E-mail es antiguo y complejo. Es el componente más antiguo aún reconocible de Internet, con su encarnación moderna que se fusionó con varias tecnologías de mensajería de varias décadas de antigüedad, incluida la mensajería de nodo a nodo ARPANET a principios de la década de 1970., Y aunque sigue siendo una piedra angular de Internet—la aplicación asesina original, en realidad-también es extraordinariamente difícil de hacer bien.
la mayoría de las veces interactuamos con servidores de correo electrónico a través de front-ends o aplicaciones amigables basadas en la Web, pero una enorme cantidad de trabajo oculta la complejidad que permite que todo el sistema funcione. El correo electrónico funciona en un entorno envenenado y hostil, inundado de virus y spam., El intercambio aparentemente simple de mensajes basados en texto opera bajo reglas complejas con herramientas complejas, todas necesarias para mantener el veneno fuera y el sistema funcionando y útil a pesar del abuso que está constantemente bajo.
desde la perspectiva de una persona normal, el correo electrónico parece un problema resuelto: regístrese para acceder a Internet y su ISP le dará una dirección de correo electrónico., Google, Apple, Yahoo, o cualquier número de otros proveedores de correo electrónico gratuito le conectará con cuentas de correo electrónico con gigabytes de espacio y un montón de características de valor añadido fresco. ¿Por qué luchar con dragones arcanos para rodar su propia solución de correo electrónico?
te diré por qué: porque si está en la nube, no es tuyo.
porque debe confiar en otros para su seguridad., No tiene control sobre quién puede leer su correspondencia; debe permitir que se extraigan sus datos y que se extraiga su perfil de marketing. No se le dirá si se recopilan sus metadatos o si su bandeja de entrada se vacía por una solicitud secreta del Gobierno. Usted acepta no ser un cliente sino un producto, y un producto no tiene derechos.
Bueno, al diablo con eso. Es tu e-mail. Y vamos a recuperarlo.
esto es difícil e incluso un poco aterrador…
El Correo electrónico es difícil. Si desea un proyecto sysadmin más fácil, vaya a configurar un servidor Web. El correo electrónico es mucho más complejo, con muchas más partes móviles., Por otro lado, su correspondencia con los demás es uno de los aspectos más personales de su vida en línea—en un medio hecho en última instancia de texto, sus palabras son usted. Vale la pena aprender cómo recuperar tu vida en línea de aquellos que extraerían datos y la monetizarían.
hay trampas y advertencias, la mayor de las cuales es que si ejecuta su propio servidor de correo electrónico, será el administrador del sistema. La ventaja de esto es que ningún representante de servicio al cliente aburrido o cansado a punto de salir del turno va a caer en un ataque de ingeniería social y restablecer su contraseña de correo electrónico., La desventaja es que usted es responsable del cuidado y la alimentación de su sistema. Esta no es una tarea imposible—ni siquiera es realmente difícil—pero no es trivial e interminable. Aplicar actualizaciones críticas es su responsabilidad. ¿Cuándo salen las actualizaciones críticas? Esa también es tu responsabilidad.
Lo peor de todo, si metes la pata y tu servidor se ve comprometido o se usa como Retransmisión de spam, es casi seguro que tu dominio terminará en listas negras., Su capacidad para enviar y recibir correo electrónico se verá disminuida o tal vez incluso eliminada por completo. Y borrarse totalmente de la multitud de listas negras de correo electrónico es tan difícil como tratar de salir de la lista de No volar de la TSA.
Usted ha sido advertido.
…pero también vale la pena hacer
OK, eso debería ser suficiente para ahuyentar a las personas que no son serias. Para aquellos de ustedes que todavía están conmigo: esto va a ser muy divertido, y van a aprender mucho.,
esto va a ser una serie de varias partes, y aquí en esta primera parte vamos a hacer (y responder) un montón de preguntas sobre cómo vamos a configurar nuestro servidor de correo electrónico. También describiremos las aplicaciones que vamos a usar y hablaremos de lo que hacen. Esperamos que esta serie se ejecute en el transcurso de las próximas semanas; a diferencia de nuestra serie sobre la configuración de un servidor Web, sin embargo, no podrá comenzar a disparar correos electrónicos después de la parte 1: necesita todo para que todo funcione correctamente.,
Este ciertamente no es el único tutorial de correo electrónico DIY en la Web. Si usted está ansioso por saltar adelante y empezar ahora, le sugerimos consultar el excelente tutorial de Christoph Hass en Workaround. org-él hace muchas (pero nada cerca de todas) de las mismas opciones de configuración que vamos a hacer. Sin embargo, Ars no estaría Armando esta guía si no tuviéramos algunos trucos bajo la manga—hemos estado en una cueva de configuración de correo electrónico durante el mes pasado, y tenemos una gran cantidad de buena información para compartir.,
requisitos previos y supuestos—el dónde y el cómo
por lo que desea su propio servidor de correo electrónico. ¡Excelente! La primera decisión, incluso antes de entrar en cosas como sistemas operativos y aplicaciones, es donde vas a ponerlo. Si usted está en una conexión ISP residencial, se enfrentará a una serie de desafíos en la ejecución de un servidor de correo electrónico fuera de su armario., Además de encontrar casi con certeza el conjunto estándar de puertos TCP de correo electrónico bloqueados, su dirección IP también es casi seguro que ya está en una o más listas negras con el fin de reducir la cantidad de spam que se vomita por los ordenadores domésticos infectados por virus. Ya sea que esté o no arrojando spam es irrelevante: ese barco ha zarpado hace mucho tiempo, y las direcciones IP residenciales se consideran casi universalmente envenenadas. Hay numerosas herramientas que puede utilizar para ver si su dirección está en una lista negra—asegúrese de comprobar antes de empezar.,
si solo desea seguir principalmente en casa con un dominio de prueba no funcional para aprender, entonces una máquina virtual o un servidor de armario de repuesto lo hará bien; si desea hacerlo de verdad, deberá estar en una conexión de clase empresarial con puertos desbloqueados y una dirección IP no incluida en la lista negra, o necesitará un servicio de alojamiento. No necesita un servidor dedicado monster ni nada, pero necesita al menos un VPS en el que pueda instalar el software desde la línea de comandos., Hay muchas opciones; siempre recomiendo un pequeño alojamiento Orange o Lithium, pero si está dispuesto a sacrificar algo de rendimiento, es casi seguro que puede alojar un pequeño servidor de correo electrónico en una instancia gratuita de Amazon EC2.
también vas a necesitar un dominio (de nuevo, a menos que solo vayas a jugar y usar un dominio de prueba inexistente), y eso significa que vas a necesitar un registrador y un proveedor de DNS externo. Mis recomendaciones personales para registradores son Namecheap y Gandi.,net; ambos tomaron posturas duras anti-SOPA (ver estos enlaces) y ambos ofrecen opciones de autenticación de dos factores. He usado ambos registradores, y ambos son excelentes.
una de las lecciones reforzadas por el reciente robo de cuenta de Twitter @N es que debe segregar sus servicios en línea donde tiene sentido hacerlo. Un componente significativo del compromiso @N vino de que el atacante obtuvo acceso a la cuenta de GoDaddy de Naoki Hiroshima, con GoDaddy funcionando no solo como su registrador sino también como la fuente de DNS autorizada para los dominios de Hiroshima., Una vez dentro, el atacante fue capaz de cambiar al menos uno de los registros MX de esos dominios y, por lo tanto, secuestrar la entrega del correo electrónico de ese dominio.
vamos a intentar mitigar ese riesgo específico mediante el uso de un proveedor de DNS separado; específicamente, vamos a usar el servicio de DNS Route 53 de Amazon. Eso limitará la cantidad de daño inmediato que un atacante puede hacer en el improbable caso de un compromiso en su registrador.
«Ah,» usted dice, » pero si uso Amazon EC2 para mi servidor de correo electrónico y Amazon Route 53 para DNS, entonces no estoy segregando en absoluto!,»Esto es cierto, pero Amazon le ofrece un control de acceso enriquecido entre diferentes servicios; no es difícil asegurarse de que un conjunto de credenciales de inicio de sesión solo pueda modificar su servidor EC2 y un conjunto diferente de credenciales solo pueda modificar su configuración de DNS de Route 53.
también hay muchos otros proveedores de DNS si desea distribuir físicamente sus huevos en lugar de confiar en el control de acceso, y ser paranoico sobre la seguridad nunca es imprudente., Para esta guía, sin embargo, caminaremos a través de los pasos específicos que tomé al tomar mis propias aplicaciones de Google existentes-dominio alojado y correo electrónico privado-que significa un servidor físico y Ruta 53 DNS (que termina costándome alrededor de $2 al mes).
The who and the what
lo mejor es tener un plan para su correo electrónico cuando se sumerge en este proceso de configuración: ¿va a comenzar de nuevo con su propio dominio y no migrar ningún buzón de correo electrónico anterior a él? ¿O va a tomar una bandeja de entrada y carpetas de otro lugar y sincronizar o Copiar a su nuevo servidor?, Una vez que nos pongamos en marcha, recorreremos ese segundo escenario: tomar una dirección de correo electrónico existente en un dominio personalizado y migrarla directamente a su propio servidor. Sin embargo, los pasos funcionarán bien para moverse desde, por ejemplo, una dirección de Gmail o una dirección provista por el ISP.
Ahora finalmente llegamos a la parte «qué»: qué sistema operativo y qué software. Ponte el cinturón, porque primero tenemos que hacer un curso rápido de terminología de correo electrónico.,
MTAs, MDAs y MUAs
las aplicaciones que envían, reciben y entregan correos electrónicos se clasifican por su rol en el proceso, y esos roles se abrevian con una serie de siglas de tres letras. La mayoría de las personas están familiarizadas con su MUA—que es un agente de usuario de correo, más comúnmente llamado un «cliente de correo electrónico» o un «programa de correo electrónico.»Un MUA es un programa como Outlook o Thunderbird—es la cosa que se ejecuta en su computadora que envía y recibe correo electrónico con. El correo electrónico es una herramienta estandarizada, y generalmente puedes usar cualquier MUA que te haga feliz.,
en el ápice está el MTA, o agente de transferencia de correo. Esta es la aplicación principal que realmente transmite correo electrónico entre servidores, aplicaciones como Exim, sendmail, Postfix y qmail. Vamos a configurar Postfix como nuestro MTA, lo que nos dará un buen equilibrio de flexibilidad, interoperabilidad y potencia.,
en el medio entre el MUA en su escritorio y el MTA en el servidor hay otra categoría de aplicación: el MDA, o agente de entrega de correo. El MDA obtiene mensajes del servidor de correo a las bandejas de entrada de los usuarios, más comúnmente con los protocolos de correo POP o IMAP. Excepto bajo algunas circunstancias muy limitadas, un MTA no te va a hacer mucho bien sin un MDA, así que vamos a usar Dovecot como nuestro MDA.
También hay otras categorías MxA, pero Postfix y Dovecot van juntos como guisantes y zanahorias., Entre los dos, nos estableceremos desde una perspectiva de transmisión y entrega de correo.
el sistema operativo: Linux
nuestra elección de herramientas dicta nuestra elección de sistemas operativos: vamos a ejecutar esto en Linux, específicamente, Ubuntu Server 12.04 LTS, porque para nuestros propósitos es el más universalmente accesible y configurable (y también está disponible en la capa gratuita de Amazon EC2).
Ubuntu Server nos da acceso rápido a todo lo que necesitamos, no solo Postfix y Dovecot, sino también todas las herramientas de soporte que necesitamos para que el correo electrónico se ejecute de forma segura.
herramientas de Soporte?,
Oh, sí-tendremos una serie de cosas adicionales para poner en marcha, porque este no es un tutorial rápido desechable., Vamos a hacer esto bien, y eso significa que para cuando hayamos terminado, vamos a tener configurado y configurado todo esto:
- Postfix, para enviar y recibir correo electrónico
- Dovecot, para IMAP
- SpamAssassin, para mantener el spam fuera de su bandeja de entrada
- ClamAV, para filtrar virus
- Sieve, para configurar filtros y reglas de correo
- Roundcube, para webmail
- PostgreSQL (o MySQL/MariaDB), para la base de datos de Roundcube
- nginx y php-fpm, para servir a roundcube a través de la Web
y eso es solo la punta del iceberg., Además de instalar todo esto, pasaremos por los pasos de endurecimiento y seguridad para cada uno, especialmente Roundcube (al que agregaremos la autenticación de certificados basada en PKCS12 y los inicios de sesión de dos factores con Google Authenticator).
También vamos a ir a través de todos los pasos auxiliares necesarios para asegurarse de que sus correos electrónicos se reciben correctamente-asegurándose de que tiene certificados SSL / TLS, la configuración de DKIM y SPF, asegurándose de que sus registros MX y PTR inversa son correctos, y un montón de otras cosas., E incluso vamos a encontrar un poco de tiempo aquí para asegurarnos de que pueda enviar y recibir correos electrónicos con cifrado PGP.
En resumen, vamos a hacer un montón de cosas.
OK, Ahora estoy asustado y abrumado
no lo estés, porque esto es Ars Technica, y tú eres inteligente. Vamos a desglosar cada paso y caminar a través de casi cada línea en cada archivo de configuración a medida que avanzamos. Al final de esto, vas a ser como (TV, no lucha libre) Steve Austin: mejor, más fuerte, más rápido.,
estamos tomando un enfoque muy similar a Unix para el correo electrónico en lugar de uno monolítico (similar a Microsoft). Los sistemas operativos tipo Unix generalmente se componen de una serie de herramientas discretas que son cada una muy buena en un número muy limitado de tareas; esto le da modularidad y personalización, pero a menudo a expensas de la complejidad. Para el correo electrónico, vamos a unir la lista anterior de aplicaciones discretas en una estación de batalla completamente armada y operativa.
Sin embargo, hay muchas otras formas de despellejar el gato del correo electrónico., Si realmente está comenzando desde cero y solo quiere una pila de correo basada en Linux sin pasar por la gran configuración, está iredmail-es un paquete preempaquetado de casi todas las mismas herramientas que vamos a configurar, y puede ponerlo en marcha en minutos.
también existe esa forma monolítica de Microsoft, y puede configurar Microsoft Exchange Server (relativamente) fácilmente si se siente más cómodo con el ecosistema de Microsoft. Sin embargo, hay una serie de desventajas, y la principal de ellas es que el intercambio no es gratuito., Sin embargo, si quieres jugar en ese lado de la valla, tendrás que encontrar otra guía: nos quedamos con Postfix y amigos.
El cuándo: ¡ahora mismo! Comprar un dominio!
cerraremos la parte 1 aquí clavando los dos mayores requisitos previos que necesitamos para comenzar: un dominio y un servidor.
si nunca has registrado un dominio antes, puede parecer un proceso desalentador. Sin embargo, todo lo que necesita es un registrador y una tarjeta de crédito (y, por supuesto, un nombre en mente). Pásate a decir, Gandi.net ‘ s formulario de búsqueda y hurgar alrededor para ver lo que está disponible. Dangerrocket.com o vorpalsnake.,com o attackweasel.com ¡podrían ser tuyos por5 15.50!
encuentra uno que te guste y Cómpralo por un año. Solo recuerde que un dominio que suena hilarante podría no causar la mejor impresión en un empleador potencial si lo usa para el correo electrónico… aunque «[email protected]» en realidad suena bastante rudo.
protección WHOIS
es un requisito de la ICANN que los registradores de dominios listen públicamente la información de contacto de los dominios de Internet (con diferentes dominios de nivel superior que tienen diferentes reglas sobre cómo y cuánta información debe mostrarse)., Los usuarios de Linux y OS X pueden usar la utilidad de línea de comandos whois (o cualquiera puede usar herramientas en línea como esta) para mostrar esa información para los dominios. Por ejemplo, haciendo una Búsqueda Whois en arstechnica.com muestra quién lo posee (Condé Nast Digital), así como quiénes son los contactos administrativos y técnicos.
si registra un dominio, la información que proporcione será igualmente visible, claramente no es una situación ideal para un individuo privado que no quiere que su información personal esté disponible libremente., La mayoría de los registradores ofrecen un servicio llamado «WHOIS protection» o «Privacy Guard» u otros nombres similares, donde sustituyen su propia información por la suya. Algunos registradores cobran una tarifa adicional por el servicio, y algunos (como Gandi.net) ofrécelo gratis.
cualquiera que sea el registrador que elija, opte por su servicio de protección Whois. Una cosa es que una empresa tenga información de contacto visible como esta; otra muy distinta es que los usuarios individuales estén tan expuestos.,
dos factores que registrar
cualesquiera que sean las medidas de seguridad adicionales que su registrador de elección ofrece, debe habilitarlas. No aprovechar la seguridad adicional es como no aprovechar la coincidencia 401(k) de un empleador: si ellos lo ofrecen y tú no lo haces, eres simplemente tonto. Namecheap, por ejemplo, le permite deshabilitar el restablecimiento de contraseñas y realiza la autenticación de dos factores enviando códigos a su teléfono móvil.
Gandi.net, por otro lado, le da la opción de restringir el inicio de sesión a un cierto rango de direcciones IP. Ofrece autenticación de dos factores a través de una aplicación TOTP como Google Authenticator.
lo que sea que tenga su registrador, encienda cada bit de él., Hará que iniciar sesión sea un poco menos conveniente, pero también hará que sea mucho más difícil para un atacante arrebatar el control de su dominio.
Stack dat app
si está instalando Ubuntu Server desde cero, el único componente de servidor que necesita seleccionar durante la instalación es el servidor OpenSSH (que eventualmente cambiaremos al inicio de sesión basado en claves antes de terminar con esta serie)., En lugar de instalar Dovecot y Postfix por separado, hay un solo paquete que los bajará y hará la mayor parte de la configuración para que las dos aplicaciones se conecten entre sí. Ejecute el siguiente comando:
$ sudo aptitude install mail-stack-delivery
después de un momento, el paquete lo desviará a una pantalla pidiéndole que elija una configuración básica para Postfix. Fuera de las opciones disponibles, queremos «sitio de Internet» porque vamos a (eventualmente) enviar y recibir nuestro correo directamente con Postfix en lugar de transmitirlo a través de otro servidor.,
el siguiente cuadro de diálogo de configuración le pide que introduzca el nombre de dominio de su servidor para que el servidor sepa para qué dominio va a enviar y recibir principalmente correos electrónicos. Si compraste un dominio, rellena el nombre allí; si solo estás probando o no tienes la intención de hacer público este servidor, algo así como «local.loc » u otro dominio local inexistente debe ser utilizado.,
después de eso, simplemente deje que la instalación suceda. Terminarás con una instalación casi lista para la producción de Postfix y Dovecot.
¡espera, eso fue fácil!
bueno, claro, pero apenas hemos comenzado. En la parte 2, vamos a profundizar en las entrañas de Postfix y Palomar y conectarlos aún más fuerte., Tomaremos un certificado SSL/TLS real for-real porque su servidor de correo tendrá que ser capaz de identificarse correctamente y de forma segura a otros servidores de correo. Decidiremos dónde y cómo almacenar los nombres y contraseñas de sus cuentas de buzón de correo, junto con los propios buzones de correo. Para cuando terminemos con la parte 2, tendremos casi una configuración de correo completamente funcional—pero aún no estaremos listos para el prime time.
en la parte 3, agregaremos los accesorios necesarios: antispam, antivirus y filtrado del lado del servidor. También pondremos en marcha Roundcube para que tengas webmail., También cerraremos bien el correo web.
en el camino, también estaremos rociando todos los bits adicionales necesarios para garantizar que su correo electrónico sea bien recibido por otros servidores: vamos a configurar DKIM (DomainKeys Identified Mail) y los registros DNS necesarios para que funcione, junto con los registros SPF para otra capa de validación.
mi objetivo—suponiendo que no surja nada más loco mientras tanto – es ejecutar una pieza por semana, por lo que si estás siguiendo en casa, habremos terminado en un mes., Incluso si parece que va a ser desalentador, confía en mí: este es un viaje que vale la pena tomar.
nos vemos la próxima semana.