Servidor de mail con Postfix, Dovecot, mailutils y Thunderbid

Para esta práctica realizaremos un servidor de correos SMTP e IMAP y lo haremos funcionar con clientes de correos. A continuación te dejo el índice de la guía:

• Postfix como servidor de correo SMTP - (MTA)

• Dovecot-imapd como servidor IMAP - (MDA)

• Mailutils como cliente para el terminal (MUA)

• Thunderbird como cliente, en un entorno gráfico (MUA)

Escenario de la práctica

Simularéis una empresa llamada empresa.local. El esquema de máquinas será:

Máquina	SO	Rol	IP ejemplo
servidor	Ubuntu Server 24.04	Postfix + Dovecot + Prosody	192.168.1.10
cliente1	Ubuntu Desktop 24.04	Thunderbird + Gajim	192.168.1.20
cliente2	Ubuntu Desktop 24.04	Thunderbird + Gajim	192.168.1.21

Ambas VMs deben estar en red interna (Host-Only o Internal Network en VirtualBox) y tener un adaptador puente para la conexión real. Añade al /etc/hosts del servidor y los clientes la resolución manual del dominio empresa.local:

192.168.1.10  servidor.empresa.local  mail.empresa.local  chat.empresa.local

Postfix

- Instalación

sudo apt update && sudo apt install -y postfix sasl2-bin
# En el asistente: seleccionar "No Configuration"

sudo cp /usr/share/postfix/main.cf.dist /etc/postfix/main.cf

- Configuración

Una práctica conveniente es hacer una copia de seguridad de los archivos de configuración que vayamos a modificar. Para ello, hacemos:

sudo cp /etc/postfix/main.cf /etc/postfix/main.cf.BKP

Dentro de la configuración, asegúrate de que las siguientes líneas estén configuradas adecuadamente:

mail_owner = postfix
myhostname = mail.empresa.local   # Cambia este por el nombre de tu servidor
mydomain = empresa.local          # Cambia este por tu dominio
myorigin = $mydomain
inet_interfaces = all
inet_protocols = ipv4
mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain
local_recipient_maps = unix:passwd.byname $alias_maps
mynetworks_style = subnet
mynetworks = 127.0.0.0/8, 192.168.1.0/24
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
home_mailbox = Maildir/
smtpd_banner = $myhostname ESMTP

# Seguridad básica 
disable_vrfy_command = yes
smtpd_helo_required = yes
message_size_limit = 10240000

# SMTP-Auth via Dovecot SASL
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
smtpd_sasl_local_domain = $myhostname
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination

Tienes aquí el documento completo con todas las configuraciones añadidas por si quieres copiar y pegar:

Documento main.cf completo

/etc/postfix/main.cf

# Fichero de configuración global de Postfix. Este fichero solo lista un subconjunto
# de todos los parámetros. Para la sintaxis y para una lista completa de parámetros,
# consultad la página del manual postconf(5) (comando: "man 5 postconf").
#
# Para ejemplos de configuración comunes, consultad BASIC_CONFIGURATION_README
# y STANDARD_CONFIGURATION_README. Para encontrar estos documentos, utilizad
# el comando "postconf html_directory readme_directory", o id a
# http://www.postfix.org/BASIC_CONFIGURATION_README.html, etc.
#
# Para obtener los mejores resultados, cambiad no más de 2-3 parámetros a la vez,
# y comprobad si Postfix sigue funcionando después de cada cambio.

# COMPATIBILIDAD
#
compatibility_level = 3.6

# REBOTE SUAVE (SOFT BOUNCE)
#
# Cuando soft_bounce está habilitado, el correo se mantendrá en la cola en lugar
# de rebotar. Desactiva los rebotes generados localmente e impide que
# el servidor SMTP rechace el correo permanentemente (cambiando respuestas 5xx en 4xx).
#
#soft_bounce = no

# INFORMACIÓN DE RUTAS LOCALES
#
#queue_directory = /var/spool/postfix
command_directory = /usr/sbin
daemon_directory = /usr/lib/postfix/sbin
data_directory = /var/lib/postfix

# PROPIEDAD DE COLAS Y PROCESOS
#
# mail_owner debe ser un usuario dedicado que no comparta UID/GID con otras cuentas.
#
mail_owner = postfix

#default_privs = nobody

# NOMBRES DE HOST Y DOMINIO INTERNET
#
# $myhostname se utiliza como valor por defecto para muchos otros parámetros.
#
myhostname = mail.empresa.local

# $mydomain se utiliza como valor por defecto para muchos otros parámetros.
#
mydomain = empresa.local

# ENVÍO DE CORREO
#
# myorigin especifica el dominio desde el que parece provenir el correo enviado localmente.
#
myorigin = $mydomain

# RECEPCIÓN DE CORREO
#
# inet_interfaces especifica las interfaces de red en las que se recibe correo.
# Nota: es necesario detener/iniciar Postfix cuando este parámetro cambie.
#
inet_interfaces = all

#proxy_interfaces =

# DESTINO LOCAL
#
# mydestination especifica la lista de dominios que esta máquina considera
# destino final.
#
mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain

# RECHAZO DE CORREO PARA USUARIOS LOCALES DESCONOCIDOS
#
# local_recipient_maps especifica las tablas de consulta con todos los usuarios locales.
# El servidor SMTP rechazará el correo para usuarios locales desconocidos.
#
local_recipient_maps = unix:passwd.byname $alias_maps

unknown_local_recipient_reject_code = 550

# CONTROL DE CONFIANZA Y RELAY
#
# mynetworks especifica la lista de clientes SMTP "de confianza" que pueden
# hacer relay de correo a través de Postfix.
#
mynetworks_style = subnet
mynetworks = 127.0.0.0/8, 192.168.1.0/24

# relay_domains restringe los destinos a los que este sistema reenviará correo.
#
#relay_domains = $mydestination

# INTERNET O INTRANET
#
# relayhost especifica el host por defecto al que enviar correo cuando no hay
# ninguna entrada coincidente en la tabla de transporte opcional.
#
#relayhost = $mydomain
#relayhost = [gateway.my.domain]
#relayhost = [mailserver.isp.tld]

# DESTINATARIOS DE RELAY DESCONOCIDOS
#
#relay_recipient_maps = hash:/etc/postfix/relay_recipients

# CONTROL DE VELOCIDAD DE ENTRADA
#
#in_flow_delay = 1s

# BASE DE DATOS DE ALIAS
#
# alias_maps especifica la lista de bases de datos de alias utilizadas
# por el agente de entrega local.
# Después de modificar /etc/aliases, ejecutad "newaliases" para reconstruir
# el fichero .db.
#
alias_maps = hash:/etc/aliases

# alias_database especifica la base de datos de alias que se construye
# con "newaliases" o "sendmail -bi".
#
alias_database = hash:/etc/aliases

# EXTENSIONES DE DIRECCIÓN (p. ej., usuario+extensión)
#
#recipient_delimiter = +

# ENTREGA AL BUZÓN
#
# home_mailbox especifica la ruta opcional de un fichero de buzón relativo
# al directorio home del usuario. Especificad "Maildir/" para entrega
# estilo qmail (la / es obligatoria).
#
home_mailbox = Maildir/

#mail_spool_directory = /var/mail

#mailbox_command = /usr/bin/procmail
#mailbox_transport = lmtp:unix:/var/imap/socket/lmtp

# CONTROLES DE CORREO BASURA
#
#header_checks = regexp:/etc/postfix/header_checks

# SERVICIO ETRN RÁPIDO
#
#fast_flush_domains = $relay_domains

# BANNER DEL SERVIDOR SMTP
#
# smtpd_banner especifica el texto que sigue al código 220 en el banner
# de bienvenida del servidor SMTP. Debe comenzar con $myhostname (requisito RFC).
#
smtpd_banner = $myhostname ESMTP

# SEGURIDAD BÁSICA (RA5.4)
#
# disable_vrfy_command impide que atacantes enumeren usuarios válidos.
# smtpd_helo_required obliga a los clientes a identificarse con HELO/EHLO.
# message_size_limit limita el tamaño máximo de los mensajes (en bytes).
#
disable_vrfy_command = yes
smtpd_helo_required = yes
message_size_limit = 10240000

# AUTENTICACIÓN SMTP VIA DOVECOT SASL
#
# Postfix delega la autenticación a Dovecot mediante un socket Unix.
# smtpd_recipient_restrictions define quién puede enviar correo:
#   - permit_mynetworks: redes de confianza definidas en mynetworks
#   - permit_sasl_authenticated: usuarios autenticados correctamente
#   - reject_unauth_destination: rechaza el resto (evita open relay)
#
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
smtpd_sasl_local_domain = $myhostname
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination

# LÍMITE DE ENTREGA PARALELA AL MISMO DESTINATARIO
#
#local_destination_concurrency_limit = 2
#default_destination_concurrency_limit = 20

# CONTROL DE DEPURACIÓN
#
#debug_peer_level = 2
#debug_peer_list = 127.0.0.1

debugger_command =
         PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin
         ddd $daemon_directory/$process_name $process_id & sleep 5


# INFORMACIÓN DE CONFIGURACIÓN EN TIEMPO DE INSTALACIÓN #
sendmail_path = /usr/sbin/sendmail
newaliases_path = /usr/bin/newaliases
mailq_path = /usr/bin/mailq
setgid_group = postdrop
html_directory = /usr/share/doc/postfix/html
manpage_directory = /usr/share/man
sample_directory = /usr/share/doc/postfix
readme_directory = /usr/share/doc/postfix
inet_protocols = ipv4

La línea de home_mailbox = Maildir/ nos servirá para que Postfix acepte Maildir.

En correos electrónicos, existen dos formatos muy extendidos para almacenar el correo electrónico: Mbox y Maildir:

• Mbox permite guardar todos los mensajes en un solo archivo

• Maildir utiliza un directorio para guardar los mensajes en ficheros individuales.

En la configuración por defecto de Postfix y mailutils se utiliza el formato Mbox, pero ambos soportan Maildir, así que vamos a utilizar este formato.

Postfix tiene un fichero de texto llamado /etc/aliases donde se definen alias de correo: redirecciones que permiten que un nombre de correo apunte a otro usuario o a una lista de usuarios pero postfix requiere un archivo compilado binario para funcionar por lo que este comando lee el fichero txt y genera el binario:

sudo newaliases

Para que funcionen los cambios, se reinicia Postfix:

sudo systemctl restart postfix

Ahora ya puedes verificar la configuración sin errores:

sudo postfix check

Si no devuelve nada, la configuración es correcta. Cualquier línea de salida indica un problema.

Hay un aviso menor bastante común que viene dado por que Postfix se ejecuta dentro de una jaula de chroot, la solución al error pasa por actualizar sus copias de:

sudo cp /etc/passwd /var/spool/postfix/etc/passwd
sudo cp /etc/group /var/spool/postfix/etc/group

De paso actualiza también estos ficheros que suelen necesitarse:

sudo cp /etc/hosts /var/spool/postfix/etc/hosts
sudo cp /etc/resolv.conf /var/spool/postfix/etc/resolv.conf
sudo cp /etc/localtime /var/spool/postfix/etc/localtime

Ahora sí, recarga Postfix y vuelve a comprobar:

sudo systemctl reload postfix
sudo postfix check

Esta vez no debería aparecer ningún aviso pero ten presente que esto se puede dar cada ve que añadas usuarios al servidor.

---

Dovecot

- Instalación

Para la instalación de Dovecot, existen tres módulos principales (dovecot-core, dovecot-imapd y dovecot-pop3d) de las cuales usaremos el software principal "dovecot-imapd" principalmente para el trabajo de descarga de correos en local:

sudo apt install -y dovecot-core dovecot-imapd

- Configuración

Para Dovecot, configuraremos la autenticación y, como antes, el uso del formato Maildir en sustitución de mBox. Una vez instalado podemos comprobar que Dovecot:

• Está escuchando en los puertos 143 y 993 que corresponden a IMAP e IMAPS.

• Utiliza el mismo log file /var/log/mail.log que Postfix (MTA).

La configuración está dividida en varios ficheros dentro del directorio /etc/dovecot .

/etc/dovecot/dovecot.conf — aquí solamente descomenta para escuchar en todas las interfaces de red:

listen = *, ::

/etc/dovecot/conf.d/10-auth.conf - configura las siguientes opciones para que se pueda hacer login con certificado autofirmado:

disable_plaintext_auth = no
auth_mechanisms = plain login

Ahora vamos a configurar los mailboxes para aceptar Maildir. Para ello primero realizaremos la copia de seguridad del archivo de configuración:

sudo cp /etc/dovecot/conf.d/10-mail.conf /etc/dovecot/conf.d/10-mail.conf.BKP

Observa en este punto del archivo de configuración 10-mail.conf que nos dice explícitamente que podemos hacer el cambio. Así que vamos y editamos el archivo:

sudo nano /etc/dovecot/conf.d/10-mail.conf

y buscamos la directiva mail_location y descomentamos la que corresponde a esta:

mail_location = maildir:~/Maildir

y comentamos la que esta activa actualmente.

/etc/dovecot/conf.d/10-master.conf — por último, descomenta el bloque SASL para que pueda comunicarse la autenticación correctamente con Postfix:

# Postfix smtp-auth
unix_listener /var/spool/postfix/private/auth {
  mode = 0666
  user = postfix
  group = postfix
}

- Comprobación

Por último, reinicia el servicio para que los cambios surtan efecto:

sudo systemctl restart dovecot

Para mostrar la configuración actual de Dovecot en formato legible (incluyendo todos los parámetros y valores configurados en los archivos de configuración) podemos usar el siguiente comando:

dovecot -n

---

Mailutils

Mailutils nos servirá como MUA para poder enviar/recibir correos por línea de comandos. Maildir-utils son una serie de herramientas que nos facilitaran la navegación entre correos por terminal.

- Instalación

La instalación será como siempre:

sudo apt-get install mailutils maildir-utils

Existen alternativas de clientes de correos por terminal como son mutt, alpine o notmuch

---

Implementación de certificados TLS autofirmados

Para entorno de laboratorio, generamos un certificado auto-firmado:​

sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 \
  -keyout /etc/ssl/private/empresa.key \
  -out /etc/ssl/certs/empresa.crt \
  -subj "/CN=mail.empresa.local/O=Empresa/C=ES"

Añade al final de /etc/postfix/main.cf:

smtpd_tls_security_level = may
smtpd_tls_cert_file = /etc/ssl/certs/empresa.crt
smtpd_tls_key_file = /etc/ssl/private/empresa.key
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache

En /etc/postfix/master.cf, descomenta la línea del puerto 587 (submission):

submission inet n - y - - smtpd
  -o smtpd_sasl_auth_enable=yes

En /etc/dovecot/conf.d/10-ssl.conf comenta lo que hay puesto y pega lo siguiente:

ssl = yes
ssl_cert = </etc/ssl/certs/empresa.crt
ssl_key = </etc/ssl/private/empresa.key

Por último, renicia los servicios:

sudo systemctl restart postfix dovecot

---

Comprobación del funcionamiento

Configuración de usuarios de correo

Por ahora tendremos el handicap de que los usuarios de cliente de correo deben ser los mismos del servidor así que, para crear usuarios de correo, utilizamos el comando adduser para añadir el usuario "larios":

sudo adduser larios

Puedes revisar todos los usuarios creados con getent passwd por ejemplo

Prueba de envío y recepción de correo

Puedes enviar un correo electrónico a una cuenta en tu servidor y luego comprobar si se ha recibido correctamente utilizando este cliente de correo electrónico usando comandos como mail.

Para probar el servicio de correo vía terminal basta escribir algo como lo siguiente:

echo "Este es el body del email" | mail -s "Este el asunto" ubuntu@empresa.local

Si vamos al home del único usuario instalado en el sistema, "ubuntu", veremos que existe un directorio llamado Maildir que contiene la estructura básica de un buzón de correos. Vamos a la carpeta o directorio /home/ubuntu/Maildir/new y vemos que hay dos correos sin enviar.

Si vamos a comprobar algún correo en cuestión:

ls -R ~/Maildir

Veremos ahora el correo recien llegado y podemos leerlo con:

more /home/ubuntu/Maildir/new/16589874301.V587458I62M354.ubuntu

Prueba con Thunderbird

Para la prueba con Thunderbird deberás acceder a la otra MV cliente y configurar:

• Asegurar que el DHCP con DNS de la MV servidor da red al cliente o configura dominios locales con el archivo /etc/hosts

• Thunderbird instalado

• Usuario nuevo creado con nombre de usuario, nombre completo y password.

Configuramos Thunderbird

Dentro de la interfaz de configuración de usuario de Thunderbird, deberemos añadir cualquiera de los dos usuarios creados con el dominio correspondiente.

Al clicar directamente en aceptar, hará la autodetección del servidor, en ese momento, si todo ha ido bien, se mostrará algo parecido a lo siguiente:

A resultas de lo anteriormente mencionado, saldrá este mensaje de desconfianza del certificado, más adelante veremos como implementar un certificado SSL útil. De momento confirmaremos.

Si el dominio te da algun problema, puedes cambiarlo por la IP del servidor directamente.

Si todo ha ido bien, veremos este mensaje

Prueba de envío de Thunderbird

Ahora ya podemos dedicarnos a excribir y comunicarnos con el otro usuario creado:

Ejemplo de envío de mail

Te puede poner varios problemas para enviarlo sin el correspondiente certificado pero obvia los mensajes y vuelve a intentarlo.

Desde el servidor, ahora podemos comprobar el mail. Si volvemos a /home/ubuntu/Maildir/new deberíamos ver un nuevo correo en almacenado en el inbox. Con un cat o un more podemos ver (a excepción de la imagen obviamente que s envía en base64 ) el contenido del mensaje:

En el Maildir veremos todos los mensajes almacenados

El contenido del archivo será este:

Como ves, no solo contiene el mensaje, sino toda la información relativa al email en un solo archivo como ya se ha explicado con el formato Maildir.

Para revisar mejor el contenido del correo, podemos usar el comando mu view seguido de la ruta al archivo de mensaje dentro del directorio Maildir. Por ejemplo:

mu view /home/ubuntu/Maildir/new/1712214375.Vfd00I47d4dM557656.jupiter 

Deberías ver algo así:

Como ves, la imagen sigue sin poder reproducirse. Con maildir-utils ahora vemos solo el contenido del mensaje con la información básica.

Prueba de recibo de Thunderbird

Una vez completado esto, podemos hacer el proceso contrario; vamos a enviar correo del servidor por comandos al usuario con el cliente de Thunderbird conectado.

Empezamos por escribir un correo y le adjuntaremos algún archivo creado:

sudo nano laranamagica.txt

Añadamos un archivo de ASCII art por ejemplo

Ahora pasamos a crear el mail con el adjunto:

mail -A /home/laranamagica.txt larios@empresa.local

Esto nos desplegará las opciones;

1. lo primero que te pedirá será usuarios en copia (CC), pulsa Enter al terminar.

2. lo siguiente ingresar el asunto del correo electrónico en la primera línea, pulsa Enter al terminar.

3. Finalmente, escribir el cuerpo del correo electrónico, pula Enter y en la nueva linea, pulsa Ctrl+D para enviar. El procedimiento sería algo así:

Cc: [Enter]
Subject: Mira lo que hace la rana![Enter]
Para verlo tendrás que abrir el adjunto.[Enter]
[Enter]
Ánimo![Return]
[Ctrl+D]

Al guardar no saldrá ningún mensaje de completado pero si vamos al cliente de Thunderbird, deberíamos ver ahora el mensaje:

Como ves, el adjunto se encuentra en la parte inferior del mensaje.

PRACTICA: Habilita notificaciones de inicio de sesión por correo/alerta

Configurar un pequeño script para generar una alerta cada vez que alguien inicia sesión como root a través de SSH es una de las mejores cosas que puedes hacer para controlar las conexiones entrantes de SSH.

Entonces, primero abre el archivo de configuración SSH:

sudo nano /etc/ssh/sshd_config

Luego, agrega o modifica las siguientes líneas para configurar notificaciones por correo:

# Habilita la notificación de inicio de sesión por correo
UsePAM yes

# Especifica la dirección de correo para recibir notificaciones
AddressNotificationAddress correo@dominio.com

Una vez configurado Postfix, puedes utilizar el servidor de correo para enviar notificaciones de inicio de sesión.

No olvides guardar los cambios realizados en /etc/ssh/sshd_config y reiniciar el servicio SSH para que los cambios surtan efecto:

sudo service ssh restart

+ Firma digital y cifrado

Para el uso de frimas cifradas a través de Thunderbird debemos instalar el plugin Enigmail o usar el soporte nativo de OpenPGP de Thunderbird (versión ≥78):

# En el servidor, genera par de claves para el alumno
gpg --gen-key
gpg --export --armor alumne1@empresa.local > alumne1_public.asc

En Thunderbird → Configuración de cuenta → Cifrado extremo a extremo → importar clave. Los alumnos se intercambian las claves públicas y envían un correo firmado y uno cifrado.

---

Conclusiones

Como ves, tener un servidor de correos es una utilidad muy interesante y divertida para nuestro servidor. Aunque la mayoría de empresas externalicen el servidor de correo con outlook, gmail o cualquier servicio de dominio propio, como administradores de sistemas es importante saber manejar estos protocolos y software.

Como curiosidad, en la siguiente pagina puedes revisar el estado de tu dominio de correo: https://mxtoolbox.com/

Webgrafía

• https://punkymo.gitbook.io/miwiki/servicios/servidores-de-correo/clientes-de-correo

• https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-postfix-as-a-send-only-smtp-server-on-ubuntu-20-04-es

• https://mailutils.org/manual/html_section/mail.html

• https://www.baeldung.com/linux/mail-system-mailutils

• https://jamon.ca/articles/how-to-install-and-configure-postfix-on-ubuntu-22-04/