Linux Correo

Servicios de correo con GNU/Linux
2011-07-12 (v1.0)
PortantierInformationSecurityServiciosdeCorreoconGNU/Linux
Fabian Portantier
Consultor en Seguridad Informtica Fantico de GNU/Linux (Debian) Mail: fabian@portantier.com Web: www.portantier.com
Qu es el correo electrnico?
Componentes
MUA jose@si.com
Mailbox
MDA
MTA si.com
INTERNET
MTA no.com
MDA
Mailbox
MUA pepe@no.com
Protocolos Involucrados
DNS Jerarqua de nombres
DNS registros involucrados
MX: Mail Exchange
PTR: Pointer
DNS en el correo electrnico
Consulta a registros MX
Verificacin de registros PTR
DNS
fabian@debian:~$ dig gmail.com MX ; <<>> DiG 9.7.3 <<>> gmail.com MX ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 56005 ;; flags: qr rd ra; QUERY: 1, ANSWER: 5, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;gmail.com. IN MX ;; ANSWER SECTION: gmail.com. 3567 IN MX 20 alt2.gmail-smtp-in.l.google.com. gmail.com. 3567 IN MX 30 alt3.gmail-smtp-in.l.google.com. ;; Query time: 14 msec ;; SERVER: 192.168.0.1#53(192.168.0.1) ;; WHEN: Mon May 30 00:23:17 2011 ;; MSG SIZE rcvd: 150
SMTP
Simple Mail Transfer Protocol RFC 821(Original) RFC 1123 (Correcciones) RFC 2821 (ESMTP)
SMTP
Basado en intercambio de textos Preguntas y Respuestas Puerto TCP 25 Sin autenticacin
SMTP-AUTH
Extensin de SMTP
Verificacin de clientes
Control de Accesos
Telnet a un servidor SMTP

fabian@debian:~$ telnet alt2.gmail-smtp-in.l.google.com 25 Trying 74.125.77.27... Connected to alt2.gmail-smtp-in.l.google.com. Escape character is '^]'. 220 mx.google.com ESMTP s7si8758240eeb.92 HELO fabian.debian.org 250 mx.google.com at your service MAIL FROM: <fabian@portantier.com> 250 2.1.0 OK s7si8758240eeb.92 RCPT TO: <fabianmp@gmail.com> 250 2.1.5 OK s7si8758240eeb.92 DATA 354 Go ahead s7si8758240eeb.92 TEXTO QUE QUIERO ENVIAR POR CORREO . . 550-5.7.1 [186.58.27.102] The IP you're using to send mail is not authorized to 550-5.7.1 send email directly to our servers. Please use the SMTP relay at your 550-5.7.1 service provider instead. PortantierInformationSecurityServiciosdeCorreoconGNU/Linux
Open Source SMTP Servers
Postfix Sendmail Exim Varios ms...
Cual elegir?
de tin, marn dedo ping... cucara macara piquere...
Postfix ! (www.postfix.org)
Ventajas de Postfix
Estable Seguro Rpido Flexible Fcil

Instalacin en Debian GNU/Linux
apt-get install postfix ;)
Archivos de Configuracin
/etc/postfix/main.cf /etc/postfix/master.cf
main.cf
myorigin = $myhostname mydestination = $myhostname localhost.$mydomain localhost $mydomain smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU) biff = no append_dot_mydomain = no #delay_warning_time = 4h readme_directory = no
Enviando mails localmente
echo "CONTENIDO DEL CORREO" | mail -s "mail de prueba" fabian
Leyendo mails (I)

fabian@debian:~$ cat /var/mail/fabian From root@debian.localdomain Tue May 31 16:36:53 2011 Return-Path: <root@debian.localdomain> X-Original-To: fabian Delivered-To: fabian@debian.localdomain Received: by debian.localdomain (Postfix, from userid 0) id 15EB982E35; Tue, 31 May 2011 16:36:53 -0300 (ART) To: fabian@debian.localdomain Subject: mail de prueba Message-Id: <20110531193653.15EB982E35@debian.localdomain> Date: Tue, 31 May 2011 16:36:53 -0300 (ART) From: root@debian.localdomain (root) Status: RO Content-Length: 21 Lines: 1 CONTENIDO DEL CORREO
Leyendo mails (II)
mutt
Herramientas
postconf: Consultar / modificar configuracin postsuper: Gestin de colas y correos qshape: Reporta el estado de las colas sendmail: Enva correos Algunas otras...
Tipos de Direcciones
Correo local: cuentas de shell del propio sistema Casillas virtuales: no tienen cuenta de shell, pero somos el destino final de las mismas Alias virtuales: Siempre se redirigen, aunque puede que vuelvan al mismo servidor Relay: Slo si actuamos como nodo de reenvo de correo.
Bind (I)
/etc/bind/named.conf.local zone "example.com" { type master; file "/etc/bind/zones/example.com.db"; };
Bind (II)
/etc/bind/zones/example.com.db example.com. IN SOA ns1.example.com. admin.example.com. ( 2006081401 28800 3600 604800 38400 ns1.example.com. mta.example.com.
) example.com. example.com. www mta ns1 IN IN IN IN IN A A A NS MX 10
192.168.0.2 127.0.0.1 192.168.0.1
Nuestra infraestructura de correo
Configuracin del servidor DNS
Configuracin de dominios en Postfix
Enviar correos entre servidores

Servidor DNS
/etc/bind/named.conf.local zone "hosted.com" { type master; file "/etc/bind/zones/hosted.com.db"; };
Servidor DNS
/etc/bind/named/zones/hosted.com.db hosted.com. IN SOA ns1.hosted.com. admin.hosted.com. ( 201006071 ; serial 8H ; refresh 2H ; retry 4W ; expire 1D ; minimum TTL ns1.hosted.com. mta.hosted.com.
) hosted.com. hosted.com. www mta ns1 IN IN IN IN IN A A A NS MX 10
172.16.66.1 172.16.66.1 172.16.66.1
Dominios en Postfix
/etc/postfix/main.cf
mydomain = hosted.com myorigin = $mydomain mydestination = $myhostname localhost localhost.$mydomain $mydomain smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU) biff = no append_dot_mydomain = no readme_directory = no
Enviando correos con telnet

telnet mailserver.com 25 MAIL FROM: yo@yo.com RCPT: TO: tu@tu.com DATA Subject: hola From: q@q.com To: m@m.com cuerpo del mensaje .
Encabezados
Date From Message-Id To Subject Cc Reply-To Content-type MIME-Version Received Return-Path Fecha (requerido) Emisor (requerido) Identificador nico Receptor Asunto Otros recipientes A quin responder el mensaje Estructura del mensaje Cumplimiento RFC1521 Camino tomado Identifica el camino de vuelta
Encabezados Extendidos
No son estndar, y se utilizan para propsitos informativos. La cantidad total no est documentada. Ejemplos: X-Mailer: Ximian Evolution 1.4.3 X-Priority: 3 X-Spam-Checker-Version: dspam-1.0.3
Cuerpo del mensaje (body)
Debe ser slo texto plano y seguirle inmediamente a los encabezados. Puede contener archivos adjuntos, preferentemente codificados en 7-bits (para que el MTA no los rompa).
Archivos adjuntos
Deben ser convertidos a texto plano (slo caracteres imprimibles)
Codificacin MIME Base 64

Multipurpose Internet Mail Extensions Definida en RFC 1421 y RFC 2045 Permiten convertir archivos binarios a ASCII Caracteres A-Z, a-z, 0-9, '+' y '/'. ('=' para sufijos.) Herramientas: mpack, munpack, uudeview. Usado en casi todos los clientes modernos (v 1.0)
Tipos de contenido
El tipo de contenido codificado en MIME, definido por el IANA. (No slo aplican al email) Referencias: http://en.wikipedia.org/wiki/Internet_media_type www.iana.org/assignments/media-types Ejemplo: Content-type: text/plain
Content-type (valores comunes)

text/plain Texto simple. El valor por defecto. multipart/mixed Indica que hay texto y archivos adjuntos. message/rfc822 Adjunta otro correo electrnico multipart/alternative Adjunta una versin alternativa (ejemplo: texto y html)
Lmite MIME (boundary)

Separa las distintas partes del mensaje Ejemplo: Content-Type: multipart/mixed; boundary='/9DWx/yDrb' --/9DWx/yDrb Content-Type: text/plain; charset=us-ascii --/9DWx/yDrb Content-Type: application/x-zip-compressed Content-Disposition: attachment; filename=file.zip Content-Transfer-Encoding: base64
Control de contenidos
smtpd_*_restrictions Filtros para origen y destino *_checks Filtros para body, headers, attachments Filtros Mecanismos de filtrado externos
Restricciones por origen / destino
De dnde viene el cliente? Quin pretende ser el cliente? El cliente tiene privilegios especiales? Quin es el remitente? Quin es el destinatario?
Se brind la informacin de forma adecuada? Se brind en el orden apropiado? Se brind toda la informacin? Es posible corroborar esa informacin?
El mensaje no es recibido por el servidor
No se envan notificaciones de rechazo
La responsabilidad queda en el cliente


smtpd_client_restrictions IP y/o el Hostname del cliente smtpd_helo_restrictions El anterior, ms argumento de HELO/EHLO smtpd_sender_restrictions El anterior, ms el argumento de 'MAIL FROM' smtpd_recipient_restrictions El anterior, ms el argumento de 'RCPT TO'
smtpd_data_restrictions Detecta envo de contenido antes de 'DATA' smtpd_etrn_restrictions Define qu clientes pueden utilizar el comando 'ETRN' ETRN: Pide al servidor limpiar la cola de mails
Tipos de restriccin
Genricas permit defer reject warn_if_reject reject_unauth_pipelining
Tipos de restriccin
Intercambiables smtpd_helo_required strict_rfc821_envelopes disable_vrfy_command allow_percent_hack swap_bangpath (requiere helo/ehlo) (no recomendado) (deshabilita VRFY) (% @) (! @, redes UUCP)
Cumplimiento de estndares
smtpd_helo_required = yes
Aplicando restricciones
Bloquea las direcciones IP listadas smtpd_client_restrictions = check_client_access hash:/etc/postfix/clients
Filtra el HELO/EHLO
smtpd_helo_restrictions = check_helo_access pcre:/etc/postfix/helo_checks
Filtra las direcciones del archivo 'senders' Filtra los remitentes de dominios que no existen
smtpd_sender_restrictions = check_sender_access hash:/etc/postfix/senders reject_unknown_sender_domain
Bloquea si no somos 'forwarders' o 'destinatarios'

smtpd_recipient_restrictions = reject_unauth_destination
Bloquea a los clientes que hacen 'pipelining' sin que el servidor se los haya permitido
smtpd_data_restrictions = reject_unauth_pipelining
Peleando contra los virus
Clamsmtp
Utiliza ClamAV para la deteccin de virus Escucha en un puerto TCP Recibe los correos, los analiza y los devuelve Postfix los toma de nuevo y los procesa Permite correr scripts al detectar virus
Clamsmtp
apt-get install clamsmtpd
/etc/clamsmtpd.conf
OutAddress: 10025 Listen: 127.0.0.1:10026 Header: X-AV-Checked: ClamAV using ClamSMTP Bounce: off Quarantine: off
#Define el filtro a utilizar content_filter = scan:127.0.0.1:10026 #Procesa el correo sin modificar receive_override_options = no_address_mappings
/etc/postfix/master.cf
# AV scan filter (used by content_filter) scan unix n 16 smtp -o smtp_send_xforward_command=yes
/etc/postfix/master.cf
# For injecting mail back into postfix from the filter 127.0.0.1:10025 inet n n 16 smtpd -o content_filter= -o receive_override_options= no_unknown_recipient_checks, no_header_body_checks -o smtpd_helo_restrictions= -o smtpd_client_restrictions= -o smtpd_sender_restrictions= -o smtpd_recipient_restrictions= permit_mynetworks, reject -o mynetworks_style=host -o smtpd_authorized_xforward_hosts=127.0.0.0/8
La prueba EICAR
ftp://download.trendmicro.com/products/eicar-file/eicar.com
Logs
postfix/smtp[5450]: 67DC183233: to=<fabian@example.com>, relay=127.0.0.1[127.0.0.1 ]:10026, delay=0.36, delays=0.17/0.08/0.11/0, dsn=2.0.0, status=sent (250 Virus Detected; Discarded Email) clamsmtpd: 100005: from=root@tumail.com, to=fabian@example.com, status=VIRUS:Eicar-TestSignature
Peleando contra el spam
Tipos de filtrado

Sesin SMTP Origen / Destino Encabezados / Archivos adjuntos Bsqueda de patrones Anlisis Bayesiano DNSBL o RBL
disable_vrfy_command = yes smtpd_helo_required = yes smtpd_recipient_restrictions = reject_unknown_sender_domain reject_unknown_recipient_domain reject_rbl_client list.dsbl.org reject_rbl_client sbl.spamhaus.org reject_rbl_client cbl.abuseat.org reject_rbl_client dul.dnsbl.sorbs.net
smtpd_helo_restrictions = permit_mynetworks reject_invalid_hostname * reject_unknown_helo_hostname * reject_non_fqdn_hostname * * Dependiendo del caso, puede no ser recomendable.
smtpd_client_restrictions = permit_mynetworks, check_client_access hash:/etc/postfix/client_restrictions reject_rbl_client sbl-xbl.spamhaus.org reject_rbl_client cn.countries.nerd.dk reject_rbl_client kr.countries.nerd.dk reject_rbl_client pl.countries.nerd.dk reject_rbl_client sa.countries.nerd.dk reject_rbl_client zen.spamhaus.org
Recomendado
default_rbl_reply = $rbl_code Service unavailable; $rbl_class [$rbl_what] blocked using $rbl_domain${rbl_reason?; $rbl_reason}. For whitelisting, contact via http://mydomain.dom/blocked.php
Almacenamiento de correos
mbox

Todos los correos en un slo archivo Cada correo empieza con From El final lo marca una lnea en blanco Antiguamente popular No est definido en ninguna RFC Presenta problemas de bloqueo
mbox
From hansolo@ixazon.dynip.com Sat Aug 03 2002 Received: from ... by ... with ESMTP; Subject: Prueba From: <build.9.0.2416@ixazon.dynip.com> To: <junkdtectr@carolina.rr.com> >Desde el principio de los tiempos, la gente ha escrito cartas. From someoneelse@loa.invalid Sun Aug 04 2002 Received: from ... by ... with SMTP Subject: Iggeret To: <you@aoeu.snth> Ha iggeret hazot niktava blashon ivrit.
Maildir
Cada correo en un archivo nico Subdirectorios 'tmp', 'new' y 'cur' De 'tmp' los mensajes pasan a 'new' Los clientes de correo mueven de 'new' a 'cur' Maildir++
Protocolo IMAP
IMAP
Internet Message Access Protocol
Versin actual: IMAP 4 Revisin 1 (IMAP4rev1)
RFC 3501 (http://tools.ietf.org/html/rfc3501)

Ventajas IMAP vs POP3

Modos de operacin online / offline Soporte para mltiples clientes simultneos Acceso a partes MIME Estado de los mensajes del lado del servidor Bsquedas del lado del servidor Preparado para ser extensible
El Proyecto Dovecot
Dovecot
Open Source (www.dovecot.org) Primera versin: Junio 2002 Pensado para ser rpido, seguro y fcil Soporta mbox y Maildir
Dovecot
apt-get install dovecot-imapd
Dovecot
/etc/dovecot/dovecot.conf mail_location: mbox:~/mail:INBOX=/var/mail/%u
Dovecot
dovecot -n
Dovecot
# telnet 127.0.0.1 143 Trying 127.0.0.1... Connected to 127.0.0.1. Escape character is '^]'. * OK [CAPABILITY IMAP4rev1] Dovecot Ready. . login fabian password . OK [CAPABILITY IMAP4rev1] Logged in
Dovecot
. list "" "*" * LIST (\NoInferiors \Marked) "/" "INBOX" . OK List completed. . status INBOX (messages) * STATUS "INBOX" (MESSAGES 29) . OK Status completed. . select INBOX
Dovecot
. fetch 29 rfc822.header * 29 FETCH (RFC822.HEADER {618} Delivered-To: fabian@example.com Received: from debian.example.com (localhost [127.0.0.1]) To: fabian@example.com Subject: mememe Date: Tue, 21 Jun 2011 23:47:53 -0300 (ART) From: root@example.com (root) ) . OK Fetch completed.
Dovecot
. fetch 29 rfc822.text * 29 FETCH (RFC822.TEXT {7} Este es el cuerpo del mensaje ) . OK Fetch completed. . logout * BYE LOGOUT received . OK Completed Connection closed by foreign host.
Servicios de Webmail
Webmail
Facilitan el trabajo remoto
Reemplazan al cliente de correo
Varios proyectos disponibles

Webmail
Squirrelmail (http://squirrelmail.org) Roundcube (http://roundcube.net) Horde3 (www.horde.org) Muchos ms!

Squirrelmail
Open Source Desarrollado en PHP Primera versin en 1999 Muy estable y utilizado
Squirrelmail
apt-get install squirrelmail
Squirrelmail
/etc/squirrelmail/config.php /etc/squirrelmail/config_local.php /etc/squirrelmail/conf.pl
Squirrelmail
copiar: /etc/squirrelmail/apache.conf a: /etc/apache2/sites-enabled/squirrelmail
Squirrelmail
/etc/init.d/apache restart
Squirrelmail
# firefox http://127.0.0.1/squirrelmail
Squirrelmail
Webmail :)

Linux Correo

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Linux Correo

Uploaded by

Copyright:

Available Formats

Servicios de correo con GNU/Linux

DNS Jerarqua de nombres

DNS registros involucrados

MX: Mail Exchange

DNS en el correo electrnico

Verificacin de registros PTR

Basado en intercambio de textos Preguntas y Respuestas Puerto TCP 25 Sin autenticacin

Telnet a un servidor SMTP

Open Source SMTP Servers

Postfix Sendmail Exim Varios ms...

de tin, marn dedo ping... cucara macara piquere...

Estable Seguro Rpido Flexible Fcil

Instalacin en Debian GNU/Linux

apt-get install postfix ;)

Enviando mails localmente

echo "CONTENIDO DEL CORREO" | mail -s "mail de prueba" fabian

Leyendo mails (I)

Leyendo mails (II)

) example.com. example.com. www mta ns1 IN IN IN IN IN A A A NS MX 10

192.168.0.2 127.0.0.1 192.168.0.1

Nuestra infraestructura de correo

Configuracin del servidor DNS

Configuracin de dominios en Postfix

Enviar correos entre servidores

/etc/bind/named.conf.local zone "hosted.com" { type master; file "/etc/bind/zones/hosted.com.db"; };

) hosted.com. hosted.com. www mta ns1 IN IN IN IN IN A A A NS MX 10

172.16.66.1 172.16.66.1 172.16.66.1

Enviando correos con telnet

Cuerpo del mensaje (body)

Deben ser convertidos a texto plano (slo caracteres imprimibles)

Codificacin MIME Base 64

Content-type (valores comunes)

Lmite MIME (boundary)

Restricciones por origen / destino

Restricciones por origen / destino

Restricciones por origen / destino

El mensaje no es recibido por el servidor

No se envan notificaciones de rechazo

La responsabilidad queda en el cliente

Restricciones por origen / destino

Restricciones por origen / destino

Genricas permit defer reject warn_if_reject reject_unauth_pipelining

Bloquea las direcciones IP listadas smtpd_client_restrictions = check_client_access hash:/etc/postfix/clients

Bloquea si no somos 'forwarders' o 'destinatarios'

Peleando contra los virus

apt-get install clamsmtpd

# AV scan filter (used by content_filter) scan unix n 16 smtp -o smtp_send_xforward_command=yes

Peleando contra el spam

Internet Message Access Protocol

Versin actual: IMAP 4 Revisin 1 (IMAP4rev1)

RFC 3501 (http://tools.ietf.org/html/rfc3501)

Ventajas IMAP vs POP3

apt-get install dovecot-imapd

/etc/dovecot/dovecot.conf mail_location: mbox:~/mail:INBOX=/var/mail/%u

Facilitan el trabajo remoto

Reemplazan al cliente de correo

Varios proyectos disponibles

Squirrelmail (http://squirrelmail.org) Roundcube (http://roundcube.net) Horde3 (www.horde.org) Muchos ms!

apt-get install squirrelmail

/etc/squirrelmail/config.php /etc/squirrelmail/config_local.php /etc/squirrelmail/conf.pl

copiar: /etc/squirrelmail/apache.conf a: /etc/apache2/sites-enabled/squirrelmail

You might also like