***********************************************
Integrar Dovecot con MySQL
***********************************************

.. include:: ../enlaces.inc.rst

Tras configurar Exim4 ahora toca usar un servidor IMAP/POP para que los clientes
de correo puedan acceder. Se realizará lo siguiente:

#. Instalar Dovecot_ como servidor IMAP/POP3
#. Integrarlo con la configuración MySQL de
   :doc:`/macro-servidor/exim4-mysql-usuarios-virtuales`
#. Configurar la seguridad SSL usando el mismo procedimiento usando en la
   sección :ref:`certificados_digitales`
#. Ajustes adicionales: incrementar usuarios por IP y configurar la carpeta de
   spam


Instalación
===========

Para que se pueda integrar Dovecot_ con MySQL se requieren al menos estos
paquetes:

.. code:: shell

  apt-get install dovecot-core dovecot-mysql dovecot-imapd dovecot-pop3d

La configuración predeterminada trae muchas opciones deshabilitadas. Así, toda
la configuración se realizará  en un nuevo fichero
:file:`/etc/dovecot/local.conf` donde se harán los siguientes cambios:

- Activar los protocolos deseados.
- Fijar el UID y GUI del usuario de correo al correspondiente usuario virtual *vmail*.
- Activar MySQL el soporte MySQL configurar las consultas
- Establecer la ubicación de los buzones *maildir* mediante consultas SQL.


.. code-block:: linux-config
  :caption: Fichero :download:`/etc/dovecot/local.conf<files/local.conf>`

  protocols = imap pop3
  disable_plaintext_auth = no
  verbose_proctitle = yes

  # Debug: Cuando algo falle lo activo y curioseo el log
  # auth_verbose = yes

  mail_uid = vmail
  mail_gid = vmail
  mail_location = maildir:%h

  passdb {
          args = /etc/dovecot/dovecot-sql.conf.ext
          driver = sql
  }
  # Necesario para las variables %h
  userdb {
          args = /etc/dovecot/dovecot-sql.conf.ext
          driver = sql
  }

.. admonition:: Nota

  Existe una configuración alternativa consistente en activar en
  :file:`10-auth.conf` la inclusión :code:`!include auth-sql.conf.ext` y
  se podrían eliminar las 2 directivas `passdb` de :file:`local.conf`

La configuración MySQL se debe realizar en un fichero separado y Debian propone
usar :file:`/etc/dovecot-sql.conf.ext`. Este fichero trae ejemplos comentados, y
sin tocar nada, al final añado lo siguiente:

.. literalinclude:: files/dovecot-sql.conf.ext
  :caption: Fichero: :download:`/etc/dovecot-sql.conf.ext<files/dovecot-sql.conf.ext>`
  :emphasize-lines: 4

.. attention::

  No te olvides de poner la la base de datos, usuario y contraseña en la línea
  resaltada.

También es recomendable desactivar la autenticación predeterminada PAM, que
viene activada en Debian, así, ningún usuario del sistema con login activo pueda
entrar por IMAP/POP. De nuevo en el fichero :file:`/etc/dovecot/conf.d/10-auth`,
al final del mismo está activa la directiva indicada que hay que comentar:

.. code::

    #!include auth-system.conf.ext

.. _dovecot_ssl:

Configuración SSL
=================

La configuración para IMAP/POP se realizará de la siguiente forma:

- Forzar SSL usando el modo *required*, la seguridad ante todo.
- De nuevo usar el certificado del dominio principal, es decir, el que
  se configuró como resolución inversa para Exim4 y obtenido con
  Certbot_/LetsEncrypt_

Se puede añadir al final del fichero :file:`/etc/dovecot/local.conf`

.. code-block:: linux-config
  :caption: Fichero: /etc/dovecot/local.conf
  :emphasize-lines: 5

  ssl = required
  ssl_ca = /etc/letsencrypt/live/mail.art-website.com/chain.pem
  ssl_cert = </etc/letsencrypt/live/mail.art-website.com/fullchain.pem
  ssl_key = </etc/letsencrypt/live/mail.art-website.com/privkey.pem
  ssl_dh = </etc/dovecot/dh.pem

Para generar los parámetros Diffie-Hellman para el intercambio de claves
:file:`dh.pem` se puede usar *openssl* pero deben de ser del mismo tamaño que la
clave, para ello se puede mirar el certificado, en mi caso 2048 bits. Así el
comando es:

.. code:: shell

  openssl dhparam -out /etc/dovecot/dh.pem 2048


Gran cantidad de usuarios y Dovecot
===================================

Otro problema adicional encontrado con Dovecot es que la configuración
predeterminada trae los límites de recursos muy bajos.
Si no se cambia se puede encontrar en los logs el siguiente aviso
de log podrás encontrar avisos como:

.. code-block:: text
  :caption: Fichero: /var/log/mail.log

  Warning: service(imap-login): process_limit (100) reached, client connections are being dropped

Si se tienen muchos usuarios hay que adaptar la configuración.
El primer ajuste que suelo hacer es aumentar la memoria permitida mediante
los cambios indicados a continuación:

.. code-block::
  :caption: Fichero: /etc/dovecot/conf.d10-master.conf

  default_process_limit = 500
  default_client_limit = 5000
  default_vsz_limit = 512M

Un segundo cambio es aumentar el número de conexiones desde la misma IP.
Aunque esto es menos habitual, si se da servicio a algún cliente con
muchas cuentas, puede que se conecten todos desde el mismo sitio con NAT.
La solución es añadir lo siguiente al final del fichero indicado:

.. code-block:: text
  :caption: Fichero: /etc/dovecot/local.conf

  # Demasiadas conexiones desde el mismo router
  protocol imap {
      mail_max_userip_connections = 50
  }


Carpeta de SPAM predeterminada
==============================

Este último ajuste es importante hacerlo para conseguir que los clientes de
correo (Thunderbird, Outlook, etc. ) reconozcan adecuadamente la carpeta de
Spam. Esta carpeta debe coincidir con la que se configuró previamente en Exim4.
Los programas / webs gestores de  correo identifican ciertas carpetas de uso
especial siguiendo el :rfc:`6154` y Dovecot_ por defecto tiene la carpeta de
correo no deseado establecida a *Junk*. Sólo hay que revisar lo siguiente en el
fichero indicado:

.. code-block:: text
  :caption: Fichero: /etc/dovecot/conf.d/15-mailboxes.conf

  namespace inbox {
    mailbox Drafts {
      special_use = \Drafts
    }
    mailbox Junk {
      special_use = \Junk
    }
    mailbox Trash {
      special_use = \Trash
    }

  }