Linux Para Todos - Configuración básica de Sendmail (Parte I).

Este documento asume que el lector ya ha aplicado todos los parches de seguridad correspondientes para Cyrus-sasl, Sendmail y Dovecot (o imap). Los procedimientos aplican para las versiones 3 y 4 (y versiones posteriores) de Red Hat™ Enterprise Linux, White Box Enterprise Linux o CentOS.

Introducción.

Acerca de Sendmail.

Es el más popular agente de transporte de correo (MTA o Mail Transport Agent), responsable quizá de poco más del 70% del correo electrónico del mundo. Aunque por largo tiempo se le ha criticado por muchos incidentes de de seguridad, lo cierto es que éstos siempre han sido resueltos en pocas horas.

Acerca de Dovecot.

Dovecot es un servidor de POP3 e IMAP de fuente abierta que funciona en Linux y sistemas basados sobre Unix™ y diseñado con la seguridad como principal objetivo. Dovecot puede utilizar tanto el formato mbox como maildir y es compatible con las implementaciones de los servidores UW-IMAP y Courier IMAP.

Acerca de SASL y Cyrus SASL.

SASL (Simple Authentication and Security Layer) es un estructura para la seguridad de datos en protocolos de Internet. Desempareja mecanismos de la autenticación desde protocolos de aplicaciones, permitiendo, en teoría, cualquier mecanismo de autenticación soportado por SASL para ser utilizado en cualquier protocolo de aplicación que capaz de utilizar SASL. Actualmente SASL es un protocolo de la IETF (Internet Engineering Task Force) que ha sido propuesto como estándar. Está especificado en el RFC 2222 creado por John Meyers en la Universidad Carnegie Mellon.

Cyrus SASL es una implementación de SASL que puede ser utilizada del lado del servidor o del lado del cliente y que incluye como principales mecanismos de autenticación soportados a ANONYMOUS, CRAM-MD5, DIGEST-MD5, GSSAPI y PLAIN. El código fuente incluye también soporte para los mecanismos LOGIN, SRP, NTLM, OPT y KERBEROS_V4.

Protocolos utilizados.

SMTP (Simple Mail Transfer Protocol).

Es un protocolo estándar de Internet del Nivel de Aplicación utilizado para la transmisión de correo electrónico a través de una conexión TCP/IP. Este es de hecho el único protocolo utilizado para la transmisión de correo electrónico a través de Internet. Es un protocolo basado sobre texto y relativamente simple donde se especifican uno más destinatarios en un mensaje que es transferido. A lo largo de los años han sido muchas las personas que han editado o contribuido a las especificaciones de SMTP, entre las cuales están Jon Postel, Eric Allman, Dave Crocker, Ned Freed, Randall Gellens, John Klensin y Keith Moore.

Para determinar el servidor SMTP para un dominio dado, se utilizan los registros MX (Mail Exchanger) en la Zona de Autoridad correspondiente al ese mismo dominio contestado por un Servidor DNS. Después de establecerse una conexión entre el remitente (el cliente) y el destinatario (el servidor), se inicia una sesión SMTP, ejemplificada a continuación.

`Cliente:`	`$ telnet 127.0.0.1 25`
`Servidor:`	`Trying 127.0.0.1... Connected to localhost.localdomain (127.0.0.1). Escape character is '^]'. 220 nombre.dominio ESMTP Sendmail 8.13.1/8.13.1; Sat, 18 Mar 2006 16:02:27 -0600`
`Cliente:`	`HELO localhost.localdomain`
`Servidor:`	`250 nombre.dominio Hello localhost.localdomain [127.0.0.1], pleased to meet you`
`Cliente:`	`MAIL FROM:<fulano@localhost.localdomain>`
`Servidor:`	`250 2.1.0 <fulano@localhost.localdomain>... Sender ok`
`Cliente:`	`RCPT TO:<root@localhost.localdomain>`
`Servidor:`	`250 2.1.5 <root@localhost.localdomain>... Recipient ok`
`Cliente:`	`DATA`
`Servidor:`	`354 Enter mail, end with "." on a line by itself`
`Cliente:`	`Subject: Mensaje de prueba From: fulano@localhost.localdomain To: root@localhost.localdomain Hola. Este es un mensaje de prueba. Adios. .`
`Servidor:`	`250 2.0.0 k2IM2RjA003987 Message accepted for delivery`
`Cliente:`	`QUIT`
`Servidor:`	`221 2.0.0 nombre.dominio closing connection`
`Servidor:`	`Connection closed by foreign host.`

La descripción completa del protocolo original STMP está definido en el RFC 821, aunque el protocolo utilizado hoy en día, también conocido como ESMTP (Extended Simple Mail Transfer Protocol), está definido en el RFC 2821. SMTP trabaja sobre TCP en el puerto 25.

POP3 (Post Office Protocol version 3).

Es un protocolo estándar de Internet del Nivel de Aplicación que recupera el correo electrónico desde un servidor remoto a través de una conexión TCP/IP desde un cliente local. El diseño de POP3 y sus predecesores es permitir a los usuarios recuperar el correo electrónico al estar conectados hacia una red y manipular los mensajes recuperados sin necesidad de permanecer conectados. A pesar de que muchos clientes de correo electrónico incluyen soporte para dejar el correo en el servidor, todos los clientes de POP3 recuperan todos los mensajes y los almacenan como mensajes nuevos en la computadora o anfitrión utilizado por el usuario, eliminan los mensajes en el servidor y terminan la conexión.

Después de establecerse una conexión entre el cliente y el servidor, se inicia una sesión POP3, ejemplificada a continuación.

`Cliente:`	`$ telnet 127.0.0.1 110`
`Servidor:`	`Trying 127.0.0.1... Connected to localhost.localdomain (127.0.0.1). Escape character is '^]'. +OK dovecot ready.`
`Cliente:`	`USER fulano`
`Servidor:`	`+OK`
`Cliente:`	`PASS clave de accceso`
`Servidor:`	`+OK Logged in.`
`Cliente:`	`STAT`
`Servidor:`	`+OK 1 728`
`Cliente:`	`LIST`
`Servidor:`	`+OK 1 messages: 1 728 .`
`Cliente:`	`RETR 1`
`Servidor:`	+OK 728 octets Return-Path: <fulano@localhost.localdomain> Received: from localhost.localdomain (localhost.localdomain [192.168.1.254]) by localhost.localdomain (8.13.1/8.13.1) with SMTP id k2IM2RjA003987 for <root@localhost.localdomain>; Sat, 18 Mar 2006 16:03:21 -0600 Date: Sat, 18 Mar 2006 16:02:27 -0600 Message-Id: <200603182203.k2IM2RjA003987@localhost.localdomain> Subject: Mensaje de prueba From: fulano@localhost.localdomain To: root@localhost.localdomain Status: O Content-Length: 43 Lines: 2 X-UID: 202 X-Keywords: Hola. Este es un mensaje de prueba. Adios. .
`Cliente:`	`QUIT`
`Servidor:`	`+OK Logging out. Connection closed by foreign host.`

POP3 está definido en el RFC 1939. POP3 trabaja sobre TCP en el puerto 110.

IMAP (Internet Message Access Protocol).

Es un protocolo estándar de Internet del Nivel de Aplicación utilizado para acceder hacia el correo electrónico en un servidor remoto a través de una conexión TCP/IP desde un cliente local.

La versión más reciente de IMAP es la 4, revisión 1, y está definida en el RFC 3501. IMAP trabaja sobre TCP en el puerto 143.

Fue diseñado por Mark Crispin en 1986 como una alternativa más moderna que cubriera las deficiencias de POP3. Las características más importantes de IMAP incluyen:

•	Soporte para los modos de operación conectado (connected) y desconectado (disconnected), permitiendo a los clientes de correo electrónico permanezcan conectados el tiempo que su interfaz permanezca activa, descargando los mensajes conforme se necesite.
•	A diferencia de POP3, permite accesos simultáneos desde múltiples clientes y proporciona los mecanismos necesarios para éstos para que se detecten los cambios hechos por otro cliente de correo electrónico concurrentemente conectado en el mismo buzón de correo.
•	Permite a los clientes obtener individualmente cualquier parte MIME (acrónimo de Multi-Purpose Internet Mail Extensions o Extensiones de correo de Internet de propósitos múltiples), así como también obtener porciones de las partes individuales o bien los mensajes completos.
•	A través de banderas definidas en el protocolo, vigilar la información de estado de los mensajes de correo electrónico que se mantengan en el servidor. Por ejemplo si el estado del mensaje es leído, no leído, respondido o eliminado.
•	Incluye soporte para soporte para múltiples buzones de correo electrónico que permite crear, renombrar o eliminar mensajes de correo electrónico presentados en el servidor dentro de carpetas, y mover éstos mensajes entre distintas cuentas de correo electrónico. Esta característica también permite al servidor proporcionar acceso hacia los carpetas públicas y compartidas.
•	Incluye soporte para realizar búsquedas del lado del servidor a través de mecanismos que permiten obtener resultados de acuerdo a varios criterios, permitiendo evitar que los clientes de correo electrónico tengan que descargar todos los mensajes desde el servidor.
•	Las especificaciones del protocolo IMAP definen un mecanismo explícito mediante el cual puede ser mejorada su funcionalidad a través de extensiones. Un ejemplo es la extensión IMAP IDLE, la cual permite sincronizar ente el servidor y el cliente a través de avisos.

Después de establecerse una conexión entre el cliente y el servidor, se inicia una sesión IMAP, ejemplificada a continuación.

`Cliente:`	`$ telnet 127.0.0.1 143`
`Servidor:`	`Trying 127.0.0.1... Connected to localhost.localdomain (127.0.0.1). Escape character is '^]'. * OK dovecot ready. +OK dovecot ready.`
`Cliente:`	`x LOGIN fulano clave de acceso`
`Servidor:`	`x OK Logged in.`
`Cliente:`	`x SELECT inbox`
`Servidor:`	`* FLAGS (\Answered \Flagged \Deleted \Seen \Draft) * OK [PERMANENTFLAGS (\Answered \Flagged \Deleted \Seen \Draft \)] Flags permitted. 1 EXISTS * 0 RECENT * OK [UNSEEN 1] First unseen. * OK [UIDVALIDITY 1100569382] UIDs valid * OK [UIDNEXT 203] Predicted next UID x OK [READ-WRITE] Select completed.`
`Cliente:`	`x FETCH 1 (flags body[header.fields (subject)])`
`Servidor:`	`* 1 FETCH (FLAGS (\Seen) BODY[HEADER.FIELDS (SUBJECT)] {30} Subject: Mensaje de prueba ) x OK Fetch completed. .`
`Cliente:`	`x FETCH 1 (body[text])`
`Servidor:`	`* 1 FETCH (BODY[TEXT] {45} Hola. Este es un mensaje de prueba. Adios. ) x OK Fetch completed.`
`Cliente:`	`x LOGOUT`
`Servidor:`	`* BYE Logging out x OK Logout completed. Connection closed by foreign host.`

Programática requerida.

Instalación a través de yum.

Si se utiliza de CentOS 4 o White Box Enterprise Linux 4, el paquete imap es reemplazado por el paquete dovecot. De tal modo que se ejecuta lo siguiente:

Si se utiliza de CentOS 3 o White Box Enterprise Linux 3, el paquete imap es reemplazado por el paquete dovecot. De tal modo que se ejecuta lo siguiente:

Si acaso estuviese instalado, elimine el paquete cyrus-sasl-gssapi, ya que este utiliza el método de autenticación GSSAPI, mismo que requeriría de la base de datos de cuentas de usuario de un servidor Kerberos:

Instalación a través de Up2date

Si se utiliza de Red Hat™ Enterprise Linux 4, el paquete imap es reemplazado por el paquete dovecot. De tal modo que se ejecuta lo siguiente:

Si se utiliza de Red Hat™ Enterprise Linux 3, el paquete imap es reemplazado por el paquete dovecot. De tal modo que se ejecuta lo siguiente:

Si acaso estuviese instalado, elimine el paquete cyrus-sasl-gssapi, ya que este utiliza el método de autenticación GSSAPI, mismo que requeriría de la base de datos de cuentas de usuario de un servidor Kerberos:

Procedimientos.

Alta de cuentas de usuario y asignación de claves de acceso.

El alta de usuarios a través de este método será diferente a la manera tradicional, debido a que para utilizar el método de autenticación para SMTP, Sendmail utilizará SASL. Por tal motivo, el alta de cuentas de usuario de correo deberá de seguir el siguiente procedimiento:

Alta de la cuenta del usuario en el sistema, la cual se sugiere no deberá tener acceso a intérprete de mandato alguno:

useradd -s /sbin/nologin fulano

Asignación de claves de acceso en el sistema para permitir autenticar a través de los métodos PLAIN y LOGIN para autenticar SMTP y a través de los protocolos POP3 e IMAP:

passwd usuario

Asignación de claves de acceso para autenticar SMTP a través de métodos cifrados (CRAM-MD5 y DIGEST-MD5) en sistemas con versión de Sendmail compilada contra SASL-2 (Red Hat™ Enterprise Linux 4, CentOS 4 o White Box Enterprise Linux 4), requieren utilizar el mandato saslpasswd2 del siguiente modo:

saslpasswd2 usuario

Asignación de claves de acceso para autenticar SMTP a través de métodos cifrados (CRAM-MD5 y DIGEST-MD5) en sistemas con versión de Sendmail compilada contra SASL-1 (Red Hat™ Enterprise Linux 3, CentOS 3 o White Box Enterprise Linux 3), requieren utilizar el mandato saslpasswd del siguiente modo:

saslpasswd usuario

La autenticación para SMTP a través de cualquier mecanismo requiere se active e inicie el servicio de saslauthd del siguiente modo:

chkconfig saslauthd on
service saslauthd start

Puede mostrarse la lista de los usuarios con clave de acceso a través de SASL-2 utilizando el mandato sasldblistusers2. Puede mostrarse la lista de los usuarios con clave de acceso a través de SASL-1 utilizando el mandato sasldblistusers. Si ya se cuenta con un grupo de claves de acceso de usuarios dados de alta en SASL-1, se pueden convertir hacia SASL-2 con el mandato dbconverter-2.

Dominios a administrar.

Establecer dominios a administrar en el fichero /etc/mail/local-host-names del siguiente modo:

Por defecto, no existe dicho fichero, hay que generarlo. Para fines generales tiene el mismo contenido de /etc/mail/local-host-names a menos que se desee excluir algún dominio en particular.

Control de acceso

Incluir solo las IPs locales del servidor, y la lista negra de direcciones de correo, dominios e IPs denegadas. Considere que cualquier IP que vaya acompañada de RELAY se le permitirá enviar correo sin necesidad de autenticar, lo cual puede ser útil si se utiliza un cliente de correo con interfaz HTTP (Webmail) en otro servidor. Ejemplo:

# Check the /usr/share/doc/sendmail/README.cf file for a description
# of the format of this file. (search for access_db in that file)
# The /usr/share/doc/sendmail/README.cf is part of the sendmail-doc
# package.
#
# by default we allow relaying from localhost...
localhost.localdomain	RELAY
localhost		RELAY
127.0.0.1		RELAY
#
# Dirección IP del propio servidor.
192.168.1.254		RELAY
#
# Otros servidores de correo en la LAN a los que se les permitirá enviar
# correo libremente a través del propio servidor de correo.
192.168.1.253		RELAY
192.168.1.252		RELAY
#
# Direcciones IP que solo podrán entregar correo de forma local, es decir,
# no pueden enviar correo fuera del propio servidor.
192.168.2.24		OK
192.168.2.23		OK
192.168.2.25		OK
#
# Lista negra
usuario@molesto.com	REJECT
productoinutil.com.mx	REJECT
10.4.5.6		REJECT
#
# Bloques de Asia Pacific Networks, ISP desde el cual se emite la mayor
# parte del Spam del mundo.
# Las redes involucradas abarcan Australia, Japón, China, Korea, Taiwan,
# Hong Kong e India por lo que bloquear el correo de dichas redes significa
# cortar comunicación con estos países, pero acaba con entre el 60% y 80%
# del Spam.
222			REJECT
221			REJECT
220			REJECT
219			REJECT
218			REJECT
212			REJECT
211			REJECT
210			REJECT
203			REJECT
202			REJECT
140.109			REJECT
133			REJECT
61			REJECT
60			REJECT
59			REJECT
58			REJECT

Alias de la cuenta de root.

No es conveniente estar autenticando la cuenta de root a través de la red para revisar los mensajes originados por el sistema. Se debe definir alias para la cuenta de root a donde re-direccionar el correo en el fichero /etc/aliases del siguiente modo:

Configuración de funciones de Sendmail.

Modificar el fichero /etc/mail/sendmail.mc y desactivar o habilitar funciones:

confSMTP_LOGIN_MSG.

Este parámetro permite establecer el mensaje de bienvenida al establecer la conexión al servidor. Es posible ocultar elnombre y al versión de sendmail, esto con el objeto de agregar seguridad por secreto. Funciona simplemente haciendo que quien se conecte hacia el servidor no pueda saber que software y versión del mismo se está utilizando y con ellos dificultar a un delincuente o abusador de servicio el determinar que vulnerabilidad específica explotar. Recomendamos utilizar lo siguiente:

Lo anterior regresará algo como lo siguiente al realizar una conexión hacia el puerto 25 del servidor:

Está configuración se puede poner justo antes de la líena correspondiente al parámetro confAUTH_OPTIONS.

confAUTH_OPTIONS.

Si se utiliza la siguiente línea, habilitada por defecto, se permitirá realizar autenticación a través del puerto 25 por cualquier método, incluyendo PLAIN, el cual se realiza en texto simple. Esto implica cierto riesgo de seguridad.

Si comenta la anterior línea con dnl, y se utiliza en cambio la siguiente línea, se desactiva la autenticación por de texto simple en conexiones no seguras (TLS), de modo tal que solo se podrá autenticar a través de métodos que utilicen ciframiento, como sería CRAM-MD5 y DIGEST-MD5. Esto obliga a utilizar clientes de correo electrónico con soporte para autenticación a través de CRAM-MD5 y DIGEST-MD5.

TRUST_AUTH_MECH y confAUTH_MECHANISMS.

Si se desea utilizar SMTP autenticado para equipos no incluidos dentro del fichero /etc/mail/access, se requieren des-comentar las siguientes dos líneas, eliminando el dnl que les precede:

DAEMON_OPTIONS.

De modo predefinido Sendmail escucha peticiones a través de la interfaz de retorno del sistema a través de IPv4 (127.0.0.1) y no a través de otros dispositivos de red. Solo se necesita eliminar las restricción de la interfaz de retorno para poder recibir correo desde Internet o la LAN. localice la siguiente línea:

Elimine de dicho parámetro el valor Addr=127.0.0.1 y la coma (,) que le antecede, del siguiente modo:

FEATURE(`accept_unresolvable_domains').

De modo predefinido, como una forma de permitir el correo del propio sistema en una computadora de escritorio o una computadora portátil, está se utiliza el parámetro FEATURE(`accept_unresolvable_domains'). Sin embargo se recomienda desactivar esta función a fin de impedir aceptar correo de dominios inexistentes (generalmente utilizado para el envío de correo masivo no solicitado o Spam), solo basta comentar esta configuración precediendo un dnl, del siguiente modo:

Enmascaramiento.

Habilitar las siguientes lineas y adaptar valores para definir la máscara que utilizará el servidor:

Si va a administrar múltiples dominios, declare los dominios que no se quiera enmascarar con el parámetro MASQUERADE_EXCEPTION del siguiente modo:

Parámetro Cw.

Añadir al final del fichero /etc/mail/sendmail.mc un parámetro que defina que dominio.com se trata de un dominio local. Note que no debe haber espacios entre Cw y dominio.com, y que Cw se escribe con una C mayúscula y una w minúscula.

Usuarios Virtuales.

Si se desea brindar un servicio de hospedaje de dominios virtuales permitiendo que los usuarios envíen y reciban correo utilizando sus propios dominios, se deben añadir los siguientes parámetros debajo de la función de virtusertable del fichero /etc/mail/sendmail.mc:

El fichero /etc/mail/virtusertable sirve para definir que cuentas de correo virtuales se entregan en los buzones correspondientes. La separación de columnas se hace con tabuladores. En el ejemplo se entrega el correo de webmaster@dominio1.net en la cuenta mengano y el correo de webmaster@dominio2.com en el buzón del usuario perengano:

Para hacer que el correo del usuario mengano salga del servidor como webmaster@dominio1.net y el de perengano salga como webmaster@dominio2.com, es necesario hacer el contenido contrario de /etc/mail/virtusertable del siguiente modo:

Para efector prácticos, se puede mantener sincronizados ambos ficheros trabajando directamente con /etc/mail/virtusertable y ejecutando el siguiente guión que se encargará de pasar el texto desde /etc/mail/virtusertable con orden invertido de columnas hacia /etc/mail/genericstable.

El fichero /etc/mail/generics-domains debe contener prácticamente lo mismo que /etc/mail/local-host-names más los dominios que vayan a estar siendo utilizados por dominios virtuales.

Invariablemente los ficheros /etc/mail/virtusertable.db y /etc/mail/genericstable.db deben actualizarse con el contenido de /etc/mail/virtusertable y /etc/mail/genericstable, respectivamente, cada vez que se se realicen cualquier tipo de cambio, como actualizar, añadir o eliminar cuentas de correo virtuales.

Control del correo chatarra (Spam) a través de DNSBLs.

Si se desea cargar listas negras para mitigar el Spam, pueden añadirse las siguientes líneas justo arriba de MAILER(smtp)dnl:

FEATURE(dnsbl, `blackholes.mail-abuse.org', `Rechazado - vea http://www.mail-abuse.org/rbl/')dnl

FEATURE(dnsbl, `dialups.mail-abuse.org', `Rechazado - vea http://www.mail-abuse.org/dul/')dnl

FEATURE(dnsbl, `relays.mail-abuse.org', `Rechazado - vea http://work-rss.mail-abuse.org/rss/')dnl

FEATURE(dnsbl, `sbl-xbl.spamhaus.org', `"550 Su IP esta en lista negra en Spamhaus - Por favor vea http://www.spamhaus.org/query/bl?ip=+"$&{client_addr}')dnl

FEATURE(dnsbl, `bl.spamcop.net', `"550 Su IP esta en lista negra en SpamCOP - Por favor vea http://spamcop.net/bl.shtml?"$&{client_addr}')dnl

FEATURE(dnsbl, `list.dsbl.org', `"550 Su IP esta en lista negra en DSBL - Por favor vea http://dsbl.org/listing?"$&{client_addr}')dnl

FEATURE(dnsbl, `multihop.dsbl.org', `"550 Su IP esta en lista negra en DSBL - Por favor vea http://dsbl.org/listing?"$&{client_addr}')dnl

FEATURE(dnsbl, `dnsbl.ahbl.org',`"550 Su IP esta en lista negra en AHBL - Por favor vea http://www.ahbl.org/tools/lookup.php?ip="$&{client_addr}')dnl

FEATURE(dnsbl, `rhsbl.ahbl.org',`"550 Su IP esta en lista negra en AHBL - Por favor vea http://www.ahbl.org/tools/lookup.php?ip="$&{client_addr}')dnl

FEATURE(dnsbl, `bl.csma.biz', `"550 Su IP esta en lista negra en CSMA - Por favor vea http://bl.csma.biz/cgi-bin/listing.cgi?ip="$&{client_addr}')dnl

FEATURE(dnsbl, `dnsbl.antispam.or.id', `"550 Su IP esta en lista negra en ADNSBL - Por favor vea http://antispam.or.id/?ip="$&{client_addr}')dnl

FEATURE(dnsbl, `blacklist.spambag.org', `"550 Su IP esta en lista negra en SPAMBAG - Por favor vea http://www.spambag.org/cgi-bin/spambag?query="$&{client_addr}')dnl

Protocolos para acceder hacia el correo.

Si utiliza Red Hat™ Enterprise Linux 4, CentOS 4 o White Box Enterprise Linux 4, el paquete imap es reemplazado por dovecot, el cual funciona como otros servicios. Se debe modificar el fichero /etc/dovecot.conf y habilitar los servicios de imap y/o pop3 del siguiente modo (de modo predefinido están habilitados imap e imaps):

Si utiliza Red Hat™ Enterprise Linux 3, CentOS 3 o White Box Enterprise Linux 3, el procedimiento utilizará el paquete imap, el cual solo requiere un simple mandato para activar el servicio.

Reiniciando servicio.

Probar servidor enviando/recibiendo mensajes con CUALQUIER cliente estándar de correo electrónico con soporte para POP3/IMAP/SMTP con soporte para autenticar a través de SMTP utilizando los métodos DIGEST-MD5 o CRAM-MD5.

Para depurar posibles errores, se puede examinar el contenido de la bitácora de correo del sistema en /var/log/maillog del siguiente modo:

Antes de continuar.