Mantenimiento de DNS y correo de sico
NOTA:https://3.0.1.124/iredadminNOTA: RBL-check for vps.sicosoft.es (51.38.32.171), RBL-check for mail.sicosoft.es (83.48.87.215) SPF check DKIM check (poner como selector "mail", ya que mail.sicosoft.es es el MX) DMARC check
NOTA: la configuración del correo en el antiguo está en zen:/etc/exim4/exim4.conf
Friday, 12 December 2025, 10:37:08 am
Aumento el tamaño de los dhparams del postfix Ya que en el nuevo equipo de Luis con Debian 13 el fetchmail daba el error de "fetchmail: OpenSSL reported: error:0A00018A:SSL routines::dh key too small"
Sigo las instrucciones de https://weakdh.org/sysadmin.html y https://doc.dovecot.org/2.3/configuration_manual/dovecot_ssl_configuration/.
En zen, como root:
cd /etc/postfix openssl dhparam -out dhparams.pem 2048 echo "smtpd_tls_dh1024_param_file = /etc/postfix/dhparams.pem" >> main.cf postfix reload /etc/dovecot cp ../postfix/dhparams.pem dh.pem cd conf.d echo "ssl_dh_parameters_length = 2048" >> 10-ssl.conf #Lo siguiente es para dovecot 2.3+ y en zen está 2.1 #echo "ssl_dh = </etc/dovecot/dh.pem" >> 10-ssl.conf /etc/init.d/dovecot restart
UPDATE 20260119 Hago la actualización propiamente dicha.
En zen, como root:
cd /usr/src/src.dovecot/to-install dpkg -i dovecot-core_2.3.13+dfsg1-2+deb11u2_amd64.deb\ dovecot-imapd_2.3.13+dfsg1-2+deb11u2_amd64.deb\ dovecot-managesieved_2.3.13+dfsg1-2+deb11u2_amd64.deb\ dovecot-pgsql_2.3.13+dfsg1-2+deb11u2_amd64.deb\ dovecot-pop3d_2.3.13+dfsg1-2+deb11u2_amd64.deb\ dovecot-sieve_2.3.13+dfsg1-2+deb11u2_amd64.deb
Me sale lo siguiente:
... doveconf: Warning: please set ssl_dh=</etc/dovecot/dh.pem doveconf: Warning: You can generate it with: dd if=/var/lib/dovecot/ssl-parameters.dat bs=1 skip=88 | openssl dhparam -inform der > /etc/dovecot/dh.pem ...
Como ya tenía generado el dh.pem, hago lo siguiente:
sed "/^ssl_key/assl_dh = </etc/dovecot/dh.pem" /etc/dovecot/dovecot.conf /etc/init.d/dovecot restart
Después de esto cada vez que algún usuario intenta hacer un login me da un error en el log del dovecot de que un elemento de la tabla de pgsql no existe (y no deja hacer el login):
sqlpool(pgsql): Query failed, retrying: ERROR: column mailbox.enablepop3tls does not exist
Resulta que iredmail requiere ciertas acciones a hacer cuando se actualiza dovecot al 2.3.x:
En zen, como root:
cd /etc/dovecot
perl -pi -e 's/^ssl_protocols/#${1}/g' dovecot.conf
perl -pi -e 's#(postmaster_address.*)##g' dovecot.conf
perl -pi -e 's#^(mail_plugins.*) stats(.*)#${1} old_stats${2}#g' dovecot.conf
perl -pi -e 's#imap_stats#imap_old_stats#g' dovecot.conf
perl -pi -e 's#service stats#service old-stats#g' dovecot.conf
perl -pi -e 's#fifo_listener stats-mail#fifo_listener old-stats-mail#g' dovecot.conf
perl -pi -e 's#stats_refresh#old_stats_refresh#g' dovecot.conf
perl -pi -e 's#stats_track_cmds#old_stats_track_cmds#g' dovecot.conf
sed -i "/^ssl_dh/d" dovecot.conf
if [ ! -e /etc/ssl/dh2048_param.pem ] ; then openssl dhparam -out /etc/ssl/dh2048_param.pem 2048 ; fi
rm -f /tmp/conf-add.tmp
cat > /tmp/conf-add.tmp <<'EOF'
ssl_dh = </etc/ssl/dh2048_param.pem
service stats {
unix_listener stats-reader {
user = vmail
group = vmail
mode = 0660
}
unix_listener stats-writer {
user = vmail
group = vmail
mode = 0660
}
}
EOF
cat /tmp/conf-add.tmp >> dovecot.conf
rm /tmp/conf-add.tmp
Y Para la tabla del postgres, en zen, como root (lño del \d mailboz es para comprobar que el campo enablepop3tls no existe):
su - postgres psql \c vmail; \d mailbox; ALTER TABLE mailbox ADD COLUMN enableimaptls INT2 NOT NULL DEFAULT 1; CREATE INDEX idx_mailbox_enableimaptls ON mailbox (enableimaptls); ALTER TABLE mailbox ADD COLUMN enablepop3tls INT2 NOT NULL DEFAULT 1; CREATE INDEX idx_mailbox_enablepop3tls ON mailbox (enablepop3tls); ALTER TABLE mailbox ADD COLUMN enablesievetls INT2 NOT NULL DEFAULT 1; CREATE INDEX idx_mailbox_enablesievetls ON mailbox (enablesievetls); \d mailbox; \q exit
Por último, se reinicia el dovecot:
/etc/init.d/dovecot restart
Monday, 17 November 2025, 12:26:20 pm
Añadimos DMARC para que mande los mensajes a dmarc_reports@sicosoft.es Siguiendo Esta guía
1. En iredmail, se añade un usuario dmarc_reports
2. En el DNS, se ñade un registro TXT con TTL 1h para el subdominio _dmarc con el contenido
v=DMARC1; p=none; rua=mailto:dmarc_reports@sicosoft.es;
3. Se configura algún cliente para que coja el correo de ahí (por ahora lo coge salchicha en el cliente de correo que usa Darío).
Monday, 24 February 2025, 9:00:13 am
Añado a salchicha a la whitelist del fail2ban Ya que estaba entrando en la lista de banned por errores de conectividad repetidos. Sigo este howto
En zen, como root:
echo 'ignoreip = 3.0.1.170' >> /etc/fail2ban/fail2ban.conf /etc/init.d/fail2ban restart
Friday, 13 September 2024, 9:16:53 am
El /var de zen estaba lleno (provocando que no pudieran mandar/recibir correos), y era por los backups del postgres del iredmail. Hago que se borren periódicamente
En zen, como root:
cd /var/vmail/backup/pgsql
cat > clean_old.sh <<'EOF'
#!/bin/bash
cd /var/vmail/backup/pgsql
curyear=$(date "+%Y")
prevyear=$(( $curyear -1 ))
for i in $( ls -1 | grep "^[0-9][0-9][0-9][0-9]\$" ) ; do
if [ "m$i" == "m$curyear" ] ; then
continue
fi
for j in $( ls -1 $i ) ; do
if [ "m$i" == "m$prevyear" ] && [ "m$j" == "m12" ] ; then
continue
fi
rm -rf "$i/$j"
rmdir "$i" 2>/dev/null
done
done
EOF
chmod a+x clean_old.sh
(crontab -l ; echo -e "# Clean old pgsql backups en forst day of month at 04:01 AM\n1 4 1 * * /bin/bash /var/vmail/backup/pgsql/clean_old.sh 2>&1 >/dev/null" ) | crontab -e
Y además borro los elementos antiguos para liberar espacio (25GB por año y ¡había dos años!); en zen como root:
cd /var/vmail/backup/pgsql/ ./clean_old.sh
NOTA: el crontab de root ha quedado así (lo he reordenado un poco):
/var/spool/cron/crontabs/root
1 3 * * * /usr/sbin/cbpadmin --config=/etc/cluebringer/cluebringer.conf --cleanup >/dev/null # iRedMail: update Awstats statistics 1 */1 * * * perl /usr/lib/cgi-bin/awstats.pl -config=web -update >/dev/null 1 */1 * * * perl /usr/lib/cgi-bin/awstats.pl -config=smtp -update >/dev/null # Backup on 03:01 AM 1 3 * * * /bin/bash /var/vmail/backup/backup_pgsql.sh # Clean old pgsql backups en forst day of month at 04:01 AM 1 4 1 * * /bin/bash /var/vmail/backup/pgsql/clean_old.sh 2>&1 >/dev/null # Backup del correo 0 4 * * 5 /root/backupcorreo.sh 2>/dev/null >/dev/null |
Friday, 9 February 2024, 11:19:07 am
Añado el correo de mcriado@sicosoft.es a la lisat de forwardeos IMAP de obelisk Ver "Tuesday, 26 April 2022, 9:57:44 am", que se ha actualizado el /etc/nginx/nginx.conf
Wednesday, 10 May 2023, 10:16:22 am
Se había quedado sin espacio zen, y era por los backups diarios de la configuración
En zen, como root:
cd /var/vmail/backup/pgsql rm -rf 2019 2020 2021
Nota: Antes de copiarlo:
root@mail:/var/vmail/backup/pgsql# du -hs * | sort -h 8,7G 2019 20G 2023 38G 2020 46G 2021 53G 2022 root@mail:/var/vmail/backup/pgsql#
Wednesday, 11 May 2022, 11:13:19 am
Quito el forward de mcriado a gmail Estaba a mercedescriadoregidor@gmail.com, lo vuelvo a poner en mcriado@sicosoft.es:
ssh root@zen su - postgres postgres@mail:~$ psql -l postgres@mail:~$ psql -d vmail psql (9.1.24) Digite «help» para obtener ayuda. select * from alias where address = 'mcriado@sicosoft.es' and domain = 'sicosoft.es'; update alias set goto = 'mcriado@sicosoft.es' , domain = 'sicosoft.es' where address = 'mcriado@sicosoft.es' and domain = 'sicosoft.es'; select * from alias where address = 'mcriado@sicosoft.es'; commit; \q exit exit
Cambio el forwardeo de sicosoft@sicosoft.es estaba a mercedescriadoregidor@gmail.com, lo cambio a mcriado@sicosoft.es.
ssh root@zen su - postgres psql -d vmail select * from alias where address = 'sicosoft@sicosoft.es' and domain = 'sicosoft.es'; update alias set goto = 'mcriado@sicosoft.es' , domain = 'sicosoft.es' where address = 'sicosoft@sicosoft.es' and domain = 'sicosoft.es'; select * from alias where address = 'sicosoft@sicosoft.es'; commit; \q exit exit
Tuesday, 26 April 2022, 9:57:44 am
Configuro el nginx de obelisk como un proxy imap4 para la cuenta avisossicosoft Usando el howto oficial, perl script as an auth backend y esta información adicional. Para la script en lua he usado información de este post.
En obelisk, como root:
apt-get install nginx-extras cd /root cat > imap4s-ssl.sh <<'EOF' #!/bin/bash # https://www.hackingarticles.in/socat-for-pentester/ cat /etc/perdition/sico.sicosoft.es/privkey.pem /etc/perdition/sico.sicosoft.es/fullchain.pem > /etc/perdition/socat.pem nohup /usr/bin/socat OPENSSL-LISTEN:993,cert=/root/socat.pem,verify=0,reuseaddr,fork TCP4:127.0.0.1:143 & EOF cat > zen-imapssl.sh <<'EOF' #!/bin/bash # https://www.hackingarticles.in/socat-for-pentester/ cat /etc/perdition/sico.sicosoft.es/privkey.pem /etc/perdition/sico.sicosoft.es/fullchain.pem > /etc/perdition/socat.pem nohup /usr/bin/socat OPENSSL-LISTEN:993,cert=/root/socat.pem,verify=0,reuseaddr,fork TCP4:127.0.0.1:143 & EOF chmod a+x imap4s-ssl.sh zen-imapssl.sh
En la configuración del nginx (/etc/nginx/nginx.conf) he añadido lo siguiente
obelisk:/etc/nginx/nginx.conf (sólo el final)
...
include /etc/nginx/conf.d/*.conf;
include /etc/nginx/sites-enabled/*;
# para el auth de imap
server {
listen 9000;
location /auth {
content_by_lua_block {
local username = ngx.req.get_headers()["auth-user"]
if username == nil then
username = "no-username"
end
if username == "avisossicosoft@sicosoft.es" or username == "rarias@sicosoft.es" or username == "avisospcitfno@sicosoft.es" or username == "mcriado@sicosoft.es" then
ngx.header["Auth-Status"] = "OK"
ngx.header["Auth-Server"] = "127.0.0.1"
ngx.header["Auth-Port"] = 9993
else
ngx.header["Auth-Status"] = "Unauthorized " .. username
ngx.header["Auth-Wait"] = 3
end
ngx.exit(200)
}
}
}
}
mail {
server_name sico2.sicosoft.es;
auth_http localhost:9000/auth;
proxy_pass_error_message on;
imap_capabilities "IMAP4rev1" "UIDPLUS";
server {
listen 143;
protocol imap;
proxy on;
}
}
|
(Update 20240209: añado el correo de mcriado@sicosoft.es al nginx.conf)
Modifico el fichero de arranque del nginx en obelisk para que pare los redir de renovar el certificado:
obelisk:/etc/init.d/nginx
...
start_nginx() {
# Start the daemon/service
#
# Returns:
# 0 if daemon has been started
# 1 if daemon was already running
# 2 if daemon could not be started
# SICO START: PARAR LOS redir
(netstat -pan | grep 80 ; netstat -pan | grep 443 ) | grep redir | expand | sed "s:^.* \([0-9][0-9]*\)/.*:\1:g" | xargs kill 2>/dev/null >/dev/null
# SICO END
start-stop-daemon --start --quiet --pidfile $PID --exec $DAEMON --test > /dev/null \
|| return 1
start-stop-daemon --start --quiet --pidfile $PID --exec $DAEMON -- \
$DAEMON_OPTS 2>/dev/null \
|| return 2
}
...
|
Modifico en obelix el /etc/network/interfaces
obelisk:/etc/network/interfaces
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).
source /etc/network/interfaces.d/*
# The loopback network interface
auto lo eth0 eth1
allow-hotplug eth2
iface lo inet loopback
iface eth0 inet static
address 3.0.1.53
#gateway 3.0.1.51
network 3.0.1.0
netmask 255.255.255.0
broadcast 3.0.1.255
# dns-* options are implemented by the resolvconf package, if installed
dns-nameservers 3.0.1.3
dns-search sicosoft.es
post-up /sbin/ifconfig eth0:1 3.0.1.54
#post-up /sbin/ifconfig eth0:2 192.168.2.254 netmask 255.255.255.0
post-up /sbin/route add -host 16.0.62.18 gw 3.0.1.42
post-up echo 1 > /proc/sys/net/ipv4/ip_forward
iface eth1 inet static
address 192.168.1.2
network 192.168.1.0
netmask 255.255.255.0
broadcast 192.168.1.255
gateway 192.168.1.1
post-up /bin/sh -c "/etc/init.d/iptables start ; sleep 1 ; /root/nat.sh eth1 ; /root/autossh-sico2.sh ; /root/nat-carteles.sh ; /root/autossh-vps.sh"
post-up /bin/sh -c "cd /root ; ./zen-imapssl.sh ; ./imap4s-ssl.sh"
|
En asterisk, he modificado el renew-certbot.sh, quedando:
asterisk:/root/renew-certbot.sh
#!/bin/bash
export PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
n=`certbot certificates 2>/dev/null | grep "[^A-Z]VALID: [0-9]" | wc -l | tr -dc 0-9`
daysleft=`certbot certificates 2>/dev/null | grep "[^A-Z]VALID: [0-9]" | head -1 | sed "s/^.*VALID: \([0-9][0-9]*\).*/\1/g"`
if [ "m$n" != "m1" ] || [ $daysleft -le 30 ] ; then
ssh root@vps.sicosoft.es "ps -efa | grep 'redir .*83.48.87.215:80\|redir .*83.48.87.215:443' | expand | sed 's/ */ /g' | cut -d ' ' -f 2 | xargs kill"
ssh root@vps.sicosoft.es "redir 51.38.32.171:80 83.48.87.215:80 ; redir 51.38.32.171:443 83.48.87.215:443 "
ssh root@obelisk "/etc/init.d/nginx stop"
ssh root@obelisk "redir 192.168.1.2:80 3.0.1.52:80 ; redir 192.168.1.2:443 3.0.1.52:443"
service nginx stop
certbot renew
service nginx start
ssh root@vps.sicosoft.es "ps -efa | grep 'redir .*83.48.87.215:80\|redir .*83.48.87.215:443' | expand | sed 's/ */ /g' | cut -d ' ' -f 2 | xargs kill"
scp /etc/letsencrypt/live/sico.sicosoft.es/fullchain.pem /etc/letsencrypt/live/sico.sicosoft.es/privkey.pem root@zen:/etc/letsencrypt/live/sico.sicosoft.es/
ssh root@zen "chgrp ssl-cert /etc/letsencrypt/live/sico.sicosoft.es/* ; /etc/init.d/dovecot restart ; /etc/init.d/postfix restart ; apache2ctl restart"
cat /etc/letsencrypt/live/sico.sicosoft.es/privkey.pem /etc/letsencrypt/live/sico.sicosoft.es/fullchain.pem | ssh root@obelisk "cat > /root/socat.pem ; chmod 600 /root/socat.pem"
scp /etc/letsencrypt/live/sico.sicosoft.es/fullchain.pem root@obelisk:/root/
ssh root@obelisk "ps -efa | grep socat | grep ':993,' | grep -v grep | expand | sed 's/ */ /g' | cut -d ' ' -f 2 | xargs kill 2>/dev/null"
ssh -f root@obelisk "cd /root ; ./zen-imapssl.sh ; ./imap4s-ssl.sh " &
ssh root@obelisk "/etc/init.d/nginx start"
fi
# Comprobar que el certificado de zen está actualizado
if [ "m$(ssh root@zen 'cd /etc/letsencrypt/live/sico.sicosoft.es && cat fullchain.pem privkey.pem | md5sum | cut -c 1-32')" != "m$(cd /etc/letsencrypt/live/sico.sicosoft.es && cat fullchain.pem privkey.pem | md5sum | cut -c 1-32)" ] ; then
scp /etc/letsencrypt/live/sico.sicosoft.es/fullchain.pem /etc/letsencrypt/live/sico.sicosoft.es/privkey.pem root@zen:/etc/letsencrypt/live/sico.sicosoft.es/
ssh root@zen "chgrp ssl-cert /etc/letsencrypt/live/sico.sicosoft.es/* ; /etc/init.d/dovecot restart ; /etc/init.d/postfix restart ; apache2ctl restart"
fi
|
Por último, en asterisk, como root:
cd /root cat /etc/letsencrypt/live/sico.sicosoft.es/privkey.pem /etc/letsencrypt/live/sico.sicosoft.es/fullchain.pem | ssh root@obelisk "cat > /root/socat.pem ; chmod 600 /root/socat.pem" scp /etc/letsencrypt/live/sico.sicosoft.es/fullchain.pem root@obelisk:/root/ ssh root@obelisk "ps -efa | grep socat | grep ':993,' | grep -v grep | expand | sed 's/ */ /g' | cut -d ' ' -f 2 | xargs kill 2>/dev/null" ssh -f root@obelisk "cd /root ; ./zen-imapssl.sh ; ./imap4s-ssl.sh " ssh root@obelisk "/etc/init.d/nginx start"
La configuración en el teléfono, usando el cliente de correo de gmail, es:
| Servidor de entrada | sico2.sicosoft.es |
| Puerto servidor de entrada | 993 |
| Tipo de seguridad servidor de entrada | SSL/TLS |
| Servidor de salida | mail.sicosoft.es |
| Puerto servidor de salida | 25 |
| Seguridad servidor de salida | STARTTLS |
Update 20220824 Añado lo de que el obelisk:/etc/init.d/nginx pare los redir antes de arrancar el nginx.
Monday, 25 April 2022, 9:52:01 am
Instalo el perdition y lo configuro con estas instrucciones, la página de manual, el manual de perdition por valinux (pdf), un howto del 2012 y howto para los dhparams y cómo poner el perdition para que use ssl en las conexiones entrantes pero sin ssl en las salientes y troubleshooting ssl en imap
En obelisk, como root:
apt-get install perdition cd /etc/default for i in POP3 POP3S IMAP4 ; do sed -i "s/$i=.*/$i=no/g" perdition ; done sed -i 's/IMAP4S_FLAGS=.*/IMAP4S_FLAGS="--ssl_mode ssl_listen"/g' etc/default/perdition cd /etc/perdition cat > popmap <<'EOF' avisossicosoft@sicosoft.es:mail.sicosoft.es:993 rarias@sicosoft.es:mail.sicosoft.es:993 EOF make dd if=/dev/urandom count=2 | openssl dhparam -rand - 512 > dhparam
También he puesto el /root/.ssh/id_rsa.pub de de asterisk en /root/.ssh/authorized_keys de obelisk
Y en asterisk, como root:
Se ha editado el /root/renew-certbot.sh
asterisk:/root/renew-certbot.sh
#!/bin/bash
export PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
n=`certbot certificates 2>/dev/null | grep "[^A-Z]VALID: [0-9]" | wc -l | tr -dc 0-9`
daysleft=`certbot certificates 2>/dev/null | grep "[^A-Z]VALID: [0-9]" | head -1 | sed "s/^.*VALID: \([0-9][0-9]*\).*/\1/g"`
if [ "m$n" != "m1" ] || [ $daysleft -le 30 ] ; then
ssh root@vps.sicosoft.es "ps -efa | grep 'redir .*83.48.87.215:80\|redir .*83.48.87.215:443' | expand | sed 's/ */ /g' | cut -d ' ' -f 2 | xargs kill"
ssh root@vps.sicosoft.es "redir 51.38.32.171:80 83.48.87.215:80 ; redir 51.38.32.171:443 83.48.87.215:443 "
ssh root@obelisk "/etc/init.d/nginx stop"
ssh root@obelisk "redir 192.168.1.2:80 3.0.1.52:80 ; redir 192.168.1.2:443 3.0.1.52:443"
service nginx stop
certbot renew
service nginx start
ssh root@vps.sicosoft.es "ps -efa | grep 'redir .*83.48.87.215:80\|redir .*83.48.87.215:443' | expand | sed 's/ */ /g' | cut -d ' ' -f 2 | xargs kill"
scp /etc/letsencrypt/live/sico.sicosoft.es/fullchain.pem /etc/letsencrypt/live/sico.sicosoft.es/privkey.pem root@zen:/etc/letsencrypt/live/sico.sicosoft.es/
ssh root@zen "chgrp ssl-cert /etc/letsencrypt/live/sico.sicosoft.es/* ; /etc/init.d/dovecot restart ; /etc/init.d/postfix restart ; apache2ctl restart"
# Actualizamos el certificado del perdition en obelisk
scp /etc/letsencrypt/live/sico.sicosoft.es/privkey.pem root@obelisk:/etc/perdition/perdition.key.pem
ssh root@obelisk "chmod 600 /etc/perdition/perdition.key.pem"
scp /etc/letsencrypt/live/sico.sicosoft.es/fullchain.pem root@obelisk:/etc/perdition/perdition.crt.pem
ssh root@obelisk "cat /etc/perdition/dhparam >> /etc/perdition/perdition.crt.pem"
scp /etc/letsencrypt/live/sico.sicosoft.es/chain.pem root@obelisk:/etc/perdition/perdition.ca.pem
ssh root@obelisk "cat /etc/perdition/dhparam >> /etc/perdition/perdition.crt.pem"
ssh root@obelisk "/etc/init.d/perdition restart"
ssh root@obelisk "ps -efa | grep 'redir .*3.0.1.52 80\|redir .*3.0.1.52 443' | expand | sed 's/ */ /g' | cut -d ' ' -f 2 | xargs kill"
ssh root@obelisk "/etc/init.d/nginx start"
fi
# Comprobar que el certificado de zen está actualizado
if [ "m$(ssh root@zen 'cd /etc/letsencrypt/live/sico.sicosoft.es && cat fullchain.pem privkey.pem | md5sum | cut -c 1-32')" != "m$(cd /etc/letsencrypt/live/sico.sicosoft.es && cat fullchain.pem privkey.pem | md5sum | cut -c 1-32)" ] ; then
scp /etc/letsencrypt/live/sico.sicosoft.es/fullchain.pem /etc/letsencrypt/live/sico.sicosoft.es/privkey.pem root@zen:/etc/letsencrypt/live/sico.sicosoft.es/
ssh root@zen "chgrp ssl-cert /etc/letsencrypt/live/sico.sicosoft.es/* ; /etc/init.d/dovecot restart ; /etc/init.d/postfix restart ; apache2ctl restart"
fi
|
Y he ejecutado a mano la parte de obelisk.
Para añadir a sico2.sicosoft al certificado:
En asterisk, como root:
ssh root@vps.sicosoft.es "ps -efa | grep 'redir .*83.48.87.215:80\|redir .*83.48.87.215:443' | expand | sed 's/ */ /g' | cut -d ' ' -f 2 | xargs kill"
ssh root@vps.sicosoft.es "ps -efa | grep 'redir .*83.48.87.215:80\|redir .*83.48.87.215:443' | expand | sed 's/ */ /g' | cut -d ' ' -f 2 | xargs kill"
ssh root@vps.sicosoft.es "redir 51.38.32.171:80 83.48.87.215:80 ; redir 51.38.32.171:443 83.48.87.215:443 "
ssh root@obelisk "/etc/init.d/nginx stop"
ssh root@obelisk "redir 192.168.1.2:80 3.0.1.52:80 ; redir 192.168.1.2:443 3.0.1.52:443"
service nginx stop
certbot certonly --cert-name sico.sicosoft.es --standalone -d sico.sicosoft.es -d sico2.sicosoft.es -d informes.sicosoft.es -d mail.sicosoft.es -d mail2.sicosoft.es -d vpn.sicosoft.es -d webmail.sicosoft.es
# Se le da a "U" de update
service nginx start
ssh root@vps.sicosoft.es "ps -efa | grep 'redir .*83.48.87.215:80\|redir .*83.48.87.215:443' | expand | sed 's/ */ /g' | cut -d ' ' -f 2 | xargs kill"
scp /etc/letsencrypt/live/sico.sicosoft.es/fullchain.pem /etc/letsencrypt/live/sico.sicosoft.es/privkey.pem root@zen:/etc/letsencrypt/live/sico.sicosoft.es/
ssh root@zen "chgrp ssl-cert /etc/letsencrypt/live/sico.sicosoft.es/* ; /etc/init.d/dovecot restart ; /etc/init.d/postfix restart ; apache2ctl restart"
scp /etc/letsencrypt/live/sico.sicosoft.es/privkey.pem root@obelisk:/etc/perdition/perdition.key.pem
ssh root@obelisk "chmod 600 /etc/perdition/perdition.key.pem"
scp /etc/letsencrypt/live/sico.sicosoft.es/cert.pem root@obelisk:/etc/perdition/perdition.crt.pem
scp /etc/letsencrypt/live/sico.sicosoft.es/chain.pem root@obelisk:/etc/perdition/perdition.ca.pem
ssh root@obelisk "cat /etc/perdition/dhparam >> /etc/perdition/perdition.crt.pem"
ssh root@obelisk "/etc/init.d/perdition restart"
ssh root@obelisk "ps -efa | grep 'redir .*3.0.1.52 80\|redir .*3.0.1.52 443' | expand | sed 's/ */ /g' | cut -d ' ' -f 2 | xargs kill"
ssh root@obelisk "/etc/init.d/nginx start"
Y con esto ya está sico2.sicosoft.es en los certificados de sico, y el perdition arrancado en obelisk (sico2.sicosoft.es)
Update 20220426: No he conseguido que funcione. Pruebo con el nginx.
Monday, 25 April 2022, 9:21:13 am
Se da de alta avisossicosoft@sicosoft.es en iredmail Y se hace que las tres cuentas de avisos (incidencias_bit, avisos y avisospci) forwardeen a esa nueva cuenta.
NOTA: la idea es que se acceda a dicha con una conexión IMAP4 a vps.sicosoft.es, en el que estará rodando el perdition IMAP proxy
Thursday, 2 September 2021, 11:42:14 am
Filtro en asterisk/obelisk las conexiones al exterior al puerto 25 Para minimizar el riesgo de que mandemos SPAM. Ver entrada "Thursday, 2 September 2021, 11:41:13 am" en Seguridad en sico.
Thursday, 4 February 2021, 9:22:59 am
Cambio el hostname de zen a mail Ya que en revenga nos rechazaba los correos por no poder resolver el zen.sicosoft.es:
En zen, como root:
sed -i "s/zen/mail/g" /etc/hostname sed -i "s/zen.sicosoft.es/zen.sicosoft.es mail mail.sicosoft.es/g" /etc/hosts sed -i "s/zen.sicosoft.es/mail.sicosoft.es" /etc/postfix/main.cf reboot
Wednesday, 3 February 2021, 10:14:11 am
Se configura DKIM en zen y vps.sicosoft.es Siguiendo esta guía.
1. Se ha añadido el registro AAAA para vps.sicosoft.es (ipv6) en nominalia u se ha aladido dicha ipv6 al registrto SPF
2. Se ha configurado el PTR para vps.sicosoft.es en ovh.es
3. Se ha seguido la guía de arriba para instalar el opendkim; en zen, como root:
apt-get install opendkim opendkim-tools cat >> /etc/opendkim.conf <<'EOF' KeyTable /etc/opendkim/key_table SigningTable /etc/opendkim/signing_table ExternalIgnoreList /etc/opendkim/trusted_hosts InternalHosts /etc/opendkim/trusted_hosts AutoRestart Yes AutoRestartRate 10/1h Mode sv PidFile /var/run/opendkim/opendkim.pid SignatureAlgorithm rsa-sha256 Canonicalization relaxed/simple UserID opendkim:opendkim EOF mkdir -p /etc/opendkim/sicosoft.es cat >>/etc/opendkim/trusted_hosts <<'EOF' 127.0.0.1 3.0.1.0/24 EOF ssh root@vps.sicosoft.es apt-get update apt-get upgrade apt-get install opendkim opendkim-tools cat >> /etc/opendkim.conf <<'EOF' KeyTable /etc/opendkim/key_table SigningTable /etc/opendkim/signing_table ExternalIgnoreList /etc/opendkim/trusted_hosts InternalHosts /etc/opendkim/trusted_hosts AutoRestart Yes AutoRestartRate 10/1h Mode sv PidFile /var/run/opendkim/opendkim.pid SignatureAlgorithm rsa-sha256 Canonicalization relaxed/simple UserID opendkim:opendkim EOF cat >>/etc/opendkim/trusted_hosts <<'EOF' 127.0.0.1 83.48.87.215 EOF exit cd /etc/opendkim/sicosoft.es/ opendkim-genkey -s mail -d sicosoft.es chown opendkim:opendkim mail.private scp * root@vps.sicosoft.es:/etc/opendkim/sicosoft.es ssh root@vps.sicosoft.es "chown opendkim:opendkim /etc/opendkim/sicosoft.es/mail.private" cd /etc/opendkim cat >>/etc/opendkim/key_table <<'EOF' mail._domainkey.sicosoft.es sicosoft.es:mail:/etc/opendkim/sicosoft.es/mail.private EOF cd .. scp key_table root@vps.sicosoft.es:/etc/opendkim/ cat >>/etc/opendkim/signing_table <<'EOF' sicosoft.es mail._domainkey.sicosoft.es EOF scp signing_table root@vps.sicosoft.es:/etc/opendkim/ echo "SOCKET=inet:12345@localhost" >> /etc/default/opendkim ssh root@vps.sicosoft.es 'echo "SOCKET=inet:12345@localhost" >> /etc/default/opendkim' cat >>/etc/postfix/main.cf <<'EOF' # DKIM milter_protocol = 6 milter_default_action = accept smtpd_milters = inet:localhost:12345 non_smtpd_milters = inet:localhost:12345 EOF ssh root@vps.sicosoft.es cat >>/etc/postfix/main.cf <<'EOF' # DKIM milter_protocol = 6 milter_default_action = accept smtpd_milters = inet:localhost:12345 non_smtpd_milters = inet:localhost:12345 EOF exit cat /etc/opendkim/sicosoft.es/mail.txt
4. Se pone el registro TXT indicado en zen:/etc/opendkim/sicosoft.es/mail.txt en el DNS de nominalia.
5. Se añade el registro TXT siguiente a nominalia:
_adsp._domainkey.sicosoft.es. TXT "dkim=all"6. Se reinicia el opendkim y el postfix en zen:
/etc/init.d/opendkim restart /etc/init.d/postfix restart
7. Se reinicia el opendkim y el postfix en vps.sicosoft.es:
/etc/init.d/opendkim restart /etc/init.d/postfix restart
Thursday, 7 January 2021, 9:12:19 am
En zen, añado los usuarios dovecot y postfix al grupo ssl-cert, y hago que los cert. de letsencrypt sean de ese grupo
En zen, como root:
adduser dovecot ssl-cert adduser postfix ssl-cert chgrp ssl-cert /etc/letsencrypt/live/sico.sicosoft.es/* /etc/init.d/dovecot restart ; /etc/init.d/postfix restart
En asterisk, como root, modifico el /root/renew-certbot.sh para que tenga al final estas líneas:
...
# Comprobar que el certificado de zen está actualizado
if [ "m$(ssh root@zen 'cd /etc/letsencrypt/live/sico.sicosoft.es && cat fullchain.pem privkey.pem | md5sum | cut -c 1-32')" != "m$(cd /etc/letsencrypt/live/sico.sicosoft.es && cat fullchain.pem privkey.pem | md5sum | cut -c 1-32)" ] ; then
scp /etc/letsencrypt/live/sico.sicosoft.es/fullchain.pem \
/etc/letsencrypt/live/sico.sicosoft.es/privkey.pem root@zen:/etc \
/letsencrypt/live/sico.sicosoft.es/
ssh root@zen "chgrp ssl-cert /etc/letsencrypt \
/live/sico.sicosoft.es/* ; /etc/init.d/dovecot restart ; /etc/init.d/postfix restart ; apache2ctl restart"
fi
...
Por último, en zen, compruebo que el certificado que tiene ahora es el correcto. En zen, como root:
root@zen:~# cd /etc/letsencrypt/live/sico.sicosoft.es root@zen:/etc/letsencrypt/live/sico.sicosoft.es# cat fullchain.pem | openssl x509 -noout -enddate notAfter=Feb 18 15:41:26 2021 GMT root@zen:/etc/letsencrypt/live/sico.sicosoft.es#
Monday, 21 December 2020, 9:00:23 am
Cambio el enlace a los certificados en el dovecot
En zen, como root:
cd /etc/dovecot/ ln -s /etc/letsencrypt/live/sico.sicosoft.es/fullchain.pem dovecot.pem mv dovecot.pem dovecot.pem.orig cd private/ mv dovecot.pem dovecot.pem.orig ln -s /etc/letsencrypt/live/sico.sicosoft.es/privkey.pem dovecot.pem
Monday, 29 June 2020, 1:01:43 pm
Compruebo que no estemos en ninguna RPB usando anti-abuse.org
No estamos en ninguna de las RBL de las importantes, y del resto, solo mail.sicosoft.es está en una de spam-rats por estar en un segmento C con "poor standards compliance" en la que algún equipo de dicha clase C manda spam.
Monday, 22 June 2020, 8:17:34 am
ACTIVO EL SPAMASSASIN. Añado un blacklist en el spamassasin con un email del que está llegandp mucho spam Siguiendo este tutorial
cd /etc/postfix sed -i "s/2.136.41.224/83.48.87.215/g" main.cf /etc/init.d/postfix restart sed -i "s/2.136.41.224/83.48.87.215/g" /etc/default/iptables reboot
<code> cat /etc/apache2/sites-available/default-ssl | grep -v "#.*" | expand | sed "s/ *\$//g" | grep . | grep SSLCertif cd /etc/postfix sed -i "s:smtpd_tls_cert_file =.*:smtpd_tls_cert_file = /etc/letsencrypt/live/sico.sicosoft.es/fullchain.pem:g" main.cf sed -i "s:smtpd_tls_key_file =.*:smtpd_tls_key_file = /etc/letsencrypt/live/sico.sicosoft.es/privkey.pem:g" main.cf /etc/init.d/postfix restartroot@zen# for i in citasyencuentros-email.eu | while read l ; do echo "blacklist_from @$l" >> /etc/spamassassin/local.cf ; done
Activo el spamassasin con:
sed -i s/ENABLED=0/ENABLED=1/g /etc/default/spamassassin
Arranco el spamassasin con
/etc/init.d/spamassassin start
Por último, hago que postfix use al spamassasin
En el master.cf, cambio la línea smtp y añado la de spamassasin:
smtp inet n - - - - smtpd -o content_filter=spamassassin
spamassassin unix - n n - - pipe user=spamd argv=/usr/bin/spamc -f -e /usr/sbin/sendmail -oi -f ${sender} ${recipient}
Finalmente reinicio el postfix:
/etc/init.d/postfix restart
Monday, 8 June 2020, 9:51:08 am
Cambio la IP externa admitida para relay de correo en vps.sicosoft.es de la antigua a la nueva
Como root, en vps.sicosoft.es
sed -i "/^message_size_limit/d" /etc/postfix/main.cf echo "message_size_limit = 104857600" >> /etc/postfix/main.cf /etc/init.d/postfix restart
Tuesday, 3 December 2019, 8:53:12 am
Cambiamos la clave de las cuentas públicas de sico, por spam autentificado Resulta que con la cuenta de miguelarmenteros@sicosoft.es se estaba mandando spam con SMTP autentificado (tenia de clave m...p). Hemos cambiado la clave de las siguientes cuentas a i...9:
miguelarmenteros@sicosoft.es
rarias@sicosoft.es
javiersoler@sicosoft.es
carlosculebras@sicosoft.es
pablosoler@sicosoft.es
ggonzalez@sicosoft.es
miguelarmenteros@sicosoft.es
luislorido@sicosoft.es
dariorodriguez@sicosoft.es
davidbelinchon@sicosoft.es
beatrizfernandez@sicosoft.es
Nota: Para cambiar las claves hay dos maneras:
a) Entrar en el roundcube, y desde configuración se puede cambiar la contraseña poniendo la antigua y despues la nueva
b) desde https://zen.sicosoft.es/iredadmin/login, se entra como postmaster@sicosoft.es y clave m...p, se pincha en el número de usuarios del dominio sicosoft.es, se pincha en la ruedecita de un usuario y luego en el tab de contraseña y se mete la nueva.
Monday, 11 March 2019, 8:40:07 am
Cambio el certificado que usa el postfix en zen Estaba puesto el antiguo de startcom; pongo el nuevo de letsencrypt (el que está usando el webmail).
Como root, en zen:
ssh root@zen su postgres psql -l psql -d vmail select * from alias where address = 'saludsanchez@sicosoft.es' and domain = 'sicosoft.es'; update alias set goto = 'saludsd06@gmail.com' , domain = 'sicosoft.es' where address = 'saludsanchez@sicosoft.es' and domain = 'sicosoft.es'; select * from alias where address = 'saludsanchez@sicosoft.es'; commit; \q exit exit
Thursday, 7 March 2019, 10:38:54 am
Subo el límite de tamaño de mensaje en vps.sicosoft.es Estaba en 10MB, lo cambio para que tenga el mismo valor que en zen (100MB):
En vps.sicosoft.es, como root
echo "metromadrid.es smtp:vps.sicosoft.es:25" >> /etc/postfix/transport echo "contratas.metromadrid.es smtp:vps.sicosoft.es:25" >> /etc/postfix/transport echo "sice.com smtp:vps.sicosoft.es:25" >> /etc/postfix/transport echo "electren.com smtp:vps.sicosoft.es:25" >> /etc/postfix/transport echo "sinergiasl.com smtp:vps.sicosoft.es:25" >> /etc/postfix/transport postmap hash:/etc/postfix/transport /etc/init.d/postfix restart
Wednesday, 5 December 2018, 11:37:24 am
Cambio el forward de salud a gmail
echo "eaguilera.es smtp:vps.sicosoft.es:25" >> /etc/postfix/transport postmap hash:/etc/postfix/transport /etc/init.d/postfix restart
Friday, 26 October 2018, 10:43:45 am
Añado a metromadrid en al lista de dominios que se han de mandar a través del vps Se ha hecho los siguiente en zen, como root:
echo "indra.es smtp:vps.sicosoft.es:25" >> /etc/postfix/transport postmap hash:/etc/postfix/transport /etc/init.d/postfix restart
Update 20181029 Añado también a los aguilera:
echo "dragados.com smtp:vps.sicosoft.es:25" >> /etc/postfix/transport postmap hash:/etc/postfix/transport /etc/init.d/postfix restart
Update 20181212 Añado también a indra:
root@asterisk:~# cat renew-certbot.sh
#!/bin/bash
export PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
n=`certbot certificates 2>/dev/null | grep "[^A-Z]VALID: [0-9]" | wc -l | tr -dc 0-9`
if [ "m$n" != "m1" ] ; then
service nginx stop
certbot renew
service nginx start
scp /etc/letsencrypt/live/sico.sicosoft.es/fullchain.pem /etc/letsencrypt/live/sico.sicosoft.es/privkey.pem root@zen:/etc/letsencrypt/live/sico.sicosoft.es/
ssh root@zen "apache2ctl restart"
fi
Update 20200113 Añado también a dragados:
SSLCertificateFile /etc/letsencrypt/live/sico.sicosoft.es/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/sico.sicosoft.es/privkey.pem
Thursday, 13 September 2018, 9:39:22 am
Hago que el servdor de correo de zen use los certificados de asterisk
1. pongo el id_rsa.pub de root@asterisk en el authorized_hosts de root@asterisk
2. En zen creo el directorio /etc/letsencrypt/live/sico.sicosoft.es/
3. Hago que el script root@asterisk/renew-certbot.sh copie los certificados al actualizarlos, quedando así:
scp /etc/letsencrypt/live/sico.sicosoft.es/fullchain.pem /etc/letsencrypt/live/sico.sicosoft.es/privkey.pem root@zen:/etc/letsencrypt/live/sico.sicosoft.es/
ssh root@zen "apache2ctl restart"
4. Cambio la configuración de apache en zen para que use los nuevos certificados; en root@zen:/etc/apache2/sites-enabled/default-ssl edito las líneas de ssl para que queden así:
ssh root@zen su postgres psql -l psql -d vmail select * from alias where address = 'jjcriado@sicosoft.es' and domain = 'sicosoft.es'; select * from alias where address = 'saludsanchez@sicosoft.es' and domain = 'sicosoft.es'; update alias set goto = 'salud_sanchezd@yahoo.es' , domain = 'sicosoft.es' where address = 'saludsanchez@sicosoft.es' and domain = 'sicosoft.es'; select * from alias where address = 'saludsanchez@sicosoft.es'; commit; update alias set goto = 'jesusjcriado@yahoo.es' , domain = 'sicosoft.es' where address = 'jjcriado@sicosoft.es' and domain = 'sicosoft.es'; select * from alias where address = 'jjcriado@sicosoft.es'; commit; \q exit exit
5. Desde root@asterisk, hago la copia de los certificados y reinicio el apache de zen probando que funciona todo bien:
ssh root@zen su postgres psql -l psql -d vmail select * from alias where address = 'jjcriado@sicosoft.es' and domain = 'sicosoft.es'; update alias set goto = 'jjcriado@sicosoft.es' , domain = 'sicosoft.es' where address = 'jjcriado@sicosoft.es' and domain = 'sicosoft.es'; select * from alias where address = 'jjcriado@sicosoft.es'; commit; \q exit exit
Friday, 24 August 2018, 10:09 am
Se pone el transport del postfix de zen que mande los correos a yahoo a través del vps Ver la entrada del "Friday, 24 August 2018, 10:09 am" en Seguridad en sico.
Thursday, 12 July 2018, 11:05:08 am
Vuelvo a poner las redirecciones a yahoo de Salud y Jesús
dario@uiharu:~$ telnet imr.metromadrid.es 25 Trying 185.89.60.40... Connected to imr.metromadrid.es. Escape character is '^]'. 220 ESMTP IMSVA HELO zen.sicosoft.es ESMTP Postfix (Debian/GNU) 250 imr-out.metromadrid.es MAIL FROM:<javiersoler@sicosoft.es> 250 2.1.0 Ok QUIT 221 2.0.0 Bye Connection closed by foreign host. dario@uiharu:~$ telnet imr.metromadrid.es 25 Trying 185.89.60.40... Connected to imr.metromadrid.es. Escape character is '^]'. 220 ESMTP IMSVA HELO zen.sicosoft.es ESMTP Postfix (Debian/GNU) 250 imr-out.metromadrid.es RCPT TO:<sonia.fernandez@metromadrid.es> 550 Service unavailable; Client Host [2.136.17.213] blocked using Trend Micro RBL+. Please see http://www.mail-abuse.com/cgi-bin/lookup?ip_address=2.136.17.213 Connection closed by foreign host. dario@uiharu:~$
Thursday, 5 July 2018, 8:33:43 am
Hago que zen acepte mensajes de 3.0.1.44 sin autentificar, igual que ya hacía con 3.0.1.170 Modifico el /etc/postfix/mail.cf del postfix de zen para añadir un ", 3.0.1.44/32" al "mynetworks" y lo reinicio con un "/etc/init.d/postfix restart". Esto se ha hecho por lo de los forwardeos desde asterisk en la oficina temporal de valdelaparra 4 a la oficina normal en valdelaparra 27 usando el mifi.
Thursday, 24 May 2018, 9:41:02 am
Quito la redireccion de jjcriado@sicosoft.es a yahoo (hay problemas con yahoo ahora) Hago lo siguiente:
root@zen:~# telnet imr.metromadrid.es 25 Trying 185.89.60.40... Connected to imr.metromadrid.es. Escape character is '^]'. 220 ESMTP IMSVA HELO sicosoft.es 250 imr-out.metromadrid.es MAIL FROM:<javiersoler@sicosoft.es> 250 2.1.0 Ok QUIT 221 2.0.0 Bye Connection closed by foreign host.
Monday, 21 May 2018, 11:28:58 am
Hago que los correos de mantenimiento enviados por salchicha tengan un "FROM" de sico He cmabiado lo siguiente:
1. En salchicha he creado dos nuevos usuarios: dariorodriguez y beatrizfernandez
2. En salchicha, he puesto regras en el sudoers (visudo) para que el usuario dario pueda ejecutar cosas como dichos ususarios usando sudo
3. En salchicha he en el cambiado el /etc/exim.conf lo siguiente:
- qualify_domains era "salchicha.sicosoft.es", ahora es "sicosoft.es" (sin la comillas)
- local_domains era "localhost:salchicha.sicosoft.es", ahora es "" (sin las comillas)
- relay_domains estaba comentado, ahora está sin comentar y con el contenido "sicosoft.es".
5. En zen he cambiado en /etc/postfix/mail.cf el "mynetworks", que antes estaba con "127.0.0.0/8" y ahora está con "127.0.0.0/8, 3.0.1.170/32"
6. En zen, he reniciado el servidor de correo de zen con "/etc/init.d/postfix restart"
7. He comprobadoq ue no tenemos ningún open relay usando mx toolbox para mailmail2>https://mxtoolbox.com/SuperTool.aspx?action=smtp%3amail2.sicosoft.es&run=toolpage
8. He cambiado todas las scripts de salchicha:/home/dario/bin para que llamen al "uuenview" o el "mail -s" usando el sudo con el usuario dariorodriguez.
Tuesday, 24 April 2018, 9:56:02 am
Localizado el problema de correo con metro con la nueva IP de fibra de SICO: era la RBL de trend micro
root@zen:~# cd /etc/postfix/ root@zen:/etc/postfix# rgrep smtpd_banner . ./main.cf.2014.02.20.16.55.33:smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU) ./main.cf:smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU) root@zen:/etc/postfix# sed -i "s/^smtpd_banner = .myhostname \(.*\)/smtpd_banner = sicosoft.es \1/g" ./main.cf root@zen:/etc/postfix# rgrep smtpd_banner . ./main.cf.2014.02.20.16.55.33:smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU) ./main.cf:smtpd_banner = sicosoft.es ESMTP $mail_name (Debian/GNU)
Tuesday, 24 April 2018, 9:29:52 am
Cambio el smtp banner a sicosoft.es Ya que si no, parece que no funciona el correo contra metro por culpa del EHLO, ya que con el EHLO correcto funciona bien (cómo probar):
su postgres psql -l psql -d vmail update alias set goto = 'administracion@sicosoft.es' , domain = 'sicosoft.es' where address = 'administracion@sicosoft.es' and domain = 'sicosoft.es'; select * from alias where address = 'administracion@sicosoft.es'; commit; \q exit
Para cambiar el smtpd_banner:
mv sicosoft.es.2016.key sicosoft.es.2016.secure.key openssl rsa -in sicosoft.es.2016.secure.key-out sicosoft.es.2016.key
Wednesday, 14 March 2018, 10:32:21 am
Quito la redirección de la cuenta de administracion@sicosoft.es Y hago que se almacene localmente (vuelve al estado normal).
Como root, en zen:
mkdir t cd t unzip ../sicosoft.es.zip mkdir other cd other unzip ../OtherServer.zip cat 2_sicosoft.es.crt 1_Intermediate.crt root.crt > sicosoft.es.pem
Thursday, 22 September 2016, 11:08:43 am
Actualizamos los certificados de mail.sicosoft.es en zen Que estaban a punto de expirar. Los nuevos están en
uiharu:~/startcomssl-sicosoft.es/2016
Procedimiento que se ha seguido:
1. En el directorio mencionado antes de uiharu, quitar la clave al .key
cd /etc/ssl/private mv iRedMail.key iRedMail.key.2015 scp dario@3.0.1.3:~/startcomssl-sicosoft.es/sicosoft.es.2016.key iRedMail.key chown root:ssl-cert iRedMail.key chmod 640 iRedMail.key cd /etc/ssl/certs mv iRedMail_CA.pem iRedMail_CA.pem.2015 scp dario@3.0.1.3:~/startcomssl-sicosoft.es/t/other/sicosoft.es.pem iRedMail_CA.pem apache2ctl restart /etc/init.d/postfix restart
2. Generar el .pem desde el other:
./daemon.log:Jun 28 15:19:44 zen named[2475]: error (network unreachable) resolving 'achilles.com.dbl.spamhaus.org/A/IN': 2610:80:4:7:21e:68ff:fe65:5098#53 ./daemon.log:Jun 29 10:34:16 zen named[2475]: error (network unreachable) resolving 'achilles.com.dbl.spamhaus.org/A/IN': 2610:80:4:7:21e:68ff:fe65:5098#53 ./daemon.log:Jun 30 08:46:56 zen named[2475]: error (network unreachable) resolving 'achilles.com.dbl.spamhaus.org/A/IN': 2001:7b8:62b:0:400:d4ff:fe72:71ac#53 ./daemon.log:Jun 30 08:46:56 zen named[2475]: error (network unreachable) resolving 'achilles.com.dbl.spamhaus.org/A/IN': 2001:610:511:194:194:104:0:140#53 ./daemon.log:Jun 30 08:46:56 zen named[2475]: error (network unreachable) resolving 'achilles.com.dbl.spamhaus.org/A/IN': 2001:7c0:701:23::184#53 ./daemon.log:Jun 30 08:46:56 zen named[2475]: error (network unreachable) resolving 'achilles.com.dbl.spamhaus.org/A/IN': 2610:80:4:7:21e:68ff:fe65:5098#53
3. Se instala en zen, como root
# run resolvconf? RESOLVCONF=no # startup options for the server OPTIONS="-u bind -4"
Thursday, 30 June 2016, 11:36:30 am
Pongo el bind9 en IPV4 ONLY para zen Ya que me ocurría lo de este post, es decir:
$ dig @dns1.nominalia.com MX sicosoft.es ... sicosoft.es. 900 IN MX 10 mail.sicosoft.es. sicosoft.es. 900 IN MX 20 mail2.sicosoft.es. ... $ dig @dns2.nominalia.com MX sicosoft.es ... sicosoft.es. 900 IN MX 20 mail2.sicosoft.es. sicosoft.es. 900 IN MX 10 mail.sicosoft.es. ...
Lo que he hecho ha sido añadir un "-4" al /etc/default/bind9
/etc/default/bind9
postconf -e message_size_limit='104857600' /etc/init.d/postfix restart vi /etc/php5/apache2/php.ini
Y luego
/etc/init.d/bind9 restart
Monday, 11 January 2016, 11:32 am
Cambiamos el DNS a los servidores de nominalia Ya que telefónica finalmente ha bloqueado el DNS también en el ADSL. Se ha dado de alta desde el interfaz web de nominalia, en el ordenador windows de Javi. Hemos dado de alta las entradas que había en el maradns de database en dicho DNS.
Comprobado en:
- Estado de dominio en red.es/dominios.es (sicososft.es DNS SERVERS: dns2.nominalia.com dns1.nominalia.com )
- Haciendo un dig desde fuera de la oficina:
memory_limit = 256M; post_max_size = 100M; upload_max_filesize = 100M;
Solo falta que el DNS se propague al resto de servidores raíz.
Friday, 28 August 2015, 9:25:01 am
Renovar el "client certificate" de startcom ssl (la identificación de Javi para poder entrar en StartSSL.com) Es esto, que copio a continuación (ligeramente editado):
Hello, I received the following mail:
It is done with the following procedure: Login -> "Validations Wizard" -> "Email Validation", get the code and validate. Then "Certificates Wizard" -> "S/MIME and Authentication Certificate" -> .... browser asks if you wanna install........ some more prompts and done. |
Friday, 31 July 2015, 11:22:11 am
Aumento el tamaño máximo de attachs en los correos a 100MB (estaba en 10MB) Siguiendo este tutorial para iRedMail:
En zen, como root:
cd /etc/postfix echo "ignore_mx_lookup_error = yes" >> main.cf echo "smtp_defer_if_no_mx_address_found = yes" >> main.cf postfix reload
Y ahí se cambian las lineas de memory_limit, upload_max_filesize y post_max_size para que queden así:
su postgres
Por último, se reinicia el apache:
/etc/init.d/apache2 restart
Monday, 1 June 2015, 8:28:53 am
Cambio la redirección de sicosoft@sicosoft.es A petición de Chiro, la he cambiado de' 'correoanacr@yahoo.es' a 'mercedescriadoregidor@gmail.com'.
Tuesday, 2 September 2014, 10:45:23 am
Añado un alias a sico2.sicosoft.es (fibra) con el nombre vpn.sicosoft.es Tanto en el openBSD (/var/named/zones/sicosoft.es.db) como en database (/etc/maradns/db.sicosoft.es).
Monday, 7 July 2014, 9:04:45 am
Añado salchicha al whitelist de fail2ban en zen Siguiendo este howto. El día que se fue la luz salchicha debió hacer demasiados reintentos de mandar e-mails cuando se estaba funcionando con los SAIs y el fail2ban detectó muchos intentos fallidos y lo puso en el blacklist.
En zen, como root:
vi /etc/fail2ban/jail.confAñadir 3.0.1.170 al ignoreip
:wq /etc/init.d/fail2ban restart
Thursday, 29 May 2014, 4:25:26 pm
Cambio la configuración del postfix de zen para ser más permisivo con los mx A veces los mails automáticos se bloquean por no poder resolver temporalmente cofely-gdfsuez.com; he hecho lo siguiente en zen:
$ mysql -uroot -p
mysql> USE vmail;
mysql> INSERT INTO alias (address, goto, domain) values ('orig@domain.ltd', 'user01@gmail.com,user02@hotmail.com', 'domain.ltd');
Wednesday, 26 February 2014, 9:12:37 am
Hacer los forwards de mandar una copia de los emails a otra cuenta Esos se hacen desde el sieve. Para eso se entra en el oundcube y en configuracion, filtros y se añade un nuevo filtro dentro del grupo "managesieve" que existe por defecto:
- a todos los mensajes
- enviar copia a...
- guardar
Tuesday, 25 February 2014, 8:53:05 am
Cambiar los forwards en la BBDD postgres de iredmail
como root:
/etc/init.d/exim4 stop /etc/init.d/openbsd-inetd stop cd /home/avisospci/ cat Elementos\ enviados | gzip -9 > Elementos\ enviados_backup_`date +%Y%m%d`-1.gz mv Elementos\ enviados Elementos\ enviados.old mboxgrep -H -v "^Date:.* 2014 " Elementos\ enviados.old > ../xavisospci2013/Elementos\ enviados mboxgrep -H "^Date:.* 2014 " Elementos\ enviados.old > Elementos\ enviados grep Elementos\ enviados .mailboxlist >> ../xavisospci2013/.mailboxlist chown xavisospci2013:xavisospci2013 ../xavisospci2013/Elementos\ enviados chown xavisospci2013:xavisospci2013 ../xavisospci2013/.mailboxlist /etc/init.d/exim4 start /etc/init.d/openbsd-inetd start
Par ver la lista de BBDD:
psql -l
Para ver las tablas en la BBDD vmail:
psql -d vmail vmail=# select tablename from pg_tables;
Para ver los campos de la tabla alias:
vmail=# \d alias;
Para ver los registros de la tabla alias:
vmail=# select * from pg_tables where tablename = 'alias';
Para ver solo los registros que tienen unos determinados campos:
vmail=# select * from alias where address = 'jjcriado@sicosoft.es' and domain = 'sicosoft.es';
Para actualizar un registro:
vmail=# update alias set goto = 'jesusjcriado@yahoo.es' , domain = 'sicosoft.es' where address = 'jjcriado@sicosoft.es' and domain = 'sicosoft.es'; vmail=# select * from alias where address = 'jjcriado@sicosoft.es';Y si no te has equivocado:
vmail=# commit;Si quieres volver atrás por haberte equivocado:
vmail=# rollback;
En resumen
su postgres psql -d vmail select * from alias where address = 'jjcriado@sicosoft.es'; update alias set goto = 'jesusjcriado@yahoo.es' where address = 'jjcriado@sicosoft.es'; select * from alias where address = 'jjcriado@sicosoft.es'; commit;
Monday, 24 February 2014, 9:56:23 am
Copiar los correos del servidor zen(exim4) al nuevo servidor zen(iredmail) Según este thread, primero hay que convertir los mensajes de mbox a maildir y después simplemente copiarlos a la carpeta correspondiente:
/var/vmail/...y luego:
find /var/vmail -exec chown vmail:vmail \{\} \;
find /var/vmail -type d -exec chmod 0700 \{\} \;
find /var/vmail -type f -exec chmod 0600 \{\} \;
Para convertirlo al final he hecho lo siguiente:
como root@zen(iredmail) he copiado los e-mails antiguos (por si acaso):
mkdir oldmail
cd oldmail/
scp -r root@3.0.1.124:/var/spool/mail/* .
scp -r root@3.0.1.124:/home .
chown -R vmail:vmail .
Después, para cada cuenta de correo en zen(exim4):
su - nombreusuario
mb2md -m ; if [ -f .mailboxlist ] ; then mb2md -s . -R ; fi
Y por último, se copian
en root@zen(iredmail)
iredmail# sudo -u vmail /bin/bash
iredmail$ cd /var/vmail/vmail1/sicosoft.es/n/o/m/nombre-fecha/Maildir
iredmail$ socket-upipe-server 10000 | tar -xvzf -
en nombreuruario@zen(exim4)
nombreusuario@zen(exim4)$ tar -cvzf - Maildir/ | socket-upipe-client 3.0.1.124 10000
Friday, 21 February 2014, 5:20:08 pm
Habilitar un servidor DNS terciario Usando a freedns
Friday, 21 February 2014, 9:10:06 am
Hacer forwards con el iRedMail Se hacen según este howto. Básicamente:
- For MySQL backend, you can create new record in table "vmail". for example:
zen# /etc/init.d/exim4 stop zen# /etc/init.d/openbsd-inetd stop zen# cd /var/spool/mail zen# cat avisospci | gzip -9 > avisospci_backup_`date +%Y%m%d`-1.gz zen# mv avisospci avisospci.old zen# mboxgrep -H -v "^Date:.* 2014 " avisospci.old > avisospci2013 zen# adduser avisospci2013 zen# chown avisospci2013:mail avisospci2013 zen# mboxgrep -H "^Date:.* 2014 " avisospci.old > avisospci zen# chown avisospci:mail avisospci zen# /etc/init.d/exim4 start zen# /etc/init.d/openbsd-inetd start
Thursday, 20 February 2014, 1:46:44 pm
Probar el iRedMail Como zen está haciendo cosas raras, sería cuestión de probar http://www.iredmail.org/. Instrucciones para debian 7.
Tuesday, 28 January 2014, 8:26:21 am
Pasamos lo elementos enviados de la cuenta avisospci a xavisospci2013 Resulta que los elementos enviados están en el home del usuario; la parte relevante son los ficheros:
.mailboxlist Elementos enviados
Dentro de .mailboxlist está la lista de ficheros que implementa cada carpeta.
Lo que hemos hecho ha sido:
zen# /etc/init.d/exim4 stop zen# /etc/init.d/openbsd-inetd stop zen# cat avisos | gzip -9 > avisos_backup_`date +%Y%m%d`-1.gz zen# ps -efa | grep exim zen# mv avisos avisos.old zen# mboxgrep -H -v "^Date:.* 2012 " avisos.old > avisos2011 zen# mboxgrep -H "^Date:.* 2012 " avisos.old > avisos zen# chown avisos2011:mail avisos2011 zen# chown avisos:mail avisos zen# /etc/init.d/exim4 start zen# /etc/init.d/openbsd-inetd start
Friday, 10 January 2014, 5:39:22 pm
Se renombra la cuenta avisospci2013 a xavisospci2013 Ya que no puncionaba lo de marcar como leído en la cuenta avisospci. Suponemos que es porque los 8 primeros caracteres de la cuenta no son únicos y se hace un lío. Después de renombrar a xavisospci2013 la cuenta avisospci (tanto en el /home como en el /etc/passwd) ya funciona correctamente.
Tuesday, 7 January 2014, 8:09:34 am
Se pasan los correos antiguos de avisospci a la cuenta avisospci2013 Se ha hecho lo siguiente:
deny message = HELO/EHLO $sender_helo_name is locally blacklisted here. If you think this is wrong, get in touch with postmaster
!acl = acl_whitelist_local_deny
condition = ${if match_domain{$sender_helo_name}{realsocks.com}{yes}{no}}
delay = 45s
Thursday, 3 October 2013, 4:47:37 pm
Se han habilitado los DNS en la fibra de internetti (y se deja como estaba el del ADSL de database) Se ha hecho lo siguiente:
- configurado el bind9 de internetti para que sirva el DNS de sicosoft.es
- sincronizada la configuración del maradns de database para que contenga los mismos datos que el bind9 de internetti
- se han modificado en nominalia los servidores DNS para que apunten a:
| 112.red-80-28-211.adsl.static.ccgg.telefonica.net |
| 188.red-80-28-221.adsl.static.ccgg.telefonica.net |
- se ha configurado el firewall de internetti para que forwardee smtp a zen preservando la ip de origen
- se ha cambiado el mailserver principal para que sea mail.sicosoft.es (internetti) y así el correo entre/salga por defecto usando la fibra (el adsl queda como "backup").
Friday, 30 August 2013, 3:20:16 am
Se ha sustituido el equipo internetti por uno nuevo (i3 c/ Debian7 ejecutándose desde flash) Se ha seguido el mismo procedimiento de instalación que para NAS (ver diario de servicios internos).
Después se ha hecho lo siguiente:
- Mejorar la script sustituta de /etc/init.d/networking para que soporte varias redes
- Poner el firewall /etc/init.d/firewall y hacer que se llame desde /etc/init.d/networking
- Instalar el bind9 (pero no se ha configurado aún para servir el dominio de sicosoft.es); para ello se ha montado / como rw, instalado el bind9, se ha parado el servidor, convertido el /var/cache/bind en bind-saved y creado un nuevo directorio bind con user:group root:bind, puesto en /sbin/init-ro y reiniciado el servicio.
Monday, 28 May 2012, 5:21:28 pm
Se pasan los correos de la cuenta de avisos del 2011 a la cuenta avisos2011 Usando el método "complicado" que ya se usó para el 2009:
uservacation:
debug_print = "R: vacation for $local_part@$domain"
driver = accept
domains = +local_domains
require_files = $home/.vacation
check_local_user
# do not reply to errors or lists
condition = ${if or { \
{match {$h_precedence:} {(?i)junk|bulk|list}} \
{eq {$sender_address} {}} \
} {no} {yes}}
# do not reply to errors or bounces or lists
senders = ! ^.*-request@.*:\
! ^bounce-.*@.*:\
! ^.*-bounce@.*:\
! ^owner-.*@.*:\
! ^postmaster@.*:\
! ^webmaster@.*:\
! ^listmaster@.*:\
! ^mailer-daemon@.*:\
! ^root@.*
no_expn
transport = uservacation_transport
unseen
no_verify
Thursday, 19 April 2012, 7:02:46 pm
He añadido 3.0.1.45 y 3.0.1.99 a la lista de not_relay_from_hosts Editando el /etc/exim4/exim4.conf. Esto es en preparación al cambio desde el ADSL a la fibra.
Wednesday, 7 December 2011, 4:38:04 pm
Para poner un filtro a avisos de manera que algunos mensajes vayan a otra cuenta Específicamente desde la cuenta de avisos a la de avisosmlo. Se pide que "Necesitaremos que al principio, hasta que se estabilicen los envíos, se
redirijan los correos que llegan a avisos@sicosoft.es procedentes de com-incidencias@infoglobal.es a esa nueva cuenta." y también si vienen en el subject la palabra "mlo" o "MLO". Se hace según este post usando un exim filter en el .forward para que se lo pase al procmail y éste lo duevelva a la cuenta adecuada del exim.
Wednesday, 28 September 2011, 4:54:29 pm
Añado que el servidor de correo no acepte mensajes con el helo "realsocks.com" He añadido al /etc/exim4/exim4.conf lo siguiente dentro de la parte de ACLs (info utilizada):
uservacation_transport: driver = autoreply file = $home/.vacation file_expand once = $home/.vacation.db # to use a flat file instead of a db specify once_file_size once_file_size = 2K once_repeat = 14d from = $local_part@$domain to = $sender_address subject = "Re: $h_subject" |
NOTA: Se pueden añadir más dominios separándolos por ":".
Friday, 16 September 2011, 6:43:07 pm
Instalo el DNS (maradns) en shirka Y copio la configuración desde la de internetti (/etc/maradns/*), pero cambiando en el mararc la IP local de la máquina a la que corresponde (dejo comentada la línea de de la que no le corresponde, y hago lo propio con el mararc de internetti, para que sean iguales salvando qué línea tienen comentada).
Friday, 29 July 2011, 4:24:29 pm
Implemento el .vacation en el exim de zen Usando estas instrucciones. Se ha editado el fichero /etc/exim4/exim4.conf , ya que es el que esta en uso:
zen:/etc/exim4# exim4 -bV | tail -1 Configuration file is /etc/exim4/exim4.conf
Se han añadido el roputer de vacation y el transport correspondiente. Por "completitud", también los he puesto en
/etc/exim4/conf.d/router/601_exim4-config_vacation /etc/exim4/conf.d/transport/30_exim4-config_vacationtransport... aunque no se usan (ya que no es usa el exim.conf autogenerado).
Cambios en el /etc/exim4/exim4.conf:
En la parte de "begin routers" he añadido:
zen# adduser avisos2010 zen# cd /var/spool/mail zen# /etc/init.d/exim4 stop zen# /etc/init.d/openbsd-inetd stop zen# cat avisos | gzip -9 > avisos_backup_`date +%Y%m%d`-1.gz zen# mv avisos avisos2010 zen# chown avisos2010:mail avisos2010 zen# /etc/init.d/exim4 start zen# /etc/init.d/openbsd-inetd start |
En la parte de "begin transports" he añadido:
zen# adduser avisos2009 zen# cd /var/spool/mail zen# cat avisos | gzip -9 > avisos_backup_`date +%Y%m%d`-1.gz zen# mboxgrep -H -v "^Date:. 2010 " > avisos2009 zen# chown avisos2009:mail avisos2009 zen# /etc/init.d/exim4 stop zen# pkill exim4 zen# mv avisos avisos.old zen# mboxgrep -H "^Date:.* 2010 " avisos.old > avisos zen# chown avisos:mail avisos zen# /etc/init.d/exim4 start |
P.D.: Para repurar que funcionaba, he usado un
exim -d -bt luislorido@sicosoft.espara simular que llegaba un correo a luislorido, que tenía el .vacation activado.
Monday, 31 January 2011, 1:18:02 pm
Hacer que un mensaje se forwardee a otra cuenta pero que también llegue a la cuenta local (vamos que forwardee una copia) Hay un interesante thread sobre esto aquí. Básicamente es crear un .forward con el siguiente contenido:
.forward
| # Exim filter if error_message then seen finish endif unseen deliver somebody_else@... unseen finish |
Tuesday, 28 December 2010, 11:04:06 am
Se pasan los correos de la cuenta de avisos del 2010 a la cuenta avisos2010 Esta vez es más fácil:
#!/bin/sh
cd /var/spool/mail/backup
for i in 0 1 2 3 4 5 6 7 8 ; do
if [ -e avisos.${i}.bz2 ] ; then
mv avisos.${i}.bz2 avisos.$(( $i + 1 )).bz2
fi
done
cat ../avisos | bzip2 -9 > avisos.0.bz2Tuesday, 20 April 2010, 5:30:25 pm
Se pasan los correos de la cuenta de avisos anteriores a 2010 a la cuenta avisos2009 Se ha hecho lo siguiente:
Thursday, 8 April 2010, 4:01:55 pm
Para sico2.sicosoft.es hemos entrado en la RBL de RBLSpam.de La página de notificación de inclusión incorrecta para RBLSpam.de es esta. He mandado la noticiación de no ser spammers...
Friday, 12 March 2010, 5:27:39 pm
Puesto una script en el cron (a la 1am) para que pase los correos "atascados" de jesús a la cuenta jjcriadolocal Les cambia el destinatario, etc, etc. Usando la script /usr/local/sbin/eximjjcriado2local.
Monday, 8 March 2010, 4:52:11 pm
He puesto el trickle para limitar el ancho de banda que puede chupar el exim en zen En zen he añadido el siguiente script de arranque:
/etc/rcS.d/S56trikled_sico
| #!/bin/sh /usr/bin/trickled -u 30 -d 200 2>/dev/null >/dev/null & |
También se ha hecho que en vez de arrancar el exim4 directamente, se arranque usando el trickle:
# cd /usr/sbin # mv exim4 exim4.real # echo '#!/bin/sh' > exim4 # echo 'exec /usr/bin/trickle /usr/sbin/exim4.real "$@"' >> exim4 # chmod a+x exim4
Y después se ha reiniciado el servicio de correo.
Wednesday, 24 February 2010, 4:22:04 pm
Añado un whitelist al spamassasin para los emails de incidencias de infoglobal En el /etc/spamassassin/local.cf :
whitelist_from com-incidencias@infoglobal.es
Tuesday, 16 February 2010, 4:28:40 pm
Para los Windows: imapproxy IMAP Compression Proxy (download) Es un programa (Perl) que se instala en el Windows de manera que el Outlook no tenga que transferir tantas cosas al comunicar con la cuenta imap.
Update: No funciona; al editar el "\Program Files\fastproxy\lib\inc\imap_compress_proxy.pl" para que ponga 3.0.1.124 en vez de mail.messagingengine.com, pues no arranca el programa :-/.
Update2: Investigando un poco más, resulta que no iba a funcionar de todas formas. El programa en cuestión en un proxy para que si el cliente de correo IMAP no soporta COMPRESS=DEFLATE y el servidor sí lo hace, conseguir que el cliente lo use (equivalente a lo conseguir que un cliente use SSL con stunnel, pero para la compresión). Como con carpetas muy grandes la velocidad de transferencia es importante, consigue que el programa no se bloquee con ello. Además, al cachear los datos consigue que "todo quede en casa". Nuestro servidor imap no soporta esa característica (usamos uno antiguo para que el nullwebmail funcione correctamente).
Tuesday, 12 January 2010, 5:06:26 pm
Puesto en zen los repositorios security y volatile (de lenny) y actualizado Ya que el spamassasin no era todo lo moderno que podía ser. NOTA: mirando como automatizar esto, he visto que existe el cron-apt, pero como no es trivial el poner que actualice un paquete con el cron, no lo he instalado al final.
Wednesday, 9 December 2009, 5:12:21 pm
Puesto un cron para hacer un backup mensual del contenido del inbox de avisos Básicamente lo que he hecho ha sido:
/var/spool/mail/backup/backup-mail.sh
Y el cron:
zen:/var/spool/mail/backup# crontab -l
# m h dom mon dow command
0 * * * * /etc/init.d/ntpdate start
0 4 1 * * /var/spool/mail/backup/backup-mail.sh 2>/dev/null >/dev/null
Monday, 2 November 2009, 6:39:14 pm
Añado un whitelist en el spaassasin con los e-mails que se usan actualmente en sico Siguiendo este documento he hecho un:
root@zen# ls -1 | sed "s/\$/@sicosoft.es/g" | sed "s/^/whitelist_from /g" >> /etc/spamassassin/local.cf
Y después he borrado los que no se usaban de dicha lista, y he reiniciado el spamassasin.
Tuesday, 29 September 2009, 6:07:20 pm
stunnel en windows vista Se siguen las instrucciones de este post y este otro post
Monday, 4 May 2009, 6:29:25 pm
Restauro el servidor web https en zen (para correo externo) Resulta que la actualización del S.O. ha cambiado el lugar del stunnel (antes en /usr/sbin/stunnel ahora en /usr/bin/stunnel) y la script de arranque del mathopd no lo encontraba. He modificado /etc/init.d/mathopd para que use la nueva localización y ya vuelve a funcionar el https://mail2.sicosoft.es.
Wednesday, 29 April 2009, 4:36:44 pm
Instalo el paquete sa-exim en zen Tal y como recomienda este howto de tiempos de woody Este otro howto para sarge es un poco más completo, ya que menciona /etc/exim4/sa-exim.conf y que hay que poner "SAEximRunCond: 1"
En la documetnación de sa-exim (/usr/share/doc/sa-exim/README.Debian.gz), se especifica que para averiguar qué configuración está tomando exim4, hay que hacer:
# exim4 -bV | tail -1 Configuration file is /etc/exim4/exim4.conf
COmo según eso, significa que se está utilizando una configuraón "manual", independiente de exim2-config, y que no se recreará si se usa el update-exim4.conf, hay que añadir la línea
local_scan_path = /usr/lib/exim4/local_scan/sa-exim.soa dicho fichero, y eso he hecho. De paso, modifico update-exim4.conf.sico para que informe de esto.
NOTA: Según este bug (cerrado), dicha línea hay que añadirla en la parte inicial del exim4.conf, p.ej después de CONFDIR. Eso he hecho (ya uqe me salía un error de 'option "local_scan_path" unknown' al intentar rearrancarlo).
Tuesday, 28 April 2009, 7:19:29 pm
Instalación del SpamAssassin en zen Vamos, que aparte de lo del "apt-get install spamassassin" se ha modificado el /etc/default/spamassassin para activar el demonio y el cron. Para integrarlo con exim4 se puede seguir este howto.
AVISO: He seguido el howto, pero al ejecutar update-exim4.conf.sico o el update-exim4.conf, no se modifica de forma correspondiente el /var/lib/exim4/config.autogenerated ??? (no siquiera sale lo del qualify_domain/primary_hostname que dice el .sico )
FALTA: La parte del spamassasin del howto
Tuesday, 28 April 2009, 7:17:22 pm
Actualización de zen de sarge a etch y de ahí a lenny No ha habido problemas importantes (aunque en la actualización a etch ha quitado el núcleo, ha sido cuestion de hacer un "aptitude install linux-image-686" una vez en etch). Ha desinstalado pike7.2, pero no se usaba. El procedimiento que se ha seguido para las dos actualizaciones es el mismo, es decir:
- Actualizar el /etc/apt/sources.list
- Añadir la clave de debian (ver Secure-apt en debian etch)
- Actualizar la lista de paquetes ("aptitude update")
- instalar el aptitude y dpkg nuevos ("aptitude install aptitude dpkg")
- Hacer el upgrade ("aptitude dist-upgrade")
- Para el caso de etch, instalar el núcleo otra vez ("aptitude install linux-image-686")
- Reiniciar y comprobar que se sigue recibiendo correo en SICO (mandar un correo desde un webmail a una cuenta de SICO).
Thursday, 24 July 2008, 7:33:43 pm
Configuración final de MaraDNS en internettiold, como DNS único (sin usar al bind) He puesto un "exit 0" en el /etc/init.d/bind, y he puesto la misma configuración de maradns que en internetti (me he llevado el directorio /etc/maradns de internetti a internettiold), y he editado el mararc para que la línea de addresses sea:
| ipv4_bind_addresses = "192.168.0.1, 3.0.1.51, 127.0.0.1, 10.0.4.2" |
Thursday, 24 July 2008, 7:09:02 pm
Configuración final de MaraDNS en internetti, como DNS único (sin usar al bind) He puesto un "exit 0" en el /etc/init.d/bin y he quitado los "exit 0" que había añadido a /etc/init.d/maradns y en /etc/init.d/zoneserver. A continuación pongo los ficheros de configuración que he dejado al final:
/etc/maradns/mararc (cuidado con los ENTER añadidos a las listas de IP)
| hide_disclaimer = "YES" ipv4_bind_addresses = "192.168.0.1, 192.168.0.129, 3.0.1.51, 127.0.0.1, 10.0.1.1, 10.0.2.1, 10.0.4.1, 10.0.10.1" ipv4_alias = {} chroot_dir = "/etc/maradns" maradns_uid = 65534 maxprocs = 96 default_rrany_set = 15 csv2 = {} csv2["sicosoft.es."] = "db.sicosoft.es" csv2["chapirina.es."] = "db.chapirina.es" zone_transfer_acl = "0.0.0.0/0" # ICANN: the most common and most controversial root name server # http://www.icann.org ipv4_alias["icann"] = "198.41.0.4,192.228.79.201,192.33.4.12, 128.8.10.90,192.203.230.10,192.5.5.241,192.112.36.4, 128.63.2.53,192.36.148.17,192.58.128.30,193.0.14.129, 199.7.83.42,202.12.27.33" # OSRC: http://www.open-rsc.org/ ipv4_alias["osrc"] = "199.166.24.1,205.189.73.102,199.166.24.3, 207.126.103.16,195.117.6.10,205.189.73.10,204.57.55.100,213.196.2.97" # AlterNIC: http://www.alternic.org/ ipv4_alias["alternic"] = "160.79.129.192,24.6.78.12,160.79.133.70, 65.15.8.202,216.162.42.240,195.224.64.190, 160.79.133.66,216.162.42.185" # OpenNIC: http://www.opennic.unrated.net/ ipv4_alias["opennic"] = "131.161.247.226,209.151.84.102,64.247.218.140, 64.247.218.149,209.104.33.250,209.104.63.249,209.151.84.103, 199.175.137.211,207.6.128.246,65.243.92.254" recursive_acl = "0.0.0.0/0" timeout_seconds = 6 root_servers = {} root_servers["."] = "icann" |
/etc/maradns/db.sicosoft.es
| % SOA % hostmaster@% 2008072401 7200 3600 604800 1800 ~ % NS dns1.% ~ % NS dns2.% ~ dns1.% A 213.97.190.112 ~ dns2.% A 80.37.72.228 ~ portalico.% A 80.59.237.208 ~ guagua.% A 80.28.28.209 ~ internettiold.% A 213.97.190.112 ~ sico2.% A 80.37.72.228 ~ internetti.% A 80.37.72.228 ~ mail.% CNAME sico2.% ~ mail2.% CNAME sico2.% ~ % MX 10 mail2.% ~ |
/etc/maradns/db.chapirina.es
| % SOA % hostmaster@% 2008072401 7200 3600 604800 1800 ~ % NS dns1.% ~ % NS dns2.% ~ dns1.% A 80.37.72.228 ~ dns2.% A 213.97.190.112 ~ internetti.% A 213.97.190.112 ~ cha2.% A 213.97.190.112 ~ internettiold.% A 80.37.72.228 ~ mail.% CNAME cha2.% ~ % MX 10 mail.% ~ |
Ciertamente, es una configuración muchísimo más sencilla que la del bind (y como no usabamos ninguna de las características de bind que no tiene MaraDNS...).
Thursday, 24 July 2008, 5:17:08 pm
Usar MaraDNS para las recursive y dejar el bind para las authoritative Parece que se puede hacer, tal y como indican en este post de maradns.org. Lo más cercano a instrucciones que he visto, son las de troubleshooting maradns.
Wednesday, 23 July 2008, 7:17:56 pm
Instalando MaraDNS en internetti e internettiold (y en el etch-chroot de seraphim) Pasos seguidos:
# cd
# mkdir src.maradns
# cd src.maradns/
# wget http://ftp.de.debian.org/debian/pool/main/m/maradns/maradns_1.3.07.08-1.dsc http://ftp.de.debian.org/debian/pool/main/m/maradns/maradns_1.3.07.08.orig.tar.gz http://ftp.de.debian.org/debian/pool/main/m/maradns/maradns_1.3.07.08-1.diff.gz
(El siguiente paso fallaba en internettiold que es una Debian 3.0; para obviar el problema, lo he hecho en internetti y he copiado el directorio resultante a internettiold)
# dpkg-source -x maradns_1.3.07.08*dsc
# cd maradns-1.3.07.08/
(El siguiente paso no se ha realizado en seraphim-etch por ser innecesario)
# sed "s/dh_installinit/#dh_installinit/g;s/dh_installdocs/#dh_installdocs/g" debian/rules > debian/rules.2 ; cat debian/rules.2 > debian/rules ; rm debian/rules.2
# debian/rules binary
# cd ..
# dpkg -i maradns_1.3.07.08-1_i386.deb
(A partir de aquí no son necesarios en seraphim-etch, aunque si los haces no pasa nada)
# cd maradns-1.3.07.08/debian
# cp maradns.default /etc/default/maradns
# cp maradns.init /etc/init.d/maradns
# chmod 755 /etc/init.d/maradns
# cp maradns.zoneserver.init /etc/init.d/zoneserver
# chmod 755 /etc/init.d/zoneserver
# update-rc.d maradns defaults 19
# update-rc.d zoneserver defaults
NOTA3: Según "man bind2csv2" la script Bind2csv2.py (que está en /usr/share/doc/maradns/examples/bind2csv2.py.gz) sólo funciona con Python 2.2.3 o superior, lo cual se cumple en internetti y en seraphim-etch, pero no en internettiold (habrá que convertir los ficheros de bind en otro lado, no en internettiold). Lo que es confuso es si soporta los ficheros de bind de forma nativa o hay que usar la script aún en las versiones modernas de maradns :-?
Wednesday, 2 July 2008, 4:54:59 pm
Estamos en la lista negra de gmail para correo debido a spam Resulta que un ordenador (Chiro) tenía el backdoor.sdbot y estaba mandando spam (o eso parece). Mirando los logs (log docs) resulta que los mensajes del día de hoy son bounces, no es importante. Hay una script en zen:/root que genera un archivo en /tmp con los mensajes que no son de/para sicosoft.es.
Lo de google se arregla aquí.
Tuesday, 17 June 2008, 4:40:14 pm
Para el ordenador de Ana en Granada, cambio en la config. del stunnel Para que se conecte por imap en vez de pop3:
| client = yes debug = debug [imap4s] accept = 127.0.0.1:143 connect = mail2.sicosoft.es:993 |
Thursday, 12 June 2008, 6:39:01 pm
ATENCION: Intenrnetti no pasa la IP de origen a zen por esta línea:
# Para todo lo aceptado que haya que rutar, hacemos masquerading $IPTABLES -t nat -A POSTROUTING -j MASQUERADE
Friday, 1 February 2008, 6:03:29 pm
Quitada la IP del correo de sico (80.37.72.228) de la spamhaus PBL Estábamos listados como pertenecientes a un rango de IPs dinámicas en spamhaus. Ya hemos hecho el procedimiento web para corregirlo.
Tuesday, 22 January 2008, 6:41:28 pm
Más sobre exim4 en Debian La página principal de documentación de exim4 en debian etch. Página de exim4 en el Debian Wiki.
Básicamente hay que saber:
1. Si existe /etc/exim4/exim4.con, entonces ignora el /var/lib/exim4/config.autogenerated que ha generado el update-exim4.conf. EN NUESTRO CASO EXISTE.
Tuesday, 20 November 2007, 4:23:06 pm
Hago que zen tenga un redir del puerto 2500 al 25 Para que Chiro pueda mandar mensajes desde su red configurando su cliente de correo con correo_saliente=3.0.1.124:2500. Esto es porque por defecto internetti hace masquerading con lo que zen veía los mensajes de chiro como externos, y no dejaba mandar nada que no fuera con destino sicosoft.es.
Friday, 26 October 2007, 5:38:56 pm
Pasos seguidos para que anacr desde su windows conecte con el pop3s con apli que solo soporta pop3 Se ha hecho lo siguente:
- Instalar el stunnel.exe
- Configurar el C:\Archivos de Programa\STunnel\ el stunnel.conf con lo siguiente (sacado de aquí):
client = yes
debug = debug
[pop3s]
accept = 127.0.0.1:110
connect = mail2.sicosoft.es:995 - Ejecutar en dicho directorio el
stunnel install - Reiniciar la máquina
- Configurar el cliente de correo para que se conecte a 127.0.0.1 puerto 110
Wednesday, 29 August 2007, 6:50:23 pm
Cambio rinetd por redir en internettiold para correo de chapirina Antesdeayer y ayer hice los cambios pertinentes (una nueva script /etc/rcS.d/S99redir que haga los redir equivalentes al rinetd.conf (pero sin arsearlos del conf; son hardcoded), poner un "exit 0" en el rinetd). Ahora ya funciona bien otra vez... ya que al rinetd le pasa algo "a veces" :-?.
Monday, 21 May 2007, 5:50:52 pm
Problemas con los correos de SICE Según este mensaje, barracuda tiene problemas con routers antiguos:
Subject: Sender timeout errors occur in Barracuda log.
Categories: Troubleshooting, Barracuda Spam Firewall
Observerd: Customers Barracuda Spam Firewall log showed occasional "Sender timeouts" in the log file. Symptom was some users were unable to receive email from certain sites. Problem resolved by replacing older DLink router with a new Sonicwall. Barracuda tech support had tunneled in and confirmed Barracuda was not the issue. Lesson learned was look at the age and capabilities of the router as a possible issue with "sender timeouts".
Author: Gary Lamagna/TENCorp
Composed: 08/01/2006 11:17 AM
EDIT: Datos del contacto en SICE: Elena (91.623.22.41)
Wednesday, 25 April 2007, 4:02:20 pm
Cambiado el puerto del exim3 de internettiold al 2525 Para que convivan mail.chapirina.es y el exim3 de de internettiold, he añadido "daemon_smtp_port = 2525" a "internettiold:/etc/exim/exim.com".
Monday, 23 April 2007, 6:38:56 pm
Configurado en ambos DNS el dominio chapirina.es
Friday, 20 April 2007, 6:55:42 pm
Mando a cdi@metromadrid.es un mensaje pidiendo que quiten a guagua-e (88.23.23.143) de su RBL Ya que miguel no puede mandar mensajes a cdi@metromadrid.es desde yaiza, y debería poder.
Monday, 19 March 2007, 7:19:29 pm
Recompilado el rinetd con unas modis Resulta que el rinetd se caia porque había veces que tenía valores de sockets negativos e intentaba hacer un FD_SET/FD_ISSET sobre ellos. He puesto una comprobación adicional y lo he recompilado.
NOTA: Hay algo raro con dicho rinetd porque tiene un top altisimo... A ver si mañana me da tiempo a mirarlo...
Tuesday, 13 March 2007, 4:53:07 pm
Uso de postfix Algunas cosillas:
| Acción | Comando |
| Ver mensajes encolados | mailq |
| borrar el mensaje con id 1232456fd | postsuper -d 1232456fd |
| forzar un reintento de envío del mensaje 1232456fd | postsuper -r 1232456fd |
Tuesday, 13 March 2007, 4:34:54 pm
Hago que seraphim tenga en el hosts mail2.sicosoft.es como 3.0.1.124 Para que el postfix de seraphim mande los correos de sicosoft.es directamente a zen, sin salir por el ADSL. Esto es porque Chiro manda los mensajes usando a seraphim (no a zen).
Thursday, 8 March 2007, 5:38:35 pm
He puesto que el postfix de seraphim acepte correo de 3.0.1.0/24 Así ese es el postfix que vamos a usar para mandar correos a SICE.
Información de cómo hacer que exim haga relay de ciertos dominios a otro smarthost Este mensaje explica lo siguiente:
You'll find a router for doing the relaying according to mx records similar to this:
dnslookup: debug_print = "R: dnslookup for [EMAIL PROTECTED]" driver = dnslookup domains = ! +local_domains transport = remote_smtp same_domain_copy_routing = yes no_more
You want to stick a smarthost router in front of that which delivers to a specific host on certain conditions. The one below would route all mail for [EMAIL PROTECTED] that originated from 123.123.123.123 to the mx server "the.mx.server" directly:
smarthost: debug_print = "R: smarhost for [EMAIL PROTECTED]" driver = manualroute condition = ${if and{\ {eq{$sender_host_address}{123.123.123.123}}\ {eq{$local_part}{foo}}\ {eq{$domain}{bar}}\ }} route_list = "the.mx.server"
Hopefully that should give you a basis to work from.
Friday, 23 February 2007, 11:15:20 am
Cómo configurar postfix para evitr relaying Información en esta thread. Básicamente se reduce a poner como parte del main.cf lo sivguiente:
| smtpd_helo_restrictions = reject_unauth_pipelining smtpd_recipient_restrictions = reject_unknown_sender_domain, reject_non_fqdn_sender, permit_mynetworks, check_client_access hash:/etc/postfix/pop-before-smtp, # permit_sasl_authenticated, reject_unauth_destination, reject_rbl_client bl.spamcop.net, reject_rbl_client relays.ordb.org, # reject_rbl_client proxies.relays.monkeys.com, reject_rbl_client sbl.spamhaus.org, permit |
Thursday, 15 February 2007, 11:12:35 am
Para la configuración de clientes externos con IMAP+SSL Instrucciones para Thunderbird 1.5 (búsqueda) y para los demás.
Tuesday, 23 January 2007, 10:06:42 am
Rehecho en Zen lo de no hacer relay a 3.0.1.51 Igual que estaba en Yaiza, ya que por alguna razón, se había perdido dicha configuración.
Preparado en zen para que deje instalar exim y postfix simultáneamente He compilado un postfix que no protesta si se instala con otro mail-transfer-agent y he instalado un exim4-config que no exige que no esté instalado postfix. Sólo falta instalar el postfix, configurarlo para el puerto 2525 y hacer que el exim le forwardee los mensajes de sice/dragados al postfix para que sea ese quien los mande.:-).
Friday, 19 January 2007, 10:27:48 am
Cómo configurar Postfix con spamassasin y más cosas... Está en el blog de este usuario de citidelpostfix+spamassasin+citidel, ya que además ha conseguido integrarlo con citidel, claro. Howtos de citidel+postfix.
Thursday, 18 January 2007, 6:59:47 pm
Alternativas al Null webmail Resulta que están el Zimbra y Citidel. Ver listado de mailservers.
Thursday, 18 January 2007, 5:54:39 pm
Dominios problemáticos de correo saliente Hay algunos dominios (dragados/sice, aunque también invensys) que no funcionan correctamente con exim4, sgenerando un timeout nada más haber enviado entre 10 y 100kB. Una solución razonable sería instalar toro servidor de correo para el correo saliente de esos dominios (no creo que cueste mucho poner un router diferente según el dominio en la configuraciónd e exim). Otros programas de correo: smail, exim (nota: exim es un clon de smail...), zmailer, qmail, postfix, courier,... el venerable mmdf y el resto de los pocos conocidos: xmail y el resto de los listados en la wikipedia.
Friday, 12 January 2007, 1:05:08 pm
Hacer que zen acepte correo de los windows "rápidamente" Resulta que tienen que estar en el /etc/hosts... añado a los windows de la oficina al /etc/hosts.
Tuesday, 19 December 2006, 8:13:20 am
(exim) Poner bien el EHLO/HELO en zen Resulta que está mandando como HELO zen en vez de mail.sicosoft.es. Según este howto, lo que hay que hacer es comentar qualify_domain y establecer primary_hostname con el que quieres. Edito /etc/exim4/conf.d/main/01_exim4-config_listmacrosdefs con esa información.
Update! No he conseguido poner esa opción en la configuración; si la pongo el update-exim.conf no la pasa al fichero de configuración correspondiente :-?
Al final he modificado a mano:
/etc/exim4/exim4.conf
/var/lib/exim4/config.autogenerated
comentando el qualify_domain y poniendo el primary_hostname:
| #qualify_domain = mail.sicosoft.es primary_hostname = mail.sicosoft.es |
Tuesday, 10 October 2006, 6:15:50 pm
Quitado a mail2.sicosoft.es (80.37.72.228) de la RBL de CBL Según spamhouse, estábamos en la lista de CBL. Ya que hemos corregido el problema y puesto en el firewall que sólo deje pasar conexiones SMTP salientes de los servidores de correo, he procedido a usar el formulario de retirada de la IP de la lista negra CBL.
Wednesday, 13 September 2006, 12:07:22 pm
Actualización de internetti: kernel 2.6, sarge/etch, grub, rinetd Intentando configurar un núcleo 2.4.29 con soporte a la compresión de PPTP lo único que he conseguido son o bien cuelgues al arrancar el núcleo antes de montar el root (con el kernel parcheado) o sigsevs en las utilidades de configurar la red con el antoguo núcleo (ya que intentaba cargar los módulos del núcleo parcheado, y eso no funciona...).
Al final, lo que he se ha hecho es:
- Actualizar seraphim a sarge (cambiando el sources.list y haciendo el apt-get update, haciendo un apt-get de aptitude, y después un aptitude dist-upgrade hasta que el sistema era un sarge razonable). Esto es lo que hice ayer.
- Cambiar el núcleo al 2.6.16.2 (el de etch), cogido de seraphim:/etch/boot/*2.6.16* y /lib/modules/*2.6.16*).
- Desactivar el firewall.sico
- Poner los latiguillos como corresponde a la nueva manera en que reconoce las tarjetas (ahora el eth0 es la intel integrada en placa, y la realtek del extremo de la caja es la eth2).
- Instalar grub y desinstalar lilo.
- Copiar el /boot/grub de seraphim:/etch/boot/grub y reconfigurar el menu.lst. Instalar el gestor de arranque en el disco (grub --no-floppy; root (hd0,0) ; setup (hd0)).
- Copiar el /dev/ de un etch (haciendo un tar, rebotando y arrancando con un disquette de tomsrtbt, mkdir /tmp/root ; mount -t etc2 /dev/hda6 /tmp/root ; moviendo el antiguo dev a dev.orig y poniendo el descomprimido del tar en /, desmontando el /tmp/root y rebotando), ya que si no, no funcionan los logins :-?.
- Cambiar el sources.list a etch y hacer un apt-get update y un aptitude install modutils module-init-tools para que sea capaz de hacer el depmod -a de un núcleo tan moderno (sarge no es capaz).
- Poner el firewall.sico de iptables en vez del de ipchains.
- instalar el isdnutils de etch y cambiar el isdn-sanitize.sh para que cargue el módulo pasándole expresamente los valores del tipo de tarjeta ("insmod /lib/modules/2.6.16-2-686/kernel/drivers/isdn/hisax/hisax.ko type=36 protocol=2").
- Instalar el rinetd y configurar en el /etc/rinetd.conf todas las redirecciones de puertos que necesito (lo que antes estaba en las scripts de /etc/network/if-up.d)
- Hacer que el vtun vuelva a funcionar creando el dispositivo que necesita ("mkdir /dev/net ; mknod /dev/net/tun c 10 200"), tal y como indican en las instrucciones de /usr/share/doc/vtun/README.Debian. Por último. reiniciar el servicio vtun con un /etc/init.d/vtun restart, y con eso también funcionan los túneles a los sitios remotos ;-).
Monday, 22 May 2006, 12:50:03 pm
Seguimos con los problemas para poner el correo en sico/cc Parece que a pesar de haber modificado los registros en el interfaz de ya.com, éstos no se hacen efectivos :-/.
NOTA: He visto que los de ya usan a opensrs (FAQ) como proveedor, pero básicamente que ponen un API a disposicion de sus minoristas y éstos implementan con ese API una aplicación para sus clientes equivalente en funcionalidad a la que tucows/OpenSRS da a sus minoristas. Eso puede dar alguna pista, pero por ahora no la he encontrado...
Wednesday, 10 May 2006, 9:58:49 am
Puesto el segundo disco y activado el RAID en yaiza Ya que le faltaba ese disco.
Reconfigurado el dns de canarias (ya.com) para que mande el correo a yaiza Ayer hicimos las modificaciones en el DNS de ya.com usando su interfaz web para poner como MX a yaiza, con el nombre mail2.sicosoft.com.
Wednesday, 29 March 2006, 7:41:36 am
Problemas con spam en yaiza (arreglado) Ayer me llamó Miguel para decirme que el internet les iba muy lento. Resultó ser que yaiza estaba funcionando como relay de spam. El problema es que pensaba que guagua estaba haciendo masquerading de las conexiones SMTP del exterior hacia yaiza y resulta que está haciendo un simple redir. He cambiado la configuración de yaiza para que haga un reject de los mensajes que vienen de guagua si es que no son para su dominio. Los cambios realizados en el /etc/exim4/exim4.conf.template han sido:
- Cambiar el relay from_hosts y añadir un dont_relay_from_hosts:
.ifndef MAIN_RELAY_NETS
MAIN_RELAY_NETS = DEBCONFrelay_netsDEBCONF
.endif
#hostlist relay_from_hosts = 127.0.0.1 : ::::1 : MAIN_RELAY_NETS
hostlist relay_from_hosts = <; 127.0.0.1 ; 192.168.2.0/24
hostlist dont_relay_from_hosts = <; 192.168.2.1/32 - Añadir a la parte del acl_check_rcpt:, un
deny hosts = +dont_relay_from_hosts
accept
hosts = +relay_from_hosts
Friday, 17 February 2006, 5:31:14 pm
Instalación del webmail en zen y yaiza Está documentado en Diarios>Seguridad en sico (no sé por qué, lo metí ahí O:-).
Reinstalación de zen Por cierto: aprovechando que tenía que poner el webmail, reinstalé zen, de manera que ya no está bajo Xen (y ahora tiene un rendimiento de disco equiparable al resto de los servidores).
Instalación de un wrt54gs como guagua Está documentado aquí. Sólo que ahora ya no es servidor de DNS.
Tuesday, 31 January 2006, 9:38:56 am
Hago que guagua tenga un ping contínuo contra internetti usando el túnel Lo he puesto en /etc/*.d/vtun-ping.
Monday, 30 January 2006, 5:37:12 pm
He vuelto a actualizar el DNS de internetti/internettiold Lo que he hecho:
- mover el db.sicosoft a db.sicosoftes
- copiar db.sicosoftes a db.sicosoftcom y lo he editado con los valores razonables.
- He añadido a named.conf la db.sicosoftcom y he renombrado la referencia de sicosoft a sicosoftes
Ahora, a cruzar los dedos O:-).
Wednesday, 26 October 2005, 12:10:49 pm
Hacer que zen use como terminal de salida el ttyS0 y primer intento (fallido) de desactivar xen Siguiendo este howto (y estas notas), he añadido el núcleo 2.4.31 a zen y hecho que la salida, tanto del grub como de Linux, salga por la puerto serie... esto es porque el rendimiento con el Xen que tengo puesto en estos momentos dista mucho de ser estelar y si voy a usar zen para compilar núcleros para los pupitres necesito que vaya "un poco más rápido" ;-). Problema que ha imposibilitado desactivar xen: el nuevo núcleo que he puesto, aunque sí saca la salida por el puerto serie (que era uno de los dos objetivos para el cambio de núcleo), da un panic al no estar usando Xen, parece que por problemas de montar el /dev o encontrar la partición del sistema de archivos raíz... :-/.
Wednesday, 26 October 2005, 7:58:38 am
Hacer que Xen vaya más rápido Según la Guía rápida de Xen para Debian, hay que hacer lo siguiente (y lo acabo de hacer):
# mv /lib/tls /lib/tls.disabled # ldconfigPero la verdad es que no ha mejorado...
Tuesday, 6 September 2005, 8:55:03 am
Actualizado el exim de salchicha al 3.35 En un intento de hacer que el exim de salchicha ponga bien el HELO, he actualizado el exim del 3.12 (el por defecto de potato) al 3.35 (el exim3 de woody). Sin embargo, sigue sin hacer bien el HELO (no parece usar el primary_hostname :-?, y el reescribir las cabeceras no parece valer).
Tuesday, 17 May 2005, 12:40:19 pm
He activado allow_domain_literals en el servidor de correo Para poder forwardear correo a internettiold (por medio del túnel), he puesto en el exim un allow_domain_literals y he descomentado el router de domain_literals. Específicamente, he modificado:
- zen:/etc/exim4/conf.d/main/02_exim4-config_options Descomentado el allow_domein_literals
- zen:/etc/exim4/conf.d/router/100_exim4-config_domain_literal Descomentado todo lo de este router
Puede ser un problema de seguridad si alguien intenta abusar de esto usando a zen, pero no sé cómo se restringe...
Friday, 6 May 2005, 8:02:31 am
Más información sobre Xen Hay bastantes comentarios a un artículo sobre Xen, dando los siguientes punteros:
- Xen user's manual
- Xen demo LiveCD
- Pre-canned virtual machines for Xen (FreeBSD, NetBSD, Debian)
- Images of popular distros for Xen
- Xen wiki
- Xen mailinglists
- Intel Vanderpool/VT (equ to AMD Pacifica) articles: one, two, three
Thursday, 5 May 2005, 12:45:16 pm
En internetti, añado el redir al /etc/hosts.allow Ya que según el daemon.log, estaba rechazando mensajes de correo si no resolvían inversamente.
Thursday, 5 May 2005, 12:35:34 pm
Actualizado los DNS de nominalia para que use a internettiold y a sico2 Ya que guagua y portalico parecen estar más tiempo caídos que arriba, esta parece una solución razonable.
Abro el puerto de DNS en internettiold Ya que ahora sirve DNS para el dominio de sicosoft.es.
Hago que sico2 tb. sea servidor de DNS de sicosoft para el mundo Actiualizo el DNS de internetti al de internettiold, abro el puerto 53 (DNS) en el router de sico2 y abro el firewall de internetti para que deje pasar las peticiones a dicho puerto.
Thursday, 5 May 2005, 9:15:44 am
Firmware para los ADSL de la oficina nueva Están en ftp://ftp.zyxel.dk/P650HW-33/. Hay un foro sobre actualizar el firmware del P650-HW33. Hay un howto para un módem parecido
Thursday, 5 May 2005, 8:15:37 am
He puesto la configuración del bind en internettiold Con la intención de quitar a portalico de la lista de DNS del dominio sicosoft.es y tenerlo aquí.
FALTA: Abrir los puertos necesarios del firewall de manera que internettiold sea DNS para "el exterior".
Friday, 22 April 2005, 5:55:42 pm
He quitado en guagua como servidor de correo a mail.sicosoft.es, dejando solo a mail2 Ya que la otra adsl está mal, dejo como servidor de correo único a mail2.sicosoft.es, porque si no, parece que se pierden mensajes.
Friday, 22 April 2005, 11:12:24 am
Diagnosticando el que no entren conexiones sobre el 2o ADSL (22 Mayo): En telefónica (900.555.022) me han pasado con un técnico, y lo ven todo bien. Me dicen que sí, que pruebe a actualizar el firmware, pero no me aseguran nada...
Friday, 22 April 2005, 10:33:33 am
He conectado la segunda ADSL directamente a zen (eth1) para hacer prueba Para poder probar con default gws, etc (sin los problemas que añade el firewall).
Parece que la segunda ADSL (sico.sicosoft.es) tiene bloqueados TODOS los puertos Tanto de UDP como de TCP. No hay manera de establecer una conexión desde fuera a esa IP, ya sea en modo "unipuesto", en "SUA" o en avanzado, poniendo los puertos tanto a la LAN como en "gestión".
Thursday, 21 April 2005, 5:22 pm
Ya están Chiro y Ana con el .forward puesto Ha sido trivial; basta con entrar como el usuario que se quiere cambiar el forward y hacer un
$ cd $ echo ni_direccion@algunsitio.com > .forwardY ya está.
Estudiar el SmtpAuth para permitir que chiro y Ana puedan mandar correo: EximSmtpAuth, Exim: SMTP Relay with SMTP AUTH and TLS, Configuración de SMTP-AUTH en Exim
Friday, 15 April 2005, 4:17:43 pm
Experimentos del balanceo de carga He hecho unos experimentos con internetti:/root/balanceo.carga.sh, pero la script todavía tiene errores (no pone las rutas correctamente para los diferentes interfaces - exceptuando el eth2 :-? -- lo cual parece indicar que se usa la ip en vez del gw en el lugar donde falla... ).
Friday, 15 April 2005, 12:00:01 pm
Más sobre el balanceo de carga entre las dos ADSL Aquí hay una script que se supone que lo resuelve, y aquí hay un mensaje (https) que explica el porqué y cómo.
He encontrado unas guías paso-a-paso para lo de las dos adsl gacias a una búsqueda, he obtenido al fin unas guías de cómo hacerlo:
Para traducir el firewall a iptables Se puede empezar con la parte de masquerading, que te dicen aquí cómo se hace masquerading para un host (en el mensaje de Balanceo de Carga también dicen algo...).
Friday, 15 April 2005, 11:35:47 am
Continúo con el adsl2 (sic1.sicosoft.es) He puesto que forwardee el puerto de snmp a internetti, pero no parece servidr para nada. Además he dicho que permita "remote management" sólo desde la red local.
Update Vuelvo a quitar lo de que adsl2 (sico1) forwardee el puerto 25 a internetti; el problema creo que radica en que internetti manda las respuestas por adsl1 (ya que es la ruta por defecto) y entonces el invento no funciona :-/. El sintoma es que las conexiones desde fuera (p.ej. portalico->sico1:25) nunca llegan a completarse.
Wednesday, 13 April 2005, 11:03:18 am
Más cosas del correo Resulata que como tenía un redir en internetti, los mensajes venían de un "trusted host", por lo que aceptaba todos aunque no fueran "buenos". He hecho que zen no haga relay a internetti.
Por otro lado:
- Cómo probar el servidor (ext. link) Básicamente es "EHLO localhost.localdomain" "MAIL FROM:nobody@somewhere.com" "RCPT TO:alli@somewhere.else.com" "DATA" "QUIT".
Wednesday, 13 April 2005, 8:08:05 am
A vueltas con el correo (exim4): bloquear relay Resulta que están intentando usar nuestro servidor exim4.44 para relay. La configuración que pretendo tener es: aceptar relay en los mensajes que vienen desde 3.0.1.0/24 y rechazarlo en el resto de los casos. Otra manera de verlo es: aceptar todos los mensajes que vienen desde 3.0.1.0/24 y aquellos que tienen "RCPT TO .@sicosoft.es". El manejo de relay está explicado aquí.
Resulta que las variables que dicen en la documentación están siendo "configuradas" con variables del tipo DEBCONFnombre_variableDEBCONF, que hay que modificar en /etc/exim4/update-exim4.conf.conf y después ejecutar update-exim4.conf.
NOTA: El problema era que "no se sabe por qué" estaba puesto en la lista de hosts para los que hacemos relay un "" (ugh!). He puesto un sicosoft.com, para recordar que ahí se ponen los sitios para los que actuamos como smarthost...
Tuesday, 12 April 2005, 8:19:52 am
Configuración de rutas para las adsl2 La adsl2 (sico1.sicosoft.es) ya está lista (por fin ayer funcionó la tercera tarj. de red de internetti; era el slot). Ahora sólo falta configurar el rutado para que use la otra adsl para cierto tráfico (p.ej. según hosts o bien según servicios).
Tuesday, 5 April 2005, 8:38:14 am
Hago que salchicha rute los mensajes de sicosoft.es directamente a zen Pongo un nuevo redirector tanto en la configuración de exim.conf como en exim.conf.external, para que los mensajes que vayan a sicosoft.es se dirijan a zen.
El problema que tenía es que intentándolos mandar a sico2.sicosoft.es obtenía un "Connection refused", y eso parece ser porque el módem-router-ADSL no debe hacer forwarding de puertos de las conexiones que parten de él y van a sí mismo.
Monday, 4 April 2005, 9:30:11 am
Configuración del router de telefónica El router que pone telefónica es el Zyxel Prestige 650HW-33. Si se guiere cambiar la configuración, se pueden seguir los pasos de portforward.com.
Quitado un redir "antiguo" en internetti, puesto que el redir escuche en todos los interfaces (tanto en los de dentro como en los de fuera) Para que le funcione a Jesús la configuración de su portátil tanto en la antigua oficina como en la nueva.
¡Ya funciona el correo! He hecho la primera prueba de mandar correo (mandando un mensaje desde dario@softhome.net a dariorodriguez@sicosoft.es y ha funcionado a la perfección (¡¡¡yipie!!!). Habrá que configurar los .forward del exim para los de las otras oficinas.
Friday, 1 April 2005, 6:10:27 pm
Acceso al router de telefónica Según esta página, se hace accediendo al puerto 2033 con login admin y password 1234.
En principio he conectado el port forwarding del router al puerto 25 de internetti, pero no está funcionando :-?
Friday, 1 April 2005, 4:37:16 pm
Empiezo a investigar el port forwarding en internetti hacia zen
Investigaciones previas:
Según este mensaje y este otro, la cosa se hace así ("ipmasqadm portfw -h" para ayuda):
# /usr/sbin/ipmasqadm portfw -a -P tcp -L 212.x.x.x 3389 -R 192.168.1.1 3389
Y requiere tener en el kernel compilado lo siguiente:
CONFIG_KMOD=y
CONFIG_IP_MASQUERADE_MOD=y
CONFIG_IP_MASQUERADE_IPPORTFW=m
PERO eso no funcionará Según el FAQ el soporte de ipchains en los kernel 2.4 se limita a forwarding; no hace "mangling" de protocolos en el MASQ (p.ej. ftp no funciona en modo activo) y no soporta port forwarding.
Solución: Seguir el IP Masquerade Howto y reescribir el firewall de sico (<sigh>).
Solución temporal: usar redir (microhowto).
Thursday, 31 March 2005, 1:27:49 pm
Actualizo el DNS de portalico, y lo dejo sincronizado con el de guagua Ya que antes no había podido acceder a portalico por estar K.O., ahora que ya está bien, he entrado y actualizado el db.sicosoft.
Thursday, 17 March 2005, 4:28:34 pm
Instalo el popa3d (pop3) y el uw-imapd (imap4) en zen Para que la gente pueda coger el correo desde sus PCs.
NOTA: En zen he tenido que instalar el "dialog" y desinstalar el "whiptail" (ya que debconf estaba teniendo problemas para utilizar el whiptail).
Creo los usuarios en zen Creo los siguientes usuarios:
- acregidor
- anaregidor
- beatrizfernandez
- carlosculebras
- maytecriado
- mcriado
- dariorodriguez
- evaregidor
- ggonzalez
- javiersoler
- jjcriado
- luislorido
- miguelarmenteros
- rarias
Thursday, 17 March 2005, 1:10:40 pm
Reinicio el bind en guagua Resulta que no había actualizado al resto de los servidores de DNS "del mundo". Mirando en el daemon.log, veo que no se había reiniciado (ayer debí de hacer el restart como usuario, y no pudo matar al demonio en ejecución). He matado al bind y hecho un restart. Ahora sí que ha cogido los nuevos DNS (comprobado desde internettiold).
Wednesday, 16 March 2005, 6:08:43 pm
Cambio en los DNS el mail a las nuevas IP Lo cambio sólo en guagua ya que portalico no me deja entrar :-?
Primera ADSL:
| Dirección IP de usuario | 80.37.72.170 |
| Máscara de subred ip usuario | 255.255.255.0 |
| Dirección IP de gestión | 10.7.252.140 |
| Máscara dirección ip de gestión | 255.255.255.128 |
| Teléfono | 91.484.02.41 |
Segunda ADSL:
| Dirección IP de usuario | 80.37.72.228 |
| Máscara de subred ip usuario | 255.255.255.0 |
| Dirección IP de gestión | 10.7.252.194 |
| Máscara dirección ip de gestión | 255.255.255.128 |
| Teléfono | ??? |
Otros valores interesante:
| Valor de ITV | 8 |
| Valor de ICV | 32 |
Los DNS proporcionados por (t):
| DNS principal | 80.58.0.33 |
| DNS secundario | 80.58.32.97 |
/etc/bind/db.sicosoft:
;; BIND data file for sicosoft.es network
;
$ORIGIN sicosoft.es.
$TTL 86400
@ IN SOA dns1.sicosoft.es. hostmaster.sicosoft.es. (
2005031601 ; Serial
21600 ; Refresh
3600 ; Retry
7d ; Expire
86400 ) ; Negative Cache TTL
;
IN NS dns1.sicosoft.es. ; portalico
IN NS dns2.sicosoft.es. ; guagua
;
IN MX 10 mail.sicosoft.es.
IN MX 20 mail2.sicosoft.es.
;
IN A 80.59.237.208
dns2 IN A 80.28.28.209
portalico IN A 80.59.237.208
guagua IN A 80.28.28.209
internetti IN A 213.97.190.112
sico1 IN A 80.37.72.170
sico2 IN A 80.37.72.228
;
dns1 IN CNAME portalico
;dns2 IN CNAME guagua
mail IN CNAME sico1
mail2 IN CNAME sico2
|
Thursday, 10 March 2005, 10:37:13 am
Documento de instalación de Xen en Debian Debian Sarge Root Raid + LVM + XEN install guide
Tuesday, 8 March 2005, 11:49:34 am
Para instalar Xen en el PC de la DMZ Aquí van los enlaces relevantes:
- Página principal del proyecto Xen
- Artículo de O'reilly sobre Xen
- XenSource Compañía que proporciona servicios sobre Xen
Tuesday, 8 February 2005, 7:48:17 am
Para el correo Según Guillermo:
- El servidor de correo en la parte segura (en la LAN, protegido por el firewall)
- En el DMZ se pone un relay de correo (y el servidor web, y el escáner de virus de correo...), qu elo único que hace es pasárselo al servidor "de dentro". Así, si entran en ese ordenador, no tienen el correo almacenado de la gente (ni entrantes ni salientes).
Sobre la configuración del DNS para correo Según estos mensajes>http://www.digitalpoint.com/lists/17990.html:
- se pueden poner tantos A como se quieran. El poner A o CNAMES es una mera razón administrativa (si cambia una IP y lo tienes con A, lo tienes que cambiar en todos los A, mientras que si sólo tienes una A y el resto son CNAMES, sólo lo cambiarías en el A).
- el nombre que va detrás del CNAME no tiene por qué pertenecer a tu propia red
- en el registro MX hay que poner el nombre al cual resuelve inversamente, por raro que sea, o si no algunos servidores de correo van a rechazar el correo de él
- es conveniente poner un CNAME al servidor de correo para que los usuarios de la parte segura (LAN detrás del firewall) puedan poner ese nombre en vez del nombre "inmemorizable" que has puesto en el MX.
Monday, 7 February 2005, 5:34:05 pm
Configuración de servidor de dominio de sicosoft.es en guagua He modificado los siguientes ficheros:
/etc/bind/named.conf:
// add entries for other zones below herezone "sicosoft.es" {
type master;
file "/etc/bind/db.sicosoft";
allow-update { none; };
}; |
/etc/bind/db.sicosoft:
;; BIND data file for sicosoft.es network
;
$ORIGIN sicosoft.es.
$TTL 86400
@ IN SOA dns1.sicosoft.es. hostmaster.sicosoft.es. (
2005020801 ; Serial
21600 ; Refresh
3600 ; Retry
7d ; Expire
86400 ) ; Negative Cache TTL
;
IN NS dns1.sicosoft.es. ; portalico
IN NS dns2.sicosoft.es. ; guagua
;
IN MX 10 mail.sicosoft.es.
;
IN A 80.59.237.208
dns2 IN A 80.28.28.209
portalico IN A 80.59.237.208
guagua IN A 80.28.28.209
internetti IN A 213.97.190.112
;
dns1 IN CNAME portalico
;dns2 IN CNAME guagua
mail IN CNAME internetti
|
Y en principio la cosa funciona (puedo hacer ping a guagua.sicosoft.es).
NOTA: Para ver si ha cargado bien, se mira el /var/log/daemon.log
Update (8/02/2005): Lo he puesto también en portalico.
Update (8/02/2005): He puesto dns2 como tipo A porque si no daba un error de findns error (NXDOMAIN) para dns2.sicosoft.es
Descripción del proyecto
Mantenimiento del DNS y correo
- Panel de administración del correo>https://zen.sicosoft.es
RBL check:
Link to this Page
- Seguridad en sico last edited on 14 January 2025 at 8:29:51 am by 3.0.1.3