Problema con servidor de correo Sendmail

Imagen de migueman

Forums: 

Buenos días amigos,

Administro una red LAN donde tengo un servidor proxy y un servidor de correo con ip pública.

Resulta que se quemó la fuente de poder del mail server y estoy instalando desde 0 nuevamente.

Intalé el Centos 6 con el mínimo de requerimientos y solo modo texto, y luego fui añadiendo el resto de paquetes tal como lo sugiere:

http://www.alcancelibre.org/staticpages/index.php/procedimiento-instalar-centos6
http://www.alcancelibre.org/staticpages/index.php/ajustes-posteriores-centos6-instalar

Luego instale el sendmail igualmente siguiendo:

http://www.alcancelibre.org/staticpages/index.php/staticpages/index.php?page=15-como-sendmail-apendice-01

Al parecer todo está configurado (claro que sin seguridades aún, no tengo shorewall ni nada)

Pero en mi red LAN que la mayoria de PCs usan windows 7 con outlook como cliente de correo no tengo conectividad con el servidor, le pongo los parámetros que configuré para un usuario y ni siquiera se loguea, dice error de conexion POP3.

Leyendo por la web encontré que si se ejecuta:

netsat -nl

y se tiene:

tcp 0 127.0.0.1:25 0.0.0.0:* LISTEN

en vez de tener:

tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN

pues quiere decir que le puerto 25 no está abierto para la intranet o extranet, es decir solo sirve dentro del propio servidor.

Esto se supone que se corrige en: /etc/mail/sendmail.mc, eliminado "Add=127.0.0.1," del parámetro:

DAEMON_OPTIONS(´Port=smtp, Addr=127.0.0.1, Name=MTA')dnl

Tengo eliminada esa dirección y aún sigo teniendo:

tcp 0 127.0.0.1:25 0.0.0.0:* LISTEN

Supongo que esa es la razón por la que no tengo conectividad en mi outlook...

Alguien tal vez me puede dar una mano?

P.D.: en mi servidor proxy tengo permitidos los puertos 25, 110 en el shorewall, además todo funcionaba con el correo hasta que se quemó :(

Gracias por su tiempo y ayuda.

Realmente el error que me da

Imagen de migueman

Realmente el error que me da en el outlook dice error con conexion con pop3, estoy claro que pop3 está ligado al dovecot pero en si dovecot está bien configurado.

Leyendo por la web encontré que se debe dar ciertos permisos a los usuarios de correo creados, específicamente en: /var/spool/mail.

Por defecto tiene los permisos 660, pero por alguna razón (desconocida) los usuarios mediante los cuales estaba haciendo pruebas tenían los permisos 600, no se si deberían tener permisos 666 o no se..

La cuestión es que le cambié a 660 y ya se pueden loguear en el servidor pero después de varias pruebas tengo el problema de que no recibo correos, en el envío está perfecto a cualquier dominio pero la recepción solo me acepta de correos con el dominio interno, pero por ejemplo hotmail no recibo.

Verificando el log: tail -f /var/log/maillog no tengo ninguna entrada que esté bloqueando algun mensaje entrante, es más no indica ninguna actividad cuando envío correos desde afuera hacia mi dominio (desde hotmail por ejemplo).

También leí que no se recibe correos por las siguientes razones:

- problemas con el dns
- permisos usuarios
- configuración de dominios permitidos en: /etc/mail/local-host-names

Con respecto al dns: en el archivo /etc/resolv.conf cada que reinicio el servidor aparece en blanco sin ningun nameserver a pesar que en las tarjetas eth0 (wan) y eth1 (lan) tengo configurados los dns de mi proveedor. Para solucionar esto encontré en la web la opcion de "inmortalizar" el archivo configurado manualmente a través de:

chattr +i /etc/resolv.conf

Teniendo dentro del archivo:
nameserver 127.0.0.1
nameserver [DNS1 del proveedor]
nameserver [DNS2 del proveedor]

Con eso al parecer se ha solucionado.

Los permisos de los usuarios he llegado a cambiarles a 666 pero cuando reincio el servidor regresan a 660 y los usuarios de prueba a 600.

Y en mi archivo: /etc/mail/local-host-names tengo:

midominio.com

Hasta ahí estoy sin encontrar una solución para la recepción de correos... leí en otro post que se debe configurar la zona del dns pero eso me parece que es cuando uno mismo tiene el servidor dns, en mi caso está en el proveedor y ya estaba registrado con la IP pública del anterior servidor que se quemó y el mismo nombre de servidor me parece.

Acabo de hablar con mi proveedor y me indica que la configuracion de dns está correcta pero no llega a la dirección ip de mi servidor de correo, igualmente revise haciendo ping mediante una página web y tampoco llego, supongo que esa es la razón de no recibir los correos.. debe tratarse del puerto.. voy a revisar y postearé los avances.

------- :-D --------

Saludos.

Migueman

[img]http://www.danasoft.com/sig/hackman7140923.jpg[/img]

A pesar de que en iptables tá

Imagen de migueman

A pesar de que en iptables tá permitidos los puertos necesarios, al hacer un escaneo de puertos abiertos sale que están cerrados, no he instalado ningún paquete de seguridad como shorewall o algun otro por loq ue necesariamente debería administrar los puertos solo por /etc/sysconfig/iptables...

En él tengo de la siguiente manera:

# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT

-A INPUT -m state --state NEW -m tcp -p tcp --dport 25 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 110 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 563 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 143 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 465 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 587 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 993 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 995 -j ACCEPT

-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

------- :-D --------

Saludos.

Migueman

[img]http://www.danasoft.com/sig/hackman7140923.jpg[/img]

En general las reglas de

Imagen de deathUser

En general las reglas de iptables son una pila y se aplican en el orden en el que se especifican, por lo que en principio tu configuración es simple pero permite lo que debe permitir.

No se si la regla: "-A INPUT -j REJECT --reject-with icmp-host-prohibited" te está cerrando todo el tráfico, yo pondría el default del CHAIN INPUT en REJECT en lugar de ACCEPT y con eso no me preocuparía de cerrar los puertos explícitamente, con todo, para validar que no sea problemas de tu firewall deberías hacer las pruebas con el firewall abajo de manera que descartes bloqueos en el firewall como origen de tu problema.

Revisa con nslookup o dig la configuración del DNS en particular la definición del MX para tu dominio y fíjate si está apuntando a la dirección correcta.

bye
;)

JAJAJA

Imagen de migueman

Esto si esta para reirse... tantas pruebas que ya me voy a volver loco...

Resulta que en este dichoso servidor de correo tengo 2 tarjetas (para pruebas ya que solo se necesita 1). Se suponía que la una era para WAN y la otra para LAN.

Dado que no tenía conectividad desde la internet hacia mi servidor de correo, todos los correos enviados desde cualquier parte del mundo (hotmail por ejemplo) se descartaban.

Pero la pregunta es entonces como se enviaban, resulta que como le configuré la tarjeta LAN con gateway mi servidor proxy, pues se estaban llendo por ahí.

Apesar de que bajaba el firewall: "service iptables stop" seguía sin tener conexión al servidor de correo, pero al hacer ping a google si tenía respuesta... entonces lo que supuse es que estaba teniendo conectividad a través de la tarjeta LAN y no por la WAN.

Ya que pensaba que iptables se aplica a las 2 tarjetas no me fije en este detalle, pero se me prendió el foco y decidí intercambiar la configuración de mis 2 tarjetas, transformando así la LAN en WAN y la WAN en LAN, y PAM!!!! funciono envío y recepción de correo.

Lo que me queda por resolver es por qué las iptables solo se están aplicando a una tarjeta (eth1) y no a las 2 (eth0 y eth1) pero eso ya lo averiguaré. Añado que tengo el firewall abajo ojala funcione subiendolo :S

Te agradezco death, siempre estas para apoyar a los burros como uno que lucha por pasar de la ignorancia, quise escribir todo y con detalle de lo que me pasó para que ojalá le sirva a alguien que le pase algo similar.

Saludos amigos.

------- :-D --------

Saludos.

Migueman

[img]http://www.danasoft.com/sig/hackman7140923.jpg[/img]

Las reglas se aplican a todas

Imagen de deathUser

Las reglas se aplican a todas tus interfaces dependiendo de los CHAINS si es que no especificas en la regla una interfaz en particular es común que aceptes todo el tráfico con destino a tu interfaz "local" (LAN) y por default rechaces todo el tráfico con destino a tu WAN salvo lo que explícitamente permites, suele ser el escenario más común pero eso no quiere decir que sea el único, en configuraciones más restrictivas niegas todo y permites solo los servicios que quieres explícitamente, de esta manera tienes un control "absoluto", claro que tus usuarios joden más ya que no les funciona nada que no esté explícitamente permitido ;)

bye
;)

Páginas