separa los mecanismos de autenticación de los protocolos de la
aplicación permitiendo, en teoría, a cualquier protocolo de aplicación que
use SASL usar cualquier mecanismo de autenticación soportado por SASL.
A pesar de que mediante SASL sólo se maneja la autenticación (y se
requieren otros mecanismos --como por ejemplo TLS-- para cifrar el
contenido que se transfiere), SASL proporciona medios para un uso
negociado del mecanismo elegido.
Aquí agregamos la base de datos con “ldapadd” donde:
• -f es para verificar el archivo
• -D es para especificar el usuario con permisos del ldap
Terminado con:
• -x es para la autenticación simple
• -W para que pida la contraseña
Al realizar esto nos pedirá la contraseña la cual configuramos en el
paso anterior, así como mostramos en la imagen.
 Estando en el directorio
openldap vamos a darle:
• ls para listar todos los
archivos y hacemos una
copia del archivo
DB_CONFIG.example con
cp DB_CONFIG.example y
la ruta a donde vamos a
copiar el archivo y el
nombre con el que lo
queremos guardar en
nuestro caso es asi:
/var/lib/ldap/DB_CONFIG
Ahora lo que vamos a realizar es instalar el entorno grafico del
“ldap” entonces para ello nos dirigimos a el explorador de
“google” y buscamos ldap admint tool.
 Le damos en la primera opción la cual es la pagina oficial y nos
aparecerá una ventana como esta, para poder descargar el paquete
que necesitamos, y ya estando allí debemos darle clic en la opción
Download center lo cual estamos señalando arriba.
Aquí le daremos clic izquierdo en download, señalando la opción que
necesitamos en nuestro caso es la de linux 32 bit, tu tienes que
fijarte que sistema de linux tienes y cual te sirve y descargarlo.
• Después de haberle
dado en la opción
download, nos
dirigimos a guardarlo
para poder ejecutarlo
en el sistema
entonces damos clic
izquierdo en guardar
archivo
• Después de darle en la
opción guardar archivo
nos pedirá que le
demos la ruta donde lo
queremos guardar en
nuestro caso es en el
escritorio y también el
nombre pero si quieres
como nosotros lo
puedes dejar por
defecto y damos clic
izquierdo en la opción
guardar.
• Tenemos que esperar
varios minutos a que
termine su descarga
 • ya habiendo terminado la
descarga podemos cerrar esta
ventana y dirigirnos a nuestra
consola.
 Estando en la consola lo que
debemos realizar es entrar a el
directorio cd /home/leka/Desktop
y listamos los archivos que este
contiene con ls, allí lo que tenemos
que realizar es darle los permisos
con el comando chmod 777 y el
archivo a el cual se los queremos
dar, para mirar lo que hicimos con
el anterior comando debemos dar
ls –l y vemos que nuestro archivo
tiene todos los permisos.
 Ahora vamos a
comenzar con la
instalación de nuestro
ldap grafico para
comenzar a realizar esto
tenemos que darle el
comando “./ o sh”que es
este para ejecutarlo
procedido con nuestro
archivo y nos aparcera
el asistente que les
estamos señalando en
la imagen.
• Vemos como sigue
satisfactoria mente
nuestra instalación.
• La versión que estamos
instalando es la 5.4.0
• Pulsamos siguiente para
continuar con la
instalación.
• Leemos los
términos de la
instalación y si
estas de acuerdo
los Aceptamos .
• Continuamos con
la instalación
indicando si para
q se efectué.
 Aquí nos esta indicando que va a
instalar “Ldap Admin” en el
siguiente destino /usr/local/
LdapAdminTool pero si quieres lo
puedes modificar dando clic
izquierdo en la opción
“examinar” y para continuar le
daremos clic izquierdo en
siguiente.
 Aquí lo que nos esta
indicando es que se a
recopilado la información
necesaria, que si esta bien le
demos siguiente y si no atrás,
pero como esta bien lo que
tenemos que hacer es darle
clic izquierdo en siguiente.
 Aquí nos indica que hemos
concluido con la instalación
entonces lo único que
tenemos que realizar es darle
clic izquierdo en finalizar.
 Con esta herramienta
podemos administrar
gráficamente toda la unidad
de directorio del ldap, ahora
lo que vamos hacer es darle
clic izquierdo en “New
Connetion” para podernos
conectar con nuestro ldap.
Ahora vamos a llenar cada uno de los
espacios donde:
Connetion Name = es el nombre
que le queremos dar a la conexión
Hostname = es la dirección de looback
port = es el puerto por el cual
se realiza la conexión al ldap
este viene por defecto
Protocolo = LDAP v3
Este es el protocolo que utilizara ldap
también se puede utilizar la versión 2
(v2).
Y damos clic izquierdo en check
credentials y si todo esta correcto nos
debe aparecer valid credentials y
continuamos dando clic izquierdo en
next.
 imagen1
imagen2

Ahora lo que estamos mostrando en la imagen2 es donde debemos

entrar para poder llenar este campo que nos están pidiendo en la
imagen1 que es en el archivo de configuración del ldap “nano
/etc/openldap/slapd.conf”.
 imagen1
imagen2

Ya estando en el archivo de configuración del ldap podemos ver que

es lo que debemos poner, donde Manager es el usuario
administrador del ldap, en la parte de arriba de la imagen1 donde
estamos señalando nos esta mostrando un ejemplo de cómo debe
llenarse ese espacio en nuestro caso es
“cn=Manager,dc=helltec,dc=lab”.
Por ultimo nos pide el “password” el
cual pusimos cuando estábamos
configurando el archivo del ldap, la
ponemos y le damos clic izquierdo en
check credentials y si todo esta
correcto nos debe aparecer valid
credentials y continuamos dando clic
izquierdo en next.
 Esta es la imagen que nos
debe aparecer después del
paso anterior en la cual solo
debemos dar clic izquierdo en
“finish” para poder terminar
con nuestra conexión.
 Ahora vamos a crear un
usuario dando clic derecho a
la base que es
“dc=helltec,dc=lab” y clic
izquierdo en New Entry y
New User como mostramos
en la imagen.
Al hacer lo del paso anterior
nos debe aparecer el
siguiente asistente el cual
llenaremos de la siguiente
manera:
- Parent: “dc=helltec,dc=lab”
que es la base.
- RDN: cn = “leidy” que es el
nombre del nuevo usuarios
que vamos a crear
- Dn Preview:
“cn=leidy,dc=helltec,dc=lab”
que es el nombre del usuario
y la base y por ultimo clic
izquierdo en “Next”.
Aquí nos están pidiendo como
requisito poner un sn, en
nuestro caso pondre el apellido
que es “carrillo”, lo digitamos y
damos clic izquierdo en finish.
 Ya habiendo terminado,
hemos finalizado de crear
nuestro usuario, ya debe
aparecernos en ldap
grafico.
Bueno lo que vamos a
hacer es crear otro
usuario de la misma
forma como les
mostramos
anteriormente.
Seguimos el mismo
proceso mostrado
anteriormente.
Ahora lo que debes hacer
es buscar la opción que
dice “mail” la cual
estamos señalando en la
imagen, allí vamos a
agregar el correo del
usuario donde estemos
parados en nuestro caso
es leonardo@helltec.lab,
si has creado varios
usuarios debes hacer el
mismo procedimiento.
Bueno lo que están viendo
en esta Imagen es un
archivo descargado desde
internet “mail.schema”
para agregarle a el ldap.
 Aquí ya habiendo descargado el archivo lo que vamos hacer es copiarlo
donde debe estar entonces debemos darle el comando
“cp /home/leka/Desktop/archivos/mail.schema” que es la ruta donde
guardamos el archivo cuando lo estábamos descargado y donde lo vamos a
copiar que es en “/etc/openldap/schema” procedido por un intro.
 Ahora vamos a entrar a el archivo slapd.conf con el siguiente comando
“nano /etc/openldap/slapd.conf” donde vamos a agregar una línea para
que nos pueda coger lo que hicimos anteriormente “los schemas”.
 Agregamos la línea de la siguiente manera:
“include /etc/openldap/schema/mail.schema” que es donde se encuentra
nuestro archivo.
Y guardamos
Reiniciamos nuestro ldap con el siguiente comando
“/etc/init.d/ldap restart”.
Ahora estando en la consola del “ldap” grafico vamos a agregar unos
atributos entonces entramos como estamos señalando en la imagen.
Al señalar la opción que
les indicamos
anteriormente nos debe
aparecer este asistente,
primero que todo
debemos buscar la
palabra “mailAccount”,
señalarla y darle clic
derecho en “>>”.
 Ahora en la parte de
abajo , vamos a buscar la
palabra “maildrop” para
mirar si se encuentra y
damos clic izquierdo en
submit , para completar la
configuración de este
asistente.
 De pronto en el paso
anterior nos puede
aparecer “next en vez de
submit” y a continuación
esta pantalla en la cual
nos esta pidiendo de
requerimiento el mail.
Lo que debemos hacer es
copiar el correo que nos
esta pidiendo en nuestro
caso es leidy@helltec.lab
y por ultimo darle clic
izquierdo en “submit”
 Ahora ya habiendo
terminado lo del paso
anterior lo que tenemos
que hacer es buscar la
palabra “maildrop” y
agregarle el correo del
usuario donde estemos
parado en nuestro caso es
leidy@helltec.lab
Ahora vamos a entrar a el archivo “nano /etc/postfix/virtual_ldap.conf”
donde se integra el “ldap” con el “portfix”.
Vamos agregar en este archivo lo que les estamos mostrando en la imagen
donde lo que queremos decir es con “objectclass= que el usuario si
pertenezca al objeto de clase que le estamos indicando en nuestro caso es
“mailAccount” “mail=que el correo del usuario si sea el mismo”
“mailenable= que el usuario si este habilitado”
 Ahora estando en el
administrador del ldap
grafico lo que tienes que
hacer es buscar la palabra
“mailenable” donde vamos
a poner ok
 Ahora vamos a verificar con el comando “postmap –q” lo que hicimos en
el paso anterior , entonces digitamos “postmap –q leidy@helltec.lab
ldap://etc/postfix/virtual_ldap.conf” y si le pusimos ok nos debe mostrar
el correo.
Ahora ponemos “enable”
para mostrarles otra
opción.
 Ahora volvemos a verificar con el comando “postmap –q
leidy@helltec.lab ldap://etc/postfix/virtual_ldap.conf” y como le
pusimos “enable” no nos debe mostrar el correo.
Ahora vamos a agregarle
una contraseña entonces
buscamos la palabra
“userPassword” y la
señalamos.
 Ahora le damos clic
izquierdo en donde
estamos señalando en
la imagen.
 Al darle cilc en la opción
anterior nos debe aparecer
este asistente donde
debemos poner la
“contraseña” que
deseemos, procedido con
un clic izquierdo en “ok” y
así terminamos con la
configuración del ldap.
 POP: (Post Office Protocol) Protocolo de Oficina de Correos. Protocolo
diseñado para leer el correo electrónico almacenado en un servidor.
Permite recoger el correo electrónico en un servidor remoto (servidor
POP). Es necesario para las personas que no están permanentemente
conectadas a Internet, ya que así pueden consultar sus correos
electrónicos recibidos sin que ellos estén conectados.

 SMTP: protocolo Simple de Transferencia de Correo, es un protocolo

de la capa de aplicación. Protocolo de red basado en texto utilizado para
el intercambio de mensajes de correo electrónico entre computadoras
u otros dispositivos. MTP es un servicio complejo de correo a través de
servidores, usando un protocolo estándar para enviar y para recibir el
correo. pero un servidor del SMTP recibe y envía el correo, y los correos
que le llegan los envía de la misma manera que recibe, es decir, con el
SMTP.
 IMAP: (Internet Message Access Protocol) Protocolo de Acceso a
Mensajes de Internet. Protocolo diseñado para leer correo electrónico
Almacenado en un servidor.
IMAP permite administrar diversos accesos de manera simultánea.
IMAP permite administrar diversas bandejas de entrada.

IMAP brinda más criterios que pueden utilizarse para ordenar los correos
electrónicos.

 SSL: Secure Sockets Layer -Protocolo de Capa de Conexión Segura- (SSL)

y Transport Layer Security -Seguridad de la Capa de Transporte- (TLS),su
sucesor, son protocolos criptográficos que proporcionan comunicaciones
seguras por una red, comúnmente Internet. SSL proporciona autenticación
y privacidad de la información entre extremos sobre Internet mediante el
uso de criptografía. Habitualmente, sólo el servidor es autenticado (es
decir, se garantiza su identidad) mientras que el cliente se mantiene sin
autenticar, se usa en la mayoría de los casos junto a HTTP para formar
HTTPS.
 MDA: (Mail Delivery Agent) el cual es el encargado de llevar el correo a
su localización final, puede hacer filtrado antes de entregar el correo y
además maneja quotas de los buzones de correo (Maildir). MDA acepta
una parte del e-mail desde un Agente de transferencia de correo (MTA) y
realiza el envío real. El MDA recibe todo el correo entrante desde el MTA y
lo coloca en los buzones de los usuarios correspondientes. El MDA
también puede resolver temas de entrega final, como análisis de virus,
correo no deseado filtrado y manejo de acuses de recibo.

 MTA: El proceso Agente de transferencia de correo (MTA) se utiliza para

enviar correos electrónicos. el MTA recibe mensajes desde el MUA(usuario
de correo ) u otro MTA en otro servidor de e-mail. Según el encabezado del
mensaje, determina cómo debe reenviarse un mensaje para llegar a
destino. Si el correo está dirigido a un usuario cuyo buzón está en el
servidor local, el correo se pasa al MDA. Si el correo es para un usuario que
no está en el servidor local, el MTA en ruta el e-mail al MTA en el servidor
correspondiente.
 MUA: Agente de usuario de correo (MUA) o cliente de correo
electrónico. MUA permite enviar los mensajes y colocar los mensajes
recibidos en el buzón del cliente.
Diagramas de comunicación en un sistema de correo. Funcionalidad de
MUA, MTA, SMTP, MDA.

 Dominio: Un dominio de Internet es una red de identificación asociada a

un grupo de dispositivos o equipos conectados a la red Internet. El
propósito principal de los nombres de dominio en Internet y del sistema de
nombres de dominio (DNS), es traducir las direcciones IP de cada nodo
activo en la red, a términos memorizables y fáciles de encontrar. Esta
abstracción hace posible que cualquier servicio (de red) pueda moverse de
un lugar geográfico a otro en la red Internet, aun cuando el cambio
implique que tendrá una dirección IP diferente.
Sin la ayuda del sistema de nombres de dominio, los usuarios de Internet
tendrían que acceder a cada servicio web utilizando la dirección IP del nodo
(por ejemplo, sería necesario utilizar http://192.0.32.10 en vez
de http://example.com).
http://es.wikipedia.org/wiki/CentOS
http://es.wikipedia.org/wiki/Postfix
http://es.wikipedia.org/wiki/LDAP
http://es.wikipedia.org/wiki/Dovecot
http://es.wikipedia.org/wiki/Domain_Name_System
http://es.wikipedia.org/wiki/Mozilla_Thunderbird
http://www.masadelante.com/faqs/que-significa-webmail
http://es.wikipedia.org/wiki/SASL