Postfix: Guía de Configuración - Configurando Postfix

En /etc/postfix se encuentran los archivos de configuracion. Estos son dos: main.cf y master.cf. main.cf es el archivo principal, donde reside el corazon del funcionamiento de Postfix. El archivo master.cf es un tipo de archivo tipo inetd.conf, donde los distintos programas de Postfix ven su forma de funcionar. Advertencia: el archivo master.cf es el mas delicado y complicado. No modificar si no se sabe que se esta haciendo.

2.1- Primeras cosas: hostname, domain, networks

Lo primero es ingresar a main.cf el nombre del host ($myhostname), el dominio ($mydomain). Networks se usa para indicarle a Postfix que maquinas, distinguidas por IP o direccion son consideradas locales y pueden usar al servidor de correo (MAILSVR en adelante) para envios. Networks puede ser una colección de Ips o una clase completa.

Por ejemplo, nuestro MAILSVR se llama foo1.bar.com y el dominio se llama bar.com, modificamos las siguientes lineas en main.cf:

myhostname = foo1.bar.com mydomain=bar.com

Lo siguiente es indicar si se quiere enmascarar las direcciones de correo. Esto es para que usuarios que pertenezcan a distintos subdominios aparezcan que son enviados desde un mismo dominio (bar.com). Esto es solamente usado si se tiene un dominio con distintas maquinas. El valor por defecto es $mydomain

myorigin = $myhostname myorigin = $mydomain

El parametro mydestination especifica que dominios entregar localmente, en vez de enviarlo a otras maquinas. El valor por defecto es entregarlo al mismo MAILSVR. Puede especificarse ninguno o varios dominios y tablas de lookup con separaciones por espacios o comas.

mydestination = $myhostname localhost.$mydomain mydestination = $myhostname $mydomain mydestination = $myhostname www.$mydomain ftp.$mydomain

Precaucion : siempre agregar $myhostname y localhost.$mydomain para evitar loops de entregas de correo.

Generalmente los mails rebotan. Algunas veces, algunos mails que no rebotan simplemente no son entregados. Para ello, existe un usuario, postmaster que a quien llegan los correos no entregados. Generalmente llegan aquellos correos con un gran debug con errores.

Para saber por que no se entrego correo, la directiva notify_classes indica el nivel de error a notificar. Los valores que puede tener son

Cualquiera de estas opciones son combinables.

notify_clases = resource, software

La directiva mynetworks permite que una red se considere local para Postfix. Esto es para distinguir entre maquinas conocidas de las extrañas (fuera de la red). Las maquinas consideradas como locales pueden usar a MAILSVR como un open relay incluso.

Puede configurarse una clase A, B o C, dependiendo de la cantidad de maquinas.

mynetworks = 192.168.1.0/28, 127.0.0.0/8

El parametro inet_interfaces indica que interfaces de red debe escuchar MAILSVR. Los mails enviados a user@direccion_de_red seran entregados localmente, y direccionados a un dominio que este listado en $mydestination.

El valor por defecto es all (todas las interfaces). Si se tienen interfaces virtuales, se debe indicar cuales de las interfaces escuchar.

inet_interfaces = all inet_interfaces = virtual.host.name # dominio virtual inet_interfaces = $myhostname localhost.$mydomain # mailer no virtual

La opcion relay_domains restringe los dominios donde los clientes usan a MAILSVR para enviar correo (relay) o que destinos va a servir MAILSVR. Por defecto, Postfix relega (relay) correo a: clientes confiables que su direccion esta en $mynetworks clientes confiables que esten en $relay_domains o algun subdominio clientes no confiables los cuales el destino sea $relay_domains o algun subdominio de el.

Postfix ademas acepta correo para:

destinos que esten en $inet_interfaces destinos que esten en $mydestination destinos que esten en $virtual_maps relay_domains = $mydestination

2.2- Opciones Adicionales

La opcion queue_directory especifica el lugar de la cola de Postfix. Es tambien el directorio raiz de los demonios de Postfix (que corren chrooted).

queue_directory = /var/spool/postfix

command_directory y daemon_directory contienen la ruta donde estan los comandos de Postfix y los demonios, respectivamente

command_directory=/usr/sbin daemon_directory=/usr/libexec/postfix

mail_owner indica el usuario que es propietario de la cola de Postfix. Especificar un usuario que no comparta un grupo con otras cuentas y que no posea otros archivos o procesos en la misma maquina. O sea, ni nobody ni daemon. Se debe usar un usuario dedicado.

La instalacion de Postfix crea el usuario y el grupo postfix. Seria logico usarlo para mail_owner.

mail_owner = postfix

default_privs indica los privilegios por defecto del agente de entrega de correo para ejecutar un comando o abrir un archivo. NO especificar un usuario con privilegios o el usuario postfix. Generalmente se usa nobody.

default_privs = nobody

La opcion mail_spool_directory indica el directorio donde los mailboxes son almacenados, “alla UNIX”.

mail_spool_directory = /var/mail

2.3- Uso de Tablas Lookup : HASH y REGEXP para filtros

Hay algunas de las opciones de Postfix que requieren saber que son tablas lookup (lookup tables). Son tablas, contenidas en un formato que Postfix define como diccionario.

Estos diccionarios pueden ser de la siguiente forma:

Existen mas, pero estos son los mas conocidos.

Pcre y Mysql requieren que Postfix se recompile con este soporte.

Las tablas (maptype) son archivos (mapname) con separacion por comas o espacios (o una dbase) donde se crea una expresion regular y un resultado. Los resultados pueden ser los siguientes:

OK : permitida la accion REJECT : accion rechazada RELAY : permite relay ERRORNO razon : un numero de error y una razon del error

Algunos de los numeros de errores que se deben devolver son:

450 : Unknown address - DNS error 554 : UCE restriction 504 : Non-FQDN sender

Regexp y PCRE (Perl Common Regular Expressions) son muy similares en su uso.

Una tabla regexp puede ser, por ejemplo:

/^amigo@dominio1.com.*/ OK /^postmaster@.*$/ RELAY /[aA][cC]v@subdominio.*$/ REJECT /hahaha/ 550 Esto es un vil SPAM

Una tabla HASH es de la siguiente forma:

(patron) (separacion) (accion) (comentario)

y recuerda bastante la generacion de /etc/mail/access de Sendmail.

Una separacion puede ser un blanco (espacio). Un patron puede venir de una base de datos, tabla NIS, SQL etc. de la siguiente forma:

usuario@dominio nombre.de.dominio usuario@ numero.ip.de.cliente, numero.ip.de , numero.ip , numero (direcciones de red)

Las acciones son de la siguiente forma

[45]XX text

rechaza el mensaje que aparezca en el patron y responde con el codigo y con el texto indicado.

REJECT

simplemente rechaza. Un error generico es desplegado

OK

acepta.

Un ejemplo de una tabla HASH puede ser:

midominio1.com OK spammer@spammersunited.com REJECT spammer@ REJECT 192.168.1.99 450 Unresolved

Despues de tener la tabla HASH hay que crear el archivo .db . Esto se hace con POSTMAP.

# postmap /etc/postfix/access

2.4- UCE - Unsolicited Commercial Email a.k.a. SPAM

Para alegria nuestra, Postfix viene configurado para no ser un Open Relay.

Ahora que tenemos instalada la maquina, queremos evitar que la maquina sea usada para hacer SPAM. Las opciones que tenemos son las siguientes:

Para lograr estos objetivos, tenemos las siguientes herramientas:

• filtrado de cabeceras

• filtrado de contenido

• restricciones de hostnames/direcciones

• requerir el comando HELO

• restringir el comando HELO

• requerir direcciones de correo RFC821

• restricciones de emisores

• restricciones de destinatarios

• restricciones de ETRN

• restricciones genericas

• parametros UCE

Filtrado de cabeceras

La directiva header_checks restringe que cabeceras se permiten en un mensaje. Debe estar acompañada por una tabla lookup, generalmente una expresion regular.

header_checks = regexp:/etc/postfix/header_check

y creamos el archivo /etc/postfix/header_check con

/^to: *amigo@publico\.com$/ REJECT

Esto evita que direcciones del tipo miamigo@publico.com, noamigo@publico.com, amigo@publico.com puedan o enviar o recibir o usar el servidor.

Filtrado de contenido

La directiva body_checks permite hacer un filtrado del cuerpo del mensaje. Para su uso es necesario una tabla lookup, generalmente (y para facilidad) se usan tablas regexp. Por ejemplo, teniendo un archivo /etc/postfix/body_checks con lo siguiente:

/keyword/ REJECT

Esto evitara que alguien envie un correo que contenga en alguna parte del BODY del mensaje la palabra “keyword”. Por defecto, las tablas regexp NO son sensitivas a las mayusculas.

Si se necesita que sea sensitivo a las mayusculas, se puede agregar “/i”.

Restricciones de hostname/direccion

El parametro smtpd_client_restriction restringe que clientes aceptar. Valores posibles :

check_client_access tabla:/file/name: generalmente se usa una tabla de tipo HASH. Contiene la forma de acceso del cliente al conectarse a MAILSVR.
reject_unknown_client : rechaza cualquier conexión desconocida o que no tenga un registro PTR en el DNS.
permit_mynetworks : Permitir las peticiones que provengan de cualquier IP que este en $mynetworks
reject_maps_rbl : rechaza la peticion si la direccion de red esta en $maps_rbl_domains.
permit
reject
reject_unauth_pipelining

smtpd_client_restriction = check_client_access hash:/etc/postfix/access, reject_maps_rbl, permit_mynetworks, reject_unknown_client, reject

Requerir el Comando HELO

El parametro smtpd_helo_required determina si los clientes DEBEN enviar un HELO (o EHLO) al servidor antes de comenzar una sesion SMTP. Al requerir esto, se detiene gran parte del software usado para UCE.

Posee dos valores, yes y no. Por defecto, esta el valor no.

Restriccion de host para comando HELO

smtpd_helo_restrictions restringe aquellos hosts que pueden enviar el comando HELO.

Las restricciones posibles son:
reject_invalid_hostname : rechaza la peticion cuando HELO es enviado con una mala sintaxis de host. Retorna el error 501 por defecto.
permit_naked_ip_address : permite que la peticion contenga un numero ip sin uso de corchetes en vez de un hostname. Desafortunadamente, muchos programas UCE funcionan con este procedimiento
reject_unknown_hostname : equivalente a reject_unknown_client
reject_non_fqdn_hostname : rechaza cuando el hostname en el comando HELO no esta de la forma especificada en el RFC821
check_helo_access maptype:mapname : exactamente igual a check_client_access
reject_maps_rbl reject_unknown_client : ya explicado
permit_mynetworks : ya explicado
check_client_access maptype:mapname : ya explicado
permit
reject
reject_unauth_pipelining

smtpd_helo_restrictions = permit_mynetworks, reject_invalid_hostname

RFC821

El parametro strict_rfc821_envelopes controla que tan tolerante es Postfix con respecto a las direcciones dadas en MAIL FROM o RCPT TO. Desafortunadamente, Sendmail permite mucho de los comportamientos no standard, asi que un software UCE explota este error. Siendo estricto con la forma del RFC821 no solo detiene correo no solicitado, sino que bloquea correo enviado por aplicaciónes mal desarrolladas.

Valores posibles son yes y no.

Restricciones del emisor

El parametro smtpd_sender_restriction restringe las direcciones que el sistema acepta cuando se ingresa el comando MAIL FROM.

Parametros:

reject_unknown_sender_domain : rechaza una peticion cuando la direccion de correo del emisor no posee un registro A o MX en un DNS.
check_sender_access maptype:mapname : exactamente igual a check_helo_access
reject_non_fqdn_sender : ya explicado
permit_naked_ip_address
reject_invalid_hostname
reject_unknown_hostname
reject_non_fqdn_hostname
check_helo_access maptype:mapname
reject_maps_rbl
reject_unknown_client
permit_mynetworks
check_client_access maptype:mapname
permit
reject
reject_unauth_pipelining

Restricciones de destinatarios

El parametro smtpd_recipient_restrictions restringe los recipientes o destinatarios que acepta MAILSVR cuando se ejecuta RCPT TO.

Valores:

check_relay_domains : permite la peticion si la direccion del cliente esta

• en $relay_domains o en algun subdominio.

• La direccion resuelta (DNS) corresponde a una maquina que pertenece a $relay_domains

• cualquier maquina que este en $mydestination, $inet_interfaces o $virtual_maps

permit_auth_destination : ignora el hostname cliente. Permite la peticion si:

• la direccion resuelta (DNS) esta en $relay_domains o un subdominio de el y la direccion no contiene rutas especificas (usuario@otrolado@dominio)

• cualquier maquina que este en $mydestination, $inet_interfaces o $virtual_maps

reject_unauth_destination : Ignora el host cliente. Rechaza la peticion si NO concuerda con lo siguiente:

• la direccion resuelta esta en $relay_domains o un subdominio, y la direccion no contiene ruteo especifico de usuario (usuario@maquina@dominio)

• Postfix tiene la ultima palabra: cualquier destino que este en $mydestination, $inet_interfaces o $virtual_maps

permit_mx_backup : permite la peticion cuando el sistema de correo local resuelve un host MX. Esto incluye el caso que el sistema de correo local es el destino final. Sin embargo, el MAILSVR no enviara correo con rutas especificas de usuario (usuario@maquina@dominio)

check_recipient_address maptype:mapname : funciona exactamente igual que check_client_access.

reject_unknown_recipient_domain : rechaza la peticion cuando la direccion de correo si no posee un registro A o MX.

reject_non_fqnd_recipient : igual que reject_non_fqnd_sender
reject_unknown_sender_domain
reject_non_fqnd_sender
check_sender_access maptype:mapname : igual que check_client_access
permit_naked_ip_address
reject_invalid_hostname
reject_unknown_hostname
reject_non_fqdn_hostname
check_helo_access maptype:mapname
reject_maps_rbl
reject_unknown_client
permit_mynetworks
check_client_access maptype:mapname
permit
reject
reject_unauth_pipelining

Restriccion ETRN

El parametro smtpd_etrn_restrictions restringe los dominios que pueden ejecutar comandos ETRN.

Valores:

check_etrn_access maptype:mapname : igual que check_client_access
permit_naked_ip_address
reject_invalid_hostname
reject_unknown_hostname
check_helo_access maptype:mapname
reject_maps_rbl
reject_unknown_client
permit_mynetworks
check_client_access maptype:mapname
permit
reject
reject_unauth_pipelining

Restricciones genericas

permit : permite la peticion
reject : rechaza la peticion
reject_unauth_pipelining : rechaza la peticion cuando el cliente envia comandos SMTP antes de tiempo sin saber que postfix soporta command pipelining. Esto detiene a programas de correo masivo que usan command pipelining para acelerar entregas.

Restricciones adicionales UCE

maps_rbl_domains : controla el comportamiento de reject_maps_rbl que aparece como parte de una lista de nombres/direcciones de un cliente. Estan desabilitadas por defecto.

maps_rbl_domains = rbl.maps.vix.com, dul.maps.vix.com

relay_domains : controla el comportamiento de check_relay_domains, reject_unauth_destination y permit_auth_destination.

relay_domains = $mydestination