Solución Completa de Servidor de Correo con Dominios y Usuarios Virtuales (Debian Etch, Postfix, Mysql, Dovecot, DSpam, ClamAV, Postgrey, RBL) - Página 11

B. Postfix+TLS Seguro

Para comenzar, vamos a necesitar instalar postfix en secure-mail.example.com. Esta instalación en particular no necesita soporte de cuota (no maneja la entrega local), pero solo para mantener las cosas simples, lo vamos a instalar de la misma manera que hicimos arriba:

# dpkg -i postfix_2.3.8-2_i386.deb  
# dpkg -i postfix-mysql_2.3.8-2_i386.deb

Si/cuando la auto-configuración te haga preguntas sobre postfix durante la instalación, simplemente selecciona “Sin Configuración”

dpkg va a instalar todos los archivos de configuración para Postfix en /etc/postfix, así que ve allí y crea el archivo main.cf:

# cd /etc/postfix  
# touch main.cf

El archivo main.cf se puede editar utilizando dos métodos diferentes. Puedes usar tu editor de texto favorito, o puedes usar la herramienta incorporada de postfix postconf. Ya hemos usado postconf una vez para determinar nuestra versión en la subsección IV.A arriba.

El verdadero beneficio de la herramienta postconf es que tiene alguna verificación de errores incorporada, y elimina la posibilidad de ‘raras’ debido a retornos de carro, saltos de línea, comillas extrañas, etc. La usaremos en esta guía, pero realmente no hay un requisito.

Comienza llenando la información básica:

# postconf -e 'myhostname = secure-mail.example.com'  
# postconf -e 'smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)'  
# postconf -e 'biff = no'  
# postconf -e 'append_dot_mydomain = no'  
# postconf -e 'myorigin = example.com'  
# postconf -e 'inet_interfaces = all'  
# postconf -e 'local_recipient_maps ='  
# postconf -e 'local_transport = error:local mail delivery is disabled'  
# postconf -e 'smtpd_recipient_restrictions = permit_sasl_authenticated, reject'

Notarás que esta vez deshabilitamos la entrega local. Dado que esto es básicamente solo un servidor de retransmisión saliente, no queremos que intente ‘entregar’ cualquier correo… solo enviarlo hacia adelante. También configuramos el servidor SMTP para permitir solo sesiones autenticadas por SASL y rechazar cualquier otra sesión.

Ahora queremos llenar la información para SASL (Autenticación SMTP). Esto NO cifra la conexión, solo requiere que los usuarios inicien sesión:

# postconf -e 'smtpd_sasl_auth_enable = yes'  
# postconf -e 'smtpd_sasl_security_options = noanonymous'  
# postconf -e 'broken_sasl_auth_clients = yes'  
# postconf -e 'smtpd_sasl_type = dovecot'  
# postconf -e 'smtpd_sasl_path = private/auth'

Así que ahora tu instalación de postfix consultará a dovecot para todas sus necesidades de autenticación, pero aún no está cifrada. Vamos a cambiar eso…

# postconf -e 'smtpd_tls_cert_file = /etc/ssl/example.com/mailserver/mail-cert.pem'  
# postconf -e 'smtpd_tls_key_file = /etc/ssl/example.com/mailserver/mail-key.pem'  
# postconf -e 'smtpd_tls_session_cache_database = btree:/var/spool/postfix/smtpd_tls_session_cache'  
# postconf -e 'smtpd_tls_security_level = encrypt'  
# postconf -e 'smptd_tls_received_header = no'  
# postconf -e 'smtpd_tls_loglevel = 0'  
# postconf -e 'tls_random_source = dev:/dev/urandom'

Adelante, recarga postfix…

# postfix reload

Y luego pongamos a Dovecot en funcionamiento…