|
||||||||||||
|
|
| NOTA IMPORTANTE |
| Esta versión de IRISCF cambia la localización de los ficheros que emplea (de /etc a /etc/mail) y el formato de los mapas (de btree a hash) para adaptarse a los nuevos estándares de sendmail. Si ha empleado versiones anteriores de IRISCF, el script movemaps, que se encuentra en el directorio principal de la distribución, se encarga de realizar la actualización de ficheros y mapas de manera automática |
|
||||||||||||||
Notas de la version 4.2 · Características generales · Otras facilidades · Control de acceso |
|
 |
||||||||||||
Ejemplo 1.
- Hipotesis
- Datos
- Configuracion del DNS
- Como rellenar la plantilla del generador de RedIRIS?
- Como configurar algunos ficheros.
Hipotesis
- Una Estafeta de Central (EC) responsable del todas las direcciones de correo de un dominio (*@*.dom.es).
- Filtro en el puerto 25 del router de acceso a nuestro dominio, de tal forma que la Estafeta central es la única accesible desde el exterior de la red.
- Estafeta Central responsable del dominio *@dom.es y de un dominio virtual (virt.es) con sus respectivos buzones locales en dicha máquina.
- Una estafeta secundaria (ES-A) responsable de dos subdominios (admin.dom.es y bibli.dom.es) con sus respectivos buzones locales. Esta Estafeta ofrece servicio de encaminamiento de correo-e a los clientes de la red: 130.258.1.
- Una estafeta secundaria (ES-B) responsable de un subdominio (alum.dom.es) con sus respectivos buzones locales.Esta Estafeta ofrece servicio de encaminamiento de correo-e a los clientes de la red: 130.258.2
- La EC y ES-A tienen como S.O Solaris 5.2. la ES-B tiene Linux.
Política de control de acceso
- La Estafeta Central deberá aceptar desde el exterior
exclusivamentecualquier
correo enviado hacia las siguientes direciones:
- *@dom.es
- *@alum.dom.es
- *@admin.dom.es
- *@bibli.dom.es
- *@virt.es
- *@dom.es
- Se define una politica institucional para que cada usuario use como servidor
de correo saliente el que le corresponde y no otro. Asi por ejemplo
los usuarios dentro de la subred 130.258.1 pueden usar
como relay la direccion: admin.dom.es y no otra. y los
usuarios de la subred 130.258.2 pueden usar como relay la
direccion: alumn.dom.es
La Estafeta Central será usada por cualquier otra subred que no disponga de servidor de correo y los usuarios del dominio virtual virt.es - Todas las estafetas utilizan los mapas DNS de relays abiertos en rbl.maps.vix.com, relays.mail-abuse.org y dul.maps.vix.com.
Datos
| Buzones | Dominios lógicos | Dominios físicos | Direcciones IP |
| angel.lito@dom.es | relay.dom.es | hard.dom.es(EC) | 130.258.0.1 |
| m.inclan@bibli.dom.es | bibli.dom.es | book.dom.es (ES-A) | 130.258.1.2 |
| secretaria@admin.dom.es | admin.dom.es | book.dom.es (ES-A) | 130.258.1.2 |
| ramon@alum.dom.es | alum.dom.es | apolo.dom.es (ES-B) | 130.258.2.3 |
| a.perez@virt.es | virt.es | hard.dom.es (EC) | 130.258.0.1 |
Configuracion DNS
Las organizaciones de RedIRIS pueden solicitar el Servicio de MailBackup (mail.rediris.es) para implementarlo en el DNS. Es necesario estar dado de alta en el Servicio de MailBackup para poder definir un MX a mail.rediris.es
dom.es IN MX 10 relay.dom.es. IN MX 20 mail.rediris.es. bibli.dom.es IN MX 10 relay.dom.es. IN MX 20 mail.rediris.es. alum.dom.es IN MX 10 relay.dom.es. IN MX 20 mail.rediris.es. virt.es IN MX 10 relay.dom.es. IN MX 20 mail.rediris.es. relay.dom.es A 130.258.0.1 bibli.dom.es A 130.258.1.2 admin.dom.es A 130.258.1.2 alum.dom.es A 130.258.2.3
¿Como rellenar la plantilla del generador de RedIRIS?
Plantilla para Estafeta Central
| Seleccione su SistemaOperativo: | Solaris2 |
| Nivel Estafeta | Nivel 1 |
| Introduzca su dominio | dom.es |
| Enmascaramiento con dominio elegido | Si |
| ¿Necesita soporte de dominios virtuales? | Si |
| Dominios virtuales para los que la Estafeta es responsable: | |
|
|
|
| ¿ Existen máquinas ... anterior dominio con sus propios registros MX ?: | No |
| Soporte para alias inversos | Si |
| Mecanismos de seguridad en la Estafeta basados en: | Receptor |
| Ámbito de comprobación: | Todos los subdominios |
| Validar direcciones de receptores | Definido |
| Mapa DNS en rbl.maps.vix.com | Definido |
| Mapa DNS en relays.mail-abuse.org | Definido |
| Mapa DNS en dul.maps.vix.com | Definido |
Plantilla para Estafeta Secundaria book.dom.es
| Seleccione su SistemaOperativo | Solaris2 |
| Nivel Estafeta | Nivel 2 |
| Introduzca su dominio | dom.es |
| Enmascaramiento con dominio elegido | Si |
| ¿Necesita soporte de dominios virtuales? | Si |
| Dominios virtuales para los que la Estafeta es responsable: | |
|
|
|
| ¿ Existen máquinas ... anterior dominio con sus propios registros MX ?: | No |
| Soporte para alias inversos | Si |
| Mecanismos de seguridad en la Estafeta basados en: | Receptor |
| Ámbito de comprobación: | Todos los subdominios |
| Validar direcciones de receptores | Definido |
| Mapa DNS en rbl.maps.vix.com | Definido |
| Mapa DNS en relays.mail-abuse.org | Definido |
| Mapa DNS en dul.maps.vix.com | Definido |
Plantilla para Estafeta Secundaria apolo.dom.es
| Seleccione su Sistema Operativo | Linux |
| Nivel Estafeta | Nivel 2 |
| Introduzca su dominio | dom.es |
| Enmascaramiento con dominio elegido | Si |
| ¿Necesita soporte de dominios virtuales? | No |
| ¿ Existen máquinas ... anterior dominio con sus propios registros MX ?: | No |
| Soporte para alias inversos | Si |
| Mecanismos de seguridad en la Estafeta basados en: | Receptor |
| Ámbito de comprobación: | Todos los subdominios |
| Validar direcciones de receptores | Definido |
| Mapa DNS en rbl.maps.vix.com | Definido |
| Mapa DNS en relays.mail-abuse.org | Definido |
| Mapa DNS en dul.maps.vix.com | Definido |
¿Como configurar algunos ficheros?
Estafeta Central
Tenemos los buzones:
-
angel.lito@dom.es: el login de este buzón es alito
a.perez@virt.es: el login de este buzón es aperez
- /etc/mail/aliases
En el fichero /etc/mail/aliases añadimos:angel.lito:alito a.perez.virt.es:aperez postmaster:responsable@dom.es abuse:responsable@dom.es postmaster.virt.es:responsable@dom.es abuse.virt.es:responsable@dom.es
Ejecutamos la orden: newaliases
Las direcciones de postmaster y abuse son obligatorias y necesarias. Ambas direcciones deben ser atendidas por el responsable del Servicio en su dirección privada. En este caso son necesarios buzones para los dominios dom.es y virt.es
- /etc/mail/aliasrev
En el fichero /etc/mail/aliasrev añadimos:alito:angel.lito aperez:a.perez
Ejecutamos la orden: makemap hash aliasrev < aliasrev
- /etc/mail/authto
Este fichero nos permitira controlar las direcciones destino que la EC sera capaz de encaminar segun el valor que contenga el campo RCPT TO:. La Hipotesis no permite el encaminamiento de cualquier subdominio (*.dom.es) sino exclusivamente aceptará las direcciones especificadas.
Por lo tanto, habrá que crear un fichero /etc/mail/authto con la siguiente configuracion:
client:.dom.es trust client:LOCAL trust client:ALL allow dom.es allow alum.dom.es allow bibli.dom.es allow admin.dom.es allow virt.es allow ALL deny
Ejecutamos la orden: makemap hash authto < authto
Indica que, la EC aceptará (trust) todo lo que provenga de nodos del dominio interno .dom.es y todo lo originado en la propia máquina (hard.dom.es). Lo que provenga de otras máquina externas, lo permitira pero exclusivamente aceptara el correo cuyo valor "RCPT TO:" sea: dom.es, alumn.dom.es, bibli.dom.es y virt.es. Cualquier otra cosa en el campo "RCPT TO:" será denegada ("550 Acces denied").
Estafeta Secundaria book.dom.es
Tenemos los buzones:
-
m.inclan@bibli.dom.es: el login de este buzón es inclan
secretaria@admin.dom.es: el login de este buzón es secre
- /etc/mail/aliases
En el fichero /etc/mail/aliases añadimos:m.inclan.bibli.dom.es:inclan secretaria.admin.dom.es:secre postmaster.bibli.dom.es:responsable@dom.es postmaster.admin.dom.es:responsable@dom.es abuse.bibli.dom.es:responsable@dom.es abuse.admin.dom.es:responsable@dom.es
Ejecutamos la orden: newaliases
Las direcciones de postmaster y abuse son obligatorias y necesarias. Ambas direcciones deben ser atendidas por el responsable del Servicio en su dirección privada. En este caso son necesarios buzones para los dominios bibli.dom.es y admin.dom.es
- /etc/mail/authto
Este fichero lo usaremos para poder controlar cuales usuarios internos tiene permiso para usar esta Estafeta como relay, que en el caso de Hipotesis solo podrán ser los usuarios de la biblioteca y de la administración, pertenecientes a la subred 130.258.1. El control se puede hacer por: direcciones IP o nombre DNS, seleccionamos IP. Cualquier mensaje interno enviado desde otro dominio de dom.es será permitido (client:ALL allow) pero sólo se aceptarán los que tengan como valor RCPT TO: *@bibli.dom.es y *@admin.dom.es
Creamos el fichero /etc/mail/authto con la siguiente configuracion:
client:130.258.1. trust client: LOCAL trust client:ALL allow bibli.dom.es allow admin.dom.es allow LOCAL allow ALL deny
Ejecutamos la orden: makemap hash authto < authto
Estafeta Secundaria apolo.dom.es
Tenemos los buzones:
-
ramon@alum.dom.es: el login de este buzón es ramn
- /etc/mail/aliases
En el fichero /etc/mail/aliases añadimos:ramon:ramn postmaster:responsable@dom.es abuse:responsable@dom.es
Ejecutamos la orden: newaliases
Las direcciones de postmaster y abuse son obligatorias y necesarias. Deben ser atendidas por el responsable del Servicio en su dirección privada.
- /etc/mail/authto
Este fichero lo usaremos para poder controlar cuales usuarios internos tiene permiso para usar esta Estafeta como relay, que en el caso de Hipotesis solo podrán ser los puestos de trabajo de los alumnos concentrados en la subred 130.258.1. El control se puede hacer por: direcciones IP o nombre DNS, seleccionamos IP. Cualquier mensaje interno enviado desde otro dominio de dom.es será permitido (client:ALL allow) pero sólo se aceptarán los que tengan como valor "RCPT TO:" *@alum.dom.es.
Creamos el fichero /etc/mail/authto con la siguiente configuracion:
client:130.258.2. trust client: LOCAL trust client:ALL allow alum.dom.es allow LOCAL allow ALL deny
Ejecutamos la orden: makemap hash authto < authto
 |
| Actualizado el 15/02/2001 |
| RedIRIS © 1994-2003 |
