Skip to content

Changes

Page history
Puesta en producción de la Mailgateway para servidores bichofeo authored by Daniel Viñar Ulriksen's avatar Daniel Viñar Ulriksen
Hide whitespace changes
Inline Side-by-side
Mailgateway-para-servidores.md
View page @ c2162fc5
...@@ -4,11 +4,20 @@ Las exigencias de configuración SPF/DKIM/DMARC, así como los eventuales riesgo ...@@ -4,11 +4,20 @@ Las exigencias de configuración SPF/DKIM/DMARC, así como los eventuales riesgo
A raíz de la [#343](https://git.interior.edu.uy/adminsys/config/issues/343) nos pusimos las pilas para implementar una pasarela de correo saliente, lo que ya habíamos explorado [acá](https://proyectos.interior.edu.uy/issues/5285) y en [#214](https://git.interior.edu.uy/adminsys/config/issues/214). A raíz de la [#343](https://git.interior.edu.uy/adminsys/config/issues/343) nos pusimos las pilas para implementar una pasarela de correo saliente, lo que ya habíamos explorado [acá](https://proyectos.interior.edu.uy/issues/5285) y en [#214](https://git.interior.edu.uy/adminsys/config/issues/214).
Está en pruebas la mailgateway `bichofeo.interior.edu.uy`, abierta a una lista de servidores autorizados. Está operacional la pasarela de correos saliente `mailgateway.interior.edu.uy`, abierta a una lista de servidores autorizados.
Sus correos están firmados en DKIM, y su clave pública de firma para el dominio `csic.edu.uy` está publicada:
```
$ host -t TXT bichofeo._domainkey.csic.edu.uy
bichofeo._domainkey.csic.edu.uy descriptive text "v=DKIM1; h=sha256; k=rsa; " "p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAvWBvEeTg5v/5XTrI/60CslALdAxuxk+AcJ5WVT/oERDe1dFiG/mLAP8ngZY6nIBplPjq9RY9Lce2xwka24VSnQKQ9G0vbJGqgf5hCYg1ZeTHeN8af1lsU75ORr8rL5Nnz46jSl3nzFJ2NuLF5ZGwLRmu0MWgZcH8xyuB+VEZuFAR0Y+EewRuogyraH4kZTT2zZNYVNF61gxmYR" "RHk8Hw+QSbk0DETHSdHpPv/Qyg7oOyZPlOSZHLn64g/Sw4OVeaCwSq7MPJj7iIiHqpHLU3ouwweQTghUC+MpsijlARTocXeRa82TiQtqHS1mCoegxsXLzr5zRulzH7XcUZNlT26QIDAQAB"
```
(OjO: el servidor también sabe firmar otros dominios que eventualmente se usarán en el futuro, pero sus claves NO fueron publicadas)
Si requieres de este servicio de salida de correo, contáctate con el equipo transversal de la red de unidades informáticas del Interior.
## Pruebas en línea de comando ## Pruebas en línea de comando
entre los cuales el virtual-consola `ta.interior.edu.uy`, desde el cual podemos hacer la siguiente prueba: El virtual-consola `ta.interior.edu.uy` es parte de los host autorizados a mandar mails a través de bichofeo (que hace de relay), y desde el cual podemos hacer la siguiente prueba:
``` ```
ulvida@ta:~$ telnet bichofeo 25 ulvida@ta:~$ telnet bichofeo 25
...@@ -69,17 +78,19 @@ dpkg-reconfigure exim4-config ...@@ -69,17 +78,19 @@ dpkg-reconfigure exim4-config
![image](uploads/f41f14cd3666b1967ef7e59210489855/image.png) ![image](uploads/f41f14cd3666b1967ef7e59210489855/image.png)
* luego se configuran las otrasa opciones según las características y necesidades del servidor y, al momento de definir el "smarthost", ingresamos el dominio de nuestra mailgateway, por ahora `bichofeo.interior.edu.uy`: * luego se configuran las otrasa opciones según las características y necesidades del servidor y, al momento de definir el "smarthost", ingresamos el dominio de nuestra mailgateway: `mailgateway.interior.edu.uy`:
![image](uploads/0730834942d32ff9c4f7c6454689830f/image.png) ![image](uploads/0730834942d32ff9c4f7c6454689830f/image.png)
* a partir de entonces, cualquier correo enviado utilizando ese servicio exim será sistemáticamente enviado a la mailgateway bichofoeo, que lo firmará. * a partir de entonces, cualquier correo enviado utilizando ese servicio exim4 será sistemáticamente enviado a la mailgateway bichofoeo, que lo firmará, cuando fue generado en un host de confianza y enviado desde un dominio para el cual tienen una clave de firma, y luego lo hará llegar a su destinatario.
Cabe recalcar que esta mailgateway está actualmente plenamente configurada, incluidos los registros DNS necesarios, sólo para el dominio `csic.edu.uy`.
## Nivel del servicio ## Nivel del servicio
Estas son las primeras notas para empezar las pruebas de envío firmado desde diferentes infraestructuras. Estas son las primeras notas para poner en producción el servicio de envío firmado desde diferentes infraestructuras.
Las claves públicas de bichofeo aún deben ser publicadas en el DNS, y a partir de ese momento el servicio debería estar plenamente operacional. Para usar esta mailgateway con otros dominios que ` csic.edu.uy`, las claves públicas de bichofeo aún deben ser publicadas en el DNS, y a partir de ese momento el servicio estará operacional para nuevos dominios remitentes de correos que pasen por la pasarela.
También estamos trabajando en la evolución del [rol ansible OpenDKIM](https://github.com/UdelaRInterior/ansible-dkim) para incluir las configuraciones que permitieron realizar esta pasarela, que el rol aún no contemplaba. Para realizar esta pasarela trabajamos en la evolución del [rol ansible OpenDKIM](https://github.com/UdelaRInterior/ansible-dkim) para incluir las configuraciones que permitieron firmar mensajes de otros hosts y otros detalles que el rol aún no contemplaba. Vamos a proponer una Pull Request (PR) al rol a partir del cual trabajamos, que ya en el pasado nos aceptó [varias retribuciones de nuestras evoluciones](https://github.com/FoxyRoles/ansible-dkim/pulls?q=is%3Apr), hoy integradas al rol original distribuido.
Trabajamos en [#343](https://git.interior.edu.uy/adminsys/config/issues/343). Trabajamos en [#343](https://git.interior.edu.uy/adminsys/config/issues/343).
\ No newline at end of file