Alberto Garcia

Menu

Configuració del servei de correu per utilitzar protocols segurs

El primer que farem serà crear el directori en guardarem els certificats que a continuació generarem, per generar el certificat es farà amb l’altre comanda, i quan executis la comanda de generar el xifratge, t’anirà demanant informació, complementaria la més important és el Common Name, és on has de posar al teu domini/IP del servidor.

# Creamos un directorio para los certificados si no existe
sudo mkdir -p /etc/ssl/localcerts

# Generamos una llave privada y un certificado válido por 1 año
sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 \
-keyout /etc/ssl/localcerts/mailserver.key \
-out /etc/ssl/localcerts/mailserver.pem

Resultat commanda

Country Name (2 letter code) [AU]:ES
State or Province Name (full name) [Some-State]:Barcelona
Locality Name (eg, city) []:Castellbisbal
Organization Name (eg, company) [Internet Widgits Pty Ltd]:SMX     
Organizational Unit Name (eg, section) []:sistemas
Common Name (e.g. server FQDN or YOUR name) []:192.168.100.135
Email Address []:alberto.garcia@inscastellbisbal.net
PostFix

Ara el que farem serà començar amb la configuració del postfix, per fer-ho entrarem a l’arxiu de configuració i canviarem la part de la configuració de TLS.

sudo vim /etc/postfix/main.cf
# CONFIGURACION TLS

# 1. Certificados personalizados (Sustituyen a los genéricos)
smtpd_tls_cert_file=/etc/ssl/localcerts/mailserver.pem
smtpd_tls_key_file=/etc/ssl/localcerts/mailserver.key

# 2. Habilitar TLS (Permite conexiones cifradas)
smtpd_use_tls=yes

# 3. Seguridad de contraseñas (Obliga a cifrar para hacer login)
smtpd_tls_auth_only = yes

Activem el paràmetre ssl = yes i definim les rutes cap al nostre certificat públic (.pem) i la nostra clau privada (.key).

En especificar els nostres propis certificats en lloc dels genèrics, garantim que la identitat del servidor coincideix amb el nom de la nostra organització/domini. La clau privada és la que permet al servidor “signar” la comunicació perquè el client (SquirrelMail) sàpiga que la connexió és legítima i que ningú està escoltant al mig

sudo vim /etc/dovecot/conf.d/10-ssl.conf
ssl = yes
# Usamos los certificados personalizados del grupo
ssl_cert = </etc/ssl/localcerts/mailserver.pem
ssl_key = </etc/ssl/localcerts/mailserver.key

Obrim l’inet_listener per al servei imaps al port 993 i forcem l’ús de SSL.

El protocol IMAP estàndard (port 143) envia la informació a text pla. En habilitar el port 993, estem activant IMAPS (IMAP sobre SSL/TLS). Això assegura que, des del moment en què l’usuari intenta connectar-se, s’estableixi un túnel xifrat. Cap contrasenya o contingut de correu sortirà del servidor ni arribarà a SquirrelMail sense estar encriptat.

sudo nano /etc/dovecot/conf.d/10-master.conf
inet_listener imaps {
  port = 993
  ssl = yes
}

I per última caber de configurar l’últim arxiu.

sudo vim /etc/dovecot/dovecot.conf

# 4. Seguretat: SSL ACTIVAT 
ssl = yes
ssl_cert = </etc/ssl/localcerts/mailserver.pem
ssl_key = </etc/ssl/localcerts/mailserver.key

L’últim pas és configurar la pròpia interfície de SquirrelMail. Com que ara Dovecot només accepta connexions segures al port 993, hem de dir a SquirrelMail que deixi de fer servir el port 143 (obert) i utilitzi el túnel xifrat.

Utilitzarem la següent comanda per accedir a l’arxiu de configuració de SquirrelMail.

cd /var/www/html/webmail/config/
sudo ./conf.pl
  • Entra a l’Opció 2 (Server Settings).
  • Premeu A
  • Premeu 5 per canviar l’IMAP Port. Escriu 993 i prem Enter.
  • Premeu 7 per canviar Secure IMAP (TLS). Escriviu i (o seleccioneu true) i premeu Enter.
  • (Opcional però recomanat): Premeu B per entrar a SMTP Settings i assegureu-vos que utilitzeu el port 587 si heu activat submissió a Postfix, o deixeu-lo en 25 si utilitzareu STARTTLS.
  • Prem S per desar els canvis i Q per sortir.

    Server Settings

    General
    ——-
    1. Domain : localhost
    2. Invert Time : false
    3. Sendmail or SMTP : SMTP

    IMAP Settings
    ————–
    4. IMAP Server : localhost
    5. IMAP Port : 993
    6. Authentication type : login
    7. Secure IMAP (TLS) : true
    8. Server software : dovecot
    9. Delimiter : detect

    B. Update SMTP Settings : localhost:25
    H. Hide IMAP Server Settings

    R Return to Main Menu
    C Turn color on
    S Save data
    Q Quit

Ara el ultim que ens quedan es activar el mòdul SSL a Apache. Seguiu aquests passos ràpids

# 1. Activa el módulo de cifrado
sudo a2enmod ssl

# 2. Activa el sitio web seguro que viene por defecto en Apache
sudo a2ensite default-ssl

# 3. Reinicia Apache para que se entere de los cambios
sudo systemctl restart apache2