Servidor de correo con Postfix+Dovecot+RainLoop+Mailman2 y auth LDAP para usuarios del AD DC [Debian 10] – PART V

ÍNDICE

La documentación abarcará lo siguiente:

1.Implementación de un servidor de correo con buzones.

1.1.Datos de interés.

1.2.Sincronización de tiempo.

1.3. Implementación y configuración de ESMTP Postfix.

1.3.1. Selección de cifrados.

1.3.2. Configurando Postfix.

1.3.3. Creando los archivos de controles para Postfix-LDAP.

1.3.4. Comprobando la integración con LDAP y mapeos de aliases.

1.4.Implementación y configuración de Dovecot.

1.4.1.Configurando Dovecot

1.4.2.Creando archivo de control para Dovecot-LDAP

1.4.3.Script “quota-warnings.sh”

2. Implementación del cliente de correo web

2.1. Instalación de RainLoop

2.2. Fortaleciendo la seguridad del cliente de correo web

2.3. Configuraciones desde la WebGUI de RainLoop

3. Clientes de correo externo

3.1. Outlook 2016

3.2. Outlook 2019

3.3. Thunderbird 78.8.0

4. Filtrado de correos

4.1. Filtrado de correos por categorías

4.2. Filtrado para el remitente y destinatario

4.3. Filtrado para encabezado, adjuntos y cuerpo del correo

5. Copias de Carbón Ocultas

6. Listas de distribución con Mailman 2

6.1. Configuración de Nginx para Mailman 2

6.2. Instalación y configuración de Mailman 2

6.3. Integración de Mailman 2 a Postfix

6.4. Creando otras listas en Mailman 2

7. Rotación de logs y envío de reportes

8. Comprobando la encriptación TLS

9. Iptables

 

3. Clientes de correo externos

Existen varias aplicaciones de correo externo, pewro en este apartado se analizarán las soluciones más difundidas, como: Thunderbird y Outlook. La idea es configurar el cliente de correo para POP3 o IMAP con SSL/TLS implìcito y el SMTP para STARTTLS. Está en manos del administrador usar una solución de cliente de correo u otra.

#============================
NOTA:
Para los usuarios comunes que no tienen dispositivos moviles autorizados por la empresa, basta con configurarles el correo por POP3, ya que siempre accederán desde tu estación de trabajo de escritorio.
Para los usuarios que sí tienen dispositivos móviles autorizados por la empresa, como normalmente sucede con los jefes, se recomienda configurarles IMAP, para que desde cualquier dispositivo que acceda, siempre esté sincronizado con sus correos.
#============================

3.1. Outlook 2016

A continuación, se hará la configuración de Outlook 2016. El procedimiento será descrito en imágenes.

Al agregar la cuenta seleccionamos la opción de configuración manual:

Seleccionamos la opción de POP o IMAP, ya que se trata de un servidor de correo propio:

Configuramos la cuenta para POP3 en este caso:

Especificamos que las credendiales del servidor de salida serán las mismas que las del servidor de entrada:

Configuramos los puertos y los protocolos conexión cifrada para el servidor de entrada y salida:

Al aceptar, nos pedirá instalar el certificado autofirmado:

Outlook verificará ls configuraciones para el servidor de entrada y salida:

Si todo está correcto, recibiremos un mensaje de prueba de Outllok, lo cual indicaría que la configuración fue válida:

Podremos ver en los logs que el cliente negocio una conexión TLSv1.2 con el MTA:

3.2. Outlook 2019

Lo primero tras abrir Outlook de Microsoft Office 2019, será especificar la dirección de correo del usuario que hará uso de Outlook:

Especificamos el protocolo que usará nuestro cliente de correo. En este caso se optó por POP, por lo que Outlook descargará los correo a la PC cada vez que se conecte al buzón del usuario:

Se configura el cliente para el protocolo POP y SMTP, especificando los modos SSL/TLS implícito y STARTTLS.

Introducimos la contraseña del usuario de la cuenta configurada e intentamos conectarnos:

A continuación, nos saldrán una serie de ventanas emergentes, producto del certificado de seguridad del correo. Seguir los pasos siguientes:

Con esto ya tenemos configurada la cuenta, sin embargo, si queremos hacer algunos ajustes a la misma, podemos acceder siempre a “Archivo > Configuración de la cuenta” en Outlook:

En este caso deshabilitaremos dejar una copia de los mensajes de la cuenta en el servidor:

Vista final del cliente de correo. El tema de visualización en negro es opcional y se debe a una opción de Windows habilitada en este caso:

Podremos ver en los logs que el cliente negocio una conexión TLSv1.2 con el MTA:

3.3. Thunderbird 78.8.0

Toca el turno para la solución de software libre de cliente de correo externo, y una de las más completas: Thunderbird. Se configurará con los mismos requerimientos de seguridad que se hizo con Outlook.

Al término de este tutorial, la última versión de Thunderbird era la 78.8.0 pero dicha versión daba error en la importación de certificados autofirmados. La única opción para los servidores que usan este tipo de certificados es hacer una actualización sobre la instalación de la ultima versión que no persente este problema. Tras realizar varias pruebas, se pudo determinar que la versión má actual de Thunderbird que no tiene esta limitante es la 78.6.1. Sin embargo, si se siguen los siguientes pasos se podrá instalar la última versión del cliente.

A continuación, se muestra el procedimiento de configuración, después de haberse realizado una instalación limpia desde cero.

Si al probar la configuración obtenemos el siguiente error, debero hacer unos ajustes en las opciones del cliente para que soporteel certificado autofirmado que esta en conflicto:

Tras percatarnos del error, accedemos a las opciones generales del cliente y editamos su configuración:

Desmarcamos la casilla y aceptamos los riesgos:

Creamos una nueva cadena con el siguiente nombre, especificando el puerto “587” de valor, si se trata de un conflicto con el certificado del servidor de salida, como es el caso.

Probamos nuevamente la configuración y ahora sí debe ser satisfactoria la prueba:

Aceptamos en el cuadro de diálogo para acceder ala configuración avanzada:

Configuramos las opciones avanzadas:

Si nos enviamos un correo de prueba, nos dará el siguiente error de envío:

Aceptamos la excepción para nuestro certificado autofirmado para el servidor de salida:

Si obtenemos los correos del servidor, en este caso no los descargará, ya que se configuró el cliente para IMAP. En su lugar se sincronizará con el servidor para mostrarnos todos los correos en nuestro buzón. El cliente nos pedirá agregar la excepción del certificado para el servidor de entrada:

Nos saldrá una notificación en la esquina inferior derecha, informándonos sobre la entrada de un nuevo servidor de correo:

Una vista del cliente en su personalizado tema oscuro:

En los logs queda la traza del tipo de cifrado negociado entre el servidor y el cliente y nos percatamos de que Thunderbird sí soporta TLSv1.3, lo cual lo hace una solución mucho más seguro que las versiones analizadas de Outlook:

Si el cliente de correo es mal configurado para alguna de las cuentas, por ejemplo, que en lugar de conectarse al “submission” por encriptación, intente conectarse en texto plano, simplemente le saldrá el siguiente error:

Esto significa que el servidor nos obliga a usar STARTTLS por el puerto 587.

 

 

 

 

 

 

 

¿De cuánta utilidad te ha parecido este contenido?

¡Haz clic en una estrella para puntuar!

Promedio de puntuación 0 / 5. Recuento de votos: 0

Hasta ahora, ¡no hay votos!. Sé el primero en puntuar este contenido.

Ing. Telecomunicaciones y Electrónica; 1er Especialista en Redes de ECASA Nivel Central

Sé el primero en comentar

Dejar una contestacion

Tu dirección de correo electrónico no será publicada.


*