ÍNDICE
La documentación abarcará lo siguiente:
1.Implementación de un servidor de correo con buzones.
1.3. Implementación y configuración de ESMTP Postfix.
1.3.1. Selección de cifrados.
1.3.2. Configurando Postfix.
1.3.3. Creando los archivos de controles para Postfix-LDAP.
1.3.4. Comprobando la integración con LDAP y mapeos de aliases.
1.4.Implementación y configuración de Dovecot.
1.4.1.Configurando Dovecot
1.4.2.Creando archivo de control para Dovecot-LDAP
1.4.3.Script “quota-warnings.sh”
2. Implementación del cliente de correo web
2.2. Fortaleciendo la seguridad del cliente de correo web
2.3. Configuraciones desde la WebGUI de RainLoop
3.1. Outlook 2016
3.2. Outlook 2019
3.3. Thunderbird 78.8.0
4.1. Filtrado de correos por categorías
4.2. Filtrado para el remitente y destinatario
4.3. Filtrado para encabezado, adjuntos y cuerpo del correo
6. Listas de distribución con Mailman 2
6.1. Configuración de Nginx para Mailman 2
6.2. Instalación y configuración de Mailman 2
6.3. Integración de Mailman 2 a Postfix
6.4. Creando otras listas en Mailman 2
7. Rotación de logs y envío de reportes
8. Comprobando la encriptación TLS
9. Iptables
3. Clientes de correo externos
Existen varias aplicaciones de correo externo, pewro en este apartado se analizarán las soluciones más difundidas, como: Thunderbird y Outlook. La idea es configurar el cliente de correo para POP3 o IMAP con SSL/TLS implìcito y el SMTP para STARTTLS. Está en manos del administrador usar una solución de cliente de correo u otra.
#============================
NOTA:
Para los usuarios comunes que no tienen dispositivos moviles autorizados por la empresa, basta con configurarles el correo por POP3, ya que siempre accederán desde tu estación de trabajo de escritorio.
Para los usuarios que sí tienen dispositivos móviles autorizados por la empresa, como normalmente sucede con los jefes, se recomienda configurarles IMAP, para que desde cualquier dispositivo que acceda, siempre esté sincronizado con sus correos.
#============================
3.1. Outlook 2016
A continuación, se hará la configuración de Outlook 2016. El procedimiento será descrito en imágenes.
Al agregar la cuenta seleccionamos la opción de configuración manual:
Seleccionamos la opción de POP o IMAP, ya que se trata de un servidor de correo propio:
Configuramos la cuenta para POP3 en este caso:
Especificamos que las credendiales del servidor de salida serán las mismas que las del servidor de entrada:
Configuramos los puertos y los protocolos conexión cifrada para el servidor de entrada y salida:
Al aceptar, nos pedirá instalar el certificado autofirmado:
Outlook verificará ls configuraciones para el servidor de entrada y salida:
Si todo está correcto, recibiremos un mensaje de prueba de Outllok, lo cual indicaría que la configuración fue válida:
Podremos ver en los logs que el cliente negocio una conexión TLSv1.2 con el MTA:
1 2 3 | # [...] Mar 14 13:01:37 mail postfix/submission/smtpd[13635]: Anonymous TLS connection established from unknown[192.168.3.110]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits) # [...] |
3.2. Outlook 2019
Lo primero tras abrir Outlook de Microsoft Office 2019, será especificar la dirección de correo del usuario que hará uso de Outlook:
Especificamos el protocolo que usará nuestro cliente de correo. En este caso se optó por POP, por lo que Outlook descargará los correo a la PC cada vez que se conecte al buzón del usuario:
Se configura el cliente para el protocolo POP y SMTP, especificando los modos SSL/TLS implícito y STARTTLS.
Introducimos la contraseña del usuario de la cuenta configurada e intentamos conectarnos:
A continuación, nos saldrán una serie de ventanas emergentes, producto del certificado de seguridad del correo. Seguir los pasos siguientes:
Con esto ya tenemos configurada la cuenta, sin embargo, si queremos hacer algunos ajustes a la misma, podemos acceder siempre a “Archivo > Configuración de la cuenta” en Outlook:
En este caso deshabilitaremos dejar una copia de los mensajes de la cuenta en el servidor:
Vista final del cliente de correo. El tema de visualización en negro es opcional y se debe a una opción de Windows habilitada en este caso:
Podremos ver en los logs que el cliente negocio una conexión TLSv1.2 con el MTA:
1 2 3 | # [...] Mar 14 13:15:44 mail postfix/submission/smtpd[16612]: Anonymous TLS connection established from unknown[192.168.3.33]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits) # [...] |
3.3. Thunderbird 78.8.0
Toca el turno para la solución de software libre de cliente de correo externo, y una de las más completas: Thunderbird. Se configurará con los mismos requerimientos de seguridad que se hizo con Outlook.
Al término de este tutorial, la última versión de Thunderbird era la 78.8.0 pero dicha versión daba error en la importación de certificados autofirmados. La única opción para los servidores que usan este tipo de certificados es hacer una actualización sobre la instalación de la ultima versión que no persente este problema. Tras realizar varias pruebas, se pudo determinar que la versión má actual de Thunderbird que no tiene esta limitante es la 78.6.1. Sin embargo, si se siguen los siguientes pasos se podrá instalar la última versión del cliente.
A continuación, se muestra el procedimiento de configuración, después de haberse realizado una instalación limpia desde cero.
Si al probar la configuración obtenemos el siguiente error, debero hacer unos ajustes en las opciones del cliente para que soporteel certificado autofirmado que esta en conflicto:
Tras percatarnos del error, accedemos a las opciones generales del cliente y editamos su configuración:
Desmarcamos la casilla y aceptamos los riesgos:
Creamos una nueva cadena con el siguiente nombre, especificando el puerto “587” de valor, si se trata de un conflicto con el certificado del servidor de salida, como es el caso.
Probamos nuevamente la configuración y ahora sí debe ser satisfactoria la prueba:
Aceptamos en el cuadro de diálogo para acceder ala configuración avanzada:
Configuramos las opciones avanzadas:
Si nos enviamos un correo de prueba, nos dará el siguiente error de envío:
Aceptamos la excepción para nuestro certificado autofirmado para el servidor de salida:
Si obtenemos los correos del servidor, en este caso no los descargará, ya que se configuró el cliente para IMAP. En su lugar se sincronizará con el servidor para mostrarnos todos los correos en nuestro buzón. El cliente nos pedirá agregar la excepción del certificado para el servidor de entrada:
Nos saldrá una notificación en la esquina inferior derecha, informándonos sobre la entrada de un nuevo servidor de correo:
Una vista del cliente en su personalizado tema oscuro:
En los logs queda la traza del tipo de cifrado negociado entre el servidor y el cliente y nos percatamos de que Thunderbird sí soporta TLSv1.3, lo cual lo hace una solución mucho más seguro que las versiones analizadas de Outlook:
1 2 3 | # […] Mar 14 12:49:59 mail postfix/submission/smtpd[9394]: Anonymous TLS connection established from unknown[192.168.3.110]: TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits) key-exchange ECDHE (P-256) server-signature RSA-PSS (2048 bits) server-digest SHA256 # […] |
Si el cliente de correo es mal configurado para alguna de las cuentas, por ejemplo, que en lugar de conectarse al “submission” por encriptación, intente conectarse en texto plano, simplemente le saldrá el siguiente error:
Esto significa que el servidor nos obliga a usar STARTTLS por el puerto 587.
Dejar una contestacion