Postfix Smart Relay en casos de bloqueo puerto 25 - Configuración Completa

Escenario

Servidor sin panel de control que necesita enviar correos electrónicos (alertas, notificaciones) pero tiene el puerto 25 bloqueado por el ISP (Hetzner). Solución mediante smart relay a otro servidor Postfix actuando como gateway de salida.

Arquitectura

[Servidor Origen] --puerto 587--> [Smart Relay] --puerto 25--> [Internet]
   (puerto 25 capado)              (múltiples ubicaciones)

Configuración del Servidor Origen (Cliente)

1. Instalación básica

apt-get install postfix mailutils

2. Configuración main.cf

# /etc/postfix/main.cf

# Configuración básica
myhostname = alerts.tudominio.com
mydomain = tudominio.com
myorigin = $mydomain

# Smart relay
relayhost = [ip-smart-relay]:587

# Configuración local mínima
inet_interfaces = loopback-only
mydestination = $myhostname, localhost.$mydomain, localhost
local_recipient_maps = 
local_transport = error:local mail delivery is disabled

# Red permitida
mynetworks = 127.0.0.0/8

# TLS para conexión al smart relay
smtp_use_tls = yes
smtp_tls_security_level = encrypt

3. Aliases básicos

# /etc/aliases
root: sysadmin@tudominio.com
postmaster: sysadmin@tudominio.com

# Aplicar cambios
newaliases
postfix reload

Configuración del Smart Relay

1. Puerto alternativo en master.cf

# /etc/postfix/master.cf

# Puerto estándar
smtp      inet  n       -       y       -       -       smtpd

# Puerto alternativo para clientes con puerto 25 capado
587       inet  n       -       y       -       -       smtpd
  -o smtpd_client_restrictions=permit_mynetworks,reject
  -o mynetworks=ip-cliente-1/32,ip-cliente-2/32,127.0.0.0/8
  -o smtpd_tls_security_level=encrypt

2. Configuración main.cf del smart relay

# /etc/postfix/main.cf

# Configuración básica
myhostname = smart-relay.tudominio.com
mydomain = tudominio.com

# Restricciones de cliente
smtpd_client_restrictions = permit_mynetworks, reject_unauth_destination

# Gestión de bounces para evitar bucles
smtp_header_checks = regexp:/etc/postfix/header_checks
sender_canonical_maps = hash:/etc/postfix/sender_canonical

# TLS
smtpd_use_tls = yes
smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key

3. Reescritura de headers para DMARC

# /etc/postfix/header_checks
/^From:.*@hostname-origen$/  REPLACE From: Alertas <alertas@tudominio.com>
/^From:.*<.*@hostname-origen>$/  REPLACE From: Alertas <alertas@tudominio.com>

4. Canonical maps para bounces

# /etc/postfix/sender_canonical
root@hostname-origen    devnull@tudominio.com
@hostname-origen        devnull@tudominio.com

# Compilar
postmap /etc/postfix/sender_canonical

5. Descarte de bounces no deseados

# /etc/aliases en smart relay
devnull: /dev/null

# Aplicar
newaliases

Configuración DNS

1. SPF Record

; Para el dominio principal
tudominio.com. IN TXT "v=spf1 ip4:ip-smart-relay-1 ip4:ip-smart-relay-2 ip6:ipv6-smart-relay -all"

; Para subdominios específicos
alerts.tudominio.com. IN TXT "v=spf1 ip4:ip-smart-relay-1 ip4:ip-smart-relay-2 ip6:ipv6-smart-relay -all"

2. DKIM Configuration

# Instalar herramientas DKIM
apt-get install opendkim opendkim-tools

# Generar claves
opendkim-genkey -t -s mail -d tudominio.com

# Configurar opendkim
# /etc/opendkim.conf
Domain tudominio.com
KeyFile /etc/opendkim/keys/tudominio.com/mail.private
Selector mail

3. DMARC Policy

_dmarc.tudominio.com. IN TXT "v=DMARC1; p=quarantine; rua=mailto:dmarc@tudominio.com"

Gestión de Múltiples Smart Relays

1. Failover automático

# /etc/postfix/main.cf
smtp_fallback_relay = [ip-backup-relay]:587

2. Transport maps para routing específico

# /etc/postfix/transport
alerts.tudominio.com    smtp:[ip-smart-relay-1]:587
.tudominio.com          smtp:[ip-smart-relay-2]:587

# Compilar
postmap /etc/postfix/transport

# Activar en main.cf
transport_maps = hash:/etc/postfix/transport

Testing y Verificación

1. Test básico de envío

echo "Test desde $(hostname)" | mail -s "Test Relay" destino@gmail.com

2. Verificar logs

# Servidor origen
tail -f /var/log/mail.log

# Smart relay
tail -f /var/log/mail.log | grep "$(hostname-origen)"

3. Test de autenticación

# Verificar SPF
dig TXT tudominio.com

# Test DKIM
opendkim-testkey -d tudominio.com -s mail -vvv

# Verificar DMARC
dig TXT _dmarc.tudominio.com

4. Headers del email recibido

Verificar que los headers muestren:

Received-SPF: pass
DKIM-Signature: v=1
Alineación correcta para DMARC

Resolución de Problemas Comunes

1. "Connection refused" en puerto alternativo

# Verificar que Postfix escucha en el puerto
netstat -tlnp | grep :587

# Verificar firewall
iptables -L INPUT -n | grep 587

2. "Relay access denied"

# Verificar mynetworks en smart relay
postconf mynetworks

# Verificar IP del cliente
grep "connect from" /var/log/mail.log

3. DMARC failure

# Verificar alineación From vs Return-Path
# El dominio del From debe coincidir con SPF/DKIM

4. Bucles de bounces

# Verificar sender_canonical_maps
postmap -q "root@hostname-origen" hash:/etc/postfix/sender_canonical

Seguridad

1. Restricciones estrictas en smart relay

# Solo IPs conocidas
mynetworks = ip-1/32, ip-2/32, 127.0.0.0/8

# TLS obligatorio para clientes
smtpd_tls_security_level = encrypt

2. Monitoreo de logs

# Script para alertar sobre intentos de relay no autorizados
grep "Relay access denied" /var/log/mail.log | tail -10

3. Rate limiting

# Limitar conexiones por IP
smtpd_client_connection_count_limit = 10
smtpd_client_connection_rate_limit = 30

Casos de Uso Típicos

1. Servidor de monitoreo (Zabbix, Nagios)

Configurar From correcto para evitar DMARC failures
Gestionar bounces apropiadamente
Usar alias para redireccionar notificaciones

2. Aplicaciones web

Configurar PHP/Python para usar localhost:25
El relay local se encarga del smart relay
Mantener logs centralizados

3. Servidores en cloud con restricciones

Múltiples smart relays para redundancia
Configuración específica por región
Backup automático entre relays

Mantenimiento

1. Rotación de logs

# /etc/logrotate.d/postfix personalizado para análisis
/var/log/mail.log {
    daily
    rotate 30
    compress
    delaycompress
    create 0640 syslog adm
    postrotate
        systemctl reload postfix
    endscript
}

2. Monitoreo de colas

# Script de monitoreo
#!/bin/bash
QUEUE_SIZE=$(mailq | tail -1 | awk '{print $5}')
if [ "$QUEUE_SIZE" -gt 100 ]; then
    echo "ALERT: Mail queue size: $QUEUE_SIZE"
fi

3. Backup de configuración

# Backup automático de configuraciones críticas
tar -czf postfix-config-$(date +%Y%m%d).tar.gz \
    /etc/postfix/ \
    /etc/aliases \
    /etc/opendkim/

Conclusiones

Esta configuración proporciona:

Redundancia: Múltiples smart relays distribuidos
Seguridad: Autenticación por IP y TLS obligatorio
Compatibilidad: SPF, DKIM y DMARC correctos
Mantenibilidad: Logs centralizados y configuración modular
Escalabilidad: Fácil adición de nuevos clientes o relays

El enfoque es especialmente útil para infraestructuras donde el correo no es el servicio principal pero es crítico para alertas y notificaciones.

Aviso

Esta documentación y su contenido, no implica que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido el contenido se entrega, tal y como está, sin que ello implique ningún obligación ni responsabilidad por parte de Castris

Si necesitas soporte profesional puedes contratar con Castris soporte profesional.

Cambiar el username en linux

Verificar versiones y ciphers soportados de TLS, SSL

CSF error: *WARING* URLGET set to use LWP but perl module is not installed, fallback to using CURL/WGET

Limitar en el tiempo (expirar en una fecha) una llave openSSH en el authorized_keys

Comprobar una conexión SMTP autentificada en el shell con SSL o TLS

CSF Firewall: añadir IPs al deny de forma definitiva.

Certificados Letsencrypt sin servidor web o sin resolver en el servidor web

Conocer el hardware en linea de comandos (shell)

Uso de UUID para montar particiones linux

Instalación GPT con el instalador Centos 7 en discos < 2 TiB

Ampliación de disco en sistema virtualizado KVM (proxmox)

Parted mejor que fdisk

Actualizar la licencia DirectAdmin en el shell

ERROR 1118 (42000) at line XXXXX: Row size too large (> 8126)

Errores con MariaDB 10.3 al restaurar o hacer backups arrastrando versiones antiguas

Como extraer de un backup de MySQL completo una base de datos y/o una tabla

Como crear un usuario Mysql/MariaDB con Grant Privileges

Restaurar mysqldump completo con problemas relacionados con VIEW y sus permisos

Desactivación de las reglas de modos SQL de un sevidor MySQL/MariaDB/Percona

Rsync sobre sistemas remotos

rsync-time-backup: include y exclude

Como convertir ficheros .flac a .mp3 en el shell de linux con ffmpeg

Teclas Inicio (Home) y Final (End) en ZSH y oh-my-zsh con Powershell

Linux, paquetes instalados desde el shell

Cómo instalar y activar el repositorio EPEL en Centos 7/8

Conocer el tamaño de unas carpetas ignorando los enlaces duros (rsync)

Ssh se sale (break) de un ciclo (loop) en un script bash

Redis Failed to start Advanced key-value store.

Comando find con -maxdepth excluyendo el propio directorio

Du y los ficheros o directorios ocultos

Como vaciar o eliminar emails antiguos en dovecot sin usar find

rc.local en systemas Debian usando systemd. Ejemplo redis

Bad Bots y la pesadilla del tráfico. Htaccess en Apache 2.4

Sudo sin contraseña

Reparar el fichero .zsh_history: zsh: corrupt history file /home/USER/.zsh_history

El archivo hosts para trabajar en un servidor o ip distinto del de la resolución DNS

Cambiar repositorios de Ubuntu al mirror de OVH

## Guía Rápida de find - Búsquedas Avanzadas

APT Upgrade - Modos Desatendido vs Manual

PHP log cuando usamos PHP-FPM con host virtuales

PHP. Como instalar una nueva versión de PHP en un sistema basado DEB

Activar PHP8.2 JIT Compiler - Just-In-Time compilation (JIT)

Instalar una versión de PHP con módulos en Ubuntu con Ondrej copiando de otra versión ya instalada

Git pull, error: server certificate verification failed. CAfile: none CRLfile: none

[PRIV] Instalar Proxmox desde 0

LVM Práctico para Proxmox y OVH

Red OVH vrack para Proxmox 7

Como arreglar el error Sender address rejected: need fully-qualified address (in reply to RCPT TO command)

Proxmox, Hetzner, y bloques de Ips adicionales en modo Routed

Desactivar los mensajes de log en la consola (Proxmox)

Proxmox: Servicios Colgados - Diagnóstico y Soluciones

Unable to negotiate with X.X.X.X.X port YY: no matching host key type found. Their offer: ssh-rsa,ssh-dss

PasswordAuthentication yes pero no funciona

Cambiar el puerto SSH en Ubuntu 24.04 y Debian Bookworm

Kernel panic: /init: conf/conf.d/zz-resume-auto: line 1: syntax error: unexpected "("

Nginx, para servidores con multiples vhosts a pelo (sin panel) + PHP-FPM

Postfix Smart Relay en casos de bloqueo puerto 25 - Configuración Completa

Postfix Smart Relay en casos de bloqueo puerto 25 - Configuración Completa

Escenario

Arquitectura

Configuración del Servidor Origen (Cliente)

1. Instalación básica

2. Configuración main.cf

3. Aliases básicos

Configuración del Smart Relay

1. Puerto alternativo en master.cf

2. Configuración main.cf del smart relay

3. Reescritura de headers para DMARC

4. Canonical maps para bounces

5. Descarte de bounces no deseados

Configuración DNS

1. SPF Record

2. DKIM Configuration

3. DMARC Policy

Gestión de Múltiples Smart Relays

1. Failover automático

2. Transport maps para routing específico

Testing y Verificación

1. Test básico de envío

2. Verificar logs

CSF error: WARING URLGET set to use LWP but perl module is not installed, fallback to using CURL/WGET