Servidor de correo con Postfix+Dovecot+RainLoop+Mailman2 y auth LDAP para usuarios del AD DC [Debian 10] – PART I

Tras varias semanas trabajando en este documento, finalmente me encuentro listo para hacerles llegar una documentación que no los defraudará. Será una serie de partes las que logren explicar en su totalidad, la implementación y configuración de un servidor de correo empresarial.

Agradecer a Ariel Álvarez y Hugo Florentino por su apoyo a esta documentación.

ÍNDICE

La documentación abarcará lo siguiente:

1.Implementación de un servidor de correo con buzones.

1.1.Datos de interés.

1.2.Sincronización de tiempo.

1.3. Implementación y configuración de ESMTP Postfix.

1.3.1. Selección de cifrados.

1.3.2. Configurando Postfix.

1.3.3. Creando los archivos de controles para Postfix-LDAP.

1.3.4. Comprobando la integración con LDAP y mapeos de aliases.

1.4.Implementación y configuración de Dovecot.

1.4.1.Configurando Dovecot

1.4.2.Creando archivo de control para Dovecot-LDAP

1.4.3.Script “quota-warnings.sh”

2. Implementación del cliente de correo web

2.1. Instalación de RainLoop

2.2. Fortaleciendo la seguridad del cliente de correo web

2.3. Configuraciones desde la WebGUI de RainLoop

3. Clientes de correo externo

3.1. Outlook 2016

3.2. Outlook 2019

3.3. Thunderbird 78.8.0

4. Filtrado de correos

4.1. Filtrado de correos por categorías

4.2. Filtrado para el remitente y destinatario

4.3. Filtrado para encabezado, adjuntos y cuerpo del correo

5. Copias de Carbón Ocultas

6. Listas de distribución con Mailman 2

6.1. Configuración de Nginx para Mailman 2

6.2. Instalación y configuración de Mailman 2

6.3. Integración de Mailman 2 a Postfix

6.4. Creando otras listas en Mailman 2

7. Rotación de logs y envío de reportes

8. Comprobando la encriptación TLS

9. Iptables

1. Implementación de un servidor de correo con buzones.

1.1.      Datos de interés

 NOTA: Las principales configuraciones de Postfix y Dovecot de este tutorial, se encuentran disponibles en el siguiente enlace.

Siempre trate de apoyarse en el documento, como base para la actualización de las configuraciones.

Servidor que actúa como AD DC:

  • FQDN del servidor: dc1.empresa.midominio.cu
  • Nombre Netbios para el domino: EMPRESA
  • Dirección IP: 192.168.120.31
  • Nombre de usuario para el administrador de dominio: administrator
  • Contraseña para el usuario administrador del dominio: Admin*123

Servidor que actúa como servidor de correo MTA+MSA+MDA:

  • FQDN del servidor: mail.empresa.midominio.cu
  • Dirección IP: 192.168.120.37
  • Entrada en el DNS para el servicio SMTP: smtp.empresa.midominio.cu
  • Entrada en el DNS para el servicio POP3: dovecot.empresa.midominio.cu
  • Entrada en el DNS para el servicio IMAP: dovecot.empresa.midominio.cu
  • Entrada en el DNS para el cliente de correo web: webmail.empresa.midominio.cu
  • Nombre del dominio: empresa.midominio.cu
  • Tamaño máximo del mensaje de correo: 10 MB
  • Tamaño máximo del adjunto: 10 MB
  • Tipos de conexión:
    • SSL/TLS implícito para IMAP (993) y POP3 (995)
    • SSL/TLS explícito o STARTTLS (587).
  • Versión mínima soportada de TLS: 2.
  • Cifrados autorizados para TLSv1.2:
    • ECDHE-RSA-AES256-GCM-SHA384
    • ECDHE-RSA-AES128-GCM-SHA256
  • Cifrados autorizados para TLSv.3:
    • TLS_AES_256_GCM_SHA384
    • TLS_CHACHA20_POLY1305_SHA256
    • TLS_AES_128_GCM_SHA256
  • Autenticación por usuarios virtuales LDAP del AD DC.
  • Autenticacion anónima para conexiones “servidor-servidor”.
  • Cuotas por Dovecot establecidas desde el AD.

Servidor que actúa como servidor de correo MTA relay:

  • FQDN del servidor: mailgw.empresa.midominio.cu
  • Dirección IP: 192.168.130.87

Características del servidor de correo:

  • La autenticación del usuario de correo dependerá del atributo «mail» del AD, del atributo «physicalDeliveryOfficeName» (especificará la cuota de correo), del atributo «userAccountControl”, opción que especifica que no podrá ser una cuenta desactivada del mismo y tampoco podrá estar bloqueada. Si la cuenta no cumple con alguno de los requisitos anteriores, no podrá autenticarse para hacer uso del servicio.

  • Existen dos grupos de usuarios de correo en el AD:
    • Mail_Nacional: Sólo correo al dominio nacional “*.cu”.
    • Mail_Local: Sólo correo local o institucional “empresa.midominio.cu”.
  • El resto de los usuarios no tienen limitacion de tráfico de correo y, por ende, tienen correo internacional.
  • El nombre del buzón de correos será «Maildir» y la ruta a este dependerá del nombre del usuario de correo (puede o no coincidir con la cuenta del dominio).

  • Los aliases para grupos del AD utilizarán el atributo «mail» del grupo en cuestión y cuando se le escriba a dicha dirección de correo, terminará llegándole a todos los miembros del grupo, siempre y cuando dichos miembros tengan los requisitos para usar el servicio de correo. Para pertenecer a un alias de grupo el usuario debe pertenecer al dominio.
  • Los alias personales o para corrección de errores se mapearán en un fichero del servidor, donde se especificará el nombre del usuario y su alias. Esto es conveniente para cuando se tiene una dirección de correo a la cual se le escribe mal el nombre. Para hacer que esos correos lleguen correctamente a su destino, si el remitente no se ha percatado del error, no queda otra que crearle un alias a la cuenta mal escrita y que apunte a la verdadera cuenta de correo. Otro ejemplo pudiera ser, cuando alguien no sepa la dirección de correo del destinatario, cuya dirección de correo no coincide con la del AD, y decide escribirle a la cuenta del dominio, pudiéndose enrutar correctamente el correo a su verdadera cuenta, gracias a un alias personal o de corrección de errores. Este tipo de alias también sirve para alias de grupo, donde alguno de ellos o todos, no pertenecen al dominio.
  • Los alias de Mailman para las listas de correo seran mapeados localmente, como sucede con los alias personales o de corrección de errores.

Tipos de conexiones de correo, como servidor, para el host “mail”:

Tipos de conexiones de correo, como cliente, para el host “mail”:

Clientes de correo electrónico (MUA) seleccionados para este tutorial:

  •  MUA (propietario): Outlook de Microsoft Office 2019
  • MUA (propietario): Outlook de Microsoft Office 2016
  • MUA (software libre): Thunderbird 78.8.0

Existen varios escenarios posibles. En este tutorial analizaremos el caso del servicio de correo de una empresa que no gestiona sus correos directamente de internet. Esta empresa tiene una sucursal y debe ser capaz de entregar correos a dicha entidad, así como enviar correos a internet a través de otra empresa, que bien podría considerarse su ISP, la cual sí gestiona correos directamente de internet. La siguiente imagen nos permite tener una mayor claridad de la situación:

Encerrados en el recuadro, con líneas discontinuas azules, se encuentran los servidores que deberán ser configurados en una red empresarial, o sea, los servidores sobre los cuales se tiene dominio. Fuera de éste, tenemos el servidor de correo de la sucursal, el de la LAN del propio ISP y un correo de internet, como es el caso de Gmail, por sólo poner ejemplos.

Como requisitos tener instalado de antemano un servidor web con soporte para PHP7 o superior, un servicio DNS con las entradas correspondientes a la gestión de correo IMAP, POP3, SMTP, los paquetes relacionados con OpenSSL para generar certificados SSL, y un servidor NTP para la correcta sincronización de usos horarios entre servidores y estaciones de trabajo.

Referencias bibliográficas

  1. Administración de redes en Debian. Blog “Debian Paso a Paso”, Ariel Álvares, 2020.
  2. Blog “AdminLinux”, “Samba4+Postfix_Dovecot_SASL”.
  3. Blog “AdminLinux”, “Cuotas al correo de Samba4 + Postfix +Dovecot + SASL”.
  4. Blog “Limilabs”, “SSL vs TLS vs STARTTLS”.
  5. Sitio “Fastmail” “SSL, TLS, and STARTTLS”.
  6. MailAD, Pavel Milanes, 2021.
  7. Montando un servidor de correos con MailAD, Pavel Milanes. Julio, 2020.
  8. Guía para la implementación de servicios integrados a Samba4 como Active Directory Domain Controller (AD DC) en Debian 9/10 – Parte 8. Yoel Torres. Agosto, 2019
  9. Documentación oficial de Postfix.
  10. Documentación oficial de Dovecot.

¿De cuánta utilidad te ha parecido este contenido?

¡Haz clic en una estrella para puntuar!

Promedio de puntuación 4.9 / 5. Recuento de votos: 10

Hasta ahora, ¡no hay votos!. Sé el primero en puntuar este contenido.

Sobre Franco Diaz Hurtado 27 artículos
Ing. Telecomunicaciones y Electrónica; 1er Especialista en Redes de ECASA Nivel Central

3 comentarios

  1. Firefox 88.0 Firefox 88.0 Windows 7 x64 Edition Windows 7 x64 Edition
    Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:88.0) Gecko/20100101 Firefox/88.0

    No puedo descargar Las principales configuraciones de Postfix y Dovecot de este tutorial, se encuentran disponibles en el siguiente enlace.

    • Google Chrome 83.0.4103.116 Google Chrome 83.0.4103.116 GNU/Linux x64 GNU/Linux x64
      Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.116 Safari/537.36 UOS

      asi mismo, ya ahora no se encuentran disponibles

  2. Firefox 88.0 Firefox 88.0 Windows 10 x64 Edition Windows 10 x64 Edition
    Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:88.0) Gecko/20100101 Firefox/88.0

    Mil gracias, comenzare a instalar en los proximos dias. Agradecido de corazon

Responder a Osmel Cancelar la respuesta

Tu dirección de correo electrónico no será publicada.


*