24/11/2015

InstalacinyconfiguracindePostfixyDovecotconsoporteparaTLSyautenticacin.AlcanceLibre

Nuevo Usuario |

Entrar

La libertad del conocimiento al alcance de quien la busca.

Portada

Foros

Manuales

Descargas

ALDOS

Servicios

Cursos Linux

Buscar...

Si algunos de nuestros foros, manuales, ALDOS, paquetera o proyectos te han resultado de ayuda, apreciaremos mucho nos apoyes con un donativo.

Instalacin y configuracin de Postfix y Dovecot con soporte para TLS y autenticacin.

Autor: Joel Barrios Dueas
Correo electrnico: darkshram en gmail punto com
Sitio de Red: http://www.alcancelibre.org/
Jabber ID: darkshram@jabber.org
Creative Commons ReconocimientoNoComercialCompartirIgual 2.1

Sondeo
Escritorios alternativos
Linux
Cul prefieres?
Xfce

19992015 Joel Barrios Dueas. Usted es libre de copiar, distribuir y comunicar pblicamente la obra y hacer obras derivadas bajo las
condiciones siguientes: a) Debe reconocer y citar al autor original. b) No puede utilizar esta obra para fines comerciales (incluyendo su
publicacin, a travs de cualquier medio, por entidades con fines de lucro). c) Si altera o transforma esta obra o genera una obra derivada,
slo puede distribuir la obra generada bajo una licencia idntica a sta. Al reutilizar o distribuir la obra, tiene que dejar bien claro los
trminos de la licencia de esta obra. Alguna de estas condiciones puede no aplicarse si se obtiene el permiso del titular de los derechos de
autor. Los derechos derivados de usos legtimos u otras limitaciones no se ven afectados por lo anterior. Licencia completa en castellano. La
informacin contenida en este documento y los derivados de ste se proporcionan tal cual son y los autores no asumirn responsabilidad
alguna si el usuario o lector hace mal uso de stos.

LXDE
Razorqt
Enlightenment 0.17

Voto Resultados

Introduccin.
Es imprescindible primero estudiar y comprender, los conceptos descritos en el documento titulado Introduccin a
los protocolos de correo electrnico.
Acerca de Postfix.
Postfix, originalmente conocido por los nombres VMailer e IBM Secure Mailer, es un popular agente de transporte de
correo (MTA o Mail Transport Agent), creado con la principal intencin de ser una alternativa ms rpida, fcil de
administrar y segura que Sendmail. Fue originalmente escrito por Wietse Venema durante su estancia en el Thomas J.
Watson Research Center de IBM.

Otros sondeos | 7,631 voters | 2

comentarios

Conectados...
Archundia
daniela pizar
Misael Rodriguez
Usuarios invitados: 1,995

URL: http://www.postfix.org/.
Acerca de Dovecot.
Dovecot es un servidor de POP3 e IMAP de fuente abierta que funciona en Linux y sistemas basados sobre Unix y
diseado con la seguridad como principal objetivo. Dovecot puede utilizar tanto el formato mbox como maildir y es
compatible con las implementaciones de los servidores UWIMAP y Courier IMAP.
URL: http://dovecot.procontrol.fi/.
Acerca de SASL y Cyrus SASL.
SASL (Simple Authentication and Security Layer) es un estructura para la seguridad de datos en protocolos de
Internet. Desempareja mecanismos de la autenticacin desde protocolos de aplicaciones, permitiendo, en teora,
cualquier mecanismo de autenticacin soportado por SASL para ser utilizado en cualquier protocolo de aplicacin que
capaz de utilizar SASL. Actualmente SASL es un protocolo de la IETF (Internet Engineering Task Force) que ha sido
propuesto como estndar. Est especificado en el RFC 2222 creado por John Meyers en la Universidad Carnegie
Mellon.
Cyrus SASL es una implementacin de SASL que puede ser utilizada del lado del servidor o del lado del cliente y que
incluye como principales mecanismos de autenticacin soportados a ANONYMOUS, CRAMMD5, DIGESTMD5, GSSAPI y
PLAIN. El cdigo fuente incluye tambin soporte para los mecanismos LOGIN, SRP, NTLM, OPT y KERBEROS_V4.
URL: http://asg.web.cmu.edu/sasl/sasllibrary.html.
Acerca de DSA.
DSA (Digital Signature Algorithm o Algoritmo de Firma digital) es un algoritmo creado por el NIST (National Institute
of Standards and Technology o Instituto Nacional de Normas y Tecnologa de EE.UU.), publicado el 30 de agosto de

http://www.alcancelibre.org/staticpages/index.php/comopostfixtlsyauth

1/11

24/11/2015

InstalacinyconfiguracindePostfixyDovecotconsoporteparaTLSyautenticacin.AlcanceLibre
1991, como propuesta para el proceso de firmas digitales. Se utiliza para firmar informacin, ms no para cifrar sta.
URL: http://es.wikipedia.org/wiki/DSA
Acerca de RSA.
RSA, acrnimo de los apellidos de sus autores, Ron Rivest, Adi Shamir y Len Adleman, es un algoritmo para el
ciframiento de claves pblicas que fue publicado en 1977, patentado en EE.UU. en 1983 por el el Instituto Tecnolgico
de Michigan (MIT). RSA es utilizado ampliamente en todo el mundo para los protocolos destinados para el comercio
electrnico.
URL: http://es.wikipedia.org/wiki/RSA
Acerca de X.509.
X.509 es un estndar ITUT (estandarizacin de Telecomunicaciones de la International Telecommunication Union )
para infraestructura de claves pblicas (PKI o Public Key Infrastructure). Entre otras cosas, establece los estndares
para certificados de claves pblicas y un algoritmo para validacin de ruta de certificacin. Este ltimo se encarga de
verificar que la ruta de un certificado sea vlida bajo una infraestructura de clave pblica determinada. Es decir,
desde el certificado inicial, pasando por certificados intermedios, hasta el certificado de confianza emitido por una
Autoridad Certificadora (CA o Certification Authority).
URL: http://es.wikipedia.org/wiki/X.509
Acerca de OpenSSL.
OpenSSL es una implementacin libre, de cdigo abierto, de los protocolos SSL (Secure Sockets Layer o Nivel de
Zcalo Seguro) y TLS (Transport Layer Security o Seguridad para Nivel de Transporte). Est basado sobre el extinto
proyecto SSLeay, iniciado por Eric Young y Tim Hudson, hasta que stos comenzaron a trabajar para la divisin de
seguridad de EMC Corporation.
URL: http://www.openssl.org/

Equipamiento lgico necesario.

Instalar los paquetes postfix, dovecot, cyrussasl y cyrussaslplain:

yumyinstallpostfixdovecotcyrussaslcyrussaslplain

Si acaso estuviese instalado, elimine el paquete cyrussaslgssapi, ya que este utiliza el mtodo de autenticacin
GSSAPI, mismo que requerira de la base de datos de cuentas de usuario de un servidor Kerberos:

yumremovecyrussaslgssapi

De igual manera, si estuviese instalado, elimine el paquete cyrussaslmd5, ya que este utiliza los mtodos de
autenticacin CRAMMD5 y DigestMD5, mismos que requeran asignar las claves de acceso para SMTP a travs del
mandato saslpasswd2. Outlook carece de soporte para estos mtodos de autenticacin.

yumremovecyrussaslmd5

Procedimientos.
Todos los procedimientos deben realizarse como el usuario root.
Definiendo Postfix como agente de transporte de correo predeterminado.
El mandato alternatives, con la opcin alternativesconfig mta, se utiliza para conmutar el servicio de correo
electrnico del sistema y elegir que paquete utilizar. Slo es necesario utilizar ste si previamente estaban instalados
Sendmail o Exim. S este es el caso, ejecute lo siguiente desde una terminal y defina Postfix como agente de
transporte de correo (MTA, Mail Transport Agent), seleccionado ste.

alternativesconfigmta

Lo anterior devolver una salida similar a la siguiente, donde deber elegir entre postfix y sendmail como MTA
predeterminado del sistema:

http://www.alcancelibre.org/staticpages/index.php/comopostfixtlsyauth

2/11

24/11/2015

InstalacinyconfiguracindePostfixyDovecotconsoporteparaTLSyautenticacin.AlcanceLibre

Hay2programasqueproporcionan'mta'.
SeleccinComando

*+1/usr/sbin/sendmail.postfix
2/usr/sbin/sendmail.sendmail
PresioneIntroparamantenerlaseleccinactual[+]oescribaelnmerodelaseleccin:1

Si estuviera presente sendmail, detenga ste (es el MTA predeterminado en CentOS 5 y Red Hat Enterprise Linux 5)
e inicie postfix:

servicesendmailstop
chkconfigsendmailoff
servicepostfixstart
chkconfigpostfixon

SELinux y Postfix.
A fin de que SELinux permita a Postfix escribir el el directorio de entrada de correo electrnico (/var/spool/mail/), es
necesario habilitar la siguiente poltica:

setseboolPallow_postfix_local_write_mail_spool1

Solo en CentOS 5 y Red Hat Enterpise Linux 5, a fin de que SELinux permita la lectura de correo electrnico, es
necesario habilitar la siguiente poltica:

setseboolPmail_read_content1

En CentOS 6 y Red Hat Enterpise Linux 6, esta poltica dej de existir, pues se volvi innecesaria.
Configuracin de Postfix.
Generando firma digital y certificado para ambos servicios.
Acceda al directorio /etc/pki/tls/.

cd/etc/pki/tls/

La creacin de la firma digital y certificado requiere utilizar una clave con algoritmo RSA de 4096 octetos (bits), con
estructura X.509 y sin DES. En el ejemplo a continuacin, se establece una validez por 1825 das (cinco aos) para el
certificado creado:

opensslreqsha256x509nodesnewkeyrsa:4096days1825\
outcerts/dominio.tld.crtkeyoutprivate/dominio.tld.key

Lo anterior solicitar se ingresen varios datos:

Cdigo de dos letras para el pas.
Estado o provincia.
Ciudad.
Nombre de la empresa o razn social.
Unidad o seccin.
Nombre del anfitrin.
Direccin de correo.
La salida debe devolver algo similar a lo siguiente:

http://www.alcancelibre.org/staticpages/index.php/comopostfixtlsyauth

3/11

24/11/2015

InstalacinyconfiguracindePostfixyDovecotconsoporteparaTLSyautenticacin.AlcanceLibre
Generatinga1024bitDSAprivatekey
writingnewprivatekeyto'smtp.key'

Youareabouttobeaskedtoenterinformationthatwillbe
incorporatedintoyourcertificaterequest.
WhatyouareabouttoenteriswhatiscalledaDistinguishedName
oraDN.
Therearequiteafewfieldsbutyoucanleavesomeblank
Forsomefieldstherewillbeadefaultvalue,
Ifyouenter'.',thefieldwillbeleftblank.

CountryName(2lettercode)[GB]:MX
StateorProvinceName(fullname)[Berkshire]:DistritoFederal
LocalityName(eg,city)[Newbury]:Mexico
OrganizationName(eg,company)[MyCompanyLtd]:Empresa,S.A.deC.V.
OrganizationalUnitName(eg,section)[]:DireccionComercial
CommonName(eg,yournameoryourserver'shostname)[]:*.dominio.tld
EmailAddress[]:webmaster@dominio.com

Si defini un nombre de anfitrin absoluto (ejemplo: mail.dominio.tld), el certificado slo ser vlido cuando el
servidor de correo electrnico sea invocado con el nombre definido en el campo Common Name. Es decir, slo podr
utilizarlo cuando se defina mail.dominio.tld como servidor SMTP/IMAP/POP3 con soporte TLS desde el cliente de
correo electrnico. Funcionar incorrectamente si se invoca al servidor como, por mencionar un ejemplo,
correo.dominio.tld. Es por eso que se sugiere utilizar *.dominio.com si se planea acceder hacia el mismo servidor
con diferentes subdominios del mismo dominio.
A fin de facilitar a los clientes de correo electrnico el poder gestionar una futura actualizacin de certificado,
conviene aadir una huella distintiva indubitable (fingerprint) al certificado.

opensslx509subjectfingerprintnooutincerts/dominio.tld.crt

Es indispensable que todos los archivos de claves y certificados tengan permisos de acceso de slo lectura para el
usuario root:

chmod400certs/dominio.tld.crtprivate/dominio.tld.key

Regrese al directorio de inicio del usuario root.

cd

Archivo de configuracin /etc/postfix/master.cf.

Editar el archivo /etc/postfix/master.cf:

vim/etc/postfix/master.cf

Si utiliza CentOS 5 o Red Hat Enterprise Linux 5, debe descomentar las siguientes lneas resaltadas en negrita:

smtpinetnnsmtpd
submissioninetnnsmtpd
osmtpd_enforce_tls=yes
osmtpd_sasl_auth_enable=yes
osmtpd_client_restrictions=permit_sasl_authenticated,reject
smtpsinetnnsmtpd
osmtpd_tls_wrappermode=yes
osmtpd_sasl_auth_enable=yes
osmtpd_client_restrictions=permit_sasl_authenticated,reject

Si utiliza CentOS 6 o Red Hat Enterprise Linux 6, debe descomentar las siguientes lneas resaltadas en negrita:

http://www.alcancelibre.org/staticpages/index.php/comopostfixtlsyauth

4/11

24/11/2015

InstalacinyconfiguracindePostfixyDovecotconsoporteparaTLSyautenticacin.AlcanceLibre
smtpinetnnsmtpd
submissioninetnnsmtpd
osmtpd_tls_security_level=encrypt
osmtpd_sasl_auth_enable=yes
osmtpd_client_restrictions=permit_sasl_authenticated,reject
omilter_macro_daemon_name=ORIGINATING
smtpsinetnnsmtpd
osmtpd_tls_wrappermode=yes
osmtpd_sasl_auth_enable=yes
osmtpd_client_restrictions=permit_sasl_authenticated,reject
omilter_macro_daemon_name=ORIGINATING

Archivo de configuracin /etc/postfix/main.cf.

A continuacin, se debe editar el archivo /etc/postfix/main.cf:

vim/etc/postfix/main.cf

Respetando el resto del contenido original de este archivo y asumiendo que el nombre de anfitrin del servidor es
mail.dominio.com y que se va a utilizar para gestionar el correo electrnico de dominio.com, solo se deben localizar
y configurar los siguientes parmetros:

#Todolosiguientesolorequieredescomentarseobienmodificarlalnea
#correspondientequeestdescomentada.
#Definirelnombredeanfitrindelsistema(hostname).
myhostname=mail.dominio.com
#Definireldominioprincipalagestionar.
mydomain=dominio.com
myorigin=$mydomain
#Definirsetrabajeportodaslasinterfaces.
#Demodopredeterminadosolotrabajaporlainterfazderetornodelsistema
#(loopback),esdecir,soloescuchapeticionesatravsdesobre127.0.0.1
#inet_interfaces=localhost
inet_interfaces=all
#Sisevanamanejarmsdominiosdecorreoelectrnico,aadirlostambin.
mydestination=$myhostname,$mydomain,localhost.localdomain,localhost
#Definirtusredeslocales,ejemploasumequetuLANes192.168.1.0/24
mynetworks=192.168.1.0/24,127.0.0.0/8
#Sisevanamanejarmsdominiosdecorreoelectrnico,aadirlostambin.
relay_domains=$mydestination
#Importanteparapoderutilizarprocmailparafiltrarcorreo.
mailbox_command=/usr/bin/procmail
#Todolosiguienteestausenteenlaconfiguracin.
#Aadirtodoalfinaldelarchivomain.cf
#
smtpd_tls_security_level=may
#SloseutilizasiseadquiereuncertificadoconunCA
#smtpd_tls_CAfile=/etc/pki/tls/certs/cabundle.crt
#Lasrutasdebencorresponderalasdelcertificadoyfirmadigitalcreados.
smtpd_tls_key_file=/etc/pki/tls/private/dominio.tld.key
smtpd_tls_cert_file=/etc/pki/tls/certs/dominio.tld.crt
smtpd_tls_auth_only=no
smtp_use_tls=yes
smtpd_use_tls=yes
smtp_tls_note_starttls_offer=yes
smtpd_tls_loglevel=1
smtpd_tls_received_header=yes
smtpd_tls_session_cache_timeout=3600s
tls_random_source=dev:/dev/urandom
smtpd_tls_protocols=!SSLv2,!SSLv3
smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3
smtp_enforce_tls=yes
#SoporteparaautenticaratravsdeSASL.
#smtpd_sasl_local_domain=#Solocomoreferencia.
smtpd_sasl_auth_enable=yes
smtpd_sasl_security_options=noanonymous
broken_sasl_auth_clients=yes
smtpd_sasl_path=private/auth
smtpd_sasl_authenticated_header=yes
smtpd_recipient_restrictions=permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination

A fin de ahorrar tiempo realizando bsqueda de los parmetros anteriores, todo lo anterior tambin se puede
configurar utilizando el mandato postconf, del siguiente modo:

http://www.alcancelibre.org/staticpages/index.php/comopostfixtlsyauth

5/11

24/11/2015

InstalacinyconfiguracindePostfixyDovecotconsoporteparaTLSyautenticacin.AlcanceLibre
postconfe'myhostname=mail.dominio.com'
postconfe'mydomain=dominio.com'
postconfe'myorigin=$mydomain'
postconfe'inet_interfaces=all'
postconfe'mydestination=$myhostname,$mydomain,localhost.localdomain,localhost'
postconfe'mynetworks=192.168.1.0/24,127.0.0.0/8'
postconfe'relay_domains=$mydestination'
postconfe'mailbox_command=/usr/bin/procmail'
postconfe'smtpd_tls_key_file=/etc/pki/tls/private/dominio.tld.key'
postconfe'smtpd_tls_cert_file=/etc/pki/tls/certs/dominio.tld.crt'
postconfe'smtpd_tls_auth_only=no'
postconfe'smtp_use_tls=yes'
postconfe'smtpd_use_tls=yes'
postconfe'smtp_tls_note_starttls_offer=yes'
postconfe'smtpd_tls_loglevel=1'
postconfe'smtpd_tls_received_header=yes'
postconfe'smtpd_tls_session_cache_timeout=3600s'
postconfe'tls_random_source=dev:/dev/urandom'
postconfe'smtpd_tls_protocols=!SSLv2,!SSLv3'
postconfe'smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3'
postconfe'smtp_enforce_tls=yes'
postconfe'smtpd_sasl_auth_enable=yes'
postconfe'smtpd_sasl_security_options=noanonymous'
postconfe'broken_sasl_auth_clients=yes'
postconfe'smtpd_sasl_path=private/auth'
postconfe'smtpd_sasl_authenticated_header=yes'
postconfe'smtpd_recipient_restrictions=permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination'

Archivo de configuracin /etc/aliases.

Se debe editar tambin el archivo /etc/aliases:

vim/etc/aliases

Se debe definir que el correo del usuario root se entregue al cualquier otro usuario del sistema. El objetivo de esto es
que jams se tenga necesidad de utilizar la cuenta del usuario root y se prefiera en su lugar una cuenta de usuario sin
privilegios. Solo se requiere descomentar la ltima lnea de este archivo, que como ejemplo entrega el correo del
usuario root al usuario marc y definir un usuario existente en el sistema

#root: marc
root: fulano

Al terminar, se ejecuta el mandato postalias para generar el archivo /etc/aliases.db que ser utilizado por Postfix:

postalias/etc/aliases

Configuracin de Dovecot en CentOS 5 y Red Hat Enterprise Linux 5.

Parmetros del archivo /etc/dovecot.conf.

Editar el archivo /etc/dovecot.conf:

vim/etc/dovecot.conf

En el parmetro protocols, se deben activar todos los servicios (imap, imaps, pop3 y pop3s).

protocols=imapimapspop3pop3s

De modo predeterminado, el soporte SSL de Dovecot est activo. Verifique que el parmetro ssl_disable tenga el
valor no o bien solo est comentado.

#ssl_disable=no

Y se especifican las rutas del certificado y clave a travs de los parmetros ssl_cert_file y ssl_key_file, del siguiente
modo:

ssl_cert_file=/etc/pki/tls/certs/dominio.tld.crt
ssl_key_file=/etc/pki/tls/private/dominio.tld.key

Configuracin de Dovecot en CentOS 6 y Red Hat Enterprise Linux 6.

CentOS 6 y Red Hat Enterprise Linux 6 utilizan la versin 2.0 de Dovecot y por lo cual cambia radicalmente la
configuracin respecto de la versin 1.0.x, utilizada en CentOS 5 y Red Hat Enterprise Linux 5.

http://www.alcancelibre.org/staticpages/index.php/comopostfixtlsyauth

6/11

24/11/2015

InstalacinyconfiguracindePostfixyDovecotconsoporteparaTLSyautenticacin.AlcanceLibre
Parmetros del archivo /etc/dovecot/dovecot.conf.

Edite el archivo /etc/dovecot/dovecot.conf y descomente el parmetro protocolos, estableciendo como valor pop3
imap lmtp.

#Protocolswewanttobeserving.
protocols=imappop3

Parmetros del archivo /etc/dovecot/conf.d/10mail.conf.

Alrededor de la lnea 30 del archivo /etc/dovecot/conf.d/10mail.conf, establezca

mbox:~/mail:INBOX=/var/mail/%u como valor del parmetro mail_location.

mail_location=mbox:~/mail:INBOX=/var/mail/%u

Parmetros del archivo /etc/dovecot/conf.d/10ssl.conf.

En el archivo /etc/dovecot/conf.d/10ssl.conf, descomente las siguientes lneas resaltadas en negrita:

#SSL/TLSsupport:yes,no,required.<doc/wiki/SSL.txt>
ssl=yes
#PEMencodedX.509SSL/TLScertificateandprivatekey.They'reopenedbefore
#droppingrootprivileges,sokeepthekeyfileunreadablebyanyonebut
#root.Includeddoc/mkcert.shcanbeusedtoeasilygenerateselfsigned
#certificate,justmakesuretoupdatethedomainsindovecotopenssl.cnf
ssl_cert=</etc/pki/tls/certs/dominio.tld.crt
ssl_key=</etc/pki/tls/private/dominio.tld.key

Localice lo siguiente al final del archivo:

#SSLprotocolstouse
#ssl_protocols=!SSLv2!SSLv3

Por razones de seguridad es buena idea deshabilitar el soporte para SSLv2 y SSLv3. El protocolo SSLv3 es muy inseguro
y susceptible a la tristemente clebre vulnerabilidad conocida como POODLE. Si atacantes explotan exitosamente esta
vulnerabilidad slo necesitan hacer alrededor de 256 solicitudes SSL 3.0 para revelar datos de las conexiones cifradas.
Lo ms inteligente que puede hacer cualquier administrador de sistemas es deshabilitar el soporte para SSLv3.

#SSLprotocolstouse
ssl_protocols=!SSLv2!SSLv3

Iniciar servicios y aadir stos al arranque del sistema.

Se deben aadir al arranque del sistema e iniciar (o reiniciar) los servicios saslauthd, dovecot y postfix:

chkconfigsaslauthdon
chkconfigdovecoton
chkconfigpostfixon
servicesaslauthdstart
servicedovecotstart
servicepostfixrestart

Soporte para LMTP.

Si utiliza CentOS 6 o Red hat Enterprise Linux 6, es decir Dovecot 2.0 y Postfix 2.6.6, podr utilizar LMTP (Local
Mail Transfer Protocol) o protocolo de transporte local de correo. Este protocolo esta basado sobre el protocolo SMTP
y est diseado como una alternativa a SMTP para situaciones donde el lado receptor carece de cola de correo (queue
mail), como un MTA que entiende conversaciones SMTP. Puede ser utilizado como una forma alternativa y ms
eficiente para el transporte de correo entre Postfix y Dovecot.
Edite el archivo /etc/dovecot/dovecot.conf y aada lmtp a los valores del parmetro protocolos, de la siguiente
forma.

#Protocolswewanttobeserving.
protocols=imappop3lmtp

http://www.alcancelibre.org/staticpages/index.php/comopostfixtlsyauth

7/11

24/11/2015

InstalacinyconfiguracindePostfixyDovecotconsoporteparaTLSyautenticacin.AlcanceLibre
A fin de poder hacer uso de LMTP de manera apropiada, es necesario aadir las siguientes dos opciones en el archivo
/etc/postfix/main.cf:

mailbox_transport=lmtp:unix:/var/run/dovecot/lmtp
virtual_transport=lmtp:unix:/var/run/dovecot/lmtp

O bien ejecutar lo siguiente:

postconfe'virtual_transport=lmtp:unix:/var/run/dovecot/lmtp'
postconfe'mailbox_transport=lmtp:unix:/var/run/dovecot/lmtp'

Y reiniciar los servicios dovecot y postfix.

servicedovecotrestart
servicepostfixrestart

Modificaciones necesarias en el muro cortafuegos.

Si se utiliza un cortafuegos con polticas estrictas, como por ejemplo Shorewall, es necesario abrir, adems de los
puertos 25, 110, 143 y 587 por TCP (SMTP, POP3, IMAP y Submission, respectivamente), los puertos 465, 993 y 995
por TCP (SMTPS, IMAP y POP3S, respectivamente).
Editar el archivo /etc/shorewall/rules:

vim/etc/shorewall/rules

Las reglas para el archivo /etc/shorewall/rules de Shorewall correspondera a algo similar a lo siguiente:

#ACTIONSOURCE DEST
PROTO DEST

SOURCE
#

PORT

PORT(S)1
ACCEPT net
fw
tcp
25,110,143,465,587,993,995
#LASTLINEADDYOURENTRIESBEFORETHISONEDONOTREMOVE

Para que tomen efecto los cambios, hay que reiniciar el servicio Shorewall.

serviceshorewallrestart

Requisitos en la zona de reenvo en el servidor DNS.

Es indispensable que exista un DNS que resuelva correctamente el dominio y apunte el servicio de correo electrnico
hacia la IP del servidor de correo electrnico recin configurado. Asumiendo que se hizo correctamente todo lo
mencionado en este documento, la nica forma en que se imposibilitara la llegada y/o salida del correo electrnico
se est utilizando un enlace ADSL con IP dinmica (restringido por le proveedor para utilizar el puerto 25) o bien que
el servidor DNS que resuelve el dominio, est apuntando hacia otra direccin IP para el servicio de correo electrnico.
En el DNS se requieren al menos los siguientes registros, donde xx.xx.xx.xx corresponde a la IP del servidor de correo
electrnico.

$TTL86400
@
IN

@
IN
@
IN
@
IN
@
IN
@
IN
mail
IN
www
IN
ftp
IN

SOA
dns1.isp.com
alguien.algo.com(
2010061901;Nmerodeserie
28800;Tiempoderefresco
7200;Tiempoentrereintentos
604800;tiempodeespiracin
86400;Tiempototaldevida
)

NS
dns1.isp.com.

NS
dns2.isp.com.

A
a.b.c.d

MX
10
mail

TXT
"v=spf1amxall"

A
xx.xx.xx.xx

A
a.b.c.d

A
a.b.c.d

Comprobaciones.

http://www.alcancelibre.org/staticpages/index.php/comopostfixtlsyauth

8/11

24/11/2015

InstalacinyconfiguracindePostfixyDovecotconsoporteparaTLSyautenticacin.AlcanceLibre
A travs de terminal.
Realice una conexin con el mandato nc (netcat) o bien el mandato telnet, al puerto 25 del sistema. Ingrese el
mandato EHLO con el dominio configurado. La salida deber devolver, entre todas las funciones del servidor, una
lnea que indica STARTTLS. La salida puede ser similar a la siguiente:

nc127.0.0.125
220emachine.alcancelibre.orgESMTPPostfix
EHLOdominio.com
250mail.dominio.com
250PIPELINING
250SIZE10240000
250VRFY
250ETRN
250STARTTLS
250AUTHPLAINLOGIN
250AUTH=PLAINLOGIN
250ENHANCEDSTATUSCODES
2508BITMIME
250DSN
QUIT

Para salir, solo escriba QUIT y pulse la tecla ENTER.

A travs de clientes de correo electrnico.
Utilice cualquier cliente de correo electrnico con soporte para TLS/SSL y configure ste para conectarse hacia el
sistema a travs de IMAPS (puerto 993) o bien POP3S (puerto 995). Tras aceptar el certificado del servidor, el
sistema deber permitir autenticar, con nombre de usuario y clave de acceso y realizar la lectura del correo
electrnico.
Configuracin de GNOME Evolution.

Para GNOME Evolution, la configuracin de IMAP o POP3, se realiza seleccionando el tipo de servidor, definiendo el
nombre del servidor utilizado para crear el certificado, nombre de usuario y usar encriptacin segura TLS.

Configuracin IMAP, en GNOME Evolution.

Se hace lo mismo para la configuracin de SMTP (utilizar conexin segura TLS), pero considerando adems que
tambin se puede utilizar el puerto 587 (submission) en caso de que el proveedor de acceso a Internet del cliente haya
restringido el uso del puerto 25 (smtp).

http://www.alcancelibre.org/staticpages/index.php/comopostfixtlsyauth

9/11

24/11/2015

InstalacinyconfiguracindePostfixyDovecotconsoporteparaTLSyautenticacin.AlcanceLibre

Configuracin SMTP, GNOME Evolution.

Configuracin Mozilla Thunderbird.

Para Mozilla Thunderbird, se define el nombre del servidor utilizado para crear el certificado, usuario y usar conexin
segura TLS.

Configuracin IMAP, Mozilla Thunderbird.

Se hace lo mismo para la configuracin de SMTP (utilizar conexin segura TLS), pero considerando adems que
tambin se puede utilizar el puerto 587 (submission) en caso de que el proveedor de acceso a Internet del cliente haya
restringido el uso del puerto 25 (smtp).

Configuracin SMTP, Mozilla Thunderbird.

Modificaciones necesarias en el muro cortafuegos.

Si se utiliza un cortafuegos con polticas estrictas, como por ejemplo Shorewall, es necesario abrir, adems de los

http://www.alcancelibre.org/staticpages/index.php/comopostfixtlsyauth

10/11

24/11/2015

InstalacinyconfiguracindePostfixyDovecotconsoporteparaTLSyautenticacin.AlcanceLibre
puertos 25, 110, 143 y 587 por TCP (SMTP, POP3, IMAP y Submission, respectivamente), los puertos 465, 993 y 995
por TCP (SMTPS, IMAP y POP3S, respectivamente).
La regla para el archivo /etc/shorewall/rules de Shorewall correspondera a algo similar a lo siguiente:

#ACTIONSOURCE DEST
PROTO DEST

SOURCE
#

PORT

PORT(S)1
ACCEPT all
fw
tcp
25,110,143,465,587,993,995
#LASTLINEADDYOURENTRIESBEFORETHISONEDONOTREMOVE

ltima Edicin: 22/04/2015, 00:34 | Hits: 105,273

SUBIR

Derechos de autor 2015 Joel Barrios Dueas

Todas las marcas y logotipos mencionados en este sitio de Internet son propiedad de sus respectivos dueos.
19992015 Joel Barrios Dueas. Salvo que se indique lo contrario, todo el contenido est disponible bajo los
trminos de la licencia Creative Commons Reconocimiento 2.5.
Necesita servicio de soporte tcnico en Linux o cotizar algn servicio relacionado con Linux?
Informes: (52) (961) 1250890 (Tuxtla Gutirrez, Chiapas, Mxico)
de lunes a viernes de 10:0019:00 GMT 06:00 .

http://www.alcancelibre.org/staticpages/index.php/comopostfixtlsyauth

11/11