Cargando

Ir a contenido


 


Instalar certificados TLS en postfix para servidor smtp

La mayoría de los servidores al ser instalado no incorporan seguridad en las cuentas de correo ni en el servidor SMTP. Vamos a especificar como configurar seguridad para las cuentas de correo y encriptación para tener una protección en los datos que se envían entre las web y el servidor así como también con los correos electrónicos.


Escrito por el dic 05 2014 12:48 seguridad postfix linux smtp


Empezamos diciendo los pasos para tener una seguridad decente con encriptación TLS en correo electrónicos, envíos web... Suponemos que el servidor tiene como sistema operativo Linux Centos, pero es similar para las demás distribuciones.

Lo primero que debemos hacer es generar un certificado y una firma digital. Desde la terminal accedemos al directorio /etc/pki/tls/
cd /etc/pki/tls/

Luego generamos la firma digital creada con algoritmo DSA de 1024 octetos, para ello utilizamos openssl que ya viene instalado, generamos la firma con el siguiente comando.
openssl dsaparam 1024 -out dsa1024.pem

Luego se utiliza el archivo creado de parámetros DSA para crear una llave con algoritmo DSA y estructura x509 y también el certificado. Os pongo un ejemplo ahora que establece una validez por 1095 días (tres años) para el que creamos certificado creado.
openssl req -x509 -nodes -newkey dsa:dsa1024.pem -days 1095 -out certs/smtp.crt -keyout private/smtp.key

Una vez cumplido el paso anterior podemos eliminar (por seguridad) el archivo de parámetros dsa1024,pem (utiliza el comando rm y lo eliminas). Ahora se han creado 2 archivos: la llave y el certificado por lo que debemos darles permisos de solo lectura, esto que no se olvide.
chmod 400 certs/smtp.crt
chmod 400 private/smtp.key


Ahora debemos ir al directorio /etc/pki/dovecot/ con el siguiente comando
cd /etc/pki/dovecot/

Podemos eliminar todos los certificados genéricos para limpiar archivos sin uso
rm -f private/dovecot.pem certs/dovecot.pem

Luego debemos crear la firma digital y certificado para Dovecot que es el servidor IMAP and POP3. Dovecot requiere utilizar una clave con algoritmo RSA de 1024 octetos, con estructura X.509. En el ejemplo a continuación, se establece una validez por 1095 días (tres años) para el certificado creado. Creamos la clave
openssl req -x509 -nodes -newkey rsa:1024 -days 1095 -out certs/dovecot.pem -keyout private/dovecot.pem

Creamos el certificado
openssl x509 -subject -fingerprint -noout -in certs/dovecot.pem

Otorgamos los permisos de soslo lectura a los certificados
chmod 400 private/dovecot.pem certs/dovecot.pem

Finalmente configuramos Postfix. Regresamos al directorio root y editamos el archivo /etc/postfix/master.cf
Dentro del archivos debemos quitar los # delante de las lineas para que no estén comentadas y entonces que se puedan ejecutar.
smtp inet n - n - - smtpd
 submission inet n - n - - smtpd
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
  -o milter_macro_daemon_name=ORIGINATING
 smtps inet n - n - - smtpd
  -o smtpd_tls_wrappermode=yes
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
  -o milter_macro_daemon_name=ORIGINATING

Luego configuramos /etc/postfix/main.cf Donde cambiamos las lineas con dominio generico por:
# Definir nombre de anfitrión del sistema (hostname).
myhostname = mail.dominio.com
# Definir dominio principal a gestionar.
mydomain = dominio.com


En el archivo /etc/dovecot/conf.d/10-ssl.conf, debemos también descomentar las siguientes líneas:
ssl = yes
ssl_cert = </etc/pki/dovecot/certs/dovecot.pem
ssl_key = </etc/pki/dovecot/private/dovecot.pem


Iniciamos los servicios para que se reconozcan los certificados y con el comando service XXX start añadimos estos servicios al arranque del sistema.
chkconfig dovecot on
chkconfig postfix on
service saslauthd start
service dovecot start
service postfix restart

De esta forma cómo véis, tendremos bien configurado y activo el TLS para cifrar nuestros correo tanto al recibir como al enviar. Espero que os sirva de utilidad cómo necesité yo hace no mucho.
¿Te ha gustado y ayudado este Tutorial?
Puedes premiar al autor pulsando este botón para darle un punto positivo
  • -
  • 0
8.5
VOTA
5
25%
4
75%
3
0%
2
0%
1
0%

  Información

  •   Publicado dic 05 2014 12:48
  •   Visitas 3.4K
  •   Nivel
    Profesional



Tutoriales Relacionados


Sin comentarios, sé el primero!

No esperes más y entra en Solvetic
Deja tus comentarios y aprovecha las ventajas de la cuenta de usuario ¡Únete!
Demuestra que eres experto!
  ESCRIBIR TUTORIAL
Suscribirse