PROYECTO

PLATAFORMA DE CORREOS

Administración de Redes de Computadores

Presentado por:
Rafael Emiro Vega Tirado.
Jeyson Andrey Henao Alvarez.
Jonathan Andrés Loaiza García.
César Pineda.
Marcela

Grupo: 9 HELP LAN

Presentado a:
Prof. Andrés Mauricio Ortiz.

Servicio Nacional de Aprendizaje “SENA”

Regional Antioquia
Centro de Servicios y Gestión Empresarial.

2008
 Proyecto Plataforma de Correos.

INTRODUCCIÓN

En éste proyecto presentaremos una guía avanzada de cómo instalar y

configurar una plataforma o sistema de correos segura utilizando el MTA
Postfix, Dovecot (IMAP y POP3), Amavis-New (Spamassassin y ClamAV), TLS,
OpenSSL, SASL, Squirrelmail. De igual forma, se debe instalar y configurar un
Servicio de Directorios para poder autenticar y almacenar la base de datos de
los usuarios, para esto se utilizará la base de datos de OpenLDAP la cual será
administrada desde el servicio de directorio de Mandriva Directory Server. Todo
lo anterior estará instalado y configurado sobre el Sistema Operativo
GNU/Linux Debian.

2
 Proyecto Plataforma de Correos.

OBJETIVOS

OBJETIVO GENERAL

Se debe diseñar, implementar y gestionar un sistema o plataforma de correos

en el Sistema Operativo GNU/Linux Debian.

OBJETIVOS ESPECÍFICOS

Se debe presentar un manual de configuración del sistema de correos. En cuyo

manual se debe tener en cuenta los siguientes objetivos en lo que se enfocará
el proyecto.
• Cifrar el tráfico entre usuarios y servidor.
• Validar los usuarios contra un sistema de directorios.
• Almacene los correos de los usuarios en un sistema de directorios.
• Permita configurar usuarios y dominios virtuales.
• Soporte un sistema de antivirus, antispam y antimawalre.
• Soporte administración gráfica.
• Soporte acceso POP, IMAP y Webmail (Realizarlo de forma segura con
SSL).

3
 Proyecto Plataforma de Correos.

CONCEPTOS TEÓRICOS

Postfix.

Es un MTA (Mail Transportation Agent, Agente de Transporte de Correo) de

código abierto, utilizado para el envío de correos electrónicos utilizando el
protocolo en SMTP (Simple Mail Transfer Protocol), el cual pretende ser fácil en
su administración, ser rápido y, algo importante, ser compatible con otros MTA
como Sendmail.
Postfix no es un programa monolítico, sino que utiliza una gran combinación de
paquetes; dichos paquetes cumple una función específica en los parámetros de
configuración.
• SMTP: (Simple Mail Transfer Protocol, Protocolo Simple de
Transferencia de Correos). El cual se basa en el intercambio de correos
electrónicos entre equipos de cómputo, entre otros dispositivos como los
son los celulares, PDA´s, etc. Éste se basa en la estructura Cliente-
Servidor. Trabaja por el puerto 25

Dovecot.

Simplemente es un Servidor POP/IMAP.

• POP: (Simple Mail Transfer Protocol), utilizado en los clientes locales de
correo con el fin de obtener los correos almacenados en un servidor
remoto, de ésta forma, los correos se pueden guardar en el equipo
cliente, aunque nada impide dejar los correos en el servidor. Trabaja en
el puerto 110
• IMAP: (Internet Message Access Protocol), Es más complejo y obtiene
ciertas ventajas sobre POP por ejemplo: Permite visualizar los correos
remotamente y no descargarlos al equipo cliente como lo hace POP, de
tal forma que si se borra un mensaje desde un usuario se borrará en el
servidor, si abrimos un mensaje desde el cliente también se abrirá en el
servidor. Trabaja en el puerto 143

4
 Proyecto Plataforma de Correos.

AMAVIS-NEW

Es una interfaz entre el MTA y los filtros de contenido (ClamAV Y

Spamassassin). Se comunican mediante con el MTA mediante el protocolo
SMTP o LMTP. Trabajan por el puerto 10025
• Spamassassin: Es un filtro de correos, el cual cumple la función de
identificar el spam mediante el análisis del texto contenido en el
mensaje.
• ClamaAV: Éste paquete cumple la función de escanear el texto y los
archivos adjuntos del mensaje, de ésta forma el ClamAV bloquea los
malware o códigos maliciosos. La base de datos de éste se encuentra
permanentemente actualizada.

SASL

Es un Framework utilizado para la autenticación y autorización de protocolos de

red. Sin embargo requiere mecanismos de ayuda como lo es TLS para realizar
el cifrado de los datos al momento de ser transferidos.

SSL Y TLS

Secure Sockets Layer/Protocolo de Capa de Conexión Segura y Transportation

Layer Security/Seguridad de la Capa de Transporte. Proporcionan seguridad en
la red mediante el cifrado de la comunicación. Postfix/TLS no implementa por sí
mismo TLS, éste debe utilizar un paquete adicional: OpenSSL. Corren por el
puerto 636

SQUIRRELMAIL

Es un WebMail (MUA) o cliente Web, el cual cumple la función de revisar y

enviar correos desde una interfaz Web.

5
 Proyecto Plataforma de Correos.

MANDRIVA DIRECTORY SERVER “MDS”

Es una plataforma de directorio o servicio de directorio basado en OpenLDAP

diseñado para cumplir la función de gestionar identidades, control de acceso a
la información, definir políticas administrativas en la red, administración de
servios de red, las aplicaciones y la configuración de los usuarios. Éste servicio
de directorio puede correr sobre diferentes distribuciones de Linux, en pocas
palabras, se puede instalar y configurar tanto en la distribución de Linux
Mandriva como en Linux Debian, entre otras.
Se puede dar una breve explicación mediante la siguiente gráfica a cerca del
funcionamiento de éste.

6
 Proyecto Plataforma de Correos.

DESCRIPCIÓN DE LOS PAQUETES A UTILIZAR

Para la instalación del MDS junto con la plataforma de correo se deben instalar
ciertos paquetes, por consiguiente, se deberá realizar una pequeña explicación
de la función de cada paquete.

• Mmc-web-base mmc-web-mail mmc-web-network mmc-web-proxy

mmc-web-samba mmc-agent: Son los paquetes utilizados para la
administración gráfica del servicio de directorios como tal.
• Python-mmc-plugins-tools python-mmc-base python-mmc-mail
python-mmc-network python-mmc-proxy python-mmc-samba: Son
las librerías de Python (Lenguaje de programación), utilizados para
comprender el lenguaje de los paquetes mmc.
• Postfix: es el MTA como tal.
• Postfix-ldap: es el esquema del Postfix con el fin de ser utilizado para
ser poblado en la base de datos del LDAP.
• Dovecot-common, dovecot-imapd, dovecot-pop3d: Contienen los
servicios de POP3 e IMAP.
• Amavisd-new: Es el paquete que contiene la interfaz entre el MTA y los
filtros.
• Lzop, zoo, unzip, unrar, unzoo, arj, gzip, bzip2, nomarch: Utilidades
compresor de archivos.
• Razor, pyzor, dcc: Son las bases de datos, ubicadas en Internet, que
contienen las listas de spam. De ésta forma Éstos le indican a
Spamassassin qué debe detectar como spam.
• Sasl2-bin, libsasl2, libsasl2-modules: Utilizado para la autenticación y
autorización de algunos protocolos de red, depende de sus respectivas
librerías.
• Dhcp3-server, dhcp3-server-ldap, bind9: Son los paquetes que
contienen los servicios de DHCP y DNS y su respectivos paquetes para
ser poblados al LDAP.

7
 Proyecto Plataforma de Correos.

• Clamav, clamav-daemon: Es el paquete que instala el Antivirus para el

servidor de correos.
• Spamassassin: Es el paquete del Antispam para el servidor de correos.
• Slapd: Es el paquete del LDAP.
• Samba, smbclient, smbldap-tools: Samba es el servidor como tal,
smbclient es el cliente de samba y el paquete sambldap-tools es el que
define cómo se conectará el Samba con el LDAP.

PAQUETES PARA LA UTILIZACIÓN DE IMPRESORAS

Los paquetes que se describirán a continuación, son utilizados para trabajar

con impresoras, todo depende de los requerimientos que tengamos.

• Cupsys, cupsys-client: Son paquetes de soporte para la utilización de

las impresoras en red.
• Gutenprint: Es un manejador de Cups.
• Foomatic-db-engine foomatic-db foomatic-db-hpijs foomatic-db-
foomatic-filters foomatic-filters-ppds: Son paquetes utilizados para
configurar impresoras comunes para ser utilizadas en Debian.
• Linuxprinting.org-ppds: Herramienta de impresión de archivos PPD.
• Fontconfig: Éste paquete es utilizado para localizar tipografías en el
sistema y seleccionarlas según los requerimientos especificados por las
aplicaciones.
• Hpijs-ppds: Describe a todas las impresoras que no son postscript que
no están soportadas por linuxprintig.org.
• Libdbd-ldap-perl libnet-ph-perl libnet-snpp-perl libnet-telnet-perl lib-
net-dns-perl ldap-utils libnss-ldap libpam-ldap: Son librerías que el
LDAP necesita.
• Hplip libusb-dev python-dev python-reportlab libcupsys2-dev libj-
peg62-dev libsnmp9-dev lsb-core: En el caso que se necesiten los pa-
quetes para una impresora HP.

8
 Proyecto Plataforma de Correos.

INSTALACIÓN Y CONFIGURACIÓN

1 Preparación del Sistema.

1.1 Nuestra máquina contará con las siguientes especificaciones:

Hostname: server1.grupo9.com
Samba Domain: GRUPO9
IP: 192.168.0.19
Gateway: 192.168.0.1
Passwords Para Todo: sena2008

1.2 Hostname: Editar el archivo hosts con el fin de que nuestra máquina nos
resuelva localmente por ahora.

#pico /etc/hosts
El archive debe quedar de ésta forma:

127.0.0.1 localhost.localdomain localhost

192.168.0.19 server1.grupo9.com server1

# The following lines are desirable for IPv6 capable hosts

::1 ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
ff02::3 ip6-allhosts

Proceder a poner como nombre a nuestra máquina server1.grupo9.com el cual

se define en el archivo hostname

#echo server1.grupo9.com > /etc/hostname

Luego reiniciamos el sistema para que aplique los cambios efectuados.

#reboot

9
 Proyecto Plataforma de Correos.

Probamos de la siguiente forma si los cambios fueron aplicados.

Para ver el nombre de nuestra máquina.

#hostname
Para probar si nuestra propia máquina está resolviendo nuestro nombre de
host.
#hostname –f

En ambos resultados nos debe mostrar lo siguiente.

server1.grupo9.com

1.3 Filesystem ACL´s.

Se debe agregar ACL´s al Filesystem a nuestro punto de montaje “/”, con el fin
de que SAMBA sea capaz de examinar los ficheros ACL dentro de nuestro
servidor y así pueda almacenar los directorios, archivos y home´s de cada
usuario.

Editar el archivo fstab.

#pico /etc/fstab

Agregar la palabra opcion ACL en el punto de montaje. Debe quedar de la

siguiente forma:

# /etc/fstab: static file system information.

#
# <file system> <mount point> <type> <options> <dump> <pass>
proc /proc proc defaults 0 0
/dev/sda1 / ext3 defaults,acl,errors=remount-ro 0 1
/dev/sda5 none swap sw 0 0
/dev/hdc /media/cdrom0 udf,iso9660 user,noauto 0 0
/dev/fd0 /media/floppy0 auto rw,user,noauto 0 0

Debemos remontar el punto de montaje “/” para que aplique los cambios.
#mount –o remount /

10
 Proyecto Plataforma de Correos.

Para probar si los cambios fueron realizados, digitamos el siguiente comando.

#mount –l

Debe aparecer una línea parecida a ésta.

/dev/sda1 on / type ext3 (rw,acl,errors=remount-ro)

2 REPOSITORIOS

Para instalar los paquetes requeridos para realizar éste trabajo se deben utili-
zar los siguientes repositorios, los cuales habilitamos en el archivo sources.list

#pico /etc/apt/sources.list

Agregar los siguientes repositorios.

# MDS repository
deb http://mds.mandriva.org/pub/mds/debian etch main
# Debian Volatile
deb http://volatile.debian.org/debian-volatile etch/volatile main contrib non-free
# Debian Etch Backports
deb http://www.backports.org/debian etch-backports main
#OTROS
deb http://ftp.es.debian.org/debian/ etch main contrib non-free
deb ftp://ftp.us.debian.org/debian sarge main contrib non-free

Antes de actualizar la lista de repositorios, debemos pedir una key para poder
descargar los paquetes Backports.

#wget -O - http://backports.org/debian/archive.key | apt-key add -

Luego se procede a actualizar la lista de repositories.

#apt-get update

11
 Proyecto Plataforma de Correos.

INSTALACIÓN DE LOS PAQUETES A UTILIZAR

Se procede a instalar los siguientes paquetes para luego empezar a configurar
los respectivos archivos de configuración.

apt-get install mmc-web-base mmc-web-mail mmc-web-network mmc-web-proxy

mmc-web-samba mmc-agent python-mmc-plugins-tools python-mmc-base python-
mmc-mail python-mmc-network python-mmc-proxy python-mmc-samba postfix post-
fix-ldap sasl2-bin libsasl2 libsasl2-modules amavisd-new libdbd-ldap-perl libnet-ph-
perl libnet-snpp-perl libnet-telnet-perl lzop nomarch zoo clamav clamav-daemon gzip
bzip2 unzip unrar-free unzoo arj spamassassin libnet-dns-perl razor pyzor dcc-client
slapd ldap-utils libnss-ldap libpam-ldap dhcp3-server dhcp3-server-ldap bind9 samba
smbclient smbldap-tools cupsys cupsys-client foomatic-db-engine foomatic-db fooma-
tic-db-hpijs foomatic-db-gutenprint foomatic-filters foomatic-filters-ppds fontconfig
hpijs-ppds linuxprinting.org-ppds

En éste paso procedemos a realizar la configuración inicial del LDAP y el Post-

fix.

Digitar la contraseña para la base de datos LDAP “sena2008”.

12
 Proyecto Plataforma de Correos.

Confirmamos la contraseña “sena2008”.

13
 Proyecto Plataforma de Correos.

Seleccionamos “Aceptar”. Para mayor información, lea el aviso que muestra la

imagen.

Digitar el nombre del grupo de trabajo “GRUPO9”. Éste nombre trabaja como
un nombre Netbios.

14
 Proyecto Plataforma de Correos.

Escoger la opción “<NO>”. Con esto damos la opción que no queremos

actualizaciones dinámicas para el Samba por parte del DHCP.

Se procede a la configuración inicial del servicio de Postfix “Aceptar”.

15
 Proyecto Plataforma de Correos.

Escogemos la opción “Sitio de Internet”, con el fin de que nuestro servicio de

correo se vea a través de Internet, claro está, por medio de un dominio.

Digitar el nombre de correo “server1.grupo9.com”

16
 Proyecto Plataforma de Correos.

Identificado de Recuros para el Servidor LDAP. Digitar “ldap://127.0.0.1/”, con el

fin de contactar al LDAP por medio de dicha IP y pueda ser contactado.

Digitar el Nombre Distintivo (DN) “dc=grupo9,dc=com”, el cual será utilizado

para la base de búsqueda.

17
 Proyecto Plataforma de Correos.

Vesión de LDAP a utilizar “3” Se debe utilizar la versión más reciente que esté
disponible.

Cuenta LDAP para root “cn=admin.,dc=grupo9,dc=com”. Con el fin de definir la

cuenta para el root, el cual tendrá todos lo privilegios para el LDAP.

18
 Proyecto Plataforma de Correos.

Contraseña para la cuenta LDAP de root “sena2008”.

Éste mensaje indica que el archivo nsswitch.conf no se gestiona

automáticamente, por lo tanto, mas adelante debemos modificarlo
manualmente.

19
 Proyecto Plataforma de Correos.

Make local root Database admin. “<No>”. Indica si solo el root puede ver la
base de datos del LDAP.

¿Hace falta un usuario para acceder a la base de datos LDAP? “<No>” Se

utiliza para permitir a otros usuarios acceder a la base de datos LDAP.

20
 Proyecto Plataforma de Correos.

Ahora procedemos a instalar los paquetes del Dovecot (POP3 e IMAP).

#apt-get install -t etch-backports dovecot-common dovecot-imapd dovecot-pop3d

La opción “apt-get install -t” da la opción de copiar todas la fuentes de

argumento dentro del directorio; en éste caso copiará todas las fuentes del
direcorio etch-backport, el cual está especificado en la lista de repositorios.

Si se requiere, se procede a instalar los paquetes para el soporte de las

impresoras HP.

#apt-get install hplip libusb-dev python-dev python-reportlab libcupsys2-dev libjpeg62-

dev libsnmp9-dev lsb-core

CONFIGURACIONES

Se procede copiar los el esquema del Mail, Samba, MMC, Printer, DNS, DHCP
y agregarlos al squema del LDAP.

#cp /usr/share/doc/python-mmc-base/contrib/ldap/mmc.schema /etc/ldap/schema/

#cp /usr/share/doc/python-mmc-base/contrib/ldap/mail.schema /etc/ldap/schema/
#zcat /usr/share/doc/python-mmc-base/contrib/ldap/samba.schema.gz >
/etc/ldap/schema/samba.schema
#zcat /usr/share/doc/python-mmc-base/contrib/ldap/printer.schema.gz >
/etc/ldap/schema/printer.schema
#zcat /usr/share/doc/python-mmc-base/contrib/ldap/dnszone.schema.gz >
/etc/ldap/schema/dnszone.schema
#zcat /usr/share/doc/python-mmc-base/contrib/ldap/dhcp.schema.gz >
/etc/ldap/schema/dhcp.schema

Debemos indicarle al LDAP que acepte los esquemas que acabamos de copiar,
para esto editamos el archivo sldap.conf.
#pico /etc/ldap/slapd.conf

21
 Proyecto Plataforma de Correos.

De ésta forma, procedemos a incluir las listas de los esquemas que copiamos
anteriormente.

include /etc/ldap/schema/mmc.schema
include /etc/ldap/schema/samba.schema
include /etc/ldap/schema/printer.schema
include /etc/ldap/schema/mail.schema
include /etc/ldap/schema/dnszone.schema
include /etc/ldap/schema/dhcp.schema

Sin embargo, debemos habilitar éstas líneas agregadas, por lo que debemos
incluri la siguiente línea debajo de éstas.
schemacheck on

Se debe cifrar la contraseña del Admin LDAP, ya que en el momento de la

instación no se cifró. Esto se hace con el fin de darle seguridad a la clave de
acceso para el administrador. La contraseña se encripta en el formato SSHA.
#slappasswd –s sena2008

Deba aparecer algo parecido a esto.

{SSHA}lPd5OeiUGx4lyZUiQ2MFmzXV0JWyKV9A

Abrir el archivo de configuración del LDAP para agregar ésta clave encriptada.
#pico /etc/ldap/sldap.conf

Buscar la línea que dice rootdn, y descoméntela, de tal forma que quede así.
rootdn "cn=admin,dc=grupo9,dc=com"
Y Agrege debajo de ésta la linea rootpw junto con la clave del Admin LDAP
encriptada que originamos.
rootpw {SSHA}lPd5OeiUGx4lyZUiQ2MFmzXV0JWyKV9A

Dentro del mismo archivo, buscar la siguiente opción.

index objectClass eq
Bórrela y agregue las siguientes.

22
 Proyecto Plataforma de Correos.

index objectClass,uidNumber,gidNumber eq
index cn,sn,uid,displayName pres,sub,eq
index memberUid,mail,givenname eq,subinitial
index sambaSID,sambaPrimaryGroupSID,sambaDomainName eq
index zoneName,relativeDomainName eq
index dhcpHWAddress,dhcpClassData eq

Debemos definir las listas de acceso que samba tendrá sobre el LDAP. De ésta
forma, buscamos y cambiamos la linea que dice.
access to attrs=userPassword,shadowLastChange
Por ésta.
access to attrs=userPassword,sambaLMPassword,sambaNTPassword

El archive sldap.conf debe de quedar de ésta forma.

23