|
|
Problemática: en un entonces cada servidor mandaba correos por sí mismo, ya sea configurándose en MTA SMTP capaz de dialogar con cualquier SMTP de la internet, ya sea usando una cuenta autenticada en un servidor de correo, en general [de los nuestros](https://proyectos.interior.edu.uy/projects/correo/).
|
|
Problemática: en un entonces cada servidor mandaba correos por sí mismo, ya sea configurándose en MTA SMTP capaz de dialogar con cualquier SMTP de la internet, ya sea usando una cuenta autenticada en un servidor de correo, en general [de los nuestros](https://proyectos.interior.edu.uy/projects/correo/).
|
|
|
|
|
|
|
|
Las exigencias de configuración SPF/DKIM/DMARC, así como los eventuales riesgos de usurpación de servicio de envío de correos (que ha sucedido en particular en gestores de contenido web y mediante phishing en los servidores para humanxs) hacen pertinente armar un servicio mutualizado de envío de correo con una configuración apropiada y mantenida, así como, a término, un monitoreo específico y mecanismos de detección de actividad anormal, como ya tenemos en los servidores para humanxs.
|
|
Las exigencias de configuración SPF/DKIM/DMARC, así como los eventuales riesgos de usurpación de servicio de envío de correos (que ha sucedido en particular en gestores de contenido web y mediante phishing en los servidores para humanxs) hacen pertinente armar un servicio mutualizado de envío de correo con una configuración apropiada y mantenida, así como, a término, un monitoreo específico y mecanismos de detección de actividad anormal, como ya tenemos en los servidores para humanxs.
|
|
|
|
|
|
|
|
A raíz de la [#343](https://git.interior.edu.uy/adminsys/config/issues/343) nos pusimos las pilas para implementar una pasarela de correo saliente, lo que ya habíamos explorado [acá](https://proyectos.interior.edu.uy/issues/5285) y en [#214](https://git.interior.edu.uy/adminsys/config/issues/214).
|
|
A raíz de la [#343](https://git.interior.edu.uy/adminsys/config/issues/343) nos pusimos las pilas para implementar una pasarela de correo saliente, lo que ya habíamos explorado [acá](https://proyectos.interior.edu.uy/issues/5285) y en [#214](https://git.interior.edu.uy/adminsys/config/issues/214).
|
|
|
|
|
|
|
|
Está operacional la pasarela de correos saliente `mailgateway.interior.edu.uy`, abierta a una lista de servidores autorizados.
|
|
Está operacional la pasarela de correos saliente `mailgateway.interior.edu.uy`, abierta a una lista de servidores autorizados.
|
|
|
|
|
|
|
|
Sus correos están firmados en DKIM, y su clave pública de firma para el dominio `csic.edu.uy` está publicada:
|
|
Sus correos están firmados en DKIM, y su clave pública de firma para el dominio `csic.edu.uy` está publicada:
|
|
|
```
|
|
```
|
|
|
$ host -t TXT bichofeo._domainkey.csic.edu.uy
|
|
$ host -t TXT bichofeo._domainkey.csic.edu.uy
|
|
|
bichofeo._domainkey.csic.edu.uy descriptive text "v=DKIM1; h=sha256; k=rsa; " "p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAvWBvEeTg5v/5XTrI/60CslALdAxuxk+AcJ5WVT/oERDe1dFiG/mLAP8ngZY6nIBplPjq9RY9Lce2xwka24VSnQKQ9G0vbJGqgf5hCYg1ZeTHeN8af1lsU75ORr8rL5Nnz46jSl3nzFJ2NuLF5ZGwLRmu0MWgZcH8xyuB+VEZuFAR0Y+EewRuogyraH4kZTT2zZNYVNF61gxmYR" "RHk8Hw+QSbk0DETHSdHpPv/Qyg7oOyZPlOSZHLn64g/Sw4OVeaCwSq7MPJj7iIiHqpHLU3ouwweQTghUC+MpsijlARTocXeRa82TiQtqHS1mCoegxsXLzr5zRulzH7XcUZNlT26QIDAQAB"
|
|
bichofeo._domainkey.csic.edu.uy descriptive text "v=DKIM1; h=sha256; k=rsa; " "p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAvWBvEeTg5v/5XTrI/60CslALdAxuxk+AcJ5WVT/oERDe1dFiG/mLAP8ngZY6nIBplPjq9RY9Lce2xwka24VSnQKQ9G0vbJGqgf5hCYg1ZeTHeN8af1lsU75ORr8rL5Nnz46jSl3nzFJ2NuLF5ZGwLRmu0MWgZcH8xyuB+VEZuFAR0Y+EewRuogyraH4kZTT2zZNYVNF61gxmYR" "RHk8Hw+QSbk0DETHSdHpPv/Qyg7oOyZPlOSZHLn64g/Sw4OVeaCwSq7MPJj7iIiHqpHLU3ouwweQTghUC+MpsijlARTocXeRa82TiQtqHS1mCoegxsXLzr5zRulzH7XcUZNlT26QIDAQAB"
|
|
|
```
|
|
```
|
|
|
(OjO: el servidor también sabe firmar otros dominios que eventualmente se usarán en el futuro, pero sus claves NO fueron publicadas)
|
|
(OjO: el servidor también sabe firmar otros dominios que eventualmente se usarán en el futuro, pero sus claves NO fueron publicadas)
|
|
|
|
|
|
|
|
Si requieres de este servicio de salida de correo, contáctate con el equipo transversal de la red de unidades informáticas del Interior.
|
|
Si requieres de este servicio de salida de correo, contáctate con el equipo transversal de la red de unidades informáticas del Interior.
|
|
|
|
|
|
|
|
## Pruebas en línea de comando
|
|
## Pruebas en línea de comando
|
|
|
|
|
|
|
|
El virtual-consola `ta.interior.edu.uy` es parte de los host autorizados a mandar mails a través de bichofeo (que hace de relay), y desde el cual podemos hacer la siguiente prueba:
|
|
El virtual-consola `ta.interior.edu.uy` es parte de los host autorizados a mandar mails a través de bichofeo (que hace de relay), y desde el cual podemos hacer la siguiente prueba:
|
|
|
|
|
|
|
|
```
|
|
```
|
|
|
ulvida@ta:~$ telnet bichofeo 25
|
|
ulvida@ta:~$ telnet bichofeo 25
|
|
|
Trying 2001:1328:6a::134...
|
|
Trying 2001:1328:6a::134...
|
|
|
Connected to bichofeo.interior.edu.uy.
|
|
Connected to bichofeo.interior.edu.uy.
|
|
|
Escape character is '^]'.
|
|
Escape character is '^]'.
|
|
|
220 bichofeo.interior.edu.uy ESMTP Postfix (Ubuntu)
|
|
220 bichofeo.interior.edu.uy ESMTP Postfix (Ubuntu)
|
|
|
ehlo ta.interior.edu.uy
|
|
ehlo ta.interior.edu.uy
|
|
|
250-bichofeo.interior.edu.uy
|
|
250-bichofeo.interior.edu.uy
|
|
|
250-PIPELINING
|
|
250-PIPELINING
|
|
|
250-SIZE 10240000
|
|
250-SIZE 10240000
|
|
|
250-ETRN
|
|
250-ETRN
|
|
|
250-STARTTLS
|
|
250-STARTTLS
|
|
|
250-ENHANCEDSTATUSCODES
|
|
250-ENHANCEDSTATUSCODES
|
|
|
250-8BITMIME
|
|
250-8BITMIME
|
|
|
250-DSN
|
|
250-DSN
|
|
|
250-SMTPUTF8
|
|
250-SMTPUTF8
|
|
|
250 CHUNKING
|
|
250 CHUNKING
|
|
|
mail from:noresponder@csic.edu.uy
|
|
mail from:noresponder@csic.edu.uy
|
|
|
250 2.1.0 Ok
|
|
250 2.1.0 Ok
|
|
|
rcpt to:dvinar@cci.edu.uy
|
|
rcpt to:dvinar@cci.edu.uy
|
|
|
250 2.1.5 Ok
|
|
250 2.1.5 Ok
|
|
|
data
|
|
data
|
|
|
354 End data with <CR><LF>.<CR><LF>
|
|
354 End data with <CR><LF>.<CR><LF>
|
|
|
To: dvinar@cci.edu.uy
|
|
To: dvinar@cci.edu.uy
|
|
|
From: noresponder@csic.edu.uy
|
|
From: noresponder@csic.edu.uy
|
|
|
Subject: mail firmado
|
|
Subject: mail firmado
|
|
|
Message-ID: <5da53200-8026-4566-955d-1d24451e09b4@csic.edu.uy>
|
|
Message-ID: <5da53200-8026-4566-955d-1d24451e09b4@csic.edu.uy>
|
|
|
Date: Tue, 05 Apr 2022 10:16:27 -0300
|
|
Date: Tue, 05 Apr 2022 10:16:27 -0300
|
|
|
Thunderbird/78.14.0
|
|
Thunderbird/78.14.0
|
|
|
MIME-Version: 1.0
|
|
MIME-Version: 1.0
|
|
|
Content-Type: text/plain; charset=utf-8
|
|
Content-Type: text/plain; charset=utf-8
|
|
|
Content-Transfer-Encoding: 7bit
|
|
Content-Transfer-Encoding: 7bit
|
|
|
Content-Language: es-UY
|
|
Content-Language: es-UY
|
|
|
|
|
|
|
|
probando firmar un mail con OpenDKIM.
|
|
probando firmar un mail con OpenDKIM.
|
|
|
|
|
|
|
|
|
|
|
|
|
.
|
|
.
|
|
|
250 2.0.0 Ok: queued as C8D371A075D
|
|
250 2.0.0 Ok: queued as C8D371A075D
|
|
|
quit
|
|
quit
|
|
|
221 2.0.0 Bye
|
|
221 2.0.0 Bye
|
|
|
Connection closed by foreign host.
|
|
Connection closed by foreign host.
|
|
|
```
|
|
```
|
|
|
Y vemos que el mensaje nos llega firmado:
|
|
Y vemos que el mensaje nos llega firmado:
|
|
|
|
|
|
|
|
|
|
|
|
|
## Configuración de exim4 en debian para usar la pasarela de correo
|
|
|
|
|
|
|
## Configuración de exim4 en debian para usar la pasarela de correo
|
|
|
Para usar la pasarela de correo desde una debian con exim4, luego de haber solicitado al equipo transversal autorizar la(s) IP(s) del servidor, conviene configurar exim de la manera siguiente:
|
|
|
|
|
|
|
Para usar la pasarela de correo desde una debian con exim4, luego de haber solicitado al equipo transversal autorizar la(s) IP(s) del servidor, conviene configurar exim de la manera siguiente:
|
|
|
* ejecutar:
|
|
|
|
|
|
|
* ejecutar:
|
|
|
```
|
|
|
|
|
dpkg-reconfigure exim4-config
|
|
```
|
|
|
```
|
|
dpkg-reconfigure exim4-config
|
|
|
* en la primer opción de configuración debemos elegir que el correo se envíe a través de un "smarthost", que será nuestra pasarela de salida de correo:
|
|
```
|
|
|
|
|
* en la primer opción de configuración debemos elegir que el correo se envíe a través de un "smarthost", que será nuestra pasarela de salida de correo:
|
|
|
|
|
|
|
|
|
|
|
|
|
* luego se configuran las otrasa opciones según las características y necesidades del servidor y, al momento de definir el "smarthost", ingresamos el dominio de nuestra mailgateway: `mailgateway.interior.edu.uy`:
|
|
|
|
|
|
|
* luego se configuran las otrasa opciones según las características y necesidades del servidor y, al momento de definir el "smarthost", ingresamos el dominio de nuestra mailgateway: `mailgateway.interior.edu.uy`:
|
|
|
|
|
|
|
|
* a partir de entonces, cualquier correo enviado utilizando ese servicio exim4 será sistemáticamente enviado a la mailgateway bichofoeo, que lo firmará, cuando fue generado en un host de confianza y enviado desde un dominio para el cual tienen una clave de firma, y luego lo hará llegar a su destinatario.
|
|
|
|
|
|
|
* a partir de entonces, cualquier correo enviado utilizando ese servicio exim4 será sistemáticamente enviado a la mailgateway bichofoeo, que lo firmará, cuando fue generado en un host de confianza y enviado desde un dominio para el cual tienen una clave de firma, y luego lo hará llegar a su destinatario.
|
|
|
Cabe recalcar que esta mailgateway está actualmente plenamente configurada, incluidos los registros DNS necesarios, sólo para el dominio `csic.edu.uy`.
|
|
|
|
|
|
|
Cabe recalcar que esta mailgateway está actualmente plenamente configurada, incluidos los registros DNS necesarios, sólo para el dominio `csic.edu.uy`.
|
|
|
## Nivel del servicio
|
|
|
|
|
|
|
## Nivel del servicio
|
|
|
Estas son las primeras notas para poner en producción el servicio de envío firmado desde diferentes infraestructuras.
|
|
|
|
|
|
|
Estas son las primeras notas para poner en producción el servicio de envío firmado desde diferentes infraestructuras.
|
|
|
Para usar esta mailgateway con otros dominios que ` csic.edu.uy`, las claves públicas de bichofeo aún deben ser publicadas en el DNS, y a partir de ese momento el servicio estará operacional para nuevos dominios remitentes de correos que pasen por la pasarela.
|
|
|
|
|
|
|
Para usar esta mailgateway con otros dominios que ` csic.edu.uy`, las claves públicas de bichofeo aún deben ser publicadas en el DNS, y a partir de ese momento el servicio estará operacional para nuevos dominios remitentes de correos que pasen por la pasarela.
|
|
|
Para realizar esta pasarela trabajamos en la evolución del [rol ansible OpenDKIM](https://github.com/UdelaRInterior/ansible-dkim) para incluir las configuraciones que permitieron firmar mensajes de otros hosts y otros detalles que el rol aún no contemplaba. Vamos a proponer una Pull Request (PR) al rol a partir del cual trabajamos, que ya en el pasado nos aceptó [varias retribuciones de nuestras evoluciones](https://github.com/FoxyRoles/ansible-dkim/pulls?q=is%3Apr), hoy integradas al rol original distribuido.
|
|
|
|
|
|
|
Para realizar esta pasarela trabajamos en la evolución del [rol ansible OpenDKIM](https://github.com/UdelaRInterior/ansible-dkim) para incluir las configuraciones que permitieron firmar mensajes de otros hosts y otros detalles que el rol aún no contemplaba. Vamos a proponer una Pull Request (PR) al rol a partir del cual trabajamos, que ya en el pasado nos aceptó [varias retribuciones de nuestras evoluciones](https://github.com/FoxyRoles/ansible-dkim/pulls?q=is%3Apr), hoy integradas al rol original distribuido.
|
|
|
|
|
|
|
Trabajamos en [#343](https://git.interior.edu.uy/adminsys/config/issues/343). |
|
Trabajamos en [#343](https://git.interior.edu.uy/adminsys/config/issues/343). |
|
|
|
\ No newline at end of file |
