Te enseñamos como implementar Proxmox Mail Gateway con Zextras Carbonio CE en su red para proteger su infraestructura de correo y mantener el spam controlado.
¿Qué es Proxmox Mail Gateway?
Proxmox Mail Gateway es una solución libre y de código abierto que le permite mantener sus dominios de correo seguros, brindándole una capa de protección
a su servidor o servidores de correos, con Proxmox Mail Gateway, podrá controlar el Spam y los Virus que se propagan mediante correo electrónico, pero
como administrador de sistemas esta herramienta le brinda un abanico de funciones muy amplio, pudiendo controlar muchos factores del comportamiento del correo.
¿Cómo se implementa Proxmox Mail Gateway?
Proxmox Mail Gateway podemos implementarlo en nuestra red por ejemplo en una DMZ como veremos en este artículo teniendo en cuenta que nuestro servidor de correo estará ubicado en la LAN para una mayor protección. El objetivo es que Proxmox Mail Gateway se ubique delante de nuestro servidor de correo actual recibiendo los correos desde internet procesándolos y entregándolos a nuestro servidor de correo, el proceso se repite de forma inversa, cuando un usuario envía un correo mediante nuestro servidor Carbonio, este lo entrega a Proxmox Mail Gateway para procesarlo y luego este lo entrega a su destinatario en internet.
¿Qué necesito para implementar Proxmox Mail Gateway con Zextras Carbonio CE?
Para implementar Proxmox Mail Gateway basta con tener un servidor que cumpla los requisitos de hardware, al implementarlo usaremos las mismas configuraciones DNS ajustadas a este nuevo servidor y la misma regla de firewall (si aplica)
¿Podemos implementar Proxmox Mail Gateway con cualquier servidor de correo?
Sí, podemos configurar Proxmox Mail Gateway para que entregue correos a cualquier servidor de correo que tengamos implementado, de igual forma por lo general cualquier servidor de correo que tengamos en nuestra red permite configurar un relay en este caso Proxmox Mail Gateway.
Datos para este artículo:
Dominio: networldcu.tech
Servidor Carbonio CE: mta.networldcu.tech
Dirección IP de Carbonio CE: 192.168.1.23 (LAN)
Servidor Proxmox Mail Gateway: mx1.networldcu.tech
Dirección IP de PMG: 10.1.0.2 (DMZ, puede ubicar PMG en la misma red de Carbonio CE sin problema)
En este articulo asumimos que tiene Proxmox Mail Gateway instalado.
Registros DNS
Su servidor de correo actual tiene un nombre (FQDN) por ejemplo: mta.networldcu.tech, puede obtenerlo ejecutando: # sudo hostname -f, al instalar Proxmox Mail Gateway también le dimos un nombre, en este caso usaremos para el ejemplo: mx1.networldcu.tech.
Teniendo lo anterior en cuenta, modificaremos 5 registros DNS para utilizar Proxmox Mail Gateway como nuestro MX.
Registro A (Host)
Agregamos o editamos el registro actual: mta.networldcu.tech por:
A mx1 144.126.146.214Registro MX
Eliminar o editar el registro MX actual por:
MX @ 10 mx1.networldcu.techRegistro SPF
Eliminar o editar el registro SPF actual por:
TXT @ v=spf1 mx a:mx1.networldcu.tech ip4:144.126.146.214 -allRegistro PTR (Proveedor de dirección IP pública)
Editar registro actual: 144.126.146.214 – mta.networldcu.tech por:
144.126.146.214 mx1.networldcu.techNota: Puede comprobar su registro PTR actual ejecutando: # nslookup 144.126.146.214
Registro DKIM
Ver punto 7 de esta entrada.
Configurando Proxmox Mail Gateway
1 – Accedemos a Proxmox Mail Gateway mediante su dirección: https://10.1.0.2:8006
2 – Agregar la dirección IP de nuestro servidor de correo como Default Relay en la pestaña Relaying
3 – Agregar los dominios que manejará o pasarán por Proxmox Mail Gateway en la pestaña Relay Domains
Agregamos nuestro dominio networldcu.tech
4 – Una vez que hemos definido que dominios manejaremos con Proxmox Mail Gateway, necesitamos indicarle a que servidores de correo debe enviarle los correos de cada dominio cuando los procese, eso lo hacemos en la pestaña Transport.
Agregamos nuestro dominio o dominios y la dirección IP del servidor de correo que gestiona ese dominio, en este caso nuestro Carbonio.
Si Carbonio maneja mas de un dominio igual debemos agregar aquí cada uno de ellos y apuntarlos a Carbonio como se muestra en la imagen de arriba.
5 – Como nuestro laboratorio comprende a Proxmox Mail Gateway en DMZ y el servidor de correo Carbonio esta en la LAN ambos servidores se encuentran en redes diferentes, debemos indicarle a Proxmox Mail Gateway la red o dirección IP de Carbonio como una dirección de confianza, lo mismo en Carbonio pero eso lo vemos más adelante.
Agregar la red o dirección IP de Carbonio como de confianza en la pestaña Networks
6 – Active TLS si lo va a utilizar (recomendado)
7 – Creando el registro DKIM, como Proxmox Mail Gateway es el último servidor en interactuar con nuestros correos antes de ser entregados, es conveniente firmar nuestros correos en este servidor y no en Carbonio, para crear la firma DKIM en Proxmox Mail Gateway, vamos a la pestaña DKIM, y seguimos los siguientes pasos:
7.1 – Creamos un selector, podemos poner un nombre el que queramos, por ejemplo le pondré: pmg
7.2 – Habilitamos DKIM y establecemos a Yes el campo de Firmar todos los correos salientes
7.3 – Damos de alta los dominios que queremos firmar
7.4 – Para ver el registro de la firma DKIM que necesitamos establecer en nuestro DNS, damos en View DNS Record
Ya que tenemos el registro DKIM, vamos a editar o crear el registro DNS que nos faltaba, el registro DKIM el cual debe quedar de la siguiente forma según lo que nos brinda Proxmox Mail Gateway.
Registro DKIM
TXT pmg._domainkey v=DKIM1; h=sha256; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAr7phHqgicHFrxxcmi9JO5phXU/GcNwIbLyTSLgQfs8Zmh1Hf+pVvbix0aoKFnPXRbF6iVOayi88ehFMKPTy+OCwFcN1y3IJPmejfOx+stpR16Dx79GTk+N8RZYxgbwzsSWwlRj0FuLwCTmznQTLPyfmL2Hh6dPRoWoDhvQn2y3CrRx2DI8ZSBp1v4/ugoch3eb/kSzeFoU5pTlTjJI4NTl1KIP8eQ2kY1dTIDOhkm8BEF/BhaB0N3OmChEblWCdNuc0xQvIFAKD4NpMifos4n/O064OMALz2OulX7+9pcp6G4QOxmH2jQEJN1xwgfmebXc6vyuynJiNm6vY4seGPowIDAQABNota: el registro DMARC que debe haber creado para su actual servidor de correo, queda exactamente igual, no necesita modificar nada.
Esto es todo en cuanto al funcionamiento principal en Proxmox Mail Gateway, ya está listo para gestionar los correos de su dominio y entregárselos limpios a Carbonio, también será capaz de recibir los correos de Carbonio, procesarlos y entregarlos, pero ahora debemos configurar Carbonio para que reciba los correos de Proxmox Mail Gateway y además envíe los correos salientes a través de Proxmox Mail Gateway.
Configurando Carbonio CE
1 – Ajustando MyNetworks, este es el primer ajuste, como Carbonio CE y Proxmox Mail Gateway no estan en la misma red, es necesario agregar Proxmox Mail Gateway como un servidor de confianza para Carbonio, esto mismo ya lo hicimos en Proxmox Mail Gateway cuando agregamos la IP o red de Carbonio en la pestaña Networks.
En Carbonio ejecutamos los siguientes comandos para hacer el ajuste:
su - zextras -c "carbonio prov ms $(hostname -f) zimbraMtaMyNetworks '127.0.0.0/8 10.1.0.2/32 $(hostname -i)/32'"El comando anterior agregará a Carbonio, Proxmox Mail Gateway (10.1.0.2) como un servidor de confianza, hemos utilizado /32 para que solo permita esa IP de Proxmox Mail Gateway, aprovechamos y ajustamos la IP del propio Carbonio con /32 también ya que por defecto esto tendrá la mascara original del servidor cuando se instalo.
Reiniciamos el MTA:
su - zextras -c "zmmtactl restart"Y podemos comprobar el cambio ejecutando:
su - zextras -c "postconf mynetworks"2 – Ahora Carbonio es capaz de recibir los correos de Proxmox Mail Gateway, pero necesitamos enviar o dirigir los correos salientes de nuestro Carbonio hacia Proxmox Mail Gateway, y eso lo hacemos configurando un Relay Host en Carbonio ejecutando el siguiente comando:
su - zextras -c "carbonio prov ms mta.networldcu.tech zimbraMtaRelayHost 10.1.0.2:26"En el comando anterior indicamos la dirección IP de nuestro Proxmox Mail Gateway (10.1.0.2) y el puerto 26, este es el puerto por defecto donde Proxmox Mail Gateway recibe los correos internos. Note también que debe modificar el FQDN de su servidor de correo Carbonio.
Para comprobar que el relay esta configurado, ejecutamos:
su - zextras -c "carbonio prov gs mta.networldcu.tech | grep zimbraMtaRelayHost"3 – Eliminar la firma DKIM en Carbonio
Si ya has configurado Carbonio para que firme los correos con DKIM, es necesario deshabilitar esto, recordemos que ya Proxmox Mail Gateway firmará nuestros correos, para eliminar la firma en Carbonio para nuestros dominios, ejecutamos:
/opt/zextras/libexec/zmdkimkeyutil -r -d networldcu.tech4 – Deshabilitar AntiSpam y Antivirus en Carbonio
Nos quedan dos pasos mas importantes, si acabamos de implementar Proxmox Mail Gateway, para que necesitamos AntiSpam y Anti Virus en Carbonio, vamos a liberar nuestro servidor Carbonio de esta carga y así ahorramos en recursos de hardware.
4.1 – Desactivar Antivirus
Para desactivar el antivirus en Carbonio, también debemos desactivar Amavis que es el servicio encargado de llamar al Antivirus, ejecutemos los siguientes comandos:
Amavis
su - zextras -c "carbonio prov mcf carbonioAmavisDisableVirusCheck TRUE"
su - zextras -c "zmamavisdctl restart"
su - zextras -c "carbonio prov gcf carbonioAmavisDisableVirusCheck"Clamav (Antivirus)
systemctl mask carbonio-clamav-sidecar.service
systemctl restart service-discover
su - zextras -c "zmprov ms $(zmhostname) -zimbraServiceEnabled antivirus"
rm /etc/zextras/service-discover/carbonio-clamav.hcl4.2 – Desactivar AntiSpam
su - zextras -c "carbonio prov modifyServer mta.networldcu.tech -zimbraServiceEnabled antispam"Nota: en el comando anterior debe modificar y establecer el FQDN de su servidor Carbonio
Por último reiniciamos los servicios:
su - zextras -c "zmcontrol restart"Listo, ahora tiene un sistema de correo protegido y en el cual puede aplicar cientos de medidas personalizadas.
Si tiene dudas, preguntas o cualquier inconveniente, no dude en pasar por nuestro grupo en Telegram: https://t.me/networldgroup
¿Ya conoce nuestro curso de Zextras Carbonio CE?
Tanto el contenido de esta entrada, como el contenido relacionado con Zextras Carbonio CE lo aprendemos en nuestro curso, pensado para que logres implementar una completa suite de correo colaborativo para tu empresa, negocio o emprendimiento.
Visite la información del curso para que conozca sobre el mismo.
