Mail relay lechuga exterior

Este servidor:

• Es el que en último punto se encarga de enviar los correos a sus destinatarios.
• Es el que recibe, y sin procesar, lo reenvia a correo.lechuga.eu (aquellos que son su destino, como lechuga.eu, correo.lechuga.eu, hugo.cat etc.)
• Todas las aplicaciones cliente deben poner a correo.lechuga.eu como servidor de correo, que es el que hace todo tipo de procesados.
• De esta manera no hace falta que los puertos 25 u 587 esten abiertos en el router domestico.

Configuración de los clientes

MUA (usuario)

Utilizar la configuración propia del host de correo, según: Brocoli.Correo#muasaliente?

MTA (servidor)

Los servidores han de utilizar el puerto 587, que es el autenticado.

Si no se utiliza autenticación no se podrá cambiar el "remitente" del mensaje.

Configuración de las claves DNS

Registro SPF

https://mxtoolbox.com/SuperTool.aspx?action=spf%3aboniato.lechuga.eu&run=toolpage

Host = "@ ", valor = "v=spf1 a mx ip4:172.86.84.224 ~all"

Registros MX (Mail Exchanger)

Éstos registros indican a qué servidor hay que entregar los correos externos.

Aquí hay que configurar el servidor boniato.lechuga.eu con la máxima prioridad, para que los remitentes lo envien ahí.

Luego es boniato quien lo reenvia a correo.lechuga.eu

Registro DKIM

por evaluar

Configuración del demonio POSTFIX

Nuevos usuarios

Esta instalación sólo tiene usuarios de sistema para habilitar a otros sistemas a enviar a través de una IP con buena reputación

El usuario para el servidor que envia:

• Usuario: correo_lechuga_eu (Boniato.CorreoForward#nuevousuario)
• Contraseña: La utilizada para dar de alta el usuario en boniato (Boniato.CorreoForward#cambioclave)

Relay

Para el correo entrante, se reenvian a correo.lechuga.eu segun especificado en /etc/postfix/transport

ejecutar luego de modificarlo:

postmap /etc/postfix/transport
postfix reload

Autenticación SASL

• http://www.postfix.org/SASL_README.html
• http://www.andybev.com/index.php/SMTP_authentication_and_Postfix
• https://wiki.debian.org/PostfixAndSASL

Comando de pruebas

echo "hola que tal" | msmtp hola@lechuga.eu
saslpasswd2 -c -u `postconf -h mydomain` correo_lechuga_eu
testsaslauthd -u correo_lechuga_eu -p 4ewRb48IlidfgYWWyNgGS23wJO -f /var/spool/postfix/var/run/saslauthd/mux
saslauthd -d -m /var/spool/postfix/var/run/saslauthd -a shadow

Implicación chroot

El demonio postfix se ejecuta en un chroot en /var/spool/postfix

En la instalación base parece no haber permisos o+rx en el directorio var/run:

chmod o+rx /var/spool/postfix/var
chmod o+rx /var/spool/postfix/var/run

El método de autenticación que utilizará postfix es es auxprop/shadow, establecido en /etc/postfix/sasl/smtpd.conf y también en /etc/default/saslauthd-postfix

Fichero /etc/postfix/sasl/smtpd.conf

pwcheck_method: saslauthd
mech_list: plain login

Fichero /etc/default/saslauthd-postf

Se elimina el fichero /etc/default/saslauthd

START=yes
DESC="SASL Auth. Daemon for Postfix"
NAME="saslauthd-postf"
MECHANISMS="shadow"
MECH_OPTIONS=""
THREADS=5
OPTIONS="-c -m /var/spool/postfix/var/run/saslauthd"

Generación de un usuario de autenticación en postfix
adduser --disabled-login --no-create-home correo_lechuga_eu --uid 2015

Cambio de clave de usuario
saslpasswd2 -c -u `postconf -h mydomain` correo_lechuga_eu

Como postfix está en un chroot, ejecutar: @@

 To place the saslauthd socket inside the Postfix chroot, edit
 /etc/default/saslauthd and set OPTIONS like this (you may omit -c):
  OPTIONS="-c -m /var/spool/postfix/var/run/saslauthd"

 To set the run directory using dpkg-statoverride, run this command as root:
  dpkg-statoverride --add root sasl 750 /var/spool/postfix/var/run/saslauthd

 Finally, to add the postfix user to the sasl group:
  adduser postfix sasl

DKIM

https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-dkim-with-postfix-on-debian-wheezy