Postfix SASL relayhost

Postfix SASL relayhost

 

1. Introducción

Esta guía está diseñada para complementar la base guía de postfix . Está escrito para CentOS 5. Configuración diferirá para CentOS 6.

 

2. ¿Qué es SASL y qué lo necesito?

SASL (Capa de autenticación y seguridad) proporciona un mecanismo de autenticación de los usuarios usando su nombre de usuario y contraseña. Probablemente la aplicación más conocida de SASL es proporcionado por la biblioteca SASL de Cyrus.

Si su ISP bloquea el puerto 25 conexiones y requiere que autenticarse para enviar correo electrónico, tendrá que configurar SASL.

 

3. ¿Qué pasa con SSL / TLS?

Así SASL es capaz de proporcionar un mecanismo para autenticar usuarios remotos por nombre de usuario y la contraseña que deseen enviar correo a través del servidor de correo. Tenemos el problema de que estos mecanismos están enviando los nombres de usuario y contraseñas en texto plano a través de Internet (SASL soporta varios métodos de autenticación cifrados como DIGEST-MD5, pero estos no siempre son universalmente compatible con el software cliente de correo electrónico). Esto plantea un riesgo para la seguridad como cualquiera potencialmente puede interceptar esta información y robar datos de acceso por lo que necesitamos para cifrar la conexión. SSL (Secure Sockets Layer), y más recientemente TLS (Transport Layer Security), ofrecen un mecanismo para cifrar las comunicaciones entre dos hosts, en nuestro caso, nuestro servidor de correo y nuestro cliente remoto. SSL ha sido renombrado como TLS por la IETF partir de la versión 3.1.

 

4. Configuración stunnel para conexiones SSL

Lo primero es instalar y configurar stunnel. En este ejemplo vamos a utilizar outbound.att.net y el puerto 465. Sustituya estos valores por los valores de su ISP.

 

yum-y install telnet stunnel
cat >> / etc / stunnel / stunnel.conf << EoT
[Smtps]
accept = 10465
client = sí
connect = outbound.att.net: 465
EoT
wget-O / etc / init.d / stunnel https://bugzilla.redhat.com/attachment.cgi?id=325164
chmod 755 / etc / init.d / stunnel
chkconfig stunnel sucesivamente; servicio de inicio stunnel

Prueba de que la conexión stunnel está trabajando con una conexión telnet.

 

$ Telnet localhost 10465
Tratando 127.0.0.1 ...
Conectado a localhost.localdomain (127.0.0.1).
Carácter de escape es '^]'.
220 outbound.att.net ESMTP listo
$ Renunciar
221 2.0.0 Adiós
Conexión cerrada por el host externo.

 

5. Configuración de SASL en Postfix

El primer paso es crear los archivos con sus credenciales para el ISP.

 

echo "[127.0.0.1]: 10465 MyUserName@att.net: secretpassword" >> / etc / postfix / relay_creds
postmap / etc / postfix / relay_creds
chmod go-rwx / etc / postfix / relay_creds *

El segundo paso consiste en agregar nuevo valor al archivo main.cf de postfix.

cat >> / etc / postfix / main.cf << EoT

# Añade a habilitar el soporte SASL para relayhost
relayhost = [127.0.0.1]: 10465
smtp_sasl_type = cyrus
smtp_sasl_auth_enable = sí
smtp_sasl_password_maps = picadillo :/ etc / postfix / relay_creds
smtp_sasl_security_options = noanonymous
smtp_use_tls = sí
smtp_cname_overrides_servername = no
smtp_sasl_mechanism_filter = normal, inicio de sesión
EoT
servicio postfix reload

 

6. Prueba de entrega

SASL está configurado y correo electrónico debe ser enrutado a través de la relayhost. Compruebe / var / log / maillog si hay errores. Si es necesario actualizar las credenciales, asegúrese de ejecutar “postmap / etc / postfix / relay_creds” y “postfix reload servicio”.

Si usted recibe un error acerca de correo electrónico que se envía desde un usuario desconocido, puede que tenga que enviar todo el correo electrónico de la dirección de correo electrónico de la cuenta de su ISP. En este ejemplo, reemplace la dirección de correo electrónico con la proporcionada por su ISP.

 

echo '/. * / MyUserName@att.net' >> / etc / postfix / sender_canonical
postmap / etc / postfix / sender_canonical
echo 'sender_canonical_maps = regexp :/ etc / postfix / sender_canonical' >> / etc / postfix / main.cf
servicio postfix reload

Leave a Reply

Your email address will not be published. Required fields are marked *

*
To prove you're a person (not a spam script), type the security word shown in the picture. Click on the picture to hear an audio file of the word.
Anti-spam image