TLS permite asegurar el servicio de correo, mediante un cifrado est\u00e1ndar. Esto quiere decir que se reduce el riesgo de que los correos sean interceptados y le\u00eddos por personas no autorizadas.<\/p>\n
El presente aporte, trata de como implementar TLS en Sendmail bajo CentOS 6.<\/p>\n
Lo primero que debemos hacer, es verificar que est\u00e9n instalado los siguientes paquetes:<\/p>\n
cyrus-sasl cyrus-sasl-plain<\/span><\/strong><\/pre>\nLevantar el servicio:<\/p>\n
[root@mail ~]# service saslauthd start\r\n\r\n<\/strong>[root@mail ~]# chkconfig saslauthd on<\/strong><\/span><\/pre>\nLuego generamos los certificados necesarios, para ello debemos eliminar el certificado por defecto (si existe) asociado a localhost:<\/p>\n
[root@mail ~]#rm -f \/etc\/pki\/tls\/certs\/sendmail.pem<\/span><\/strong><\/pre>\nLuego ejecutamos lo siguiente:<\/p>\n
Ir al directorio:<\/p>\n
[root@mail ~]# cd \/etc\/pki\/tls\/certs\/<\/span><\/strong><\/p>\nGeneral los certificados, llenamos los datos. Ver el tema de: \u00a0Common Name (eg, your name or your server’s hostname) []:dominio.com<\/strong><\/p>\n<\/pre>\n[root@mail certs]# openssl req -new -x509 -nodes -newkey rsa:2048 -days 1825 -out \/etc\/pki\/tls\/certs\/sendmail.pem -keyout \/etc\/pki\/tls\/certs\/sendmail.pem<\/span><\/strong><\/p>\n[root@mail certs]#\u00a0openssl x509 -subject -fingerprint -noout -in \/etc\/pki\/tls\/certs\/sendmail.pem<\/span><\/strong><\/p>\n[root@mail certs]# chmod 400 sendmail.pem<\/span><\/strong><\/p>\nEditar el archivo saslauthd:<\/p>\n
[root@mail certs]# vi \/etc\/sysconfig\/saslauthd<\/span><\/strong><\/pre>\nDejarlo as\u00ed:<\/p>\n
# Directory in which to place saslauthd’s listening socket, pid file, and so<\/em>
\n# on. This directory must already exist.<\/em>
\nSOCKETDIR=\/var\/run\/saslauthd<\/em><\/p>\n# Mechanism to use when checking passwords. Run \u00absaslauthd -v\u00bb to get a list<\/em>
\n# of which mechanism your installation was compiled with the ablity to use.<\/em>
\nMECH=pam<\/em><\/p>\n# Options sent to the saslauthd. If the MECH is other than \u00abpam\u00bb uncomment the next line.<\/em>
\n# DAEMONOPTS=–user saslauth<\/em><\/p>\n# Additional flags to pass to saslauthd on the command line. See saslauthd(8)<\/em>
\n# for the list of accepted flags.<\/em>
\nFLAGS=\u00bb-n 2″<\/em><\/p>\nLuego editamos en la configuraci\u00f3n del sendmail y en la secci\u00f3n de TLS, le dejamos as\u00ed:<\/p>\n
dnl<\/em>
\ndnl #<\/em>
\ndnl # Rudimentary information on creating certificates for sendmail TLS:<\/em>
\ndnl # cd \/usr\/share\/ssl\/certs; make sendmail.pem<\/em>
\ndnl # Complete usage:<\/em>
\ndnl # make -C \/usr\/share\/ssl\/certs usage<\/em>
\ndnl #<\/em>
\ndefine(`confCACERT_PATH’, `\/etc\/pki\/tls\/certs’)dnl<\/em>
\ndefine(`confCACERT’, `\/etc\/pki\/tls\/certs\/ca-bundle.crt’)dnl<\/em>
\ndefine(`confSERVER_CERT’, `\/etc\/pki\/tls\/certs\/sendmail.pem’)dnl<\/em>
\ndefine(`confSERVER_KEY’, `\/etc\/pki\/tls\/certs\/sendmail.pem’)dnl<\/em>
\ndefine(`confCLIENT_CERT’, `\/etc\/pki\/tls\/certs\/sendmail.pem’)dnl<\/em>
\ndefine(`confCLIENT_KEY’, `\/etc\/pki\/tls\/certs\/sendmail.pem’)dnl<\/em><\/p>\nLuego ejecutamos el m4:<\/p>\n
[root@mail certs]# m4 \/etc\/mail\/sendmail.mc > \/etc\/mail\/sendmail.cf<\/span><\/strong><\/p>\nReiniciamos el sendmail:<\/p>\n
[root@mail certs]# service sendmail restart<\/strong><\/span><\/p>\nPodemos comprobar que est\u00e9 activado con telnet, ejecutando ehlo, <\/strong>debe salir\u00a0250-STARTTLS<\/strong><\/strong><\/p>\n[dbadillo@localhost ~]$ telnet dominio.com 587
\nTrying X.X.X.X…
\nConnected to dominio.com.
\nEscape character is ‘^]’.
\n220 mail.dominio.com ESMTP<\/p>\n
ehlo dominio.com<\/strong>
\n250-mail.dominio.com Hello \u00a0(may be forged), pleased to meet you
\n250-ENHANCEDSTATUSCODES
\n250-PIPELINING
\n250-8BITMIME
\n250-SIZE
\n250-DSN
\n250-AUTH DIGEST-MD5 CRAM-MD5
\n250-STARTTLS<\/strong>
\n250-DELIVERBY
\n250 HELP<\/p>\nUna vez comprobado lo que nos queda es crear los usuarios y asignar la contrase\u00f1a, esto lo hacemos:<\/p>\n
[root@mail ~]# adduser usuario<\/p>\n
[root@mail ~]# passwd usuario<\/p>\n
[root@mail ~]#\u00a0saslpasswd2 usuario<\/p>\n
Listo!!!<\/p>\n
Lo que queda es en el cliente de correo seleccionar autenticaci\u00f3n (TLS acepta cualquier certificado).<\/p>\n
\n","protected":false},"excerpt":{"rendered":"