Guía de Exim4+Usuarios virtuales(con MySQL)+ClamAV+Squirrelmail+Courier IMAP y POP3+Spamassassin+Restricción de dominios
En esta guía se hace mención a herramientas complementarias como: editores de texto las cuales se supone el usuario domina. Además se recomienda leer toda la documentación disponible del Exim ya sea a través de los sitios oficiales u otros que contribuyan a la comprensión del funcionamiento seguro del mismo y su interacción con otras aplicaciones.
Comenzamos…
Abrimos una consola o terminal, como usuario root y tecleamos:
#aptitude install exim4-daemon-heavy
como en Debian por defecto viene instalado el paquete, exim4-daemon-light, al ejecutar este comando el sistema te dirá
que es necesario desinstalarlo pues entra en conflicto con el paquete exim4-daemon-heavy, oprimimos la tecla Enter
que es la opción implícita para aceptar dicha sugerencia del sistema,
al finalizar ejecutamos:
#dpkg-reconfigure -plow exim4-config
A continuación el instalador nos hará una serie de preguntas que iremos respondiendo de la siguiente forma:
Tipo de configuración general del correo: Internet site; el correo se envía y recibe directamente usando SMTP. Nombre del sistema de correo: nombre-de.tu-host Direcciones IP en las que recibir conexiones SMTP entrantes: lo dejamos en blanco Otros destinos para los que se acepta el correo: nombre-de.tu-host Dominios para los que se reenvía correo: lo dejamos en blanco Maquinas para las cuales reenviar el correo: lo dejamos en blanco ¿Limitar el número de consultas de DNS (marcación bajo demanda)?: no Mecanismo de entrega para el correo local: formato mbox en <</var/mail>> ¿Dividir la configuración en pequeños ficheros?: no
si después por algún motivo queremos cambiar algo en estos pasos, lo podemos hacer ejecutando nuevamente:
#dpkg-reconfigure -plow exim4-config
Una vez terminado este paso, vamos a ir editando de forma manual con nuestro editor de textos preferido los ficheros del Exim.
Para la configuración TLS/SSL
Editamos el archivo: /etc/exim4/exim4.conf donde las siguientes líneas deben quedar como se muestra a continuación:
hide mysql_servers = 127.0.0.1/nombrebasededatos/usuariodelabasededatos/passwd smtp_enforce_sync = false tls_advertise_hosts = *
ejecutamos en consola:
#/usr/share/doc/exim4-base/examples/exim-gencert #addgroup Debian-exim sasl #/etc/init.d/exim4 restart
Ahora, para comprobar que Exim esta ejecutándose:
#telnet localhost 25
debería salir algo como esto:
Trying 127.0.0.1… Connected to localhost. Escape character is ‘^]’. 220 localhost.localdomain ESMTP Exim 4.72 Fri, 28 Oct 2011 14:17:29 +0200
ahi mismo tecleamos:
EHLO localhost
y debería salir:
250-localhost.localdomain Hello localhost [127.0.0.1] 250-SIZE 52428800 250-PIPELINING 250 HELP
hasta aquí todo va en orden, ahora pasamos a instalar el ClamAV.
Instalando ClamAV
#aptitude install clamav-freshclam clamav-daemon
Editamos el fichero /etc/exim4/exim4.conf donde la siguiente línea debe quedar como se muestra a continuación:
av_scanner = clamd:/var/run/clamav/clamd.ctl
Editamos el fichero /etc/exim4/exim4.conf y en la seccion ACL CONFIGURATION agrega(o descomenta si aparecen comentadas) las siguientes lineas casi al final, justo antes de accept:
# Reject messages that have serious MIME errors. # This calls the demime condition again, but it # will return cached results. deny message = Serious MIME defect detected ($demime_reason) demime = * condition = ${if >{$demime_errorlevel}{2}{1}{0}} # Reject file extensions used by worms. # Note that the extension list may be incomplete. deny message = This domain has a policy of not accepting certain \ types of attachments in mail as they may contain a \ virus. This mail has a file with a .$found_extension \ attachment and is not accepted. If you have a \ legitimate need to send this particular attachment, \ send it in a compressed archive, and it will then be \ forwarded to the recipient. demime = exe:com:vbs:bat:pif:scr # Reject messages containing malware. deny message = This message contains a virus ($malware_name) and \ has been rejected. malware = * # accept otherwise accept
nota: cuando estamos editando ficheros en modo texto todas las lineas que comienzan con el caracter # quiere decir que están comentadas.
con esto estamos rechazando los correos con adjuntos potencialmente peligrosos como pueden ser los .exe .com .vbs .bat .pif .scr estamos en libertad de agregar o quitar las extensiones que deseemos según nuestras circunstancias y necesidades, y también estamos rechazando los correos donde se detecten virus.
nota: Asegurarnos que en el fichero /etc/exim4/exim4.conf tengamos descomentada la linea referente a esta ACL que sería:
acl_smtp_data = acl_check_data
y normalmente se encuentra entre las primeras lineas.
Creamos el directorio /var/spool/exim4/scan con atributos de escritura:
#mkdir -p -m 777 /var/spool/exim4/scan
Agregamos el usuario clamav al grupo Debian-exim:
#addgroup clamav Debian-exim
Reiniciamos exim4:
#/etc/init.d/exim4 restart
Reiniciamos clamav-daemon:
#/etc/init.d/clamav-daemon restart
Instalando Courier:
#aptitude install courier-pop-ssl no–>ficheros web
nota:Decimos no en la primera pregunta y en la segunda seleccionamos ficheros web
#aptitude install courier-authlib-mysql #aptitude install php5 phpmyadmin
Creamos el directorio para los correos:
#sudo mkdir -m 600 /usr/local/vdomains #sudo chown mail:mail /usr/local/vdomains
Creamos un dominio:
#mkdir -m 600 /var/mail/vdomains/tudominio.com #mkdir -m 600 /var/mail/vdomains/tudominio.com/usuarios
Creamos los directorios para los buzones de cada usuario (este paso lo debes repetir cada vez que vayas a agregar un nuevo usuario de correo)
#maildirmake /var/mail/vdomains/tudominio.com/usuarios/nombre_de_usuario
Le damos permisos recursivos a mail sobre los directorios bajo /var/mail/vdomains/tudominio.com/users/nombre_de_usuario
Para que se puedan descargar y enviar los correos en esos directorios.
#chown -R mail:mail /var/mail/vdomains/tudominio.com/usuarios/nombre_de_usuario
Instalando los paquetes necesarios para las bases de datos
#aptitude install mysql-server mysql-client libmysqlclient16 libmysqlclient-dev
después de terminar de instalar ejecutamos en consola:
#mysql -u root -p Enter password:(aquí entramos la contraseña que pusimos al momento de instalar) Welcome to the MySQL monitor. Commands end with ; or \g. Your MySQL connection id is 2552 Server version: 5.1.49-3 (Debian) Copyright (c) 2000, 2010, Oracle and/or its affiliates. All rights reserved. This software comes with ABSOLUTELY NO WARRANTY. This is free software, and you are welcome to modify and redistribute it under the GPL v2 license Type ‘help;’ or ‘\h’ for help. Type ‘\c’ to clear the current input statement. mysql>
aquí ejecutamos las órdenes siguientes :
insert into domains (userid) values (tudominio.com); insert into users (id, crypt, name, uid, gid, home, maildir) values (‘usuario@tudominio.com’, encrypt(‘password’), ‘Nombre’, ’8′, ’8′, ‘/var/mail/vdomains/tudominio.com/usuarios/nombre_de_usuario’, ‘/var/mail/vdomains/tudominio.com/users/usuario/’);
con eso ya tenemos listas las bases de datos para los usuarios virtuales.
Configurando Courier
Editamos el archivo: /etc/courier/authdaemonrc donde las siguientes líneas deben quedar como se muestra a continuación:
authmodulelist=”authmysql”
Editamos el archivo: /etc/courier/authmysqlrc donde las siguientes líneas deben quedar como se muestra a continuación:
MYSQL_SERVER localhost MYSQL_USERNAME mail MYSQL_PASSWORD secret MYSQL_SOCKET /var/run/mysqld/mysqld.sock MYSQL_DATABASE mail MYSQL_USER_TABLE users MYSQL_CRYPT_PWFIELD crypt MYSQL_UID_FIELD uid MYSQL_GID_FIELD gid MYSQL_LOGIN_FIELD id MYSQL_HOME_FIELD home MYSQL_NAME_FIELD name
para la autenticación en el envío vía IMAP Editamos el archivo: /etc/courier/pop3d donde la siguiente línea debe quedar como se muestra a continuación:
DEFDOMAIN=”@dominio.com”
Editamos el archivo: /etc/exim4/exim4.conf donde las siguientes líneas deben quedar como se muestra a continuación:
domainlist local_domains = localhost:january.randomsequence.com:mysql;SELECT userid FROM domains WHERE userid=’$domain’;
Editamos el archivo: /etc/exim4/exim4.conf y en la sección Router agregar las siguientes líneas:
virtual_user: driver = redirect allow_fail allow_defer data = ${lookup mysql{ SELECT maildir FROM users WHERE id=’${local_part}@${domain}’ }} directory_transport = address_directory virtual_catchall_user: driver = redirect allow_fail allow_defer data = ${lookup mysql{ SELECT maildir FROM users WHERE id=’*@${domain}’ }} directory_transport = address_directory
Editamos el archivo: /etc/exim4/exim4.conf y en la sección Transport agregar las siguientes líneas:
address_directory: debug_print = “T: address_directory for $local_part@$domain” driver = appendfile envelope_to_add = true return_path_add = true check_string = “” escape_string = “” maildir_format = true mode = 0600 user = mail group = mail
Permitir a Exim usar el demonio de autenticación Courier.
#usermod -G daemon Debian-exim
Editamos el archivo: /etc/exim4/exim4.conf y en la sección Auth descomentar:
plain_courier_authdaemon: & login_courier_authdaemon:, comment out cram_md5:, plain: & login: sections.
Activamos los logs extendidos (para acceder a ellos ver el archivo /var/log/exim4/mainlog):
Editamos el archivo: /etc/exim4/exim4.conf donde la siguiente línea debe quedar como se muestra a continuación:
log_selector = +all
Como Courier espera tu certificado y llave en un archivo simple(y no como lo genera el comando que ejecutamos con antelación).Ejecutamos lo siguiente en una consola de root para crear un archivo simple el cual contiene a ambos(certificado y llave), sustituimos hostname por el nombre común que dimos cuando creamos el certificado SSL:
#cat /etc/exim4/exim.crt /etc/exim4/exim.key > /etc/courier/hostname.pem
Ahora, editamos ambos archivos /etc/courier/imapd-ssl y /etc/courier/pop3d-ssl y buscamos la línea TLS_CERTFILE y la cambiamos en cada uno a:
TLS_CERTFILE=/etc/courier/hostname.pem
Salvamos los archivos y reiniciamos a ambos demonios(courier-imap-ssl y courier-pop3d-ssl):
#/etc/init.d/courier-imap-ssl restart #/etc/init.d/courier-pop-ssl restart
Debemos mantener los ojos puestos en cualquier error o falla en los demonios al reiniciar, si hay algún problema chequeamos en el archivo: /var/log/mail.err.
Nuestro demonio Courier SSL debería ahora estar usando el certificado por lo que necesitamos abrir el puerto TCP 993 y 995 para IMAPS y POP3S respectivamente. Agregamos las siguientes reglas a iptables, y nos debemos asegurar que queden guardadas si el cortafuegos es reiniciado:
#iptables -A INPUT -p tcp -d ip_de_tu_servidor_de_correos –dport 993 -j ACCEPT #iptables -A INPUT -p tcp -d ip_de_tu_servidor_de_correos –dport 995 -j ACCEPT
Filtro para generar copia de todos los mensajes salientes y enviarlos a la dirección de correo: usuario@tudominio.cu
Creamos el fichero /etc/exim4/systemfilter.txt :
#touch /etc/exim4/systemfilter.txt
Editamos el fichero /etc/exim4/systemfilter.txt y agregar las siguientes líneas :
if $sender_address_domain is tudominio.com then unseen deliver usuario@tudominio.com endif
Editamos el fichero /etc/exim4/exim4.conf y en la sección MAIN CONFIGURATION SETTINGS agregamos las líneas :
system_filter = /etc/exim4/systemfilter.txt system_filter_directory_transport = local_copy_outgoing
Editamos el fichero /etc/exim4/exim4.conf y en la sección TRANSPORT agregamos las líneas:
local_copy_outgoing: driver = appendfile delivery_date_add envelope_to_add return_path_add group = Debian-exim user = Debian-exim mode = 0660 maildir_format = true create_directory = true
nota:Clamav, agregar el usuario clamav a la carpeta /var/spool/exim4/scan/
Filtro para generar copia de todos los mensajes entrantes:
Editamos el fichero /etc/exim4/exim4.conf y en la sección TRANSPORT agregamos las líneas:
address_directory: driver = appendfile create_directory delivery_date_add directory_mode = 770 envelope_to_add maildir_format return_path_add shadow_transport = local_copy_incoming shadow_condition = ${if eq {$domain}{tudominio.cu}{yes}{no}}
esto hará un llamado al transporte nombrado:
local_copy_incoming
para entregar las copias de los mensajes, por tanto agrega estas líneas en la misma sección TRANSPORT del Exim:
local_copy_incoming: driver = appendfile directory = /var/mail/domain.com/mailarchive/.${tr {$local_part}{.}{_}}@${tr {$domain}{.}{_}}.incoming/ delivery_date_add envelope_to_add return_path_add group = exim user = exim mode = 0660 maildir_format = true create_directory = true
Restricción de envío/recibo de correos fuera del dominio .cu
Creamos un fichero con el nombre que deseemos en este caso le quise poner salida.cu (le puedes poner el nombre que desees)
#touch /etc/exim4/filters/cu/salida.cu
como verán este fichero esta en la ruta /etc/exim4/filters/cu/ pero le pueden cambiar la ruta y ponerlo donde deseen.
Dentro de este fichero agregamos todas la direcciones(una por linea) a las que queremos denegar el envío/recibo de correos fuera del dominio .cu
una vez hecho esto, vamos a /etc/exim4/exim4.conf y en la sección de las ACL es decir en ACL CONFIGURATION en la parte correspondiente a la acl_check_rcpt agregamos las siguientes lineas:
deny message = Su cuenta no tiene permiso para enviar correo fuera del dominio .cu senders = /etc/exim4/filters/cu/salida.cu domains = !*.cu
con esto estamos declarando que, todas las direcciones que estén en el archivo salida.cu si tratan de enviar correo fuera del dominio .cu les de error mostrando el mensaje Su cuenta no tiene permiso para enviar correo fuera del dominio .cu
luego a continuación agregamos las siguientes lineas:
deny message = El destinatario de su mensaje no tiene permiso para recibir correo fuera del dominio .cu senders = !*.cu recipients = /etc/exim4/filters/cu/salida.cu
con esto estamos declarando que, si desde fuera del dominio .cu se envía un correo a alguna de las direcciones que estén en el archivo salida.cu les sea devuelto un correo de error con el mensaje El destinatario de su mensaje no tiene permiso para recibir correo fuera del dominio .cu
Instalando Squirrelmail
en consola ejecutamos:
#aptitude install squirrelmail
Una vez terminado este paso, nos posesionamos en el directorio donde está instalado el squirrelmail, en la mayoría de los casos es /etc/squirrelmail:
#cd /etc/squirrelmail/
y ejecutamos:
#./conf.pl
Luego: conf.pl → d → courier → save configuration.
nota: esto no lo hace por defecto pero debemos hacerlo para solucionar el error de crear bandeja de entrada una vez que vayamos a acceder vía web.
Deshabilitar ipv6(solo si no vamos a brindar servicios ipv6)
editar /etc/exim4/exim4.conf y agregar:
disable_ipv6 = true
Para que los usuarios puedan enviar correo vía web debemos editar el fichero /var/passwd (o el que hayamos puesto en la configuración del exim4(/etc/exim4/exim4.conf) en la sección AUTHENTICATION CONFIGURATION en la línea correspondiente, en este ejemplo es /var/passwd como se puede observar en este corte de dicha sección:
login_saslauthd_server: driver = plaintext public_name = LOGIN server_prompts = “Username:: : Password::” server_condition = “${if crypteq{$2}{${extract{1}{:}{${lookup{$1}lsearch{/var/passwd}{$value}{*:*}}}}}{1}{0}}” server_set_id = $1
agregamos la dirección de correo (completa ej: usuario@tudominio.com) seguido de :
y la contraseña encriptada ej:
usuario@tudominio.com:xcM#12arW
y para que puedan enviar vía POP3 lo mismo excepto que en lugar de poner la dirección completa se debe poner solo el nombre de usuario y a continuación la contraseña encriptada ej:
usuario:xcM#12arW
y listo…!
Instalando SPAMASSASSIN
ejecutamos en consola:
#aptitude install spamassassin
editamos /etc/spamassassin/local.cf y agregamos las líneas:
rewrite_header Subject ****SPAM**** required_score 6.0 (o el valor que deseemos)
editar /etc/default/spamassassin y cambiamos la línea:
ENABLED=0
por
ENABLED=1
editamos /etc/exim4/exim4.conf la sección TRANSPORT agregamos las líneas:
spamcheck: debug_print = “T: spamassassin_pipe for $local_part@$domain” driver = pipe command = /usr/sbin/exim4 -oMr spam-scanned -bS use_bsmtp transport_filter = /usr/bin/spamc home_directory = “/tmp” current_directory = “/tmp” user = Debian-exim group = Debian-exim return_fail_output message_prefix = message_suffix =
editamos /etc/exim4/exim4.conf la sección ROUTER agregamos las líneas:
spamcheck_router: no_verify check_local_user # When to scan a message : # – it isn’t already flagged as spam # – it isn’t already scanned condition = “${if and { {!def:h_X-Spam-Flag:} {!eq {$received_protocol}{spam-scanned}}} {1}{0}}” driver = accept transport = spamcheck
Para probar si está funcionando enviamos un mensaje con la siguiente línea en el asunto
XJS*C4JDBQADN1.NSBN3*2IDNEN*GTUBE-STANDARD-ANTI-UBE-TEST-EMAIL*C.34X
Si lo detecta como SPAM ..funciona!!, sino… a debugear el Exim.
Crear reportes diarios de forma automatizada
Una de las herramientas esenciales para cualquier Administrador de Redes es el cron, y por supuesto, en esta guía no podía quedar fuera. A través del cron llamaremos
a un script, hecho previamente por nosotros, para tener un reporte diario con las estadísticas de uso del Exim.
Primero creamos un archivo con extensión .sh :
#touch /home/tu_nombre_de_usuario/eximreports.sh
hasta aquí solo hemos creado el archivo eximreports.sh en el directorio /home/tu_nombre_de_usuario/ el siguiente paso sería, darle las instrucciones, para esto abrimos dicho archivo(/home/tu_nombre_de_usuario/eximreports.sh) con el editor de texto y dentro agregamos las siguientes líneas:
#!/bin/bash
DATE=`date +%Y%m%d`
[ -d /home/tu_nombre_de_usuario/eximreports/$DATE ] || mkdir -p /home/tu_nombre_de_usuario/eximreports/$DATE
eximstats -html /var/log/exim4/mainlog > /home/tu_nombre_usuario/eximreports/ \ $DATE/eximrep.html
Cerramos nuestro editor y listo ya tenemos nuestro script para los reportes!
Explicación:
Este script creará en la carpeta /home/tu_nombre_de_usuario/eximreports/ una subcarpeta con la fecha de cada día a partir del día en que lo ejecutes por vez primera.
Como lo hace?
Sencillo, el comando:
eximstats -html /var/log/exim4/mainlog > /home/tu_nombre_usuario/eximreports/ \ $DATE/eximrep.html
extrae del archivo /var/log/exim4/mainlog (que es donde por defecto el Exim guarda sus logs) todas las estadísticas, luego convierte la salida a html y la guarda en /home/tu_nombre_de_usuario/eximreports/ en una subcarpeta con la fecha(en formato html)
El próximo paso es agregarlo al cron para que se ejecute diariamente, para esto haremos lo siguiente, editamos el fichero /etc/crontab y agregamos la línea siguiente:
00 22 * * * root /home/tu_nombre_de_usuario/eximreports.sh
guardamos los cambios y cerramos nuestro editor.
nota: 00 22 es la hora(10pm).
Le damos permisos de ejecución, para esto ejecutamos en consola el comando:
</code> #chmod 744 /home/tu_nombre_de_usuario/eximreports.sh </code>
y listo…! ahora cada día en la carpeta /home/tu_nombre_usuario/eximreports/ se creara una subcarpeta en formato /año+mes+dia/ y dentro de estas un fichero nombrado eximrep.html donde podrás ver las estadísticas del Exim4.
Misceláneas
A continuación una serie de comandos que nos pueden resultar de gran utilidad cuando necesitamos de forma rápida testear, debugear, monitorear el Exim, desde la consola como root:
Listar por pantalla los correos en cola:
#exim4 -bp
Sacar por pantalla el numero de correos en cola:
#exim4 -bpc
Muestra un resumen de los correos en cola (dominio, numero de correos, tiempo en cola y peso):
#exim4 -bp | exiqsumm
Eliminar un correo en concreto:
#exim4 -Mrm ‘<id correo>’
Congelar un correo:
#exim4 -Mf ‘<id correo>’
Procesar un correo:
#exim4 -M ‘<id correo>’
Eliminar todos los correos congelados:
#exiqgrep -z -i | xargs exim -Mrm
Sacar por pantalla que está haciendo exim:
#exiwhat
Hacer un traceroute a una dirección de correo:
#exim4 -bt ‘<id correo>’
Ver las cabeceras de un correo:
#exim4 -Mvh ‘<id correo>’
Ver el cuerpo de un correo:
#exim4 -Mvb ‘<id correo>’
Ver los logs de un correo:
#exim4 -Mvl ‘<id correo>’
Forzar cola de correo:
#exim4 -qff
Buscar correos en cola de un determinado emisor:
#exiqgrep -f [usuario]@dominio
Buscar correos en cola de un determinado receptor:
#exiqgrep -r [usuario]@dominio
Respecto a estos dos últimos comandos, exigrep es un comando extremadamente útil, dispone de muchas otras opciones que pueden ser revisadas en su respectiva ayuda.
Eliminar la cola de correo completa (dos formas):
1- #exim4 -bp | awk ‘/^ *[0-9]+[mhd]/{print “exim -Mrm ” $3}’ | sh
2- #rm /var/spool/exim4/input/*
Borrar mensajes con remitentes nulos/mensajes_de_rebote
#exim4 -bpru | grep ‘<>’ | awk {‘print $3′} | xargs exim4 -Mrm
Bibliografía:
http://www.exim.org/exim-html-4.10/doc/html/spec_toc.html
http://www.sput.nl/software/exim.html
http://www.tty1.net/virtual_domains_en.html
http://koivi.com/exim4-config/
http://bradthemad.org/tech/notes/exim_cheatsheet.php?FOO
http://swik.net/Exim
http://www.adamsinfo.com/exim-mysql-courier-imap-courier-pop3-spamassassin-vdomain-and-vuser-set-up
nota:Quien escribe este artículo no se considera un experto en este tema, por lo que si algún lector detecta o cree haber encontrado un error o bug, por favor no dude en comentar, lejos de generar molestia, todo lo contrario, será bienvenido.