===== Seguridad en el servidor de correos =====

==== Autenticacion SMTP ====

Instalar los paquetes necesarios. En Debian todo es muy fácil.

<code bash>aptitude install postfix-tls libsasl2-modules sasl2-bin</code>

Ahora editamos el fichero de configuración:

<code>editor /etc/default/saslauthd</code>

<file saslauthd>
 # arranque autamatico
 START=yes

 # "shadow" or "sasldb", like this:
 MECHANISMS="shadow"

 PARAMS="-m /var/spool/postfix/var/run/saslauthd/"

 PIDFILE="/var/spool/postfix/var/run/${NAME}/saslauthd.pid"
</file>

Ahora le decimos a smptd que funcione de una forma diferente. En ''/etc/postfix/sasl/smtpd.conf'' ponemos esto otro:

<code>
saslauthd_path: /var/run/saslauthd/mux

pwcheck_method: saslauthd

mech_list: plain login
</code>


Si te pones de suerte a lo mejor puedes quitar **plain**, yo tuve esa suerte pero se de gente que no. Ahora toca decirle a postfix que pida nombre de usuario y contraseña.

<code>
#sasl

smtpd_sasl_auth_enable = yes

smtpd_sasl_security_options = noanonymous

smtpd_sasl_local_domain =

smtp_sasl_auth_enable = no

broken_sasl_auth_clients = yes

smtpd_recipient_restrictions = permit_sasl_authenticated, reject_unauth_destination
</code>

Ojo, no tiene que remplazar el contenido de su **smtpd_recipient_restrictions**, la cuestión es que estas dos deben estar de últimas, póngale encima todo lo que se le ocurra. Ya que estamos asegurando, pongamos a postfix a funcionar como chroot. Dicen que eso se hace así. En ''/etc/postfix/master.cnf'' debemos tener algo como esto:

<code>smtp inet n - - - - smtpd</code>

Cámbielo por esto:

<code>smtp inet n - y - - smtpd</code>

Note una "y" en lugar del segundo "-"

Ahora creamos el directorio para saslauthd. Mucho ojo, hay que hacer un paso raro con los permisos.

<code bash>
mkdir -p /var/spool/postfix/var/run/saslauthd
chown root.sasl -R /var/spool/postfix/var/
dpkg-statoverride --add root sasl 710 /var/spool/postfix/var/run/saslauthd
</code>

Para que postfix y sasl se entiendan, postfix debe pertencer al grupo sasl

<code>adduser postfix sasl</code>

Bueno solo faltaría reiniciar postfix.

<code>/etc/init.d/postfix restart</code>

==== Anti suplantacion de Identidad ====

Si eres usaurio de Debian te salvaste. 

<code bash>aptitude install postfix-pcre</code>

Con eso tendremos la extensión de perl para postfix, ahora podemos crear ficheros con expresiones regulares de perl. Ahora le agregamos esto al ''main.cf''

<code>smtpd_sender_login_maps = pcre:${config_directory}/sender_login.pcre</code>

...y conjuramos este hechizo. En el pertinente archivo ''/etc/postfix/sender_login.pcre'' le ponemos esto:

<code>/^(.*)@tudominio\.tld$/ $1</code>

Entonces es cuando viene a jugar la sentencia que ya habiamos visto.

<code>
smtpd_recipient_restrictions =
     [...]
     reject_sender_login_mismatch,
     permit_sasl_authenticated
</code>

OJO, debe ir antes de permit. Ya solo faltaría reinicar postfix.