Qmail en la Release de OVH : Problemas y soluciones

Esta guía describe y analiza en profundidad cómo se ha hecho instalación de Qmail con la distribución Linux Release de OVH y el panel OVHm, aunque puede ser utilizada para el resto de distribuciones Linux.

Si utiliza un alojamiento compartido (GP/Plan) de OVH o un MX plan puede seguir la guía EmailSmtpPop3Imap

En los servidores dedicados preconfigurados, hemos preinstalado un servidor de email qmail: http://www.qmail.org/

En nuestra release, Qmail tiene los patchs siguientes:

• patch TLS que permite enviar los emails encriptados con SSL
• patch spamcontrol

También analizamos los principales problemas que pueden darse en el uso normal de Qmail, así como sus posibles soluciones .



El servidor de email es un software que tiene como finalidad aceptar los emails en el puerto 25 via el protocolo SMTP. Para saber como funciona el protocolo SMTP he aqui la URL del RFC http://www.ietf.org/rfc/rfc0821.txt

He aquí un ejemplo de comunicación SMTP en el puerto 25:



Las informaciones en DATA deben normalmente ser el e-mail mismo. Es decir, tener la forma de un email:




Si el email ha sido aceptado por el servidor mx3.ovh.net se debe:

• bien porque la IP de donde se ha hecho la conexión ping.ovh.net 213.186.33.13 puede hacer relay de los emails via mx3.ovh.net
• bien porque mx3.ovh.net es el servidor MX de ovh.net

La función más habitual de cualquier servidor de email es hacer de relay que consiste en:

• Aceptar el email y entonces enviar 250 ok después RCPT TO
• Meter los emails en el spool o la cola
• Reenviar el email hacia el servidor MX del destinatario.

Es un servidor SMTP el que va a ocuparse sólo de distribuir los emails en internet.
Los proveedores de acceso (terra, orange) proponen este tipo de servidores para enviar los emails de sus usuarios.

• La primera etapa ha sido presentada en antes de comenzar que consiste simplemente en aceptar el email.

El problema se hace complejo con la gestión de spam mediante alguna de las protecciones presentadas a continuación.
Es el proceso qmail-smtp que se ocupa de esta función.
Su labor es a de saber comunicar con SMTP y saber grabar el email bajo forma de un fichero en el disco duro.

• La segunda etapa consiste en almacenar el email en los discos esperando la tercera etapa.

• La tercera etapa utiliza DNS para saber el servidor que gestiona el dominio y se intenta enviar el correo a este servidor.

Para gestionar la función relay (enviar correo), hay que gestionar qué usuarios pueden utilizar esta función.

Si usted permite a todos los usuarios enviar correo, su máquina será utilizada como un servidor relay por los spammers. Existen varios modos de evitarlo:

• Listas estáticas de IP
• POP antes de SMTP
• SMTP auth

Listas estáticas de IP

Para gestionar los accesos de modo estático existe un fichero denominado /etc/tcp.smtp.



Esto quiere decir que:

• todos los emails que vienen de ip 127.0.0.X son reenviados.
• todos los emails que vienen de otros ip son aceptados únicamente si el destinatario está configurado en la máquina (ver el servidor MX).

Por tanto puede añadir una IP de su elección (por ejemplo su tiene un IP fijo de su empresa o IP fijo de adsl) y compilar tcp.smtp



Las modificaciones hechas son de esa forma actualizadas en el fichero /etc/tcp.smtp.cdb que se utiliza por el servidor smtp.

No necesita reinstalar el servidor smtp.

El fichero se lee en cada conexión SMTP.

En el caso de proveedores de acceso, las clases ip son insertadas en los servidores smtp que permite a los clientes del proveedor de acceso utilizar automáticamente el servidor smtp de relay sin necesidad de otro tipo de configuración.



POP antes de SMTP

La opción open-smtp o pop-smtp consiste en utilizar el servidor de pop3/impa para identificarlo en el servidor pop3.

El hecho de utilizar login y contraseña permite estar seguro de que se trata de una persona de confianza y por tanto permitirle relay.

Durante la operación de pop3/imap el servidor pop3 registra la IP de conexión, lo actualiza en /etc/tcp.smtp y compila /etc/tcp.smtp.cdb


Todos los ip temporales ese alamcenan en open-smtp:



La última cifra es la hora en segundos desde 1970 y permite saber cuando la IP ha utilizado el pop3/imap por última vez.

Y esto por tanto permite a otro script [/home/vpopmail/bin/clearopensmtp] ver todos los mensajes e IPs de más de 3 horas y retirarlos de la cola [/etc/tcp.smtp] para que entren en error.


El comando estará en el crontab, de la forma :





Ya de paso vemos que en esta máquina el fichero open-smtp es particularmente grande.



El valor 11859 es mucho, ejecutamos clearopensmtp :



Es mejor. Los permisos de open-smtp también han cambiado, lo cual no es grave.


SMTP auth

Para no obligar a utilizar POP antes de poder enviar los emails podemos añadir a Qmail el parche smtp-auth.

Este patch permite enviar a través de una conexión smtp, una autenticación con un login y contraseña de una cuenta pop. Sólo entonces permite el envío de los emails.

Veamos el procedimiento de conexión en este caso:

Nota: No merece la pena cargar a la inversa las cadenas enviadas para conocer las contraseñas. Todas las cadenas son falsas.

Explicación

Vemos que en lugar de HELO, enviamos EHLO lo que permite utilizar los comandos avanzados de ESMTP descritos en http://www.ietf.org/rfc/rfc2821.txt


El servidor responde a EHLO con todas las opciones que acepta, es decir:



El login y contraseña se envian en base64.

La instalación de este patch es compleja y necesita algunos trucos. Contacte con el soporte si tiene algún problema.



Qmail-relay OSD

Si tiene el servidor pop3/imap muy cargado con mas de 3000-4000 conexiones/hora, le aconsejamos utilizar el patch OSD (Open-Smtp-Dir) que puede encontrar en:

ftp://ftp.ovh.net/made-in-ovh/vpopmail

Este patch ha sido realizado por OVH y consiste en no utilizar el fichero open-smtp con el sistema de lock (bloqueo de IP).
Si muchas personas se conectan al servidor pop3/imap deberan esperar cada uno su turno para tener acceso al fichero para registrar la IP que ralentiza el servidor.

En vez de eso, hemos tenido la idea de utilizar un directorio con registro de ficheros con el número de IP y un tamaño nulo.

A cada nueva conexión actualizamos la fecha del fichero y un tmpwatch elimina los ficheros de mas de tres horas. Otro script actualiza /etc/tcp.smtp cada segundo.


Qmail-relay remote

También puede especificar IP de las máquinas destinatarias directamente en la configuración de Qmail.

Esto es muy util cuando por ejemplo el servidor MX no está accesible (como por ejemplo caramail.com).

En ese caso, podemos indicar al servidor de utilizar un servidor SMTP especial, cuyo papel es el de reenviar los emails únicamente para un dominio dado (en este caso caramail.com).

El proceso destinado a ello es qmail-remote que se ocupa de conectar los servidores elegidos mediante el puerto 25 y reenviar los emails.



Asi, todos los emails hacia caramail serán dirigidos hacia 213.186.33.9 que se ocupará de la distribución de emails hacia caramail.com.

Así evitaremos tener un spool de email demasiado importante y descargaremos los servidores.

Por supuesto es necesario que 213.186.33.9 acepte los emails a partir del email desde el que se reenvian los emails, pero confiamos en la buena configuración de los servidores. No hace falta reiniciar el servidor después de esta modificación.




Para ver el estado del spool:



Esto quiere decir que hay 360 emails que el servidor de email ha enviado ya una vez visiblemente, sea porque el destinatario no existe, sea porque el servidor MX del destinatario no funciona correctamente.

Hay que señalar que existen a menudo problemas de tiempo de respuesta del servidor de relay cuando hay muchos emails en el spool.

Qmail es verdaderamente demasiado largo con mas de 25000 emails en el spool. En ese caso, la preparación del email se hace mas y mas larga y aumenta la presencia de mensajes como messages in queue but not yet preprocessed.

Para ver los emails:



¿Por qué están ahí esos emails? Puede ser debido a que :

• el servidor de relay ha aceptado el relay (reenviar), pero el destinatario no existe RCPT TO
• el servidor de relay ha aceptado el relay (reenviar), pero el servidor MX del destinatario no existe
• el servidor de relay ha aceptado el relay (reenviar), pero el servidor MX del destinatario no funciona
• el servidor MX ha aceptado el email pero la cuenta pop3 local no existe y entonces intentamos reenviar el email hacia el emisor con el error, pero:
• el destinatario no existe (MAIL FROM del email inicial)
• el servidor MX del destinatario no existe.

Es qmail-send quien se ocupa de la gestión de la cola para todo qmail. Su rol es de mirar los ficheros que qmail-smtp ha dejado y distribuirlos.

Puede elegir entre una distribución local (en el caso en el que el destinatario se encuentre en la misma máquina, es decir el servidor MX del email y existe una cuenta pop3/imap por ejemplo en la máquina remoto (distante: es decir, reenviar el email al destinatario del email).

La tercera etapa consiste en enviar el email al destinatario. Por tanto el email está tomado de spool para saber quien es el destinatario.

Qmail busca los servidores MX del dominio. Después se conecta en el puerto 25 para enviar el email. Esta operación es la misma que al principio.

Podemos tener varios MX en un dominio con el mismo peso o diferente.
En ese caso, el servidor SMTP intenta inicialmente conectarse al servidor MX con un menor peso. Si 2 MX tiene el mismo peso, entonces es este el que será utilizado en primer lugar.

A nivel de erores, vea la sección error.

Cada operación de relay es grabada en el encabezamiento del email (header).

Podemos ver quien, desde donde y por medio de que servidor de email se ha enviado el email:



La lectura se hace de abajo a arriba. Vemos que el email se ha emitido de 200.102.28.198 que se ha conectado a mx4.ovh.net y que el email ha llegado a la cuenta 60gp@ovh.net.



Para ver el funcionamiento de su servidor email puede ver los logs.
Por defecto, usted tiene los logs únicamente de la tercera etapa:

• status: local 0/15 remote 1/120 quiere que sobre la distribución spool->local (las cuentas pop3) qmail utiliza 0 conexiones sobre 15 y de spool->remote (la tercera etapa) 1 sobre 120

Atención: si el fichero espera un cierto tamaño habrá que rehacer tail para tener los logs.

También puede utilizar el comando tail -F que reabre el fichero



Los emails deben llegar al servidor MX destinatario en algún momento. Es decir, el que va a almacenar el email en espera de una consulta mediante pop3 o imap.

Qmail como servidor MX

En ese caso, el servidor email acepta el email y hace exactamente los mismo que en el caso de envío.

Es la tercera etapa la que cambia. En la tercera etapa el proceso qmail-sent ha detectado que el destinatario existe en el servidor.

Recordemos que el proceso qmail-sent que se ocupa en la segunda etapa de gestionar el spool. Se encarga pues de reinicar las listas de todos los dominios que se encuentran en el servidor.

Estas listas están en:




NO modifique alegremente estos ficheros. Tienen una forma especial y hay siempre un fichero cdb que hace falta compilar.



Por tanto, si el destinatario se encuentra en el servidor qmail-sent utiliza qmail-local para distribuir el email en local en el directorio correcto.

Dentro debe haber un fichero .qmail-default o es vpopmail quien se encarga de distribución del email con todo el sistema de redirecciones, alias, mailing list, catch all y las cuentas pop3 con una gestión de quota.

Configuración del servidor MX

En la distribución OVH hemos seleccionado Vpopmail como sistema de recepción.

Dispone de información sobre ello en la guía: VpopmailYAdministracion



Tamaño máximo del fichero

Para asignar un tamaño máximo de fichero debe introducirse en SSH el comando :


Todos los emails que tienen un tamaño mayor a 10 MB serán rechazados.


Tiempo de vida del email en el spool



Si el email permanece en el spool durante 10 días y no ha sido reenviado, entonces vuelve en forma de doble error hacia la cuenta postmaster del servidor. Si el fichero no existe, el email es devuelto al cabo de 5 días.

Rechazar los emails con un cierto MAIL FROM

En el diálogo SMTP, el servidor responsable comunica un MAIL FROM único para cada servidor.

ATENCION /!\ : El campo MAIL FROM no tien nada que ver con el campo From: de un mensaje de correo.

Podemos rechazar ciertos MAIL FROM que evitará la recepción de todos los mensajes que vengan de un mismo servidor, si sabemos a ciencia cierta que es un servidor que nos bombardea con SPAM o con virus.


Modificar el puerto SMTP

El puerto por defecto de SMTP es el 25. Para cambiarlo es necesario modificar la línea de ejecución de SMTP en el fichero de inicio.

En la Release 2, el fichero de inicio está en : /etc/init.d/qmail

Editamos el fichero y modificamos la línea :


por la línea


Reiniciamos qmail y se montará en el puerto indicado :



Vaciar completamente una cuenta POP

Si una de las cuentas de un dominio está saturada, podemos vaciarla completamente a través de SSH.

La secuencia de comandos es la siguiente:

Substituimos mi_dominio.com y mi_cuenta por el dominio y la cuenta afectados.

Al final del proceso, la cuenta estará vacía y todos los mensajes habrán desaparecido.





Sorry,_I_wasn't_able_to_establish_an_SMTP_connection

El servidor no ha podido establecer una conexión SMTP.
Las causas pueden ser múltiples.
Vamos a ver ejemplos prácticos de las más habituales.

Ejemplo 1

Intentamos enviar a dr_adams@sm66.com

Lo primero es saber qué servidor MX tiene el dominio sm66.com, así que preguntamos al servicio DNS.



Si se utiliza djbdns, podemos usar directamente dnsmx



El servidor de correo que gestiona todos los mensajes hacia @sm66.com es por tanto mail.sm66.com

Vamos a intentar enviar el correo a esa máquina:


Como se puede ver, el servidor no funciona correctamente. Podemos ver el mensaje de error (es todo un detalle):out of connection slots

Lo que nos hace pensar que hay demasiadas conexiones de correo en ese momento Qmail va a intentar de enviar el correo más tarde.


Ejemplo 2

Otro ejemplo. Hay un error al enviar un correo a 66-2434019-directway.com?amysummers@trailerr.trailblazernews.com

La dirección misma ya se asemeja a un email de spam. Vamos a comprobarlo:



El servidor MX está conectado y accesible, pero no hay un demonio SMTP que esté funcionando, así que no se puede hacer una conexión al puerto 25.



La conexión en el puerto del telnet es posible, pero lógicamente, nos solicita una contraseña.


Ejemplo 3

Otro ejemplo más: response@sleekzine.com

Repetimos el procedimiento:


En este caso hay tres servidores MX diferentes con un peso para cada servidor.

Qmail intentará enviarlo en primer lugar a mail1.sleekzine.com que tiene el peso más débil.
Si no obtiene respuesta lo intentará con mail2.sleekzine.com y por último con mail3.sleekzine.com



Si miramos lo que hace Qmail en un caso así:




553 sorry, that domain isn't allowed to be relayed thru this MTA

En este caso el servidor no tiene un destino para esa dirección. Esto quiere decir que:
- La IP de la conexión no está en /etc/tcp.smtp (sección relay)
- El destinatario no tiene cuenta en la máquina (sección mx)



En este caso podemos adivinar fácilmente que el dominio wanadoo.es no está gestionado por mx1.ovh.net, se trata simplemente de un problema de relay.

La IP de la conexión no está declarada en la sección /etc/tcp.smtp (ver la sección relay).

Si el servidor gestiona el nombre de dominio y se obtiene este error, debe verificar que el dominio está declarado en /var/qmail/bin/assign y si antes de iniciar qmail-send se han cerrados todas las instancias anteriores mediante:



Si no hay varias instancias del servidor, puede haber una declaración falsa en el DNS: se ha indicado un servidor de correo que no tiene nada que ver con el dominio y que por tanto, al recibir un correo de un dominio que no conoce, arroja este error.


qmail_has_prog_delivery_but_has_x_bit_set._(#4.7.0)

Este error refleja que el directorio /home/vpopmail tiene elementos con el permiso de ejecución activado, algo totalmente incorrecto (chmod 700 en lugar de un chmod 600 en un .qmail-alias)

Puede usar un script de bash para corregir esos errores de manera fácil:




553 sorry, that domain isn't in my list of allowed rcpthosts

Esto quiere decir simplemente que su dominio no está configurado en /var/qmail/control/rcpthosts


Por ejemplo el dominio test.com se ha instalado pero se ha borrado accidentalmente de /var/qmail/control/rcpthosts.

Cuando se envía un correo a postmaster@test.com sucede lo siguiente:



: QmailAdmin :: La gestión de los emails con qmailadmin.
: ColaQMailLlena :: Reiniciar el directorio de la cola de mensajes.
: InstallQmailAntiSpam :: el filtrado por blacklist con Spam-RLB.com.

: VpopmailYAdministracion :: La administración de Vpopmail.
: OvhmDisociarMailsYAlias :: Como gestionar de manera separada los emails de dos dominios cuando uno es un alias de otro.