Empezamos diciendo los pasos para tener una seguridad decente con encriptación TLS en correo electrónicos, envíos web... Suponemos que el servidor tiene como sistema operativo Linux Centos, pero es similar para las demás distribuciones.
Lo primero que debemos hacer es generar un certificado y una firma digital. Desde la terminal accedemos al directorio /etc/pki/tls/
Luego generamos la firma digital creada con algoritmo DSA de 1024 octetos, para ello utilizamos openssl que ya viene instalado, generamos la firma con el siguiente comando.
Luego se utiliza el archivo creado de parámetros DSA para crear una llave con algoritmo DSA y estructura x509 y también el certificado. Os pongo un ejemplo ahora que establece una validez por 1095 días (tres años) para el que creamos certificado creado.
Una vez cumplido el paso anterior podemos eliminar (por seguridad) el archivo de parámetros dsa1024,pem (utiliza el comando rm y lo eliminas). Ahora se han creado 2 archivos: la llave y el certificado por lo que debemos darles permisos de solo lectura, esto que no se olvide.
Ahora debemos ir al directorio /etc/pki/dovecot/ con el siguiente comando
Podemos eliminar todos los certificados genéricos para limpiar archivos sin uso
Luego debemos crear la firma digital y certificado para Dovecot que es el servidor IMAP and POP3. Dovecot requiere utilizar una clave con algoritmo RSA de 1024 octetos, con estructura X.509. En el ejemplo a continuación, se establece una validez por 1095 días (tres años) para el certificado creado. Creamos la clave
Creamos el certificado
Otorgamos los permisos de soslo lectura a los certificados
Finalmente configuramos Postfix. Regresamos al directorio root y editamos el archivo /etc/postfix/master.cf
Dentro del archivos debemos quitar los # delante de las lineas para que no estén comentadas y entonces que se puedan ejecutar.
Luego configuramos /etc/postfix/main.cf Donde cambiamos las lineas con dominio generico por:
En el archivo /etc/dovecot/conf.d/10-ssl.conf, debemos también descomentar las siguientes líneas:
Iniciamos los servicios para que se reconozcan los certificados y con el comando service XXX start añadimos estos servicios al arranque del sistema.
De esta forma cómo véis, tendremos bien configurado y activo el TLS para cifrar nuestros correo tanto al recibir como al enviar. Espero que os sirva de utilidad cómo necesité yo hace no mucho.
Lo primero que debemos hacer es generar un certificado y una firma digital. Desde la terminal accedemos al directorio /etc/pki/tls/
cd /etc/pki/tls/
Luego generamos la firma digital creada con algoritmo DSA de 1024 octetos, para ello utilizamos openssl que ya viene instalado, generamos la firma con el siguiente comando.
openssl dsaparam 1024 -out dsa1024.pem
Luego se utiliza el archivo creado de parámetros DSA para crear una llave con algoritmo DSA y estructura x509 y también el certificado. Os pongo un ejemplo ahora que establece una validez por 1095 días (tres años) para el que creamos certificado creado.
openssl req -x509 -nodes -newkey dsa:dsa1024.pem -days 1095 -out certs/smtp.crt -keyout private/smtp.key
Una vez cumplido el paso anterior podemos eliminar (por seguridad) el archivo de parámetros dsa1024,pem (utiliza el comando rm y lo eliminas). Ahora se han creado 2 archivos: la llave y el certificado por lo que debemos darles permisos de solo lectura, esto que no se olvide.
chmod 400 certs/smtp.crt chmod 400 private/smtp.key
Ahora debemos ir al directorio /etc/pki/dovecot/ con el siguiente comando
cd /etc/pki/dovecot/
Podemos eliminar todos los certificados genéricos para limpiar archivos sin uso
rm -f private/dovecot.pem certs/dovecot.pem
Luego debemos crear la firma digital y certificado para Dovecot que es el servidor IMAP and POP3. Dovecot requiere utilizar una clave con algoritmo RSA de 1024 octetos, con estructura X.509. En el ejemplo a continuación, se establece una validez por 1095 días (tres años) para el certificado creado. Creamos la clave
openssl req -x509 -nodes -newkey rsa:1024 -days 1095 -out certs/dovecot.pem -keyout private/dovecot.pem
Creamos el certificado
openssl x509 -subject -fingerprint -noout -in certs/dovecot.pem
Otorgamos los permisos de soslo lectura a los certificados
chmod 400 private/dovecot.pem certs/dovecot.pem
Finalmente configuramos Postfix. Regresamos al directorio root y editamos el archivo /etc/postfix/master.cf
Dentro del archivos debemos quitar los # delante de las lineas para que no estén comentadas y entonces que se puedan ejecutar.
smtp inet n - n - - smtpd submission inet n - n - - smtpd -o smtpd_tls_security_level=encrypt -o smtpd_sasl_auth_enable=yes -o smtpd_client_restrictions=permit_sasl_authenticated,reject -o milter_macro_daemon_name=ORIGINATING smtps inet n - n - - smtpd -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes -o smtpd_client_restrictions=permit_sasl_authenticated,reject -o milter_macro_daemon_name=ORIGINATING
Luego configuramos /etc/postfix/main.cf Donde cambiamos las lineas con dominio generico por:
# Definir nombre de anfitrión del sistema (hostname). myhostname = mail.dominio.com # Definir dominio principal a gestionar. mydomain = dominio.com
En el archivo /etc/dovecot/conf.d/10-ssl.conf, debemos también descomentar las siguientes líneas:
ssl = yes ssl_cert = </etc/pki/dovecot/certs/dovecot.pem ssl_key = </etc/pki/dovecot/private/dovecot.pem
Iniciamos los servicios para que se reconozcan los certificados y con el comando service XXX start añadimos estos servicios al arranque del sistema.
chkconfig dovecot on chkconfig postfix on service saslauthd start service dovecot start service postfix restart
De esta forma cómo véis, tendremos bien configurado y activo el TLS para cifrar nuestros correo tanto al recibir como al enviar. Espero que os sirva de utilidad cómo necesité yo hace no mucho.
