Instalación y configuración de Proxmox Mail Gateway

Proxmox Mail Gateway (en lo adelante PMG) es; citando desde su web:

La solución de seguridad de correo electrónico de código abierto líder que lo ayuda a proteger su servidor de correo contra todas las amenazas de correo electrónico en el momento en que surgen. La arquitectura flexible combinada con la interfaz de administración basada en la web y fácil de usar permite a los profesionales de TI y las empresas controlar todos los correos electrónicos entrantes y salientes con facilidad y proteger a sus usuarios del correo no deseado, virus, phishing y troyanos.

En otras palabras, no es más que un relay de correo el cual se encargará de gestionar todo el tráfico de e-mails, siendo este el que esté de cara al mundo y no el propio servidor de correo.

Hay varias maneras de instalar PMG:
– En un CT usando sus repositorios.
– Con un ISO (proceso idem a instalar Proxmox).
– O descargandose la plantilla que nos brinda el propio sitio de Proxmox.

Hoy nos atañe la pimera opción, en un CT/LXC, de esa manera ahorramos recursos.

Requisitos:

  • CT con 2 cores (o más) y 2 GB de RAM mínimo
  • Debian 9 o 10.
  • Conexión a internet.

Notas:
– PMG    = 192.168.0.4
– Correo = 192.168.0.5

Comencemos:

  • Crea un CT con Debian 9 o 10 y agregale el repositorio de PMG correspondiente a la versión que usaste al “sources.list“:
  • Actualizalo:
  • Instala PMG:

Para su configuración les traigo 2 versiones: una pensando en la persona que tiene IP Real, y la otra en una VPN.

Primero acondicionaremos el terreno:

  • En tu DNS Externo crear un registro directo e inverso para el PMG con un IP aparte al resto que tengas (no es recomendado tener varios servicios en un mismo IP). Puedes llamarlo “mail” o “mx”, como prefieras.
  • Crea la regla de acceso NAT al puerto 25 que tenga como destino “WAN NET” (el rango completo de tus IPs Reales), y que sea nateado al IP LAN/DMZ de tu PMG por dicho puerto.
    También puedes optar por crear un IP Virtual con el registro que creaste en el DNS para ese servicio, entonces en el destino pondrías dicho IP Virtual.
  • Darle salida a internet al PMG para que pueda enviar correos, actualizar el ClamAV, etc.
    Puedes darle salida total por todos los puertos, o cerrar y que use solo los necesarios. Según su sitio (2.3. Firewall settings) estos son los que usa:
    Salida: 25 (SMTP), 123 (NTP), 2703 (RAZOR), 80 (HTTP)
  • En tu servidor de correo modificar el Postfix:
    En la línea “relayhost =” agregarle el IP del servidor PMG con el puerto 26 que es por el cual recibirá del servidor de correo.

    En la línea “mynetworks =” agregarle el IP del servidor PMG para que sepa que es de confianza.

    Reiniciar el Postfix

Los que estén en VPN: Si no tienes DNS y usas los de tu proveedor de servicios sáltate ese paso, el resto es obligatorio.

Entonces ya puedes eliminar la regla de entrada en el firewall directo a tu server de correo pues ahora quien estará de cara al mundo será el servidor PMG.

Una vez que tengamos instalado PMG y los 4 pasos anteriores vamos a pasar a configurarlo. Conectamos con él por https y por el puerto 8006 (https://IP:8006). La configuración la haré en Ingles, por tanto, déjenlo en Ingles:

  • Vamos a “Configuration > Mail Proxy > Relaying”.
    Edita las opciones que hay para que te quede así:

    En “Default Relay” pondrías tu dominio. El resto como viene por defecto.
    Los que estén en VPN: En  el apartado “Smarthhost” poner ahí el IP (o el DNS) del MX de tu proveedor de servicios.
  • Vamos a “Configuration > Mail Proxy > Relay Domains”
    Aquí agregarías tu dominio, es decir, que el único que pude enviar correo usando PMG es tu dominio y nadie más. Por tanto, te quedaría:
  • Vamos a “Configuration > Mail Proxy > Options”
    Yo la dejé de la siguiente manera:

    El “Message Size” por defecto viene para 10MB, chequea cuanto tiene puesto tu servidor de correo y pones la misma cantidad aquí para que haya concordancia entre uno y otro.
    Activa a “Yes” las 3 opciones posteriores para evitar que nadie se conecte a tu PMG sin un registro PTR, que bloquee cualquier dominio que no sea el tuyo al enviar, y para que chequee el HELO de las conexiones.
    Agrega en “DNSBL Sites” el sitio de barracuda para denegar automáticamente todo DNS que esté en BlackList y activa el “DNSBL Threshold” a 1.
    El resto de opciones las dejé como vienen por defecto.
    El campo “SMTPD Banner” lo puedes modificar y poner lo que quieras.
  • Vamos a “Configuration > Mail Proxy > Transports”
    Creas la configuración para que te quede de la siguiente manera:

    En “Relay Domain” tu dominio.
    En “Host” el IP del servidor de correo.
    Los que estén en VPN: En  el apartado “Use MX” poner ahí el IP (o del DNS) del MX de tu proveedor de servicios.

Y listo! Ahí tiene usted su flamante y nuevo PMG. Ahora solo depende de usted configurarlo y agregarle lo que necesite.

Los lugares que más frecuentarás son:

“Administration > Syslog” = Logs del sistema.

“Administation > Queues” = Cola de salida de correo.

“Administration > Spam Quarantine” = Correos que PMG clasificará como Spam

Ahora bien, en “Administration > Spam Quarantine” pondrás el rango de días que quieres analizar, y debajo te mostrará los usuarios para los cuales hay correos en la bandeja de Spam.
– Seleccionas uno de ellos y debajo verás el(los) correo(s) y a la derecha su contenido.
– En la parte derecha verás botones en la parte superior, a la izquierda tendrás lo referente a la info del mensaje y a la derecha las acciones a tomar con el mensaje.
– En el caso que el correo provenga de una dirección válida y lo haya calificado como Spam, por diferencia de hora u otro motivo, se lo puedes entregar al usuario. Yo lo agrego a la lista blanca del usuario y luego se lo entrego. Pincho en “Whitelist” y luego en “Deliver” (tendrás 2 carteles de acción satisfactoria). “Whitelist” porque la próxima vez que llegue un correo de esa misma dirección él lo revisará, lo clasificará como Spam o no, y no tendrás tu que entregárselo al usuario porque ya esa dirección está en lista blanca para él.
– Así con cada uno de los usuarios que tengas en la lista.

PMG desconfía de todo y de todos y revisa el E-Mail integro, por una basurita que se encuentre y no le guste lo envía a Spam. En uno inicio lo harás frecuentemente pero luego ya no tanto. Habrá días que ni sabrás de su existencia porque todo fluye como tiene que ser y él se encarga de ello.

Ya entonces, para ponerle la tapa al pomo, ponle DKIM para firmar tus correos. Con el post de Adonis verás que fácil.

Saludos.

Agradecimientos a:
Adonis Carrillo
Alexander Rivas
Hugo Florentino
Adalberto Fajardo

(Visited 1 times, 1 visits today)

5 Comentarios

  1. > This is the mail system at host mail1.ceniai.inf.cu.
    >
    > I’m sorry to have to inform you that your message could not
    > be delivered to one or more recipients. It’s attached below.
    >
    > For further assistance, please send mail to postmaster.
    >
    > If you do so, please include this problem report. You can
    > delete your own text from the attached returned message.
    >
    > The mail system
    >
    > : host mailserver.centis.edu.cu[169.158.176.102] said:
    > 554 5.7.1 : Recipient address rejected: Please see
    > http://www.openspf.org/Why?s=mfrom;id=maleta44%40nauta.cu;ip=169.158.128.150;r=mailserver.centis.edu.cu
    > (in reply to RCPT TO command)

  2. Tengo un problema , cuando habilito el tls me dejan de entran correos desde afuera del dominio, y recibo este error 454 4.7.0 TLS not available due to local problem, ya he actualizado la versión PMG , simplemente no me crea el archivo pmg-tls.pem, si alguien paso por ahí y tuviera una solución.

Dejar una contestacion

Tu dirección de correo electrónico no será publicada.


*