Manual Correo Seguro

Por:

Wilinton Acevedo Rueda

Carolina Guzmán Rodríguez

Yessenia Duque

Instructor:

Camilo Zapata

Servicio Nacional de Aprendizaje SENA

Medellín

2011
 CONTENIDO

INTRODUCCION…………………………………………………………………………………………………………………ii

QUE ES FEDORA?...……………………………………………………………………………………………………………2

QUE ES POSTFIX?………………………………………………………………………………………………………………3

QUE ES THUNDERBIRD?.........................................................................................................4

QUE ES 389 DIRECORY SERVER?………………………………………………………………………………………..5

QUE ES DOVECOT?.................................................................................................................6

QUE TLS/SASL?.......................................................................................................................7

QUE ES BIND?.........................................................................................................................8

PROCEDIMIENTO……………………………………………………………………………………………………………….9

BIBLIOGRAFIA………………………………………………………………………………………………………………….45
 INTRODUCCION

Este trabajo se hizo con el fin de darle a entender a la gente oportunidades de cómo
elaborar un servidor de correo seguro en otros sistemas operativos, también enseñarles el
cómo, porque se debe hacer un servidor de correo.

Estamos en un mundo que cada día evoluciona en tecnología gracias a este manual les
ayudare a instalar un servidor de correo actualizado, claro y conciso.

Implementado software tales como fedora, postfix, 389 Directory Server me fueron de
gran ayuda en la implementación de mi servidor de correo.

Los recursos que me ayudaron a en implementar mi servidor fueron la documentación

oficial de cada uno de los software y los manuales que se encuentran el los archivos de
configuración.

ii
 2

QUE ES FEDORA?

El Proyecto Fedora fue creado a finales del 2003 cuando Red Hat Linux fue descontinuado. Red
Hat Enterprise Linux (RHEL) continuaría siendo la distribución Linux oficialmente soportada por
Red Hat, mientras que Fedora sería un proyecto comunitario. La rama de liberaciones de RHEL
7
derivan de las versiones de Fedora.

El nombre de Fedora deriva de Fedora Linux, un proyecto creado por voluntarios que proveía
software adicional a la distribución Red Hat Linux, y del característico sombrero Fedora usado en el
logotipo de la distribución comercial. Fedora Linux fue finalmente absorbido en el Proyecto
8
Fedora. Fedora es una marca registrada de Red Hat, aunque esto ha sido previamente disputado
9
por los creadores del proyecto de repositorios Fedora, el problema ha sido resuelto.

Fedora es una distribución Linux para propósitos generales, esta mantiene gracias a una
comunidad internacional de ingenieros, diseñadores gráficos y usuarios que informan de fallos y
prueban nuevas tecnologías. Cuenta con el respaldo de Red Hat.

Este proyecto no busca incluir software libre y de código abierto, busca ser el líder en ese ámbito
tecnológico.

Los desarrolladores de Fedora prefieren hacer cambios en las fuentes originales en lugar de
aplicar los parches específicos en su distribución como otras distribuciones, entonces aseguran
que las actualizaciones estén disponibles para todas las variantes de GNU/Linux. Durante sus
primeras 6 versiones se llamó Fedora Core, debido a que solo incluía los paquetes más
importantes del sistema operativo. La última versión es Fedora 14, puesta a disposición del público
el 02 de noviembre de 2010.
 3

QUE ES POSTFIX?

Postfix es un servidor de correo de software libre / código abierto, un programa informático para el
enrutamiento y envío de correo electrónico, creado con la intención de que sea una alternativa más
rápida, fácil de administrar y segura al ampliamente utilizado Sendmail. Anteriormente conocido
como VMailer e IBM Secure Mailer, fue originalmente escrito por Wietse Venema durante su
estancia en el Thomas J. Watson Research Center de IBM, y continúa siendo desarrollado
activamente.

Postfix es el agente de transporte por omisión en diversas distribuciones de Linux y en las últimas
versiones del Mac OS X.

Postfix es un MTA (Mail Transport Agent),. Sendmail controla cerca del 70% del movimiento de
correo electrónico en internet. El problema que Sendmail es demasiado complicado para
configurar. Peor aun si se quiere hacer cosas mas allá de una configuración simple. Postfix es una
de las alternativas, como lo son también Qmail y Zmailer.
 4

QUE ES THUNDERBIRD?

Mozilla Thunderbird (anteriormente Minotaur) es un cliente de correo electrónico de la Fundación

Mozilla. Su objetivo es desarrollar un Mozilla más liviano y rápido mediante la extracción y rediseño
del gestor de correo del Mozilla oficial. Es multiplataforma, utiliza el lenguaje de interfaz XUL y
es software libre.

Una aplicación de correo nos sirve para organizar, asegurar y personalizar los
correos de una manera más eficiente que a través de un sistema de
administración Web Mail (tradicionalmente hotmail, yahoo mail, etc…).
 5

QUE ES 389 DIRECORY SERVER?

En 1996, los desarrolladores del proyecto fueron contratados por Netscape Communications
Corporation y el proyecto fue conocido como el Netscape Directory Server (NDS). Después de la
adquisición de Netscape, AOL vendió la propiedad de la Dirección Nacional de la propiedad
intelectual de Sun Microsystems , pero mantuvo los derechos afines a la propiedad . Dom vendido
y desarrollado el Netscape Directory Server bajo el nombre de JES / Sun ONE Directory
Server. AOL / Netscape 's derechos fueron adquiridos por Red Hat, y el 1 de junio de 2005, la
mayor parte del código fuente fue liberado como software libre bajo los términos de la GNU
General Public License (GPL).
Como la versión de 389 Directory Server 1.0 (8 de diciembre de 2005), Red Hat libera todo el
código fuente para todos los demás componentes incluidos en el paquete de liberación y continúa
para mantener bajo sus respectivas licencias.
En mayo de 2009, el proyecto Fedora Directory Server cambió su nombre por el de 389 a darle al
proyecto una distribución y neutral nombre del fabricante y fomentar la conservación del número o
ejecutar el software en otros sistemas operativos.
Dado que Oracle compró Sun, ha habido una considerable incertidumbre sobre el futuro y el costo
del Sol / Oracle versión de la JES / Sun One Directory Server. Esta incertidumbre y el registro
histórico de Oracle de los costes de licencia de alta han creado una oportunidad de mercado para
los servidores de directorio compatibles JES, que 389 es ideal para reunirse, Redhat debe optar
por aprovechar la oportunidad.
¿QUÉ ES DOVECOT? 6

Dovecot es un servidor de IMAP y POP3 de código abierto para sistemas GNU/Linux / UNIX-like,
escrito fundamentalmente pensando en seguridad. Desarrollado porTimo Sirainen, Dovecot fue
liberado por primera vez en julio del año 2002. Dovecot apunta fundamentalmente a ser un servidor
de correo de código abierto ligero, rápido, fácil de instalar y por sobre todo seguro.

Dovecot puede trabajar con el estándar mbox , Maildir , y su propia experimentación de alto
rendimiento Dbox formatos nativos. Es totalmente compatible conla UW IMAP y Courier
IMAP "servidores de aplicación de ellos, así como clientes de correo acceder a los buzones de
correo directo.

Dovecot también incluye un agente de entrega de correo (denominado agente de entrega local en
la documentación de Dovecot), con la opción del tamiz de filtrado de apoyo.
Dovecot es compatible con una variedad de esquemas de autenticación para IMAP y POP de
acceso, incluyendo CRAM-MD5 y el más seguro -MD5 .
Apple incluye Dovecot de correo electrónico en los servicios de Mac OS X Server Snow Leopard
10.6 .
QUE ES TLS/SASL? 7

Secure Sockets Layer -Protocolo de Capa de Conexión Segura- (SSL) y Transport Layer
Security -Seguridad de la Capa de Transporte- (TLS), su sucesor, son protocolos
criptográficos que proporcionan comunicaciones seguras por una red, comúnmente Internet.

Desarrollado por Netscape, SSL versión 3.0 se publicó en 1996, que más tarde sirvió como base
para desarrollar TLS versión 1.0, un estándar protocolo IETF definido por primera vez en el RFC
2246. Visa, MasterCard, American Express y muchas de las principales instituciones financieras
han aprobado SSL para el comercio sobre Internet.

SSL opera de una manera modular: sus autores lo diseñaron extensible, con soporte para
compatibilidad hacia delante y hacia atrás, y negociación entre las partes (peer-to-peer).

SASL es un framework para autenticación y autorización en protocolos de internet. Separa los

mecanismos de autenticación de los protocolos de la aplicación permitiendo, en teoría, a cualquier
protocolo de aplicación que use SASL usar cualquier mecanismo de autenticación soportado por
SASL. A pesar de que mediante SASL sólo se maneja la autenticación (y se requieren otros
mecanismos --como por ejemplo TLS-- para cifrar el contenido que se transfiere), SASL
proporciona medios para un uso negociado del mecanismo elegido. Las especificaciones originales
de SASL fueron editadas por John Meyers en el RFC 2222. Este fue hecho obsoleto por el RFC
4422, editado por Alexey Melnikov y Kurt Zeilenga.

Un mecanismo SASL se modela como una sucesión de retos y respuestas. Los mecanismos
definidos por SASL [1] incluyen:

"EXTERNAL", aquí la autenticación está implícita en el contexto (p.ej. para protocolos que ya
usan IPsec o TLS).

"ANONYMOUS", para el acceso de invitados sin autentificar.

"PLAIN", un mecanismo de contraseña simple en texto plano.

"OTP" para el sistema que evolucionó de S/KEY y que está definido en RFC 2289.

"NTLM".

Se prevé soportar los mecanismos GSSAPI en una familia de nomenclatura de mecanismos.

Los protocolos definen su representación de intercambios SASL con un perfil. Un protocolo tiene
un nombre de servicio como "LDAP" en un registro compartido con GSSAPI y Kerberos.

Entre los protocolos que ahora mismo usan SASL se incluyen IMAP, LDAP, POP3, SMTP y XMPP.
QUE ES BIND? 8

BIND (Berkeley Internet Name Domain, anteriormente : Berkeley Internet Name Daemon) es el
servidor de DNS más comúnmente usado en Internet, especialmente en sistemas Unix, en los
cuales es un Estándar de facto. Es patrocinado por la Internet Systems Consortium. BIND fue
creado originalmente por cuatro estudiantes de grado en la University of California, Berkeley y
liberado por primera vez en el 4.3BSD. Paul Vixie comenzó a mantenerlo en 1988 mientras
trabajaba para la DEC.

Una nueva versión de BIND (BIND 9) fue escrita desde cero en parte para superar las dificultades
arquitectónicas presentes anteriormente para auditar el código en las primeras versiones de BIND,
y también para incorporar DNSSEC (DNS Security Extensions). BIND 9 incluye entre otras
características importantes: TSIG, notificación DNS, nsupdate, IPv6, rndc flush, vistas,
procesamiento en paralelo, y una arquitectura mejorada en cuanto a portabilidad. Es comúnmente
usado en sistemas GNU/Linux.
INSTALACION DEL SISTEMA OPETIVO (FEDORA 14)

 Lo primero que nos lanza es a un booteo automático.

 Entramos automáticamente y damos click en instalar fedora.

 Nos sale un asistente de instalación para el comienzo de la instalación.

 Escogemos nuestro lenguaje o el que deseamos.

 Le decimos como quiere ser nuestra instalación de nuestro sistema, en este caso le
decimos que es básico.

 Le decimos que reinstale todo el sistema.

 Escribimos el nombre de nuestra maquina.

 Escogemos la zona horaria.

 Escribimos la contraseña del root que deseamos.

 El siguiente paso es decirle el espacio en nuestro disco que va a utilizar en este caso le dije
que utlizara todo el disco.
 Aca esta escribiendo los cambios en el disco.

 Esperamos que instale.

 Listo ya esta instalado, solo es sacar de la unidad de dc o quitar la imagen iso llegado el
caso estes utilizando maquinas virtuales.
 Ya despues de reiniciar y sacar el cd o la imagen iso, nos debe salir otro asistente de
configuracion pero para el cliente.

 Damos siguiente o “forward”, nos dale la licencia y los derechos que usted como usuario
fedora tiene.
 Creamos el nombre de usuario que se va a logear y su contraseña.

 Ahora nos pregunta si queremos enviar nuestro perfil para que nos actualize , este paso es
opcional.
 Listo atumatocamente nos debe de perdir la contraseña de nuestro usuario al cual
creamos.

 Listo este es nuestro escritorio.

#######################POSTFIX#########################################

VERIFICACION E INSTALACION DE NUESTRO SERVIDOR MTA.

1) Normalmente la gran mayoria de S.O basados en Unix trabajan con mta llamado
“sendmail”, lo que vamos hacer es verificar si nuestro fedora esta trabajando con
este servicio. Hacemos un usuario en la maquina para que podamos probar si se
esta enviando correos podemos hacerle con nuestro mismo usuario pero lo hare
con otro para enseñarles, esto se hace con el siguiente comando.

2) Ahora con este comando enviaremos un correo local escribimos primero el

mensaje y despues el asunto.
3) Ahora lo que vamos hacer es instalar nuestro mta postfix, yum es el mas utilizado
para compilar repositorios.

4) Despues de instalado postfix , paramos el sistema de arranque de sendmail e

iniciamos el postfix, con los siguientes comandos.
5) Ahora vamos a configurar nuestro postfix creando 3 archivos y editando el de
configuracion de le en ese caso seria “main.cf”, el primer archivo que vamos a
configurar es main.cf con el editor de texto preferido yo escoji vim.

6) Agregamos el nombre de nuestra maquina y cual va hacer nuestro dominio.

7) Aca le estamos diciendo que originalmente los correos van hacer con el dominio y
que va a trabajar con todar las interfaces que encuentre.
8) En este punto comentamos la primera linea y descomentamos la segunda para
indicarle que trabaje con los usuarios del dominio.
9) Le indicamos que trabaje por todas las subredes.

10) En esta linea que he agragado le he dicho que lo usuarios virtuales se encuentren
en ese archivo que le he indicado y que los recipientes locales tambien.

11) Le indicamos que los correos se van a guardar de forma Maildir.

12) En estas lineas se le estan diciendo tambien al postfix, relativamente lo mismo a
los parametros que le indicamos de los usuarios virtuales y los recipientes locales,
pero es opcional.

13) El paso siguiente es crear los otros archivos, el primer es donde postfix encontrara
los usuarios virtuales y debe quedar mas o menos algo asi.
14) Ahora el otro archivo donde le diremos donde se encuentran los recipientes
locales y sus busquedas.

15) Reiniciamos el postfix.

Lo que vamos hacer ahora es probar con un usario para ver si postfix funciona localmente
#############################LDAP-389####################################

Instalación y configuración de LDAP -389 en fedora para postfix.

I. Lo primero que debemos hacer para que empecemos con nuestro LDAP
debemos buscar que repositorios existen en internet, con el comando “yum
search” es la mejor forma de lograrlo, con yum search 389, encontraras
estos paquetes que debes descargar.

II. Escribiendo yum install –y instalaras los paquetes

III. Ya después de instalado con el comando “setup-ds-admin.pl”, iniciaras con la
instalación de tu LDAP.

IV. Ese primer paso nos indica el tipo de instalación que queremos hacer, en
mi caso escogí la que dice que tendrá todas las dependencias funcionado
esta que vendría hacer la segunda opción o con enter pasas al siguiente
paso, que será la licencia que tiene y los derechos que obtenemos, damos
enter o yes.

V. Lo que sigue es la comprobación del sistema como esta en capacidad de

soportar el LDAP, si te salen advertencias como salen aquí no te preocupes
solo es eso puedes seguir con el siguiente paso.
VI. Le decimos que va hacer típica la instalación.

VII. Le indicamos como se llama nuestra maquina donde correrá el LDAP.

VIII. Acá nos pregunta si tenemos otro LDAP funcionando, obviamente le
decimos que no.

IX. Este paso nos pregunta cual va hacer la contraseña de el administrador del
LDAP y que su dominio quien lo administrara.
X. En esta paso nos pregunta cual va hacer el puertos de administración y el
identificador de la maquina donde correo el dominio del LDAP.

XI. Nos pregunta si el sufijo del domino se encuentra bien y que si el que va
hacer las operaciones en Directory Manager, no olvides darle contraseña.
XII. Le indicamos también el puerto donde va hacer administrado y le decimos
que ya estamos listos para que suba o corra nuestro servidor.
XIII. Con el comando “389-console” abrirás tu consola, puedes escoger el
usuario admin o el usuario Directory Manager; en mi caso escogí admin que
es el que mas permisos tiene para configurar el LDAP.

XIV. Esta es la consola grafica del LDAP, en la opción DIrectory Server es la

opción para empezar a configurar. Damos click derecho “open” o click en
open.
XV. En Directory empezamos a configurar
 XVI. Yo cree la unidad organizativa “Medellín” y en el tengo estos usuarios,
ahora les mostrare como creó un usuario y que atributos deben funcionar
para integrarlo con postfix. Antes que todo debemos integrarle un nuevo
esquema que ya hice previamente en la pagina :
http://directory.fedoraproject.org/wiki/Howto:Postfix , la agregas en vim o nano
/etc/dirsrv/schema/ lo puedes llamar “99mail.ldif” y lo pegas , reinicias el LDAP y
listo los usuarios cogen el nuevo esquema para obtener los atributos que
necesitamos.
XVII. En click derecho nuevo, usuario empezamos a crear nuestro usuario.

XVIII. Llénanos los parámetros que nos pide o necesitemos.

XIX. En avanzadas le damos la configuración al usuario que necesitemos le
agregare cosas tales como el atributo mailUser que después de agregar el
esquema debe de aparecer y que el maildrop será el nombre de la persona.
XX. Para probar o saber cómo se están entregando los correos escribimos es
siguiente comando y nos indicar que se están entregando según la
configuración que le hicimos al postfix.
############################DOVECOT#########################

1. Instalamos el dovecot.

2. En el archivo de configuración de dovecot que queda en la ruta

/etc/dovecot/dovecot.conf, solo descomentamos la línea de cuales
protocolos por el cual va a trabajar.

3. Ahora aparentemente esta bien pero se debe crear un archivo para

en mas adelante y ahorrar tiempo nos sirve para terminar de darle
 los parámetros y configurar SASL en dovecot, pero ojo para hacer
editar este archivo le hice una copia a /usr/share/doc/dovecot” y la
versión”/dovecot-ldap.conf.

4. En estas líneas le decimos cual es el host o el servidor por el cual

esta corriendo, además si va a trabajar con SASL.

5. Que haga un auto bind, que es la base donde encontrara los

usuarios en el dominio del LDAP.
6. En estas líneas que he des comentado le estoy diciendo al dovecot
que use el filtro que le estoy indicando, que el password use esos
atributos y que los usuarios usen esos atributos para su password.
7. Le decimos cual es la base, la versión del LDAP y donde encontrara
sus búsquedas.
 8. Y por ultimo agregamos estas líneas donde le diremos donde van a
estar alojados los usuarios virtuales.

###########################TLS/SASL######################################

a. Instalamos openssl que es el paquete que necesitamos para

configurar tls.
 b. Verificamos que versión está trabajando y cuáles son los archivos de
configuración

c. Para poder configurar openssl debemos crear primero la CA

(entidad certificadora), para cuando el cliente y el servidor se
comunique esta sea de forma segura y de forma correcta, ahora
vamos a la ruta que le indicare en la imagen .

En la CA es donde se encuentra el archivo donde crearemos la entidad certificadora, lo

que vamos hacer es ejecutarlas con el siguiente comando.
Donde “–h” es que la forma que le decimos al archivo que nos muestre las opciones que
tiene para configurarse, “newca” que cree una nueva entidad certificadora.

d. Ahora damos ./CA –newcert para crear el certificado para la entidad

certificadora.

 LLenamos los parámetros que nos piden de provincia, ciudad, entidad, etc.
e. Para ver donde quedo el certificado hecho en la imagen que les
muestro esta.
##############################DNS(BIND)###################################
 Fedora tiene una solución muy sencilla para la elaboración de tu DNS y es utilizado
en la mayoría de sistemas operativos basados en UNIX, llamada system-config-“y
lo que necesites configurar” , puedes hacer gráficamente y sencillo pero te
mostrare como de las dos formas.
 Lo primero que debes hacer es instalar la consola grafica que a su vez instalara el
bind.

 Ya después de instalado lo iniciamos de la siguiente forma, cuidado que el signo &

es para que sigas trabajando en la consola porque si le das el comando de
iniciación solo te ocupara la consola.
 En este caso tengo mi zonas ya creadas pero hare otra para mostrarle, en la parte donde
dice “DNS Server” damos click derecho “new zone”.

 Damos click en la opción IN internet, que será el nombre FQDN que será buscado en todas
las redes y click también en la forma inversa como se va a buscar, ojo si no sabes usar IPv6
utiliza la opción IPv4.
 Configuramos la zona inversa primero, este paso no pide la dirección sin el host.

 En esta parte podemos configurar los que son el tiempo donde se expira la cache en
buscar una petición, en cuanto tiempo se refrescara la otra petición, en fin.

Lo único que le modifique es el nombre que tendrá la zona, el cual le coloque

“inversa.zone”.
 Como vemos ya después de configurar la dirección de nuestra zona inversa observamos
que ya tiene un registro NS y un registro SOA.

 El paso siguiente es agregarle el registro PTR para que resuelva de ip a host o nombre esto
se hace dando click en la opción donde se encuentra la dirección o “in.addr.arpa “ de
nuestra zona, PTR.
 Colocamos el último número de host, para que identifique quien va hacer el host donde
correrá, en mi caso le dije que era la 65 y que mi host se llama así, guardamos la
configuración.
 Forma por consola.
  Forma grafica

NOTA: Cabe recordar que la zona directa la tienes que configurar de la siguiente forma.

 Ve hacia la ruta /var/named/”y como nos muestra la herramienta grafica nuestra zona
directa se llama (freered.com.db)”. La abres con tu editor de texto preferido y te mostrare
un ejemplo con mi zona.
 Ahora al principio les dije que les iba a mostrar forma grafica y forma por consola, acá es
donde llega la forma por consola esta herramienta si puede ser muy útil pero tiene una
desventaja para hacer esta configuración; las zonas las escribe en /etc/named.conf.

 Tendríamos que indicarle en ese archivo que escuche por la dirección que colocamos al
principio en esta línea.
 El siguiente paso es comentar las líneas del archivo vim /etc/named.rfc1912.zones por que
en el archivo named.conf le indicamos que incluyera las líneas de este archivo, cuidado se
encuentra en la parte final del archivo named.conf, no lo quise borrar porque de pronto lo
necesitaremos en otra configuración aunque se nos puede olvidar pero para mi criterio lo
dejare y más bien iré a comentar las líneas del otro archivo.
 Ahora vamos a configurar el archivo /etc/resolv.conf para poder resolver los
nombres de los servidores en Internet.

 Reiniciamos el named.

 Listo ahí nos resuelve.

 Prueba de enviar y recibir correo por dominios virtuales

 En primer lugar lo que vamos a hacer es abrir un cliente thunderbird, nos logeamos y le
damos click en redactar
 Redactamos nuestro correo que va a ser enviado a Yessenia@freered.com y le damos en
el botón enviar.
 Como vemos en la imagen nos salió una notificación que el correo se envió correctamente.