En este trabajo podrás ver cada uno de los procesos que necesitas saber para
instalar un correo seguro en centos, veras la instalación del dovecot, el
postfix y el ldap que son 3 elementos que van conjuntamente para que tu correo sea funcional totalmente, veras también como protegerlo de cualquier ataque para que puedas brindarle seguridad a las personas que quieran utilizarlo, también veras los lugares en donde , saque informacion importante que en nuestro caso es la netgrafia y conceptos que debes manejar de este tema para que puedas entender lo que vas a realizar. El principal objetivo de la realización de este proyecto, es dar a conocer como se realiza paso a paso la instalación de un correo seguro basado en software libre. Con el fin de brindar covertura y eficaz implementación, lo mas destacado es el proceso y los protocolos empleados con el fin de garantizar los tres aspectos principales de la seguridad, como los son confidencialidad, disponibilidad e integridad. CentOS (Community ENTerprise Operating System) es un clon a nivel binario de la distribución Linux Red Hat Enterprise Linux RHEL, compilado por voluntarios a partir del código fuente liberado por Red Hat. Red Hat Enterprise Linux se compone de software libre y código abierto, pero se publica en formato binario usable (CD-ROM o DVD-ROM) solamente a suscriptores pagados. Como es requerido, Red Hat libera todo el código fuente del producto de forma pública bajo los términos de la Licencia pública general de GNU y otras licencias. Los desarrolladores de CentOS usan ese código fuente para crear un producto final que es muy similar al Red Hat Enterprise Linux y está libremente disponible para ser bajado y usado por el público, pero no es mantenido ni asistido por Red Hat. Existen otras distribuciones también derivadas de los fuentes de Red Hat. Postfix es un servidor de correo de software libre / código abierto, un programa informático para el enrutamiento y envío de correo electrónico, creado con la intención de que sea una alternativa más rápida, fácil de administrar y segura al ampliamente utilizado Sendmail. Anteriormente conocido como VMailer e IBM Secure Mailer, fue originalmente escrito por Wietse Venema durante su estancia en el Thomas J. Watson Research Center de IBM, y continúa siendo desarrollado activamente. LDAP son las siglas de Lightweight Directory Access Protocol (en español Protocolo Ligero de Acceso a Directorios) que hacen referencia a un protocolo a nivel de aplicación el cual permite el acceso a un servicio de directorio ordenado y distribuido para buscar diversa información en un entorno de red. LDAP también es considerado una base de datos, aunque su sistema de almacenamiento puede ser diferente, a la que pueden realizarse consultas. Dovecot es un servidor de IMAP y POP3 de código abierto para sistemas GNU/Linux / UNIX-like, escrito fundamentalmente pensando en seguridad. Desarrollado por Timo Sirainen, Dovecot fue liberado por primera vez en julio del año 2002. Dovecot apunta fundamentalmente a ser un servidor de correo de código abierto ligero, rápido, fácil de instalar y por sobre todo seguro. Domain Name System o DNS (en español: sistema de nombres de dominio) es un sistema de nomenclatura jerárquica para computadoras, servicios o cualquier recurso conectado a Internet o a una red privada. Este sistema asocia información variada con nombres de dominios asignado a cada uno de los participantes. Su función más importante, es traducir (resolver) nombres inteligibles para los humanos en identificadores binarios asociados con los equipos conectados a la red, esto con el propósito de poder localizar y direccionar estos equipos mundialmente. Mozilla Thunderbird (anteriormente Minotaur) es un cliente de correo electrónico de la Fundación Mozilla. Su objetivo es desarrollar un Mozilla más liviano y rápido mediante la extracción y rediseño del gestor de correo del Mozilla oficial. Es multiplataforma, utiliza el lenguaje de interfaz XUL y es software libre. Webmail, correo electrónico de sitio web, correo basado en web o correo web, es un servicio que permite acceder a tu cuenta de correo electrónico a través de una página web utilizando un navegador y sin descargar los mensajes al propio ordenador. Este servicio es muy útil, ya que puedes leer, enviar y organizar tu correo electrónico desde cualquier ordenador, desde cualquier parte del mundo, con conexión a Internet. SASL: Siglas en inglés para Simple Authentication and Security Layer (capa de seguridad y autenticación simple). SASL es un framework para autenticación y autorización en protocolos de internet. Separa los mecanismos de autenticación de los protocolos de la aplicación permitiendo, en teoría, a cualquier protocolo de aplicación que use SASL usar cualquier mecanismo de autenticación soportado por SASL. A pesar de que mediante SASL sólo se maneja la autenticación (y se requieren otros mecanismos --como por ejemplo TLS-- para cifrar el contenido que se transfiere), SASL proporciona medios para un uso negociado del mecanismo elegido. Aquí agregamos la base de datos con “ldapadd” donde: • -f es para verificar el archivo • -D es para especificar el usuario con permisos del ldap Terminado con: • -x es para la autenticación simple • -W para que pida la contraseña Al realizar esto nos pedirá la contraseña la cual configuramos en el paso anterior, así como mostramos en la imagen. Estando en el directorio openldap vamos a darle: • ls para listar todos los archivos y hacemos una copia del archivo DB_CONFIG.example con cp DB_CONFIG.example y la ruta a donde vamos a copiar el archivo y el nombre con el que lo queremos guardar en nuestro caso es asi: /var/lib/ldap/DB_CONFIG Ahora lo que vamos a realizar es instalar el entorno grafico del “ldap” entonces para ello nos dirigimos a el explorador de “google” y buscamos ldap admint tool. Le damos en la primera opción la cual es la pagina oficial y nos aparecerá una ventana como esta, para poder descargar el paquete que necesitamos, y ya estando allí debemos darle clic en la opción Download center lo cual estamos señalando arriba. Aquí le daremos clic izquierdo en download, señalando la opción que necesitamos en nuestro caso es la de linux 32 bit, tu tienes que fijarte que sistema de linux tienes y cual te sirve y descargarlo. • Después de haberle dado en la opción download, nos dirigimos a guardarlo para poder ejecutarlo en el sistema entonces damos clic izquierdo en guardar archivo • Después de darle en la opción guardar archivo nos pedirá que le demos la ruta donde lo queremos guardar en nuestro caso es en el escritorio y también el nombre pero si quieres como nosotros lo puedes dejar por defecto y damos clic izquierdo en la opción guardar. • Tenemos que esperar varios minutos a que termine su descarga • ya habiendo terminado la descarga podemos cerrar esta ventana y dirigirnos a nuestra consola. Estando en la consola lo que debemos realizar es entrar a el directorio cd /home/leka/Desktop y listamos los archivos que este contiene con ls, allí lo que tenemos que realizar es darle los permisos con el comando chmod 777 y el archivo a el cual se los queremos dar, para mirar lo que hicimos con el anterior comando debemos dar ls –l y vemos que nuestro archivo tiene todos los permisos. Ahora vamos a comenzar con la instalación de nuestro ldap grafico para comenzar a realizar esto tenemos que darle el comando “./ o sh”que es este para ejecutarlo procedido con nuestro archivo y nos aparcera el asistente que les estamos señalando en la imagen. • Vemos como sigue satisfactoria mente nuestra instalación. • La versión que estamos instalando es la 5.4.0 • Pulsamos siguiente para continuar con la instalación. • Leemos los términos de la instalación y si estas de acuerdo los Aceptamos . • Continuamos con la instalación indicando si para q se efectué. Aquí nos esta indicando que va a instalar “Ldap Admin” en el siguiente destino /usr/local/ LdapAdminTool pero si quieres lo puedes modificar dando clic izquierdo en la opción “examinar” y para continuar le daremos clic izquierdo en siguiente. Aquí lo que nos esta indicando es que se a recopilado la información necesaria, que si esta bien le demos siguiente y si no atrás, pero como esta bien lo que tenemos que hacer es darle clic izquierdo en siguiente. Aquí nos indica que hemos concluido con la instalación entonces lo único que tenemos que realizar es darle clic izquierdo en finalizar. Con esta herramienta podemos administrar gráficamente toda la unidad de directorio del ldap, ahora lo que vamos hacer es darle clic izquierdo en “New Connetion” para podernos conectar con nuestro ldap. Ahora vamos a llenar cada uno de los espacios donde: Connetion Name = es el nombre que le queremos dar a la conexión Hostname = es la dirección de looback port = es el puerto por el cual se realiza la conexión al ldap este viene por defecto Protocolo = LDAP v3 Este es el protocolo que utilizara ldap también se puede utilizar la versión 2 (v2). Y damos clic izquierdo en check credentials y si todo esta correcto nos debe aparecer valid credentials y continuamos dando clic izquierdo en next. imagen1 imagen2
Ahora lo que estamos mostrando en la imagen2 es donde debemos
entrar para poder llenar este campo que nos están pidiendo en la imagen1 que es en el archivo de configuración del ldap “nano /etc/openldap/slapd.conf”. imagen1 imagen2
Ya estando en el archivo de configuración del ldap podemos ver que
es lo que debemos poner, donde Manager es el usuario administrador del ldap, en la parte de arriba de la imagen1 donde estamos señalando nos esta mostrando un ejemplo de cómo debe llenarse ese espacio en nuestro caso es “cn=Manager,dc=helltec,dc=lab”. Por ultimo nos pide el “password” el cual pusimos cuando estábamos configurando el archivo del ldap, la ponemos y le damos clic izquierdo en check credentials y si todo esta correcto nos debe aparecer valid credentials y continuamos dando clic izquierdo en next. Esta es la imagen que nos debe aparecer después del paso anterior en la cual solo debemos dar clic izquierdo en “finish” para poder terminar con nuestra conexión. Ahora vamos a crear un usuario dando clic derecho a la base que es “dc=helltec,dc=lab” y clic izquierdo en New Entry y New User como mostramos en la imagen. Al hacer lo del paso anterior nos debe aparecer el siguiente asistente el cual llenaremos de la siguiente manera: - Parent: “dc=helltec,dc=lab” que es la base. - RDN: cn = “leidy” que es el nombre del nuevo usuarios que vamos a crear - Dn Preview: “cn=leidy,dc=helltec,dc=lab” que es el nombre del usuario y la base y por ultimo clic izquierdo en “Next”. Aquí nos están pidiendo como requisito poner un sn, en nuestro caso pondre el apellido que es “carrillo”, lo digitamos y damos clic izquierdo en finish. Ya habiendo terminado, hemos finalizado de crear nuestro usuario, ya debe aparecernos en ldap grafico. Bueno lo que vamos a hacer es crear otro usuario de la misma forma como les mostramos anteriormente. Seguimos el mismo proceso mostrado anteriormente. Ahora lo que debes hacer es buscar la opción que dice “mail” la cual estamos señalando en la imagen, allí vamos a agregar el correo del usuario donde estemos parados en nuestro caso es leonardo@helltec.lab, si has creado varios usuarios debes hacer el mismo procedimiento. Bueno lo que están viendo en esta Imagen es un archivo descargado desde internet “mail.schema” para agregarle a el ldap. Aquí ya habiendo descargado el archivo lo que vamos hacer es copiarlo donde debe estar entonces debemos darle el comando “cp /home/leka/Desktop/archivos/mail.schema” que es la ruta donde guardamos el archivo cuando lo estábamos descargado y donde lo vamos a copiar que es en “/etc/openldap/schema” procedido por un intro. Ahora vamos a entrar a el archivo slapd.conf con el siguiente comando “nano /etc/openldap/slapd.conf” donde vamos a agregar una línea para que nos pueda coger lo que hicimos anteriormente “los schemas”. Agregamos la línea de la siguiente manera: “include /etc/openldap/schema/mail.schema” que es donde se encuentra nuestro archivo. Y guardamos Reiniciamos nuestro ldap con el siguiente comando “/etc/init.d/ldap restart”. Ahora estando en la consola del “ldap” grafico vamos a agregar unos atributos entonces entramos como estamos señalando en la imagen. Al señalar la opción que les indicamos anteriormente nos debe aparecer este asistente, primero que todo debemos buscar la palabra “mailAccount”, señalarla y darle clic derecho en “>>”. Ahora en la parte de abajo , vamos a buscar la palabra “maildrop” para mirar si se encuentra y damos clic izquierdo en submit , para completar la configuración de este asistente. De pronto en el paso anterior nos puede aparecer “next en vez de submit” y a continuación esta pantalla en la cual nos esta pidiendo de requerimiento el mail. Lo que debemos hacer es copiar el correo que nos esta pidiendo en nuestro caso es leidy@helltec.lab y por ultimo darle clic izquierdo en “submit” Ahora ya habiendo terminado lo del paso anterior lo que tenemos que hacer es buscar la palabra “maildrop” y agregarle el correo del usuario donde estemos parado en nuestro caso es leidy@helltec.lab Ahora vamos a entrar a el archivo “nano /etc/postfix/virtual_ldap.conf” donde se integra el “ldap” con el “portfix”. Vamos agregar en este archivo lo que les estamos mostrando en la imagen donde lo que queremos decir es con “objectclass= que el usuario si pertenezca al objeto de clase que le estamos indicando en nuestro caso es “mailAccount” “mail=que el correo del usuario si sea el mismo” “mailenable= que el usuario si este habilitado” Ahora estando en el administrador del ldap grafico lo que tienes que hacer es buscar la palabra “mailenable” donde vamos a poner ok Ahora vamos a verificar con el comando “postmap –q” lo que hicimos en el paso anterior , entonces digitamos “postmap –q leidy@helltec.lab ldap://etc/postfix/virtual_ldap.conf” y si le pusimos ok nos debe mostrar el correo. Ahora ponemos “enable” para mostrarles otra opción. Ahora volvemos a verificar con el comando “postmap –q leidy@helltec.lab ldap://etc/postfix/virtual_ldap.conf” y como le pusimos “enable” no nos debe mostrar el correo. Ahora vamos a agregarle una contraseña entonces buscamos la palabra “userPassword” y la señalamos. Ahora le damos clic izquierdo en donde estamos señalando en la imagen. Al darle cilc en la opción anterior nos debe aparecer este asistente donde debemos poner la “contraseña” que deseemos, procedido con un clic izquierdo en “ok” y así terminamos con la configuración del ldap. POP: (Post Office Protocol) Protocolo de Oficina de Correos. Protocolo diseñado para leer el correo electrónico almacenado en un servidor. Permite recoger el correo electrónico en un servidor remoto (servidor POP). Es necesario para las personas que no están permanentemente conectadas a Internet, ya que así pueden consultar sus correos electrónicos recibidos sin que ellos estén conectados.
SMTP: protocolo Simple de Transferencia de Correo, es un protocolo
de la capa de aplicación. Protocolo de red basado en texto utilizado para el intercambio de mensajes de correo electrónico entre computadoras u otros dispositivos. MTP es un servicio complejo de correo a través de servidores, usando un protocolo estándar para enviar y para recibir el correo. pero un servidor del SMTP recibe y envía el correo, y los correos que le llegan los envía de la misma manera que recibe, es decir, con el SMTP. IMAP: (Internet Message Access Protocol) Protocolo de Acceso a Mensajes de Internet. Protocolo diseñado para leer correo electrónico Almacenado en un servidor. IMAP permite administrar diversos accesos de manera simultánea. IMAP permite administrar diversas bandejas de entrada.
IMAP brinda más criterios que pueden utilizarse para ordenar los correos electrónicos.
SSL: Secure Sockets Layer -Protocolo de Capa de Conexión Segura- (SSL)
y Transport Layer Security -Seguridad de la Capa de Transporte- (TLS),su sucesor, son protocolos criptográficos que proporcionan comunicaciones seguras por una red, comúnmente Internet. SSL proporciona autenticación y privacidad de la información entre extremos sobre Internet mediante el uso de criptografía. Habitualmente, sólo el servidor es autenticado (es decir, se garantiza su identidad) mientras que el cliente se mantiene sin autenticar, se usa en la mayoría de los casos junto a HTTP para formar HTTPS. MDA: (Mail Delivery Agent) el cual es el encargado de llevar el correo a su localización final, puede hacer filtrado antes de entregar el correo y además maneja quotas de los buzones de correo (Maildir). MDA acepta una parte del e-mail desde un Agente de transferencia de correo (MTA) y realiza el envío real. El MDA recibe todo el correo entrante desde el MTA y lo coloca en los buzones de los usuarios correspondientes. El MDA también puede resolver temas de entrega final, como análisis de virus, correo no deseado filtrado y manejo de acuses de recibo.
MTA: El proceso Agente de transferencia de correo (MTA) se utiliza para
enviar correos electrónicos. el MTA recibe mensajes desde el MUA(usuario de correo ) u otro MTA en otro servidor de e-mail. Según el encabezado del mensaje, determina cómo debe reenviarse un mensaje para llegar a destino. Si el correo está dirigido a un usuario cuyo buzón está en el servidor local, el correo se pasa al MDA. Si el correo es para un usuario que no está en el servidor local, el MTA en ruta el e-mail al MTA en el servidor correspondiente. MUA: Agente de usuario de correo (MUA) o cliente de correo electrónico. MUA permite enviar los mensajes y colocar los mensajes recibidos en el buzón del cliente. Diagramas de comunicación en un sistema de correo. Funcionalidad de MUA, MTA, SMTP, MDA.
Dominio: Un dominio de Internet es una red de identificación asociada a
un grupo de dispositivos o equipos conectados a la red Internet. El propósito principal de los nombres de dominio en Internet y del sistema de nombres de dominio (DNS), es traducir las direcciones IP de cada nodo activo en la red, a términos memorizables y fáciles de encontrar. Esta abstracción hace posible que cualquier servicio (de red) pueda moverse de un lugar geográfico a otro en la red Internet, aun cuando el cambio implique que tendrá una dirección IP diferente. Sin la ayuda del sistema de nombres de dominio, los usuarios de Internet tendrían que acceder a cada servicio web utilizando la dirección IP del nodo (por ejemplo, sería necesario utilizar http://192.0.32.10 en vez de http://example.com). http://es.wikipedia.org/wiki/CentOS http://es.wikipedia.org/wiki/Postfix http://es.wikipedia.org/wiki/LDAP http://es.wikipedia.org/wiki/Dovecot http://es.wikipedia.org/wiki/Domain_Name_System http://es.wikipedia.org/wiki/Mozilla_Thunderbird http://www.masadelante.com/faqs/que-significa-webmail http://es.wikipedia.org/wiki/SASL