Jesús David Martinez Alcon SEMIPRESENCIAL

Servidor de correo electrónico en Linux bajo HestiaCP

Esta es una de las partes de la administración de servicios que más nos va a facilitar el
uso de un panel como HestiaCP. La alternativa a usar un panel, es bastante farragosa,
consistiría como mínimo en instalar y configurar cada uno de estos elementos:

A ello hay que añadir los numerosos problemas que generan las políticas y requisitos
antispam de proveedores tan importantes como Gmail, el DKIM, las listas negras donde
nuestro dominio puede acabar al primer descuido, y un largo etcétera que dificulta
continuamente el mantenimiento del servicio de correo.

En HestiaCP todove es bastante más sencillo:

Como la instalación ha sido automática y nos hemos librado de una buena como
administradores, lo importante en este punto es saber los elementos instalados y los
conceptos más importantes. Busca información y explica en un párrafo o dos a los sumo
para cada cosa, los siguientes elementos y conceptos:

• SpamAssasin / ClamAV: Echa un ojo a estos proyectos OpenSource, su

funcionamiento general y ventajas más allá de su simple gratuidad.
Spamassassin es una herramienta para inspeccionar correos electrónicos que permite
determinar si se trata de un mensaje chatarra, mejor conocido como SPAM.

En este sentido Spamassasin es considerado un pre-procesador de correos, ya que la

inspección es llevada acabo en el servidor de correos previo a que el usuario descargue
su correo, así permitiendo una pre-clasificación de mensajes antes de utilizar una
herramienta en PC (Outlook, Eudora o Mozilla)

ClamAV es un software antivirus open source (de licencia GPL) para las plataformas
Windows, GNU/Linux, BSD, Solaris, Mac OS X y otros sistemas operativos semejantes
a Unix.

La función principal de ClamAV es la identificación y bloqueo del malware provieniente

del correo electrónico. Uno de las características principales en este tipo de software
es la rápida localización e inclusión en su base de nuevos virus encontrados y
escaneados. Esto se logra gracias a la colaboración de los miles de usuarios que usan
ClamAv y a múltiples sitios que proporcionan registros de virus escaneados.
• Exim con RoundCube: características y ventajas de ese servidor de entrega de
correo, protocolos con los que trabaja y su front-end
 Jesús David Martinez Alcon SEMIPRESENCIAL

Roundcube es un cliente de correo para ver los mensajes de correo (correo electrónico)
a través de una página web, pudiendo acceder desde cualquier navegador con acceso
a internet. Desde él es posible realizar todas las operaciones necesarias para gestionar
los correos e incluso usarlo como agenda de contactos y calendario.
• Dovecot: características y ventajas de ese servidor de recogida de correo y
protocolos con los que trabaja.

Dovecot es un servidor de correo electrónico IMAP y POP3 de código abierto para

sistemas tipo Linux / UNIX, escrito fundamentalmente pensando en seguridad.
Dovecot soporta los estándares mbox, Maildir y sus propios formatos nativos dbox de
alto desempeño. Es completamente compatible con implementaciones de servidores
UW IMAP y Courier IMAP, así como con clientes que accedan directamente a los
buzones de correo.

Dovecot también incluye un Agente de Entrega de Correo (llamado Local Delivery

Agent (agente de entrega local o LDA en la documentación de Dovecot) con un filtro de
apoyo Sieve opcional.

• DKIM: qué es y para qué sirve. Está soportado y resuelto en HestiaCP.

Todos los servidores de correo electrónico intentan bloquear los correos con un
remitente falso. Los estafadores simulan direcciones de remitentes de confianza y
conocidos por el receptor para colar, por ejemplo, un virus troyano o para convencer al
receptor a facilitar información sensible (phishing).

Uno de los métodos para comprobar la autenticidad del remitente es DKIM, un

concepto con el cual se verifican los correos con firma digital. DKIM es el acrónimo de
DomainKeys Identified Mail.

• Email blacklists. Qué son, por qué podemos caer en ellas y cómo comprobar si es
así en internet.
Una lista negra (BlackList) de correo electrónico es un procedimiento que permite
identificar nombres de dominio y/o direcciones IP que son utilizadas por los remitentes
de correo no deseado o SPAM , para comprobar si estas en la lista negra tu dominio o
ip https://www.blacklistalert.org/

De manera preliminar a la realización de la práctica, abre todos los puertos del grupo de
seguridad relacionados con el servicio de email: POP3, POP3S, IMAP, IMAPS, SMTP,
SMTPS
 Jesús David Martinez Alcon SEMIPRESENCIAL

CONFIGURACIÓN EN HESTIA

1. Dentro de HestiaCP, ve a la opción de MAIL y si no lo está, da de alta el dominio

dominio.tld para email (cada alumno tiene uno distinto) con todas las opciones activadas
y una vez dentro verás que tienes cero cuentas.

Crea una cuenta nueva llamada “pepe” cuyo buzón lógicamente será pepe@dominio.tld
(pero en realidad dominio.tld es el que tú tengas registrado)

Observa que en la parte derecha tienes todos los datos de configuración de cuenta para
un cliente de correo, si algún puerto no está abierto aún en el grupo de seguridad,
ábrelo. Entre las opciones pon un alias llamado “jose” y marca el reenvío de email a tu
dirección de correo del centro.
 Jesús David Martinez Alcon SEMIPRESENCIAL

Investiga para qué sirve el resto de opciones de creación de cuenta.

La opción quota es para el tamaño máximo del buzon,discart all mail(descarta todo el
correo) , do not store fowarded mail(no guarda los mails reenviados) y la ultima email
login credentials es para enviar a ese correo la crendenciales de conexión.

2. Antes de nada, deberemos dotar de ssl al email también (ya lo tenemos para web
pero no para email). Para ello editamos el dominio en la sección MAIL. Al marcar la
opción SSL nos advierte de que hay que crear unas entradas DNS, por lo que asegúrate
de que así es. Como en el caso de SSL para web, puede tardar un rato o requerir varios
reintentos.

3. Abre el webmail en el navegador (https://webmail.domain.tld) e inicia sesión con

pepe@dominio.tld. Verás un cliente de correo completo tipo gmail o hotmail.

Desde otra cuenta que NO sea tu dirección de correo del centro, envía un correo a
pepe@dominio.tld y otro a jose@dominio.tld y comprueba desde el webmail que el
correo llega. Dado que has puesto redirección, el email también te tiene que llegar a tu
cuenta de centro, aunque sea como Spam (dado que no estás entre los destinatarios).
Puede tardar o no llegar a producirse la recepción, puede ser normal, el correo es un
servicio bastante indeterminista debido a los esfuerzos por evitar el Spam.
 Jesús David Martinez Alcon SEMIPRESENCIAL

Igualmente manda un email desde el webmail de tu servidor a tu dirección de email del

centro y comprueba que te llega.

4. Dentro del webmail, en configuración, añade dos identidades más para la cuenta:
jose@dominio.tld y joseph@dominio.tld

Intenta enviar correo desde el webmail con cada una de las dos identidades a tu correo
de centro. ¿Funciona con la dos identidades? ¿Por qué?

CONFIGURACIÓN EN EXIM

5. Dentro de la pestaña de configuración superior entra para acceder a la

configuración de los servicios.

Ve al servicio Exim y entra en su configuración. En ella aparece el fichero de

configuración de forma similar a si lo editásemos directamente en la máquina.

La configuración está perfectamente orquestada para un envío eficaz de emails que

pasen los filtros de spam y virus. No es necesario tocar nada pero sí entenderlo para
posibilitar alteraciones si fuese necesario.
 Jesús David Martinez Alcon SEMIPRESENCIAL

6. En el primer bloque de configuración de EXIM es interesante encontrar las

opciones que especifican los puertos del SMTP, la ubicación de los certificados y claves
DKIM.

Indica para qué sirven los parámetros de configuración “rfc1413_query_timeout” e

“ignore_bounce_errors_after” en combinación con “timeout_frozen_after”.
Sirven para generar reglas en los mensajes tiempo de espera, tiempo de reintentos y
tiempo de bloqueo
Tiempo de espera de consulta = 0 s
Ignorar los errores de rebote después de = 2 dias
Fin del tiempo de espera congelado = 7 dias

7. Seguidamente viene la configuración de ACLs. Revisa la documentación de Exim

e indica para qué sirven.
 Jesús David Martinez Alcon SEMIPRESENCIAL

La CONFIGURACIÓN ACL especifica listas de control de acceso para correo SMTP

entrante. También podemos ver los límites impuestos a la ejecución de scripts por parte
de los usuarios (por ejemplo aviso si envías demasiados correos en que punto de avisa
y en qué punto te deniega el envío).

En acl_check_mail todas las verificaciones antes de enviar un email..

 Jesús David Martinez Alcon SEMIPRESENCIAL

La configuración para poner límites a los usarios autentificados por smtp en el servidor.

Y a continuación la configuración para la “carga” de los autentificadores de usuarios.

8. Un poco más adelante está la configuración de reenviadores “routers” de email

y “transports”. Indica la diferencia de utilidad entre ambos y explica para qué sirven los
routers “catchall”, “localuser”, “aliases”, “autoreplay” y “procmail”.

La diferencia de utilidad entre routers y transports es que los routers especifican como
han de ser gestionadas las direcciones de email y el transporte de qué manera se hace.
Por ejemplo un enrutador puede asignar una dirección a cualquier transporte.

El roueter catchall redirige cualquier mensaje, el localuser sólo los mensajes de usuarios
locales es decir dentro del propio dominio, aliases se encarga de gestionar los Alias, el
autoreplay los mensajes de respuesta automática y el procmail nos permite filtrar los
mensajes.

9. Lo siguiente es la configuración de reintentos, donde verás una línea como ésta:

# Address or Domain Error Retries

# ------------------------- -------
* * F,2h,15m; G,16h,1h,1.5; F,4d,6h

Indica, siguiendo la documentación, qué significa el campo “Retries” y para qué podría
servir especificar reintentos separadamente para diferentes dominios de envío de email.

La sección "RETRIES” (reintentar) del archivo de configuración de tiempo de ejecución

contiene una lista de reglas de reintento que controlan la frecuencia con la que Exim
intenta entregar mensajes que no se pueden entregar en el primer intento. Si no hay
reglas de reintento (la sección está vacía o no está presente), no hay reintentos. Si se
especifican reintentos separadamente para diferentes dominios se puede evitar la
sobrecarga del servidor por ejemplo al poner en diferentes momentos las
configuraciones.
 Jesús David Martinez Alcon SEMIPRESENCIAL

10. Finalmente, encontrarás la configuración “rewrite” que está en blanco. Revisa la

documentación de Exim y pon un ejemplo de para qué podría servir este apartado en un
caso real.

# Esta regla de reescritura es particularmente útil para los usuarios de acceso

telefónico que
# no tiene su propio dominio, pero podría ser útil para cualquiera.
# Busca la dirección real de todos los usuarios locales en un archivo
* @ + local_domains "$ {lookup {$ {local_part}} lsearch {/ etc / email-addresses} \
{$ value} fail} "Ffrs
# regla de reescritura idéntica para / etc / mailname
DEBCONFrewriteemailaddresses_mailnameDEBCONF

CONFIGURACIÓN EN DOVECOT

11. De igual manera que has accedido a la configuración de Exim, puedes acceder a
la de Dovecot, si bien está fraccionada en diferentes ficheros en la pantalla.

12. En el fichero 10-auth.conf comenta el significado de las opciones:

“!include authpasswdfile.conf.ext” -> incluye fichero de configuración externa de
contraseñas
“disable_plaintext_auth” desabilita o no el texto plano en contraseñas
“auth_mechanisms”. Método de autentificación del usuario.

En el caso de la primera, observa que el fichero referenciado lo tienes también más

abajo.

13. En 10-master.conf se pueden ver los protocolos utilizables y cómo se relaciona

con el sistema autentificación del sistema. Indica en qué fichero posterior se establece
la ubicación de los certificados SSL.
 Jesús David Martinez Alcon SEMIPRESENCIAL

CLIENTES DE EMAIL

14. Aunque la utilización de webmail es sencilla y conveniente, muchas veces es

necesario configurar la conexión con otros clientes de email tales como Outllook,
ThunderBird, dispositivos móviles Android, iOS, etc

Para ello es necesario recordar la configuración de cuenta que obtuvimos en el apartado

1, excepto el host que no suele ser correcto y usaremos dominio.tld
 Jesús David Martinez Alcon SEMIPRESENCIAL

15. Utiliza un cliente de PC como Thunderbird o Outlook para configurar el acceso a

la cuenta de pepe, utilizando los datos de configuración del apartado anterior. Prueba a
enviar y recibir un email a / desde la cuenta de pepe.

16. Configura la cuenta de pepe en un smartphone como cuenta de correo IMAP.

Prueba a enviar y recibir un email a / desde la cuenta de pepe.
De forma análoga al apartado anterior seria introducir los datos de imap en el
Smartphone pero como no me permite el servidor enviar correos por la limitación de
azure pues nada solo en forma teorica.

APARTADO OPCIONAL: MIGRACIÓN DE EMAIL

17. Un escenario muy común es la necesidad de migrar el contenido de cuentas desde

un servidor a otro. Habitualmente sucede desde un servicio como Gmail a un servidor
nuevo montado con un panel como HestiaCP.

Una herramienta común bajo línea de comandos en Linux es imapsync, que tiene su
documentación y ejemplos de uso en Ubuntu:

https://imapsync.lamiral.info/ y https://imapsync.lamiral.info/FAQ.d/FAQ.Gmail.txt
https://tecadmin.net/use-imapsync-on-ubuntu/

El objetivo de este apartado sería habilitar el acceso IMAP en tu cuenta de correo de

centro y, mediante la herramienta de sincronización ejecutada en un terminal SSH en el
servidor con HestiaCP, importar por completo tus correos a la cuenta de pepe en el
dominio.tld