Ir al contenido 
El derecho Configuración de Postfix determinan la seguridad y funcionalidad de su servidor de correo. En este artículo, le mostraré todos los parámetros clave, le explicaré los métodos de configuración recomendados y le ofreceré ejemplos prácticos para un uso productivo.
Puntos centrales
- main.cf y master.cf son los centros de control de la configuración de Postfix.
- A Smarthost permite el envío seguro de correo a través de proveedores externos.
- STARTTLS garantiza transmisiones cifradas: útil y fácil de configurar.
- Maildir como formato aumenta la fiabilidad y la compatibilidad con los clientes IMAP.
- Correcto Direcciones del remitente y SPF/DKIM aumentan los índices de entrega.
Archivos de configuración y herramientas importantes
El expediente /etc/postfix/main.cf determina casi todas las funciones básicas de Postfix. Además, el master.cf el funcionamiento de servicios individuales como smtpd o pickup. Para personalizaciones más flexibles, la herramienta de línea de comandos postconf - perfecto para cambios de última hora sin editor.
Si desea profundizar, encontrará esta guía de instalación del servidor Postfix una guía práctica paso a paso. La combinación de main.cf y postconf ofrece estructura y flexibilidad en una única solución.
Para servidores de correo más grandes, también merece la pena utilizar un sistema de gestión de versiones para los archivos de configuración. Sistemas como Git permiten hacer un seguimiento rápido de los cambios y deshacerlos si es necesario. Esto no sólo ahorra tiempo, sino que también le ofrece seguridad cuando se trata de actualizaciones o nuevas funciones. Ten en cuenta que los datos sensibles, como las contraseñas, no se almacenan en texto plano en Git.
Conceptos básicos: parámetros esenciales
Un servidor de correo que funcione requiere una estructura básica correcta. Como mínimo, debe configurar correctamente las siguientes opciones:
minombredehostp. ej. mail.tuservidor.commiorigen: casi idéntica a$mydominioinet_interfaces = todosAcepta conexiones de todas las interfaceshome_mailbox = Maildir/clasifica los correos electrónicos en el formato seguro Maildir
Estos ajustes determinan cómo su servidor envía, recibe y guarda localmente los correos electrónicos. A menudo se olvida que misredes debe configurarse adecuadamente para que sólo las direcciones IP autorizadas tengan derechos de retransmisión. Especialmente en entornos más grandes o con múltiples direcciones IPv4 e IPv6, la definición precisa de las redes de confianza puede ser extremadamente importante.
Para las configuraciones multidominio, también es importante dominios_alias_virtuales y mapas_alias_virtuales para configurar. Esto permite operar múltiples dominios en el mismo servidor sin necesidad de una instancia separada para cada dominio. La configuración principal sigue siendo la misma; sólo se define qué dominios se resuelven a qué usuarios del sistema local o a qué direcciones externas.
Configurar Postfix como host inteligente
Si sólo desea que su servidor envíe correos electrónicos, puede utilizar un modo de sólo envío a través de un host inteligente. Para ello necesitas:
- Entrada
relayhost = [smtp.proveedor.de]:587en el archivo main.cf - Nombre de usuario y contraseña a través de
/etc/postfix/sasl_passwd - Proteger el fichero con
chmod 600y generación de hash conpostmap
Recuerde: Necesita TLS y autenticación con smtp_sasl_auth_enable = sí. Esto protege su servidor de usos indebidos. También es muy útil, smtp_sasl_security_options = noanonymous para que la conexión SMTP no esté abierta a intentos de autenticación anónimos.
Si está supervisando el envío de grandes volúmenes de correos electrónicos, puede ser ventajoso ampliar el registro en consecuencia y utilizar herramientas como pflogsumm utilizar. Esto le proporcionará informes diarios sobre el volumen de envíos, errores y posibles intentos de spam que se ejecutan a través de su host inteligente.
Direcciones de remitente seguras con sender_canonical_maps
Los proveedores de correo como Gmail rechazan los correos electrónicos sin una dirección de remitente válida. Acerca de sender_canonical_maps convierte nombres de sistemas locales como "ubuntu" en direcciones de remitentes reales. Esto se hace a través de un archivo de asignación, por ejemplo así:
usuario web [email protected]Después de cada cambio siempre postmap y vuelva a cargar Postfix. De lo contrario, la nueva configuración no surtirá efecto. En entornos con varios proyectos o subdominios, puede ser útil estructurar estos mapas canónicos muy finamente. Por ejemplo, "webuser1" puede ser automáticamente mapeado a "[email protected]", mientras que "webuser2" aparece como "[email protected]". Esto mantiene limpia la estructura interna de tu sistema y evita rechazos por parte de grandes proveedores.
Activar el cifrado SSL y TLS
La protección de datos y la fiabilidad están estrechamente ligadas a la encriptación del transporte. En la variante más sencilla, se activa TLS con :
smtp_tls_security_level = mayPara el cifrado obligatorio se utiliza en su lugar codificar. Los certificados asociados se definen en smtpd_tls_cert_file y smtpd_tls_archivo_clave. Encontrará más información sobre la cobertura en el artículo Configurar Postfix con Perfect Forward Secrecy.
Asegúrese de que su certificado es fiable y no está caducado o autofirmado. Aunque los certificados autofirmados son suficientes para las pruebas, a menudo son clasificados como inseguros por los proveedores o los servidores de correo de los destinatarios. Con Cifremos recibirá certificados gratuitos y renovables automáticamente, lo que le ahorrará mucho trabajo manual y le proporcionará una base sólida para las conexiones cifradas.
También puedes personalizar las suites de cifrado para evitar métodos de cifrado débiles. Aunque esto cree problemas de compatibilidad con servidores de correo antiguos en algunos casos, suele merecer la pena permitir sólo protocolos modernos como TLS 1.2 y superiores.
Postfix y Maildir para una entrega de correo fiable
El Maildir-formato guarda cada correo como un archivo individual. Esto evita la pérdida de datos y facilita el acceso IMAP a través de clientes como Thunderbird o Roundcube. Especifique para ello:
home_mailbox = Maildir/También debe crear el directorio ~/Maildir inicialmente. Apache, Dovecot y Postfix han estado trabajando juntos con Maildir durante años sin ningún problema.
Si también desea introducir reglas de cuotas por directorio de correo, merece la pena echar un vistazo a la configuración de su servidor IMAP, como Dovecot. Allí puede definir restricciones de almacenamiento para buzones individuales, de modo que pueda mantener los recursos del servidor bajo control. Gracias a la estrecha integración de Maildir y Dovecot, puede definir avisos para los usuarios si están a punto de alcanzar el límite.
Colas, análisis de errores y archivos de registro
Después de cada cambio, debe guardar la configuración con sudo postfix check comprobar. Puede reconocer errores en el fichero /var/log/mail.log o /var/log/maillog. La herramienta muestra los mensajes abiertos mailq en.
Las entradas de registro son la mejor herramienta para reconocer problemas como entradas DNS incorrectas o desconexiones. Si ves repetidamente mensajes de "error en la verificación del certificado", este artículo te ayudará: Solución de errores TLS con Gmail.
Especialmente en escenarios con un alto volumen de correo, puede ser útil vigilar los mensajes rebotados. Con postsuper puede eliminar mensajes individuales de la cola o volver a entregarlos si se produjeron errores. postcat le permite echar un vistazo al contenido de un correo aún en la cola. Esto le permite determinar rápidamente si las cabeceras incorrectas o la falta de direcciones del remitente están poniendo en peligro las tasas de éxito y entrega.
Aplicar las precauciones de seguridad
Un servidor de correo bien configurado necesita mecanismos de seguridad a varios niveles. Tenga en cuenta los siguientes puntos:
- Establecer misredes a rangos IP de confianza (por ejemplo, 127.0.0.1, ::1)
- Utilizar datos de acceso SMTP seguros
- Activar TLS con certificados válidos
- Configurar SPF, DKIM y listas grises opcionales
Esto aumentará su tasa de entrega y le protegerá de abusos. Recuerde que SPF y DKIM sólo funcionan si las entradas DNS están configuradas correctamente. Para DKIM, es una buena idea crear una clave separada para cada dominio y rotarla automáticamente. Esto evita que una clave comprometida se utilice a largo plazo.
La integración de servicios RBL (listas de agujeros negros en tiempo real) o DNSBL (listas de agujeros negros basadas en DNS) proporciona una mayor protección contra el spam. Con las entradas correspondientes en main.cf puede bloquear las conexiones entrantes de redes de spam conocidas antes incluso de que lleguen a su servidor de correo.
Opciones de configuración y funciones ampliadas
Postfix ofrece muchas opciones para mapear escenarios complejos. Con controles_cabecera y body_checks puede, por ejemplo, filtrar los correos electrónicos que contengan determinadas cadenas de caracteres en la cabecera o en el cuerpo. Esto puede ayudar a filtrar el spam o los archivos adjuntos peligrosos antes de que lleguen a su sistema. Para las empresas que necesitan proteger datos confidenciales, puede ser útil bloquear determinados tipos de archivos, como archivos .exe o scripts.
Otras características interesantes son:
- Servicios de política PostfixAquí puede utilizar los llamados demonios de políticas para decidir en tiempo real si un correo electrónico debe ser aceptado, rechazado o enviado en un bucle de listas grises.
- Limitación de conexiones simultáneasEn picos de carga elevados, puede tener sentido permitir sólo un cierto número de conexiones SMTP simultáneas por IP para evitar ataques tipo DDoS.
- Reescritura de direccionesAdemás de los mapas canónicos del remitente, también existen opciones de reescritura del destinatario (recipient_canonical_maps) para ocultar el esquema de nombres interno a los remitentes externos.
Especialmente en redes grandes o con hosters que ofrecen alojamiento web compartido, ocurre a menudo que muchas aplicaciones diferentes envían correos electrónicos. Una separación estricta de las direcciones de remitente y un motor de mapeo claramente estructurado son esenciales en este caso para garantizar que cada aplicación utiliza el dominio de remitente correcto. Los errores de configuración en este ámbito suelen provocar errores DMARC o rechazos de entrega.
Ampliar Postfix con Dovecot, ClamAV & Co.
Para los correos entrantes, también necesitas un servidor IMAP/POP3 como Dovecot. Los filtros antivirus y antispam como Amavis, SpamAssassin o ClamAV completan la configuración. Juntos forman un servidor de correo completo que también puede gestionar a través del acceso webmail. Roundcube ofrece una sencilla interfaz en el navegador.
Estos componentes amplían su servidor Postfix hasta convertirlo en un completo centro de correo con control de acceso integral, ideal para empresas y autónomos. Con Amavis, por ejemplo, en combinación con SpamAssassin y ClamAV, puede determinar el nivel de spam de un correo electrónico, así como rechazar mensajes infectados por virus. Se recomienda una interfaz web para el procesamiento de la cuarentena, de modo que los administradores puedan liberar rápidamente los correos clasificados incorrectamente ("falsos positivos"). Esto también facilita mucho la supervisión de los registros y las estadísticas de spam.
Comparación directa de proveedores de alojamiento para Postfix
¿No quieres tener tu propio servidor? Algunos proveedores ofrecen acceso root completo con integración Postfix optimizada. La comparación:
| Proveedor | Actuación | Precio | Seguridad | Recomendación |
|---|---|---|---|---|
| webhoster.de | Muy buena | Favorable | Alta | 1 (ganador de la prueba) |
| Proveedor B | Bien | Medio | Alta | 2 |
| Proveedor C | Satisfactorio | Favorable | Medio | 3 |
En función del número de correos electrónicos que prevea recibir al día y de las funciones que desee administrar usted mismo, la elección del hoster adecuado variará. Algunos proveedores habilitan sistemas automáticos de defensa DDoS, lo que resulta especialmente útil ante una avalancha de intentos de spam. El soporte también juega un papel importante: en caso de error, debe recibir ayuda rápidamente para minimizar el tiempo de inactividad.
Resumen - Mi evaluación final
Con el derecho Configuración de Postfix puedes conseguir una configuración que sea a la vez segura y potente. Todo lo que tienes que hacer es estructurar los archivos de configuración de forma clara, prestar atención al envío de host inteligente y utilizar el cifrado correctamente. Es fácil empezar - siempre que te ciñas a los parámetros recomendados y procedas paso a paso.
Herramientas como mailq, postmap y Postfix logs le permiten estar al tanto de los problemas en todo momento. Haga un uso sensato de las extensiones existentes para asegurarse de que su envío de correo electrónico no es un punto débil, sino una base estable para su comunicación. Con un poco de experiencia y un mantenimiento constante, te darás cuenta de lo robusta que es tu configuración y de lo bien que se puede integrar tu propio servidor de correo en una infraestructura informática profesional. Si además utiliza módulos como Dovecot, SpamAssassin y ClamAV, podrá incluso cumplir los exigentes requisitos de un entorno empresarial y, en última instancia, obtener un control total sobre el flujo de correo de su empresa.
