Guia rpida de Postx a

Paco Brufal [email protected] Versin: 0.9, Agosto 2004 o

Esta guia rpida explica cmo instalar y congurar el servidor de correo Postx. Se basa en la distribucin a o o Debian Sid. Cualquier comentario ser bienvenido. Esta guia se distribuye SIN NINGUNA GARANTIA. No me a responsabilizo de los posibles problemas que conlleve el ejecutar todos los pasos que se describen. Esta guia se o a distribuye bajo licencia GPL ( http://www.gnu.org/ ). La ultima versin de esta guia siempre estar disponible en http://www.servitux.org/

Contents
1 Introduccin o 2 Paquetes Debian 3 Instalacin o 4 Comandos bsicos de Postx a 5 Modos de ejecucin del servidor o 5.1 5.2 internet site . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . internet site with smarthost . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 2 3 3 3 3 4 4 4 5 5 5 6 6 7 8 8 9 9 9 9 10 11

6 Seguridad 6.1 6.2 Listas de bloqueo basadas en DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Control de env . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . os 6.2.1 6.2.2 6.2.3 6.2.4 6.3 Por host o redes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . relay-host . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ACL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . pop-before-smtp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Cifrado del env de mensajes mediante TLS . . . . . . . . . . . . . . . . . . . . . . . . . . . o 6.3.1 6.3.2 6.3.3 Conguracin en el cliente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o Conguracin en el servidor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o Conguracin conjunta y comentarios . . . . . . . . . . . . . . . . . . . . . . . . . . . o

7 Conguraciones avanzadas 7.1 7.2 7.3 7.4 Servidores Virtuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Servidores de backup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Medios de transporte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Antivirus y AntiSpam . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

1. Introduccin o

7.4.1 7.4.2 7.4.3

Mediante expresiones regulares . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Integracin con Amavisd-New . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o Greylisting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

11 12 13

Introduccin o

a Postx es un servidor de correo (MTA) muy potente, programado por Wietse Venema , y cuya pgina web es http://www.postx.org/ . En este documento voy a explicar cmo instalar el MTA Postx en una Debian o Sid (inestable), pero es totalmente vlido para otras versiones de Debian, incluso para otras distribuciones a de Linux. Cada vez que quieras comprobar que tu servidor est funcionando de manera correcta, tanto para enviar a como para recibir, puedes enviar un mensaje de correo a la siguiente direccin: [email protected] . Cualquier o mensaje que env a esta direccin te ser devuelto. es o a

Paquetes Debian

Los paquetes de Postx para Debian que existen en este momento son (apt-cache search postx )
postfix - A high-performance mail transport agent postfix-dev - Postfix loadable modules development environment postfix-doc - Postfix documentation postfix-ldap - LDAP map support for Postfix postfix-mysql - MYSQL map support for Postfix postfix-pcre - PCRE map support for Postfix postfix-snap - Postfix Mail Transport Agent - snapshot release postfix-snap-dev - Postfix-snap loadable modules development environment postfix-snap-doc - Postfix-snap documentation postfix-snap-ldap - LDAP map support for Postfix-snap postfix-snap-mysql - MYSQL map support for Postfix-snap postfix-snap-pcre - PCRE map support for Postfix-snap postfix-snap-tls - TLS and SASL support for Postfix snapshots postfix-tls - TLS and SASL support for Postfix

Voy a dar una explicacin rpida de qu es cada paquete. Los paquetes necesarios estn marcados con un o a e a asterisco (*). postx. Este es el paquete principal de Postx. (*) postx-dev. Entorno de desarrollo. postx-doc. Documentacin. (*) o postx-ldap. Soporte LDAP. postx-mysql. Soporte MySQL. postx-pcre. Soporte de expresiones regulares. (*) postx-snap-*. Versiones snapshot. Pueden ser inestables. postx-tls. Soporte TLS y SASL (SMTP autenticado).

3. Instalacin o

Instalacin o

La instalacin de los paquetes Debian se puede realizar de manera sencilla con el comando o
apt-get install postfix postfix-doc postfix-pcre

Si existen dependencias con otros paquetes, apt-get tambin las instalar. Despus de bajarse los paquetes e a e de Internet, y antes de instalarlos, posiblemente se nos preguntarn una serie de cosas (relativas a la conga uracin). Respoderemos a esas preguntas, ya que son muy sencillas y nos permitiran crear una conguracin o o base. Luego podemos depurar ms la conguracin siguiendo esta guia. a o El directorio donde se encuentran los cheros de conguracin de Postx es /etc/postfix/, y el chero o principal de conguracin se llama main.cf. o

Comandos bsicos de Postx a

Existen varios comandos que nos pueden ser utiles mientras usemos Postx. Una breve lista ser a postx stop. Este comando para el servidor. postx start. Este comando arranca el servidor. postx reload . Este comando hace que el servidor relea la conguracin sin parar el servicio. o mailq. Para ver la cola de mensajes. postx ush. Fuerza el env de mensajes de la cola de espera. o postmap. Este comando sirve para construir los cheros auxiliares de Postx. postconf . Muestra toda la conguracin de Postx. o newaliases. Este comando reconstruye la base de datos de alias.

Modos de ejecucin del servidor o

Existen 2 modos de ejecucin, por as decirlo. El modo internet site y el modo internet site with smarthost o

5.1

internet site

El modo internet site se caracteriza porque el propio servidor se encarga de repartir los mensajes a sus destinatarios directamente, sin pasar por otro servidor predenido. Para usar este modo, en el chero de conguracin /etc/postfix/main.cf NO debe estar denida la opcin relayhost o o
relayhost =

Esta conguracin es util para ordenadores individuales que no estn en una red local o tienen conexin o a o permanente a Internet (como ADSL, cable, ...).

6. Seguridad

5.2

internet site with smarthost

El modo internet site with smarthost se caracteriza porque el servidor no env los mensajes directamente a a sus destinatarios, sino que los envia a otro servidor de correo, y aquel ya se encargar de enviarlo. Para a usar este modo, hay que denir la opcin relayhost y ponerle como argumento la direccin IP o el nombre o o de host del servidor SMTP que queramos
relayhost = smtp.mi-red-local.com

Esta conguracin se suele dar en redes locales que ya tienen un servidor SMTP o en conexiones espordicas o a a Internet con mdem, por ejemplo (el servidor denido ser el de tu proveedor). o a

Seguridad

Por seguridad me reero a congurar el servidor para que solo lo usen las personas que nosotros queremos, y no abusen de l para enviar spam. e

6.1

Listas de bloqueo basadas en DNS

Las listas de bloqueo son unas listas de IP de servidores que supuestamente envian spam. Entre las listas ms a usadas se encuentran las RBL de mail-abuse.org o las SBL de spamhaus.org. Puede ver un listado completo de listas de bloqueo en http://www.declude.com/JunkMail/Support/ip4r.htm . Al congurar Postx para que use estas listas signica que cada vez que llegue un correo a nuestro servidor, Postx comprobar que a la IP del servidor que nos envia el mensaje no se encuentra en esas listas. Una conguracin t o pica en el main.cf ser a
maps_rbl_domains = relays.ordb.org list.dsbl.org blackholes.mail-abuse.org dialups.mail-abuse.org relays.mail-abuse.org smtpd_client_restrictions = permit_mynetworks reject_maps_rbl check_relay_domains

Otro ejemplo, esta vez para Postx 2.0

smtpd_client_restrictions = permit_mynetworks reject_non_fqdn_recipient hash:/etc/postfix/access reject_rbl_client sbl.spamhaus.org reject_rbl_client relays.ordb.org reject_rbl_client opm.blitzed.org reject_unauth_destination

NOTA. El uso de listas RBL puede producir el rechazo de mensajes leg timos. Antes de usar una lista RBL se recomienda encarecidamente comprobar cules son los criterios de dicha lista para incluir o no un a

6. Seguridad

determinado IP. Algunas listas (como SBL o DSBL) utilizan unos criterios muy claros y objetivos y producen pocos o ningn efecto indeseado, mientras que otras tienen unas normas mucho ms agresivas y producen el u a bloqueo a veces de proovedores enteros, incluyendo un montn de usuarios leg o timos.

6.2

Control de env os

El control de envios signica que se pueden denir qu direcciones de correo pueden enviar correo a travs e e de nuestro servidor, y qu direcciones de correo no pueden enviar correo a nuestro servidor. e 6.2.1 Por host o redes

Mediante la directiva mynetworks denimos qu redes o hosts pueden enviar correo a travs de nuestro e e Postx. Un ejemplo ser a
mynetworks = 127.0.0.0/8, 192.168.2.0/24, 172.16.3.4/32

Con esta conguracin estamos deniendo: o La red 127.0.0.0 puede enviar. Esta red siempre ser nuestra propia mquina (localhost). a a Los 254 hosts de la red 192.168.2.0 pueden usar nuestro servidor. Solo el host 172.16.3.4 puede usar nuestro servidor, y ninguno ms de la red 172.16.3.0. Por ejemplo, a el 172.16.3.14 no podr a. 6.2.2 relay-host

Mediante el sistema relay-host denimos que direcciones de correo pueden enviar a travs de nuestro servidor. e Esto es util si las personas que queremos que envien correo tienen una direccin e-mail estable, pero una IP o que cambia muy a menudo. Una conguracin t o pica ser esta a
smtpd_recipient_restrictions = permit_mynetworks, check_sender_access hash:/etc/postfix/usuarios reject_unauth_pipelining, reject_non_fqdn_recipient, reject_non_fqdn_sender, reject_unknown_recipient_domain, reject_unknown_sender_domain, check_relay_domains

En la directiva check sender access vemos que hace referencia /etc/postfix/usuarios. Este chero contiene algo parecido a esto:
[email protected] [email protected] [email protected] OK OK OK

un

chero

llamado

Esta lista de e-mails signica que dichas direcciones pueden enviar a travs de nuestro servidor, indepene dientemente de la IP que tengan. Como puedes imaginar este mtodo no es muy seguro, ya que si algn e u spammer averigua una direccin de correo vlida de tu servidor, podr usarla para enviar correo de manera o a a indiscriminada. Cada vez que se modique este chero se debe ejecutar el comando

6. Seguridad

cd /etc/postfix && postmap usuarios && postfix reload

6.2.3

ACL

Las ACL, o listas de control de acceso, son las direcciones de e-mail que NO pueden enviar correo a nuestro servidor. Si llega un mensaje con alguna de esas direcciones, el servidor lo rechazar. La conguracin de a o las ACL ser a
smtpd_sender_restrictions = hash:/etc/postfix/access reject_unknown_sender_domain permit_mynetworks

Y el chero /etc/postfix/access contendr a

[email protected] METHOSYSTEM.IT techemail.com trafficmagnet.net email.com seekercenter.net icai.ie REJECT REJECT REJECT REJECT REJECT REJECT REJECT

Como vemos se pueden denegar direcciones e-mail concretas ([email protected]), o dominios enteros (techemail.com). Cada vez que se modique este chero debemos ejecutar
cd /etc/postfix && postmap access && postfix reload

6.2.4

pop-before-smtp

Este mtodo consiste en que los clientes, antes de poder enviar correo a travs de nuestro servidor, deben e e recoger primero el correo mediante POP3 o IMAP. Al recoger el correo, un demonio controla los logs de los servidores POP3 o IMAP, e introduce en un chero las IPs de los clientes. A partir de ese momento, desde esa IP se podrn enviar correos, con cualquier remitente, durante el tiempo especicado, que por defecto son a 30 minutos. En la distribucin Debian, existe un paquete llamado pop-before-smtp. Lo instalaremos con el comando o
apt-get install pop-before-smtp

Luego editamos el chero /etc/pop-before-smtp/pop-before-smtp.conf para elegir el patrn (expresin o o regular) que se ajusta a las lineas de log que genera nuestro servidor POP3 o IMAP. Reiniciamos el demonio con el comando
/etc/init.d/pop-before-smtp restart

y comprobamos que al recoger el correo, nuestra /var/lib/pop-before-smtp/hosts.db con el siguiente script:

#!/usr/bin/perl -w use strict;

IP

se

introduce

en

el

chero

6. Seguridad

use DB_File; # # # # # # # # Written by Jonas Smedegaard <[email protected]>. - but copied more or less verbatim from a mail regarding pop-before-smtp by Bennett Todd <[email protected]>. If someone recovers the origin of this script please tell me, and I will add it to this file. Freely redistributable, or by same rules as those of pop-before-smtp (until the original author eventually shows up and claims differently).

die "syntax: $0 filename.db [...]\n" unless @ARGV; file: for my $file (@ARGV) { my %h; dbmopen(%h, $file, 0) || do { warn "$0: dbmopen($file): $!\n"; next file; }; print "$_ -> $h{$_}\n" for keys %h; }

Pasamos a congurar Postx. En el chero /etc/postfix/main.cf modicamos la siguiente linea para que incluya el chero de IPs que genera el demonio pop-before-smtp:
mynetworks = 127.0.0.0/8, 192.168.1.0/24, hash:/var/lib/pop-before-smtp/hosts

y reiniciamos Postx con

/etc/init.d/postfix restart

6.3

Cifrado del env de mensajes mediante TLS o

Los mensajes que se env desde un servidor a otro viajan en texto claro por defecto. Esto es, cualquier an persona que pueda interponerse entre ambos servidores podr leer el contenido del mensaje. Para evitar esta a situacin podemos recurrir al cifrado de la conexin mediante TLS (Transport Layer Security). o o Para empezar debemos tener instalada la versin de Postx con soporte TLS y las utilidades openssl . En o Debian los paquetes se llaman postx-tls y openssl , y se instalan con el comando
# apt-get install postfix-tls openssl

Si ya tenias instalado el paquete postx no te preocupes, pueden convivir ambos sin problemas. Acto seguido, crearemos un certicado que servir para cifrar la conexin, ejecutando este comando a o
# openssl req -new -x509 -nodes -out postfix.pem -keyout postfix.pem -days 3650

El certicado lo tendremos en el chero postfix.pem. Ponle los permisos adecuados para que nadie excepto el servidor Postx pueda leerlo, y pon el chero en un directorio seguro.

6. Seguridad

6.3.1

Conguracin en el cliente o

Aqui veremos cmo congurar un servidor Postx para que env mensajes mediante TLS. Esta conguracin o e o puede servir para los usuarios que usan su propia mquina como servidor de correo saliente, o env todo a an el correo a otro servidor Postx que permite conexiones cifradas. En el chero main.cf debemos poner las siguientes opciones
# usar TLS siempre que se pueda smtp_use_tls = yes # situacin de la clave pblica o u smtp_tls_cert_file = /etc/ssl/postfix.pem # situacin de la clave privada (en los ficheros .pem, ambas estn juntas) o a smtp_tls_key_file = $smtp_tls_cert_file # nivel de log. Poner 2 hasta que todo funcione bien smtp_tls_loglevel = 0 # tiempo de validez de las claves smtp_tls_session_cache_timeout = 3600s # aviso de conexion TLS smtp_tls_note_starttls_offer = yes # tiempo mximo del intercambio de claves a smtp_starttls_timeout = 300s # fuente de entropia (hay sistemas que no tienen /dev/urandom) tls_random_source = dev:/dev/urandom

Reiniciamos Postx y veremos que cuando enviamos un mensaje a un servidor con soporte TLS saldrn estas a lineas en el log
verify error:num=18:self signed certificate TLS connection established to hostname.hostdomain: TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits) Peer certficate could not be verified

No te asustes de los mensajes de error. Signican que la autenticidad de los certicados no ha podido ser comprobada. Esto se debe a que ninguna autoridad certicadora nos ha rmado los certicados. 6.3.2 Conguracin en el servidor o

Ahora veremos cmo congurar un servidor con soporte TLS para que los clientes puedan enviar sus mensajes o cifrados. El certicado que usaremos ser el mismo que creamos para el Postx cliente. Aadimos las siguientes lineas a n al chero main.cf
# fichero de clave pblica u smtpd_tls_cert_file = /etc/ssl/postfix.pem # fichero de clave privada smtpd_tls_key_file = /etc/ssl/postfix.pem # nivel de log. Pon 2 hasta que todo funcione bien smtpd_tls_loglevel = 0 # mostrar la posibilidad de recibir mediante TLS smtpd_use_tls = yes # fuente de entropia tls_random_source = dev:/dev/urandom # tiempo mximo de validez de las claves a smtpd_tls_session_cache_timeout = 3600s

7. Conguraciones avanzadas

Reiniciamos Postx y a partir de ese momento cuando se conecte un cliente para enviar correo, nuestro servidor le mostrar la posibilidad de enviar correo cifrado. En el log veremos lineas parecidas a estas a
TLS connection established from unknown[10.1.3.3]: TLSv1 with cipher DHE-RSA-AES256-SHA (256 /256 bits)

6.3.3

Conguracin conjunta y comentarios o

Si queremos que nuestro servidor sea capaz de recibir y enviar correos cifrados siempre que se pueda, tan solo debemos poner las conguraciones anteriores en el mismo chero main.cf. Respecto a la autoridad certicadora, nosotros mismos podemos crear una y rmar los certicados. Como esto se sale fuera de la temtica del documento, te recomiendo que visites http://www.openssl.org para a obtener ms informacin. a o

Conguraciones avanzadas

Vamos a pasar ahora a las conguraciones avanzadas. Estas conguraciones no suelen ser usadas por usuarios individuales, pero pueden ser utiles para sysadmins.

7.1

Servidores Virtuales

Los servidores virtuales son realmente todos los dominios que gestiona nuestro servidor. Es decir, que un solo servidor de correo puede recibir e-mails para muchos dominios diferentes. La conguracin de los servidores o virtuales ser a
mydestination = mihost.dominio.com, localhost.dominio.com, localhost, hash:/etc/postfix/virtual

Veamos lo que contiene el chero /etc/postfix/virtual

dominiovirtual1.com [email protected] [email protected] [email protected] dominiovirtual2.com [email protected] [email protected] [email protected] cualquiercosa usuariolocal1 usuariolocal2 usuariolocal3 cualquiercosa usuariolocal4 usuariolocal5 usuariolocal6

Lo de cualquiercosa es eso, cualquier palabra, da lo mismo la que sea, pero ES OBLIGATORIO que haya una (los cheros de hash van por pares). Cada vez que modiques este chero debes ejecutar el comando
cd /etc/postfix && postmap virtual && postfix reload

7.2

Servidores de backup

Los servidores de backup son servidores de correo que solo actuan cuando el servidor principal tiene algn u problema y no puede recibir correo (problemas de rutado, caida del servidor, etc.). La misin del servidor de o backup es recoger todo el correo mientras el servidor principal est inaccesible, y guardarlo hasta que pueda a ser entregado.

7. Conguraciones avanzadas

10

Aqui entra en juego el DNS, ya que debemos congurar la zona del dominio para que especique dos servidores de correo con distintas prioridades. Un ejemplo ser este: a
# Fichero /etc/bind/midominio.es $TTL @ 86400 IN SOA root.midominio.es. 2003073101 86400 7200 2592000 172800 ) hostmaster.midominio.es. ( ; Serial ; Refresh (1 dia) ; Retry (2 horas) ; Expire (30 dias) ; Default TTL (2 dias)

IN IN IN IN IN www correo correobackup dns1 dns2

A NS NS MX MX IN IN IN IN IN

192.168.4.1 dns1.midominio.es. dns2.midominio.es. 1 correo 2 correobackup A A A A A 192.168.4.2 192.168.4.3 192.168.4.4 192.168.4.1 192.168.4.5

Fijate en las lineas IN MX. Hemos puesto que el servidor principal es correo y tiene una prioridad 1, y el servidor correobackup tiene una prioridad 2. Esto quiere decir que cuando alguien env un correo a nuestro e dominio, primero lo intentar enviar a la mquina correo, y en caso que no pueda enviarlo, lo enviar a la a a a mquina correobackup. a El chero main.cf de la mquina correobackup debe llevar estas opciones: a
mydestination = dominio.es transport_maps = hash:/etc/postfix/transport

y el chero transport contiene:

midominio.es smtp:correo.midominio.es

Con esto especicamos que todo el correo que llegue para el dominio midominio.es debe ser reenviado a la mquina correo.midominio.es mediante el protocolo SMTP. El servidor de backup intentar enviar los a a mensajes a la mquina principal cada poco tiempo, si no lo consigue, lo intenta ms tarde. Por defecto, a a postfix devuelve los mensajes que no ha podido enviar en 5 dias, as que si tu servidor principal de correo va a estar ms de 5 dias o-line, puedes aumentar el tiempo de vida de los mensajes en correobackup mediante a el comando maximal queue lifetime en el chero main.cf .

7.3

Medios de transporte

Los medios de transporte sirven para desviar el correo entrante a otros servidor de correo en funcin del o dominio. Esto es util para servidores de ISP que manejan cantidades grandes de correo. Una conguracin o t pica ser a

7. Conguraciones avanzadas

11

transport_maps = hash:/etc/postfix/transport

y el chero /etc/postfix/transport contiene

dominio1.com dominio2.com dominio3.com smtp:servidor2.dominio2.com smtp:servidor3.dominio3.com smtp:servidor4.dominio4.com:10025

En la ultima linea hemos especicado un nmero, el 10025, que ser el puerto de destino del servidor remoto. u a En ese puerto deber haber un demonio escuchando las peticiones externas para redigir el correo al servidor. a El hecho de especicar un puerto distinto al 25 (SMTP) puede servir para evitar rewalls, proxies o incluso para asegurarnos que ningn snier interceptar nuestro correo. Al modicar este chero, se debe ejecutar u a el comando
cd /etc/postfix && postmap transport && postfix reload

7.4

Antivirus y AntiSpam

Cada dia son ms los virus que se propagan a travs del correo electrnico. Con Postx y un poco de tiempo, a e o se pueden evitar la mayor de ellos. a 7.4.1 Mediante expresiones regulares

Postx soporta bsqueda de expresiones regulares en las cabeceras de los mensajes. En estas cabeceras u es donde siempre vienen denido el o los cheros que van adjuntos al mensaje. A diferencia de otros cheros, estos no necesitan ser procesados con postmap, simplemente con ejecutar postfix reload despus e de editarlos es suciente. Para congurar las bsquedas mediante expresiones regulares la conguracin ser esta u o a
body_checks = regexp:/etc/postfix/anti_virus, pcre:/etc/postfix/pcre_anti_virus header_checks = pcre:/etc/postfix/cabeceras

El chero anti-virus, ltra los cheros adjuntos, y el cuerpo del mensaje. Este chero contiene lo siguiente
# Virus /(filename|name)="(Happy99|Navidad|prettypark)\.exe"/ REJECT /(filename|name)="(pretty park|zipped_files|flcss)\.exe"/ REJECT /(filename|name)="(Msinit|wininit|msi216)\.exe"/ REJECT /(filename|name)="(Avp_updates|Qi_test|Anti_cih)\.exe"/ REJECT /(filename|name)="(Emanuel|kmbfejkm|NakedWife)\.exe"/ REJECT /(filename|name)="(Seicho_no_ie|JAMGCJJA|Sulfnbk|decrypt-password)\.exe"/ REJECT /(kak|day)\.(reg|hta)/ REJECT /Rem I am sorry.*/ REJECT /Te mando este archivo para que me des tu punto de vista/ REJECT /I send you this file in order to have your advice/ REJECT /Espero me puedas ayudar con el archivo que te mando/ REJECT /Espero te guste este archivo que te mando/ REJECT /Este es el archivo con la informacin que me pediste/ REJECT o # ficheros extra~os n /(filename|name)=".*\.(asd|chm|dll|hlp|hta|js|ocx|pif)"/ REJECT

7. Conguraciones avanzadas

12

/(filename|name)=".*\.(scr|shb|shs|vb|vbe|vbs|wsf|wsh)"/ REJECT # CLSID /(filename|name)=".*\.\{.*\}"/ REJECT # Iframe /(\<IFrame\ src\=\"|\<IFRAME\ src\=\"|\<IFRAME\ SRC\=\")/ REJECT

El siguiente chero es pcre anti virus, que ltra los cheros adjuntos por extensiones y tambien chero codicados en MIME
/^begin\s+\d{3}\s+.+?\.(bat|chm|cmd|com|hta|jse?|pif|scr|shb|vb[esx]|ws[fh])\b/ REJECT /^\s+(file)?name="?.+?\.(bat|chm|cmd|com|hta|jse?|pif|scr|shb|vb[esx]|ws[fh])\b/ REJECT

Y por ultimo, el chero cabeceras, que ltra las cabeceras de los mensajes (el from, subject, etc.).
/^From: Hahaha <[email protected]>$/ REJECT /^Subject: Enanito si, pero con que pedazo!$/ REJECT /^Subject: Re: Your password!$/ REJECT Estas infectado con el Frethem. Desinfectate.

Como ves, se pueden poner mensajes despus del REJECT. Estos mensajes sern recibidos por la persona que e a mand el mensaje. o Tienes una lista muy extensa de expresiones regulares en la URL http://www.hispalinux.es/data/postx/ 7.4.2 Integracin con Amavisd-New o

Amavisd-New es un software que ltra todos los mensajes de correo, haciendolos pasar por un programa antivirus y/o un programa antispam. En este documento no tratar la instalacin o conguracin de amavis, e o o sino la integracin con Postx 2.0 o Una vez instalado y congurado Amavisd-New, aadimos al nal stas lineas en el chero master.cf: n e
smtp-amavis unix n -o smtp_data_done_timeout=1200 -o smtp_send_xforward_command=yes 2 smtp

127.0.0.1:10025 inet n n - smtpd -o content_filter= -o local_recipient_maps= -o relay_recipient_maps= -o smtpd_restriction_classes= -o smtpd_client_restrictions= -o smtpd_helo_restrictions= -o smtpd_sender_restrictions= -o smtpd_recipient_restrictions=permit_mynetworks,reject -o mynetworks=127.0.0.0/8 -o strict_rfc821_envelopes=yes -o smtpd_error_sleep_time=0 -o smtpd_soft_error_limit=1001 -o smtpd_hard_error_limit=1000

y en el chero main.cf aadimos: n

7. Conguraciones avanzadas

13

content_filter = smtp-amavis:[127.0.0.1]:10024

Reiniciamos Postx con postfix reload y ya lo tenemos listo. 7.4.3 Greylisting

Greylisting es el mtodo por el cual se deniega el primer env de un remitente desconocido, mediante un e o cdigo de error 450 (deferred). Muchos de los virus y spammers no siguen el protocolo SMTP correctamente, o con lo que nunca volvern a enviar ese mensaje. Mediante el greylisting podemos evitar que nos lleguen a mensajes de virus y proxies abiertos, pero no podemos evitar que nos lleguen de servidores de correo mal congurados que permiten relay, aunque con un poco de suerte en el siguiente reenv ese servidor ya est o e en alguna lista RBL y podremos evitarlo. El funcionamiento es como sigue: Llega un correo con remitente desconocido Se deniega con un error 450 (intentar ms tarde) a Se guarda la IP, el From y el To en un chero Si el correo era un spam o un virus, es muy raro que nos lo vuelvan a enviar Si el correo viene de un servidor SMTP, ser enviado de nuevo pasados unos minutos a Cuando llega de nuevo el correo, lo dejar pasar a Veamos cmo implementar el greylisting en un servidor Debian Sid (unstable) Postx 2.1 o superior (las o versiones anteriores no soportan esta caracter stica): Instalamos el paquete postgrey
# apt-get install postgrey

Editamos el chero /etc/postfix/main.cf y lo dejamos tal que as :

[...] smtpd_recipient_restrictions = [...] reject_unauth_destination, check_policy_service inet:127.0.0.1:60000 [...]

Con esto conguramos Postx para que compruebe cada correo que llega mediante el demonio greylist, que est escuchando en el puerto 60000 de la IP 127.0.0.1 a Reiniciamos Postx y ya lo tendremos funcionando. Puedes obtener ms informacin sobre greylisting en http://greylisting.org a o