IMPLEMENTACIN DE SISTEMAS DE COMUNICACIONES VOIP

IMPLEMENTACIN DE SISTEMAS DE COMUNICACIONES VOIP

2011

1. HABILITAR EL ENVO DE NOTIFICACIONES VA CORREO ELECTRNICO DESDE LA CENTRAL TELEFNICA VOIP POSTFIX Instalar los paquetes postfix, dovecot, cyrus-sasl, cyrus-sasl-plain y system-switch-mail:
Yum -y install postfix dovecot cyrus-sasl cyrus-sasl-plain system-switch-mail

Definiendo Postfix predeterminado.

como

agente

de

transporte

de

correo

El paquete system-switch-mail se utiliza para conmutar el servicio de correo electrnico del sistema y elegir que paquete utilizar. Slo es necesario utilizar ste si previamente estaban instalados Sendmail o Exim. S este es el caso, ejecute desde una terminal el mandato system-switchmail y defina Postfix como agente de transporte de correo (MTA, Mail Transport Agent), seleccionado ste.

Pgina 2/12

IMPLEMENTACIN DE SISTEMAS DE COMUNICACIONES VOIP Generando firma digital y certificado.

2011

A fin de mantener cierta organizacin, es conveniente crear un directorio especfico para almacenar el certificado del servidor. Por motivos de seguridad, debe ser solamente accesible para el usuario root.
Mkdir -m 0700 /etc/pki/tls/certs/tip2011.org

Acceder al directorio que se acaba de crear.

cd /etc/pki/tls/certs/ tip2011.org

Los servidores de correo electrnico, como Sendmail y Postfix, pueden utilizar una firma digital creada con algoritmo DSA de 1024 octetos. Para tal fin, se crea primero un fichero de parmetros DSA:
Openssl dsaparam 1024 -out dsa1024.pem

A continuacin, se utiliza este fichero de parmetros DSA para crear una llave con algoritmo DSA y estructura x509, as como tambin el correspondiente certificado. En el ejemplo a continuacin, se establece una validez por 1095 das (tres aos) para el certificado creado.
openssl req -x509 -nodes -newkey dsa:dsa1024.pem -days 1095 -out smtp.crt -keyout smtp.key

Lo anterior solicitar se ingresen varios datos: Cdigo de dos letras para el pas. Estado o provincia. Ciudad. Nombre de la empresa o razn social. Unidad o seccin. Direccin de correo.

Pgina 3/12

IMPLEMENTACIN DE SISTEMAS DE COMUNICACIONES VOIP

2011

La salida devuelta sera similar al cuadro siguiente y modificamos las lneas en negrita:
Generating a 1024 bit DSA private key writing new private key to 'smtp.key' ----You are about to be asked to enter information that will be Incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----Country Name (2 letter code) [GB]:pe State or Province Name (full name) [Berkshire]:Chiclayo Locality Name (eg, city) [Newbury]:Chiclayo Organization Name (eg, company) [My Company Ltd]: Universidad Organizational Unit Name (eg, section) []:sistemas Common Name (eg, your name or your server's hostname) []: tip2011.org Email Address []:sistemas@tip2011.org

Pgina 4/12

IMPLEMENTACIN DE SISTEMAS DE COMUNICACIONES VOIP

2011

El certificado solo ser vlido cuando el servidor de correo electrnico sea invocado con el nombre definido en el campo Common Name. Es decir, solo podr utilizarlo cuando se defina dominio.com como servidor SMTP con soporte TLS. No funcionar si se invoca al servidor como, por mencionar un ejemplo, mail.dominio.com. Al terminar, ya no ser necesario conservar el fichero dsa1024.pem, mismo que puede eliminarse con plena seguridad.
rm -f dsa1024.pem

Es indispensable que todos los ficheros de claves y certificados tengan permisos de acceso de solo lectura para el usuario root:
chmod 400 /etc/pki/tls/certs/ tip2011.org /smtp.*

La creacin de la firma digital y certificado para Dovecot es ms simple, pero requiere utilizar una clave con algoritmo RSA de 1024 octetos, con estructura X.509. En el ejemplo a continuacin, se establece una validez por 1095 das (tres aos) para el certificado creado.
openssl req -x509 -nodes -newkey rsa:1024 -days 1095 -out dovecot.crt keyout dovecot.key

De forma similar a como ocurri con el certificado para el servidor correo electrnico, lo anterior solicitar se ingresen varios datos. La salida que me devuelve debe ser similar a lo siguiente:

Pgina 5/12

IMPLEMENTACIN DE SISTEMAS DE COMUNICACIONES VOIP

Generating a 1024 bit RSA private key ................++++++ .++++++ writing new private key to 'dovecot.key' ----You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----Country Name (2 letter code) [GB]:PE State or Province Name (full name) [Berkshire]:Chiclayo Locality Name (eg, city) [Newbury]:chiclayo Organization Name (eg, company) [My Company Ltd]: universidad. Organizational Unit Name (eg, section) []:sistemas Common Name (eg, your name or your server's hostname) []: dominio.com Email Address []:sistemas@tip2011.org

2011

Pgina 6/12

IMPLEMENTACIN DE SISTEMAS DE COMUNICACIONES VOIP

2011

El certificado solo ser vlido cuando el servidor de correo electrnico sea invocado con el nombre definido en el campo Common Name. Es decir, solo podr utilizarlo cuando se defina dominio.com como servidor POP3 o IMAP con soporte TLS. No funcionar si se invoca al servidor como, por mencionar un ejemplo, mail.dominio.com. Es indispensable que todos los ficheros de claves y certificados tengan permisos de acceso de solo lectura para el usuario root:
chmod 400 /etc/pki/tls/certs/ tip2011.org /dovecot.*

Configuracin de Postfix. Editar el fichero /etc/postfix/master.cf:

vim /etc/postfix/master.cf

Descomentar las siguientes lneas ilustradas en negrita:

smtp inet n n n smtpd smtpd

submission inet n

# -o smtpd_enforce_tls=yes # Solo necesario para obligar a usar TLS sobre SMTP -o smtpd_sasl_auth_enable=yes -o smtpd_client_restrictions=permit_sasl_authenticated,reject # Requerido para habilitar puerto 465 para clientes que solo soportan SSL. smtps inet n n smtpd

-o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes -o smtpd_client_restrictions=permit_sasl_authenticated,reject

Pgina 7/12

IMPLEMENTACIN DE SISTEMAS DE COMUNICACIONES VOIP A continuacin, se debe editar el fichero /etc/postfix/main.cf:

vim /etc/postfix/main.cf

2011

Respetando el resto del contenido original de este fichero, y asumiendo que el nombre de anfitrin del servidor es mail.dominio.com y que se va a utilizar para gestionar el correo electrnico de dominio.com, solo se deben localizar y configurar los siguientes parmetros:
# Todo lo siguiente solo requiere descomentarse o bien modificar la lnea # Correspondiente que est descomentada. # Definir el nombre de anfitrin del sistema (hostname). myhostname =dns. tip2011.org # Definir el dominio principal a gestionar. mydomain = tip2011.org myorigin = $mydomain # Definir se trabaje por todas las interfaces. # De modo predeterminado solo trabaja por la interfaz de retorno del sistema # (loopback), es decir, solo escucha peticiones a travs de sobre 127.0.0.1 #inet_interfaces = localhost inet_interfaces = all # Si se van a manejar ms dominios de correo electrnico, aadirlos tambin. mydestination = $myhostname, $mydomain, localhost.localdomain, localhost # Definir tus redes locales, ejemplo asume que tu LAN es 192.168.1.0/24 mynetworks = 192.168.1.0/24, 127.0.0.0/8 # Si se van a manejar ms dominios de correo electrnico, aadirlos tambin. relay_domains = $mydestination # Importante para poder utilizar procmail para filtrar correo. mailbox_command = /usr/bin/procmail # Todo lo siguiente est ausente en la configuracin. Pgina 8/12

IMPLEMENTACIN DE SISTEMAS DE COMUNICACIONES VOIP

# Aadir todo al final del fichero main.cf # smtpd_tls_security_level = may # Las rutas deben corresponder a las del certificado y firma digital creados. smtpd_tls_key_file = /etc/pki/tls/certs/ tip2011.org /smtp.key smtpd_tls_cert_file = /etc/pki/tls/certs/ tip2011.org /smtp.crt smtpd_tls_auth_only = no smtp_use_tls = yes smtpd_use_tls = yes smtp_tls_note_starttls_offer = yes smtpd_tls_loglevel = 1 smtpd_tls_received_header = yes smtpd_tls_session_cache_timeout = 3600s tls_random_source = dev:/dev/urandom # Soporte para autenticar a travs de SASL. # smtpd_sasl_local_domain = # Solo como referencia. smtpd_sasl_auth_enable = yes smtpd_sasl_security_options = noanonymous broken_sasl_auth_clients = yes smtpd_sasl_authenticated_header = yes smtpd_recipient_restrictions = permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination

2011

A fin de ahorrar tiempo realizando bsqueda de los parmetros anteriores, todo lo anterior tambin se puede configurar utilizando el mandato postconf, del siguiente modo:
postconf -e 'myhostname =dns.tip2011.org postconf -e 'mydomain = tip2011.org postconf -e 'myorigin = $mydomain'

Pgina 9/12

IMPLEMENTACIN DE SISTEMAS DE COMUNICACIONES VOIP

postconf -e 'inet_interfaces = all'

2011

postconf -e 'mydestination = $myhostname, $mydomain, localhost.localdomain, localhost' postconf -e 'mynetworks = 192.168.1.0/24, 127.0.0.0/8' postconf -e 'relay_domains = $mydestination' postconf -e 'mailbox_command = /usr/bin/procmail' postconf -e 'smtpd_tls_key_file = /etc/pki/tls/certs/ tip2011.org /smtp.key' postconf -e 'smtpd_tls_cert_file = /etc/pki/tls/certs/ tip2011.org /smtp.crt' postconf -e 'smtpd_tls_auth_only = no' postconf -e 'smtp_use_tls = yes' postconf -e 'smtpd_use_tls = yes' postconf -e 'smtp_tls_note_starttls_offer = yes' postconf -e 'smtpd_tls_loglevel = 1' postconf -e 'smtpd_tls_received_header = yes' postconf -e 'smtpd_tls_session_cache_timeout = 3600s' postconf -e 'tls_random_source = dev:/dev/urandom' postconf -e 'smtpd_sasl_auth_enable = yes' postconf -e 'smtpd_sasl_security_options = noanonymous' postconf -e 'broken_sasl_auth_clients = yes' postconf -e 'smtpd_sasl_authenticated_header = yes' postconf -e 'smtpd_recipient_restrictions = permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination'

Se debe editar tambin el fichero /etc/aliases:

vim /etc/aliases

Se debe definir que el correo del usuario root se entregue al cualquier otro usuario del sistema. El objetivo de esto es que jams se tenga necesidad de utilizar la cuenta del usuario root y se prefiera en su lugar una cuenta de usuario sin privilegios. Solo se requiere Descomentar la ltima lnea de este fichero, que como ejemplo entrega el correo del usuario root al usuario marc, y definir un usuario existente en el sistema
#root: root: marc 3000

Pgina 10/12

IMPLEMENTACIN DE SISTEMAS DE COMUNICACIONES VOIP

2011

Al terminar, se ejecuta el mandato postalias para generar el fichero /etc/aliases.db que ser utilizado por Postfix:

postalias /etc/aliases

Configuracin de Dovecot. Parmetros del fichero /etc/dovecot.conf. Editar el fichero /etc/dovecot.conf:

vim /etc/dovecot.conf

En el parmetro protocols, se deben activar todos los servicios (imap, imaps, pop3 y pop3s).
protocols = imap imaps pop3 pop3s

De modo predeterminado, el soporte SSL de Dovecot est activo. Verifique que el parmetro ssl_disable tenga el valor no, o bien solo est comentado.
#ssl_disable = no

Y se especifican las rutas del certificado y clave a travs de los parmetros ssl_cert_file y ssl_key_file, del siguiente modo:
ssl_cert_file = /etc/pki/tls/certs/ tip2011.org /dovecot.crt ssl_key_file = /etc/pki/tls/certs/ tip2011.org /dovecot.key

Iniciar servicios y aadir stos al arranque del sistema.

chkconfig saslauthd on chkconfig dovecot on chkconfig postfix on chkconfig named on chkconfig asterisk on

Pgina 11/12

IMPLEMENTACIN DE SISTEMAS DE COMUNICACIONES VOIP Errors:

2011

Pgina 12/12