zimbra como solución libre a un servidor de correo

Os dejo un PDF donde explico como montar un servidor de correo libre en Linux basado en una distribición libre de Zimbra. Hasta ahora lleva dos años funcionando en producción con más 3000 mensajes diarios.

Zimbra como solución libre a un servidor de correo

la formación en auditoría

El otro día llego al departamento el numero 17 de la Revista "auditoría y seguridad" y nos llamo la atención (gracias a mi jefe que me enteré) un artículo sobre los beneficios de formarse como auditor escrito por Rocío Troyano. Con este apellido no se si hacer el curso... no me inspira confianza. Artículo completo aqui.

distribución automática de certificado

Si tenemos un entorno con Active Directory y queremos hacer una distribución automática de un certificado por todas las maquinas de nuestra red podemos utilizar este sistema. La idea es que todas las maquinas de mi red puedan tener un certificado Web generado por uno mismo para entrar en la Intranet, el Webmail o donde sea.
Para conseguir esto haremos que todos los usuarios del AD ejecuten un script para cargar el certificado dentro de su almacén de "Entidades de certificación raíz de confianza". En mi caso los scripts de usuario están escritos en Windows Script Host.

Las lineas que necesitamos son:

Set wshShell = WScript.CreateObject("WScript.Shell")
wshShell.Run "\\server\sysvol\domain\scripts\certutil.exe -addstore root \\server\sysvol\domain\scripts\mi_certificado.cer,1,TRUE"

Por ultimo necesitaremos copiar dentro de "sysvol\script" los siguientes archivos: cerutil.exe, certreq.exe, certadm.dll, certcli.dll, certmgr.dll y por ultimo el certificado que queremos instalar. De esta forma al entrar en el dominio estaran disponibles. La certutil es una utilidad de Windows 2003 Server que forma parte del Certificate Server y lo podéis encontrar dentro de windows/system32.

configurar ancho de banda en Cisco

Con las versiones de IOS que soportan QoS tenemos el comando rate-limit que nos permite configurar la característica de Committed Access Rate (CAR). Con ella lo que voy hacer es limitar el ancho de banda de los servicios que tenemos detrás de nuestro router Cisco.

Supongamos que tenemos un router Cisco y detrás dos servidores. Uno servidor SMTP/POP por donde toda la empresa leer y envia el correo y luego un servidor Web donde la empresa cuelga documentacion para descargar desde Internet. Dado que solo tenemos una ADSL de 8mbps de download y 640kbps de upload no queremos que los servicios de SMTP y las descargas de manuales desde Internet nos hundan la ADSL en la miseria.

Lo que haremos es limitar el acho de banda a estos servicios. Lo primero que haremos es especificar cuanto ancho de banda quiero para cada servicio teniendo en cuenta los 8mbps/640kbps.

Para la entrada de correo haremos una limitación de 256kbps (respecto los 8mbps).
Para la salida de correo haremos una limitación de 128kbps (respecto los 640kps).
Para la salida de contenido Web haremos una limitación de 256kbps (respecto los 640kbps).

Para configurar el rate-limit necesitaremos también dos valores más que se recomienda calcular con la formula proporcionada por Cisco. Estos valores son el "normal burst" y el "extended burst". Según Cisco estos valores se calcula por:

"normal burst" = rate * (1 byte)/(8 bits) * 1.5 seconds "extended burst" = 2 * "normal burst"

Para restringir el ancho de banda a los servicios de nuestro problema tendremos que utilizar una ACL.

La cosa quedaria así:

# limitamos el trafico Web saliente
access-list 10 permit tcp any eq www any
# limitamos el trafico smtp entrante
access-list 11 permit tcp any any eq smtp
# limitamos el trafico smto saliente
access-list 12 permit tcp any eq smtp any
# liminado el ancho de banda del trafico Web saliente
rate-limit output access-group 10 256000 48000 96000 conform-action transmit exceed-action drop 
# limitamos el ancho de banda del correo entrante
rate-limit input access-group 11 256000 48000 96000 conform-action transmit exceed-action drop
# limitamos el ancho de banda del correo saliente
rate-limit output access-group 12 128000 24000 48000 conform-action transmit exceed-action drop

peina al niño

Lo que nunca hay que hacer:

Lo que tienes que procurar hacer:

sincronización completa entre Sunbird y Google Calendar

Mozilla Sunbird trae por defecto los protocolos de iCal y Caldav para suscribirse a calendarios remotos como por ejemplo Google Calendar. El problema es que si haces un modificación desde Sunbird y luego intentas publicar el calendario Sunbird da un error.
Para solucionar esto y sincronizar los dos calendarios en los dos sentidos y de forma automática hay que instalar en Sunbird un componente llamado "Provider for Google Calendar". Este componente es original de Thunderbird+Lighthing pero también es valido para Sunbird (cosa no extraña).

Una vez instalado tenemos que "Suscribirse a calendario remoto..." pero ahora en vez de utilizar protocolo CalDav o iCal utilizaremos Google Calendar y en la URL pegaremos la dirección privada que nos proporciona Google Calendar en formato XML. Una vez añadida nos pregunta nuestro usuario y contraseña de Google y de esta forma se asegura que podamos publicar las modificaciones automáticamente.

proxy bypass

Hasta ahora en las aulas informáticas podíamos navegar libremente pero el administrador a descubierto el maravilloso mundo de Squid y ha montado un transparent proxy denegándonos un montón de paginas Web. También ha prohibido todo el trafico excepto http y https.

Para poder navegar libremente y saltarnos las restricciones del proxy podemos navegar a través de un proxy vía Web como http://www.hidemyass.com/ esto simplemente es una pagina Web a la cual le decimos por donde queremos navegar y el busca la pagina por nosotros y nos la devuelve. Como la URL que consultamos es hidemyass.com y no es una de la URLs denegadas por el proxy pues podríamos decir que estamos saltado el proxy.

Otra solución más elegante, mucho más rápida y que nos permite hacer más cosas como por ejemplo conectarnos a servicios denegados por el firewall como pueden ser un terminal server, un vnc o una conexión msn, es utilizar un programa para tunelizar a través de http. Uno de estos programas es PingFu Iris. Una vez instalado junto con las SockCaps podemos lanzar desde la opción de Application Launcher una de las aplicaciones que tenga instalada (msn, firefox, ie o terminal server). El vnc también está soportado pero supongo que será en la versión de pago.



Lo que hace el programa es encapsular nuestro protocolo (por ejemplo vnc) dentro de paquetes http, dado que http es el único protocolo permitido este pasa a través de proxy/firewall y una vez fuera se desencapsula como protocolo vnc. Hay más información sobre esta técnica en http://en.wikipedia.org/wiki/HTTP_tunnel_(software)

sincronización completa entre Outlook y Google Calendar

Prové dos formas de sincronizar automáticamente Outlook con Google Calendar. La primera de ella era utilizar RemoteCalendars de sourceforge utilizando el protocolo iCal, pero no acababa de ir del todo bien y tuve problemas en la instalación. Luego encontré gsyncit shareware pero funcional. Este ultimo funcionó de maravilla pero no utiliza iCal sino feeds en XML.

La versión de pruebas no se actualiza automáticamente (hay que darle al botón actualizar) y solo permite añadir un calendario.

Una vez instalado nos vamos al settings y añadimos nuestra dirección privada XML proporcionada por Google.

Para obtener la dirección privada, debemos ir a "Administrar calendarios", pulsaremos sobre el calendario que queremos compartir y allí en dirección privada pulsaremos sobre el icono XML para obtener la URL.

arrancar script de usuario desde un cliente Cisco VPN

Tenemos el siguiente problema: los usuarios cuando estan en la oficina no tienen problemas para utilizar sus unidades de red y sus impresoras de departamento porque cada vez que entran en el dominio AD se lanzan sus scripts que crean sus unidades, impresoras y se configuran diferentes aspectos de la red.

El problema está cuando estos usuarios son moviles y desde sus portatiles se conectan a Internet por 3G y luego establecen una VPN contra la oficina. No es posible lanzar el script porque la entrada al dominio es anterior a la conexion a Internet y naturalmente a la VPN.

El cliente de Cisco VPN da la posibilidad desde la opción "Application Laucher" de lanzar una aplicacion al iniciar una conexion VPN. Este es un script vbscript que intenta lanzar el script de usuario una vez establecida la conexion VPN contra la oficina.

Descargar script ini_dominio.vbs

un lugar en el mundo

¿Lugares chulos?, sí, mucho, pero si no fuera por Google me quedo sin ver muchos de ellos. Menos mal que viajar con Google es gratis.

Cameron Airpark
Alemania Airpark
Radiotelescompio de Contact (18°20'36.6"N 66°45'11.1"W)
Los puentes de Madison (41°23'11.44"N 94° 2'50.33"W)