GESTION DE SERVIDORES

LABORATORIO NRO. 3

SEGURIDAD DE SERVIDOR DE
CORREO

PROF. J. HUAPAYA V.
CIBERTEC GESTION DE SERVIDORES (LINUX)

LABORATORIO: SEGURIDAD DE SERVIDOR CORREO

Objetivos:
Implementar un Servidor de Correo.
Administrar un Servidor de Correo.

Procedimiento:
1. Trabajaremos con el Siguiente Diagrama:

LABORATORIO DE CORREO: Dominio linuxavanzadoXX.edu.pe

INTERNET
SERVIDOR
PC DNS Y INTERNA

VIRTUAL CORREO IP: ______________

01 INTERNA
BRIDGE BRIDGE
WIN XP

LINUX
CENTOS 5.5
JORGE
ROUTER
IP: ______________
GW: _____________
DNS: ____________
IP: ______________
GW: _____________
DNS: ____________

PROF. J. HUAPAYA V.

En el diagrama rellene los datos de conectividad y configure los

parmetros de red apropiados para los equipos.
El valor de XX en el dominio corresponde a los dos ltimos dgitos de su
cdigo de alumno.

PREPARANDO EL AMBIENTE

Para el desarrollo del presente Laboratorio se har uso de Maquinas Virtuales,

es recomendable estructurar los nombres de los directorios de trabajo para
evitar confusin, el trmino Maquinas Virtuales ser abreviado por MV.

ARQUITECTURA

RED EXTERNA
RED PRIVADA

1
 CIBERTEC GESTION DE SERVIDORES (LINUX)

CONFIGURANDO MV LINUX EN VIRTUALBOX:

Configurando Tarjeta de Red (eth0 y eth1)

Conectado a la Conectado a
red Cibertec nuestra red Interna

1. CONECTIVIDAD.

Active la maquina virtual y configure los parmetros de las TARJETAS DE

RED (eth0 y eth1):

#vi /etc/sysconfig/network-scripts/ifcfg-eth0
Nota: el archivo debe quedar nicamente con la siguiente informacin:

DEVICE = eth0
ONBOOT = yes
BOOTPROTO = static
IPADDR = [IP_SERVER]
NETMASK = [Mascara]

Realice el mismo procedimiento para la segunda tarjeta (eth1):.

Configure los parmetros del Gateway

#vi /etc/sysconfig/network

NETWORKING = yes
HOSTNAME = [Nombre Host]
GATEWAY = [IP_GATEWAY]

Configure los parmetros del DNS

#vi /etc/resolv.conf

nameserver [IP_SERVER_DNS]

2
CIBERTEC GESTION DE SERVIDORES (LINUX)

Reinicie el servicio de red:

#service network restart

CONFIGURANDO MV WINDOWS EN VIRTUALBOX:

PC01 (ESTACION PBLICA)

Active la MV Windows y Configure los parmetros de RED, si eliges
reemplazarlo con una MV LINUX sigue los pasos anteriores.

1. 1 CONFIGURANDO AL LINUX COMO ROUTER.

Edite el archivo /etc/sysctl.conf. y modifique el siguiente parmetro:

net.ipv4.ip_forward = 0 por net.ipv4.ip_forward = 1

Luego de guardar y reiniciar el sistema.

1. 2 CONFIGURANDO AL LINUX COMO ENRUTADOR DE PAQUETES.

En un terminal edite el siguiente comando:

iptables -t nat -A POSTROUTING -s [RED_PRIVADA]/[MASCARA] -j MASQUERADE

Iptables : Firewall de Linux

-t nat : tabla nat del firewall
-A : Agrega una poltica al firewall
-s : Origen (source)
-j : Objetivo (target) jump (salto)

3
CIBERTEC GESTION DE SERVIDORES (LINUX)

Visualice el contenido de la tabla nat: # iptables -t nat -L

Nota: Este sentencia deber de ser ejecutada cada vez que se reinicia
el Firewall,

2. REGISTRO DEL SERVIDOR DE CORREO EN EL DNS:

Al contar con un DNS interno, podremos crear Dominios Internos que sern
usados para la red Interna. A continuacin mostramos la parte de la
creacin del dominio y del registro del servidor de CORREO para luego
acceder va nombre.

ESTRUCTURA DEL DOMINIO:

Se plantea tener la siguiente estructura:

DOMINIO: linuxavanzadoXX.edu.pe
Nombre Hosts Registro IP
mail A IP_SC
MX

GENERANDO EL DOMINIO:

Va Webmin generaremos el Dominio y sus respectivos registros:

Ingresamos al programa webmin desde un navegador

http://[IP_Servidor]:10000/ con el usuario: root y el password del root.

4
 CIBERTEC GESTION DE SERVIDORES (LINUX)

Nos mostrara la pgina de inicio:

Clic Servidores >

SERVIDORES DE DNS BIND >

Procedemos a crear una zona primaria: 1

Creando Zona Maestra

Ingresamos el dominio a crear: 2

Dominio a generar

Email de
referencia

5
 CIBERTEC GESTION DE SERVIDORES (LINUX)

Clic <Crear >

En la seccin del Dominio (linuxavanzadoXX.edu.pe), existen los

registros a crear. Registraremos el registro del tipo (A) para el nombre
(mail).

3
Tipo de Registro
A. Ingresaremos
para crear mail

4
Nombre a asignar
para la resolucin

IP del HOST a
resolver

Clic <Crear >

Clic <Regresar a Tipo de Registros >

Ingresamos el tipo de registro MX, para indicar al dominio quien sera el

servidor de correo.

6
 CIBERTEC GESTION DE SERVIDORES (LINUX)

Indicar el nombre
del correo que se
genero en los
registro A.

Asignando un nmero de prioridad preferencial. Al ser el nico Servidor

de Correo cualquier nmero que se registre sera considerado como de
alta prioridad

Clic <Crear >

Clic <Regresar a lista de Zonas >

Clic <Stop Bind >
Clic <Start Bind >

PRUEBAS:

Desde la estacin con Windows XP a travs de la consola ejecutamos el

comando: PING mail.linuxavanzadoXX.edu.pe, no olvides de colocar
como DNS primario al servidor LINUX

GENERANDO RESOLUCION INVERSA:

Para evitar suplantaciones de DOMINIO es necesario que se tenga una

resolucin inversa de la IP de nuestro servidor, que al consultar por la IP
del Servidor de Correos responder el nombre. En un caso real de
produccin el encargado de esta configuracin es el proveedor del
enlace de Internet.

7
 CIBERTEC GESTION DE SERVIDORES (LINUX)

Va Webmin generaremos la resolucin inversa:

1
Creando Zona Maestra

Indicando del tipo reverso

2

Red a Administrar la
resolucin inversa o
reversa

Email de
referencia

Clic <Crear >

Tipo de
Registro (PTR)
3

8
 CIBERTEC GESTION DE SERVIDORES (LINUX)

IP del Servidor
de Correo
4

Clic <Crear > Nombre del Servidor de

Clic <Regresar a lista de Zonas > correo

Clic <Aplicar Cambios >

Listo! Servidor
DNS configurado

3. INSTALACION DEL SERVIDOR DE CORREO:

SMTP SERVER:
El software POSTFIX da el soporte de servicio SMTP, el SMTP se
encargara de recibir correos de los Clientes y de otros servidores de
Correos. Tambin se encargara de enviar los correos a cuentas locales
y externas.

PROGRAMA:
Nombre del paquete: postfix
(Paquete viene comnmente en las distribuciones)

CONSULTA: # rpm -q postfix v

Nota: En casos que no tuvieran los programas use el yum para
instalarlos.
/
CONFIGURACION:
En el archivo main.cf editar el siguiente bloque de etc/
configuracin:
Ubicar las variables, si estn comentadas (#) postfix/
descomentarlas y personalizar los valores. /
main.cf
main.cf Nombre del servidor
de Correo

Dominio de los myhostname = mail.linuxavanzadoXX.edu.pe

Correos a salir
mydomain = linuxavanzadoXX.edu.pe
myorigin = $mydomain Contina
Destinos
autorizados a mydestination = $myhostname, localhost.$mydomain,
recibir correos localhost, $mydomain
para procesarlos

9
 CIBERTEC GESTION DE SERVIDORES (LINUX)

Activacin el
puerto 25 en
todas las inet_interfaces = all
interfaces mynetworks = [RED_PRIVADA]/[MASCARA] , 127.0.0.0/8
Asegure que
esta variable no
se repita con otro
Red autorizada a aceptar envos Red localhost de uso interno
valor
de correos del Servidor de Correo
* Indicar la Red de los Clientes

ACTIVANDO EL SERVICIO SMTP:

Por defecto viene instalado el SENDMAIL como Server de Correo.
Desactvalo!
# chkconfig sendmail off v
# service sendmail stop v

Activando permanentemente POSTFIX:

# chkconfig postfix on v
# service postfix restart v
Verificando activacin del puerto 25:
# netstat -a -n v

PRUEBA: Comprobando respuesta del puerto 25:

# telnet 192.168.0.53 25 v

4. INSTALACION DEL SERVICIO POP / IMAP:

El software dovecot da el soporte de servicio POP3, IMAP. El POP3 se

encargara de entregar correos a los clientes, previa validacin.

PROGRAMA:
Nombre del paquete: dovecot
(Paquete viene comnmente en las distribuciones)
/
CONFIGURACION:
etc/
Ubicar las variables, si estn comentadas (#)
descomentarlas y personalizar los valores. dovecot.conf

dovecot.conf Habilitando el soporte

de protocolos

protocols = imap pop3

Activando permanentemente DOVECOT:

# chkconfig dovecot on v
# service dovecot start v

Verificando activacin del puerto 110(pop3) y 143 (imap):

# netstat -a -n v

10
CIBERTEC GESTION DE SERVIDORES (LINUX)

PRUEBA: Comprobando respuesta de los puertos 110 y 143:

# telnet 192.168.0.53 110 v
# telnet 192.168.0.53 143 v

MONITOREO: Visualizando actividad

# tail -f /var/log/maillog v

Nota: Mantener esta consola abierta, no cerrarla al enviar ms adelante

correos, visualizara actividad.

5. CLIENTES DE CORREO:
Los clientes de correo permiten interactuar con el Servidor de Correo, los
clientes de correo usan protocolos estndares como el SMTP, POP3 o
IMAP.
CUENTAS DE CORREO:
Postfix toma como referencia de cuentas de correo las que estan
registradas en el sistema Linux.
Creando Cuentas:

# groupadd alumnos v

# useradd jorge -g alumnos v

# passwd jorge v

# useradd pedro -g alumnos v

# passwd pedro v

CONFIGURANDO CLIENTE DE CORREO:

Configurando OUTLOOK EXPRESS:
1

11
CIBERTEC GESTION DE SERVIDORES (LINUX)
6

7
Si acepta la validacin
indica que la
configuracin esta OK
Servidor Correo
Implementado

6. CORREO WEBMAIL:

El acceso va web es otra forma de ingreso. Linux tiene diversos programas

WEBMAIL que permiten que un cliente pueda ingresar a su buzn va web.
El Squirrelmail es un programa WEBMAIL prctico para esta operacin no
reemplaza al posftix (SMTP) ni al dovecot (IMAP) necesita de un SMTP e
IMAP para su funcionamiento.
/
INSTALACIN.
etc/

# yum install -y squirrelmail v

squirrelmail/

Config.php
CONFIGURACION. .cf

Editar el archivo config.php en:

/etc/squirrelmail/

12
CIBERTEC GESTION DE SERVIDORES (LINUX)
Idioma de la plantilla a mostrar
config.php

Dominio a Mostrar

Script que provee

Postfix para recibir los
correos que envan los
clientes

Activando SQUIRRELMAIL:

# chkconfig httpd on v
# service httpdt start v

Comprobando configuracin que ha sido agregada por

(SQUIRRELMAIL) en la configuracin del Servicio WEB:

# cat /etc/httpd/conf.d/squirrelmail.conf v

Ruta del sistema de

Archivos donde se
encuentra la plantilla

Prueba de Ingreso al SQUIRRELMAIL:

13
CIBERTEC GESTION DE SERVIDORES (LINUX)

Componiendo correo:

Recepcionando correo

14
CIBERTEC GESTION DE SERVIDORES (LINUX)

7. INSTALACION DEL SISTEMA DE SEGURIDAD DE CORREO

ELECTRONICO:

Usaremos como antivirus ClamAV, para atrapar el spam SpamAssassin

y MailScanner para integrarlo todo con Postfix.

MAILSCANNER

MailScanner es un programa que escanea todos los emails en bsqueda de

virus, spam, ataques a vulnerabilidades. No est atado a ningn antivirus en
particular y puede funcionar con muchos antivirus diferentes. Para poder
instalar MailScanner necesitamos tener un compilador instalado en nuestro
sistema.

Requisitos previos
Se requiere de un compilador y el binario rpm-build, si no se ha instalado,
instlelo de la siguiente manera:

yum install gcc rpm-build

Descargar MailScanner

Para descargar MailScanner puede ir a su sitio web o ejecutar el siguiente

comando:

http://www.mailscanner.info/files/4/rpm/MailScanner-4.81.4-1.rpm.tar.gz

Compilando e instalando MailScanner

Despus de descargar MailScanner vamos a descomprimir el paquete

descargado de esta manera:

tar zxvf MailScanner-4.81.4-1.rpm.tar.gz

Despus vamos a la carpeta MailScanner y ejecutamos el archivo install.sh:

15
CIBERTEC GESTION DE SERVIDORES (LINUX)

cd MailScanner-4.81.4-1/
./install.sh

Nota: Esto compilar e instalar MailScanner, tenga paciencia, esto puede

demorar un poco.

CLAM ANTIVIRUS (CLAMAV)

Para instalar ClamAV vamos a usar los programas precompilados que nos
proporciona el repositorio de Dag Wieers RPM.

Agregando el repositorio Dag Wieers

Ejecute el siguiente comando para descargar el paquete del repositorio Dag
Wieers

http://apt.sw.be/redhat/el6/en/i386/rpmforge/RPMS/rpmforge-release-0.5.3-
1.el6.rf.i686.rpm

Instalando el paquete:

rpm -ivh rpmforge-release-0.5.3-1.el6.rf.i386.rpm

Ahora tiene una extensiva librera de programas precompilados listos para

instalarse.

Instalacin
Para instalar ClamAV ejecute el siguiente comando:

yum y install clamd

Una vez instalado el programa, prubelo. Ejecutando

clamscan

SPAMASSASSIN

Spamassassin es el modulo utilizado para inspeccionar correos electrnicos

que permite determinar si se trata de un mensaje chatarra, mejor conocido
como SPAM.
SpamAssassin est incluido en CentOS 6 y est listo para usarse, instlelo
si aun no lo ha hecho.

yum install spamassassin

INTEGRAR TODO A POSTFIX

Configurar MailScanner, ClamAV y SpamAssassin para usarlo junto con

Postfix.

16
CIBERTEC GESTION DE SERVIDORES (LINUX)

Configuracin de MailScanner

Edite el archivo /etc/MailScanner/MailScanner.conf.

vi /etc/MailScanner/MailScanner.conf

Encuentre las siguientes variables y cmbielas como dice a

continuacin:

%org-name% = suorganizacion
%org-long-name% = el nombre completo de su organizacion
%web-site% = www. susitioweb.com
Run As User = postfix
Run As Group = postfix
Incoming Queue Dir = /var/spool/postfix/hold
Outgoing Queue Dir = /var/spool/postfix/incoming
MTA = postfix
Virus Scanners = clamav
Use SpamAssassin = yes
SpamAssassin User State Dir = /var/spool/MailScanner/spamassassin

Despus ir a la carpeta /var/spool/MailScanner y crear una carpeta

llamada "spamassassin".

cd /var/spool/MailScanner
mkdir spamassassin

Cambie los permisos a las carpetas:

chown postfix.postfix incoming/ quarantine/ spamassassin/

chmod 700 incoming/ quarantine/ spamassassin/

Integracin

Editar el archivo /etc/postfix/main.cf y quitar el smbolo '#' en frente de:

header_checks = regexp:/etc/postfix/header_checks

Editar el archivo /etc/postfix/header_checks y agregar la siguiente lnea al

final del archivo:

/^Received:/ HOLD

Esto har que los correos estn en observacin hasta que MailScanner los
libere.

MailScanner ser el que haga que Postfix arranque, as que

deshabilitaremos el servicio de Postfix en nuestro sistema y dejaremos que
MailScanner haga su trabajo.

17
CIBERTEC GESTION DE SERVIDORES (LINUX)

chkconfig postfix off

chkconfig MailScanner on
service postfix stop
service MailScanner start

Ahora su correo ser chequeado por MailScanner en bsqueda de virus o

spam.

Cada email que se envi o se reciba tendr un mensaje como el siguiente,

el cual dice que MailScanner est funcionando bien:

OBSERVACIONES:

Prof. Juan HUAPAYA Vsquez

18