Estrutura da Apresentação

Configuração Segura do Serviço de E-Mail

via Postfix

Joaquim Quinteiro Uchôa

joukim@ginux.ufla.br
Curso de Pós-Graduação “Lato Sensu” a Distância, Via Internet,
em Administração em Redes Linux – ARL
http://arl.ginux.ufla.br/

ARL, 2005

Joaquim Quinteiro Uchôa Configuração Segura do Serviço de E-Mail via Postfix

 Estrutura da Apresentação

Estrutura da Apresentação I
1 Conceitos básicos
E-Mail
Protocolos
A Mensagem
2 Postfix
3 Configuração do Servidor
Introdução
4 Configurações Básicas
5 Configuração para Segurança
Configuração SSL/TLS
Controle de Relay
Controle Nativo de SPAM
6 Uso de Filtros Externos
Joaquim Quinteiro Uchôa Configuração Segura do Serviço de E-Mail via Postfix
 Conceitos básicos
Postfix

Parte I

O Postfix

Joaquim Quinteiro Uchôa Configuração Segura do Serviço de E-Mail via Postfix

 E-Mail
Conceitos básicos
Protocolos
Postfix
A Mensagem

Comentários Iniciais

Atualmente, a utilização de correio eletrônico tornou-se

praticamente necessária sob o ponto de vista de negócios e
social.
A configuração de sistemas de correio eletrônico tornou-se
uma tarefa quase que obrigatória por parte dos
administradores de sistemas.
É possı́vel obter uma solução completa e de alta qualidade
para correio eletrônico, incluı́ndo recursos agregados (como
webmail, catálogos de endereços e listas de discussão)
utilizando apenas software livre.

Joaquim Quinteiro Uchôa Configuração Segura do Serviço de E-Mail via Postfix

 E-Mail
Conceitos básicos
Protocolos
Postfix
A Mensagem

Comentários Iniciais

Atualmente, a utilização de correio eletrônico tornou-se

praticamente necessária sob o ponto de vista de negócios e
social.
A configuração de sistemas de correio eletrônico tornou-se
uma tarefa quase que obrigatória por parte dos
administradores de sistemas.
É possı́vel obter uma solução completa e de alta qualidade
para correio eletrônico, incluı́ndo recursos agregados (como
webmail, catálogos de endereços e listas de discussão)
utilizando apenas software livre.

Joaquim Quinteiro Uchôa Configuração Segura do Serviço de E-Mail via Postfix

 E-Mail
Conceitos básicos
Protocolos
Postfix
A Mensagem

Comentários Iniciais

Atualmente, a utilização de correio eletrônico tornou-se

praticamente necessária sob o ponto de vista de negócios e
social.
A configuração de sistemas de correio eletrônico tornou-se
uma tarefa quase que obrigatória por parte dos
administradores de sistemas.
É possı́vel obter uma solução completa e de alta qualidade
para correio eletrônico, incluı́ndo recursos agregados (como
webmail, catálogos de endereços e listas de discussão)
utilizando apenas software livre.

Joaquim Quinteiro Uchôa Configuração Segura do Serviço de E-Mail via Postfix

 E-Mail
Conceitos básicos
Protocolos
Postfix
A Mensagem

Definições
Mailbox
É um arquivo ou diretório cuja função é armazenar os e-mails
recebidos por um usuário. Em geral: arquivo com nome do login
do usuário em /var/spool/mail.

Mail User Agents (MUA)

São aplicações diretamente ligadas aos usuários a fim de que esses
possam manipular os seus e-mails (por exemplo, lê-los e
escrevê-los).

Mail Transfer Agents (MTA)

Responsável por encaminhar as mensagens entre as máquinas.
Realiza diversas funções de endereçamento de rede a fim de
proporcionar a entrega correta e oferecer facilidades aos MUAs.
Joaquim Quinteiro Uchôa Configuração Segura do Serviço de E-Mail via Postfix
 E-Mail
Conceitos básicos
Protocolos
Postfix
A Mensagem

Protocolos - I

Single Mail Transfer Protocol (SMTP)

O protocolo utilizado para envio do e-mail do MUA ao MTA e
entre os MTA consiste no SMTP (RFC 821) ou no Extended
SMTP (ESMTP – RFCs 1869, 1870, 1891 e 1985).

Multipurpose Internet Mail Extensions (MIME)

Praticamente todos os e-mails são transmitidos via SMTP no
formato MIME (RFC 2045). O protocolo básico de transmissão de
e-mail da suporta apenas caracteres ASCII de 7-bit, o que limitaria
a transmissão de e-mails que possuam apenas caracteres da lingua
inglesa. MIME define mecanismos para enviar outros tipos de
informação no e-mail, como caracteres em outras linguas e
conteúdo binário.

Joaquim Quinteiro Uchôa Configuração Segura do Serviço de E-Mail via Postfix

 E-Mail
Conceitos básicos
Protocolos
Postfix
A Mensagem

Protocolos - II
Post Office Protocol (POP)
Para a troca de mensagens entre o servidor e o cliente de e-mail
geralmente é utilizado o protocolo POP (RFC 1939), Protocolo de
”Agência”de Correio, que recebe este nome por agir como uma
agência de correios, guardando as mensagens dos usuários em
caixas postais e aguardando que estes venham buscá-las.
A conexão usando o protocolo POP é feita através do
fornecimento de usuário e senha pelo MUA ao MTA.

Internet Message Access Protocol (IMAP)

Outro protocolo que pode ser utilizado leitura de mensagens é o
IMAP (RFC 3501), que implementa além das funcionalidades
fornecidas pelo POP muitos outros recursos. Entre outros, permite
que um cliente de e-mail acesse mensagens remotas como se locais.
Joaquim Quinteiro Uchôa Configuração Segura do Serviço de E-Mail via Postfix
 E-Mail
Conceitos básicos
Protocolos
Postfix
A Mensagem

Meu Reino por Uma Figura

Joaquim Quinteiro Uchôa Configuração Segura do Serviço de E-Mail via Postfix

 E-Mail
Conceitos básicos
Protocolos
Postfix
A Mensagem

A Mensagem de E-mail - I

RFC2822: Internet Message Format

Cabeçalho (Header) - i
From sicrano@dominio.com.br Tue May 31 14:28:10 2005
Delivered-To: joukim@ginux.ufla.br
Received: from server.dominio.com.br
(200-200-200-70.core01.spo.ifx.net.br [200.200.200.70])
by mail.ginux.ufla.br (Postfix) with SMTP id B95CC5BDBC
for <joukim@ginux.comp.ufla.br>;
Tue, 31 May 2005 14:28:09 -0300 (BRT)
Received: (qmail 8408 invoked by uid 89);
31 May 2005 17:29:53 -0000
Received: from unknown (HELO ?192.168.0.179?)
(sicrano@estacao.dominio.com.br)
by 0 with SMTP; 31 May 2005 17:29:53 -0000
Message-ID: <429C6735.5000509@dominio.com.br>

Joaquim Quinteiro Uchôa Configuração Segura do Serviço de E-Mail via Postfix

 E-Mail
Conceitos básicos
Protocolos
Postfix
A Mensagem

A Mensagem de E-mail - II

Cabeçalho (Header) - ii
Date: Tue, 31 May 2005 10:31:33 -0300
From: Sicrano da Silva <sicrano@dominio.com.br>
User-Agent: Mozilla/5.0 (X11; U; Linux i686;
en-US; rv:1.7.7) Gecko/20050420 Debian/1.7.7-2
X-Accept-Language: en
MIME-Version: 1.0
To: Joaquim Quinteiro Uchoa <joukim@ginux.ufla.br>
Subject: Uma pergunta
Content-Type: text/plain; charset=ISO-8859-1; format=flowed
Content-Transfer-Encoding: 8bit
Content-Length: 277
Status: RO

Joaquim Quinteiro Uchôa Configuração Segura do Serviço de E-Mail via Postfix

 E-Mail
Conceitos básicos
Protocolos
Postfix
A Mensagem

A Mensagem de E-mail - III

Corpo contém a mensagem em si e anexos.

Anexos
--8323328-334187457-1046436776=:1494
Content-Type: TEXT/PLAIN; charset=US-ASCII; name="virusmortal.exe"
Content-Transfer-Encoding: BASE64
Content-ID: <XTPO.4.44.0302280952560.1494@localhost.localdomain>
Content-Description:
Content-Disposition: attachment; filename="virusmortal.exe"

IyEvdXNyL2Jpbi9wZXJsDQoNCiMgUHJvZ3JhbWEgcGFyYSBsaW1wYXIgbG9n
cyBkbyBYQ2hhdA0KIyAoQykgQnJ1bm8gZGUgT2xpdmVpcmEgU2NobmVpZGVy

Joaquim Quinteiro Uchôa Configuração Segura do Serviço de E-Mail via Postfix

 Conceitos básicos
Postfix

Comentários sobre Postfix

Postfix nasce a partir do VMailer, criado em 1997 por Wietse

Zweitze Venema http://www.porcupine.org/wietse/,
enquanto trabalhava para a IBM. Venema é também autor de:
Coroner’s Toolkit, SATAN e TCP Wrapper. Vmailer foi criado
como alternativa ao Sendmail.

Em dezembro de 1998, IBM e Venema liberaram o código do

VMailer, de onde assumiria o nome de Postfix.

Postfix não é executado com usuário root, um programa mestre

(master) gerencia processos para controlar entrada, saı́da e entrega
local à medida que é necessário.

Joaquim Quinteiro Uchôa Configuração Segura do Serviço de E-Mail via Postfix

 Conceitos básicos
Postfix

Comentários sobre Postfix

Postfix nasce a partir do VMailer, criado em 1997 por Wietse

Zweitze Venema http://www.porcupine.org/wietse/,
enquanto trabalhava para a IBM. Venema é também autor de:
Coroner’s Toolkit, SATAN e TCP Wrapper. Vmailer foi criado
como alternativa ao Sendmail.

Em dezembro de 1998, IBM e Venema liberaram o código do

VMailer, de onde assumiria o nome de Postfix.

Postfix não é executado com usuário root, um programa mestre

(master) gerencia processos para controlar entrada, saı́da e entrega
local à medida que é necessário.

Joaquim Quinteiro Uchôa Configuração Segura do Serviço de E-Mail via Postfix

 Conceitos básicos
Postfix

Processos Ativos

Usuário postfix
postfix:x:89:89::/var/spool/postfix:/sbin/nologin

Alguns Processos
root 3581 /usr/libexec/postfix/master
postfix 3591 qmgr -l -t fifo -u
postfix 7614 cleanup -z -t unix -u
postfix 7622 smtp -t unix -u
postfix 7816 local -t unix
postfix 7842 bounce -z -n defer -t unix -u
postfix 7857 pickup -l -t fifo -u
postfix 7981 smtp -t unix -u

Joaquim Quinteiro Uchôa Configuração Segura do Serviço de E-Mail via Postfix

 Conceitos básicos
Postfix

Mais uma Figura: Arquitetura do Postfix

Joaquim Quinteiro Uchôa Configuração Segura do Serviço de E-Mail via Postfix

 Conceitos básicos
Postfix

Postfix é a Melhor Escolha?

Existem várias alternativas: Courier-MTA, Exim, Sendmail e

Qmail, para citar alguns. Várias comparações apontam Postfix e
Qmail como os mais seguros e de melhor desempenho.

Postfix foi criado como alternativa ao Sendmail e possui vantagens

significativas sobre o mesmo (como segurança e facilidade de
configuração), oferecendo alta compatibilidade e praticamente a
mesma funcionalidade.

Sobre o Qmail tem como vantagem uma licença de código aberto,

o que atrai mais desenvolvedores. Qmail não possui versão nova
desde antes de novembro de 2003. Este palestrista especula que
hoje Postfix possui mais usuários que Qmail.

Joaquim Quinteiro Uchôa Configuração Segura do Serviço de E-Mail via Postfix

 Conceitos básicos
Postfix

Postfix é a Melhor Escolha?

Existem várias alternativas: Courier-MTA, Exim, Sendmail e

Qmail, para citar alguns. Várias comparações apontam Postfix e
Qmail como os mais seguros e de melhor desempenho.

Postfix foi criado como alternativa ao Sendmail e possui vantagens

significativas sobre o mesmo (como segurança e facilidade de
configuração), oferecendo alta compatibilidade e praticamente a
mesma funcionalidade.

Sobre o Qmail tem como vantagem uma licença de código aberto,

o que atrai mais desenvolvedores. Qmail não possui versão nova
desde antes de novembro de 2003. Este palestrista especula que
hoje Postfix possui mais usuários que Qmail.

Joaquim Quinteiro Uchôa Configuração Segura do Serviço de E-Mail via Postfix

 Conceitos básicos
Postfix

Postfix é a Melhor Escolha?

Existem várias alternativas: Courier-MTA, Exim, Sendmail e

Qmail, para citar alguns. Várias comparações apontam Postfix e
Qmail como os mais seguros e de melhor desempenho.

Postfix foi criado como alternativa ao Sendmail e possui vantagens

significativas sobre o mesmo (como segurança e facilidade de
configuração), oferecendo alta compatibilidade e praticamente a
mesma funcionalidade.

Sobre o Qmail tem como vantagem uma licença de código aberto,

o que atrai mais desenvolvedores. Qmail não possui versão nova
desde antes de novembro de 2003. Este palestrista especula que
hoje Postfix possui mais usuários que Qmail.

Joaquim Quinteiro Uchôa Configuração Segura do Serviço de E-Mail via Postfix

Configuração do Servidor

Parte II

Configuração do Servidor

Joaquim Quinteiro Uchôa Configuração Segura do Serviço de E-Mail via Postfix

 Configuração do Servidor Introdução

Comentários Iniciais

Não adianta configurar o Postfix com o máximo de segurança,

caso o servidor e o ambiente computacional seja inseguro.

Não é objetivo da palestra ensinar a configurar serviços de forma

segura.

Palestra irá se ater aos elementos essenciais.

Joaquim Quinteiro Uchôa Configuração Segura do Serviço de E-Mail via Postfix

 Configuração do Servidor Introdução

Comentários Iniciais

Não adianta configurar o Postfix com o máximo de segurança,

caso o servidor e o ambiente computacional seja inseguro.

Não é objetivo da palestra ensinar a configurar serviços de forma

segura.

Palestra irá se ater aos elementos essenciais.

Joaquim Quinteiro Uchôa Configuração Segura do Serviço de E-Mail via Postfix

 Configuração do Servidor Introdução

Comentários Iniciais

Não adianta configurar o Postfix com o máximo de segurança,

caso o servidor e o ambiente computacional seja inseguro.

Não é objetivo da palestra ensinar a configurar serviços de forma

segura.

Palestra irá se ater aos elementos essenciais.

Joaquim Quinteiro Uchôa Configuração Segura do Serviço de E-Mail via Postfix

 Configuração do Servidor Introdução

Estratégias para Segurança

Segurança × Conforto

Polı́tica do menor privilégio

Elementos para Segurança:
Polı́tica de Segurança e Polı́tica de Uso
Segurança de dados armazenados e em trânsito
Segurança de serviços ativos
Segurança por controle de acesso
Prevenção e detecção de invasões
Indicação de Leitura: http://www.nbso.nic.br/docs/

Joaquim Quinteiro Uchôa Configuração Segura do Serviço de E-Mail via Postfix

 Configuração do Servidor Introdução

Estratégias para Segurança

Segurança × Conforto

Polı́tica do menor privilégio

Elementos para Segurança:
Polı́tica de Segurança e Polı́tica de Uso
Segurança de dados armazenados e em trânsito
Segurança de serviços ativos
Segurança por controle de acesso
Prevenção e detecção de invasões
Indicação de Leitura: http://www.nbso.nic.br/docs/

Joaquim Quinteiro Uchôa Configuração Segura do Serviço de E-Mail via Postfix

 Configuração do Servidor Introdução

Estratégias para Segurança

Segurança × Conforto

Polı́tica do menor privilégio

Elementos para Segurança:
Polı́tica de Segurança e Polı́tica de Uso
Segurança de dados armazenados e em trânsito
Segurança de serviços ativos
Segurança por controle de acesso
Prevenção e detecção de invasões
Indicação de Leitura: http://www.nbso.nic.br/docs/

Joaquim Quinteiro Uchôa Configuração Segura do Serviço de E-Mail via Postfix

 Configuração do Servidor Introdução

Estratégias para Segurança

Segurança × Conforto

Polı́tica do menor privilégio

Elementos para Segurança:
Polı́tica de Segurança e Polı́tica de Uso
Segurança de dados armazenados e em trânsito
Segurança de serviços ativos
Segurança por controle de acesso
Prevenção e detecção de invasões
Indicação de Leitura: http://www.nbso.nic.br/docs/

Joaquim Quinteiro Uchôa Configuração Segura do Serviço de E-Mail via Postfix

 Configuração do Servidor Introdução

Estratégias para Segurança

Segurança × Conforto

Polı́tica do menor privilégio

Elementos para Segurança:
Polı́tica de Segurança e Polı́tica de Uso
Segurança de dados armazenados e em trânsito
Segurança de serviços ativos
Segurança por controle de acesso
Prevenção e detecção de invasões
Indicação de Leitura: http://www.nbso.nic.br/docs/

Joaquim Quinteiro Uchôa Configuração Segura do Serviço de E-Mail via Postfix

 Configuração do Servidor Introdução

Estratégias para Segurança

Segurança × Conforto

Polı́tica do menor privilégio

Elementos para Segurança:
Polı́tica de Segurança e Polı́tica de Uso
Segurança de dados armazenados e em trânsito
Segurança de serviços ativos
Segurança por controle de acesso
Prevenção e detecção de invasões
Indicação de Leitura: http://www.nbso.nic.br/docs/

Joaquim Quinteiro Uchôa Configuração Segura do Serviço de E-Mail via Postfix

 Configuração do Servidor Introdução

Estratégias para Segurança

Segurança × Conforto

Polı́tica do menor privilégio

Elementos para Segurança:
Polı́tica de Segurança e Polı́tica de Uso
Segurança de dados armazenados e em trânsito
Segurança de serviços ativos
Segurança por controle de acesso
Prevenção e detecção de invasões
Indicação de Leitura: http://www.nbso.nic.br/docs/

Joaquim Quinteiro Uchôa Configuração Segura do Serviço de E-Mail via Postfix

 Configuração do Servidor Introdução

Estratégias para Segurança

Segurança × Conforto

Polı́tica do menor privilégio

Elementos para Segurança:
Polı́tica de Segurança e Polı́tica de Uso
Segurança de dados armazenados e em trânsito
Segurança de serviços ativos
Segurança por controle de acesso
Prevenção e detecção de invasões
Indicação de Leitura: http://www.nbso.nic.br/docs/

Joaquim Quinteiro Uchôa Configuração Segura do Serviço de E-Mail via Postfix

 Configuração do Servidor Introdução

Estratégias para Segurança

Segurança × Conforto

Polı́tica do menor privilégio

Elementos para Segurança:
Polı́tica de Segurança e Polı́tica de Uso
Segurança de dados armazenados e em trânsito
Segurança de serviços ativos
Segurança por controle de acesso
Prevenção e detecção de invasões
Indicação de Leitura: http://www.nbso.nic.br/docs/

Joaquim Quinteiro Uchôa Configuração Segura do Serviço de E-Mail via Postfix

 Configuração do Servidor Introdução

Não se Esqueça do DNS (MX)

# arquivo dominio.com.br
@ IN MX 5 servidor
servidor IN A 200.200.200.100

Joaquim Quinteiro Uchôa Configuração Segura do Serviço de E-Mail via Postfix

 Configurações Básicas
Configuração para Segurança
Uso de Filtros Externos

Parte III

Configuração do Postfix

Joaquim Quinteiro Uchôa Configuração Segura do Serviço de E-Mail via Postfix

 Configurações Básicas
Configuração para Segurança
Uso de Filtros Externos

Contexto das Configurações

Configurações aqui apresentadas foram efetuadas utilizando-se

uma instalação Fedora Core 3, tendo instalado, para os serviços
básicos de e-mail, além do Postfix, os pacotes:
cyrus-sasl (para autenticação SMTP)
dovecot (para serviços POP e IMAP)
squirrelmail (para Webmail)

Joaquim Quinteiro Uchôa Configuração Segura do Serviço de E-Mail via Postfix

 Configurações Básicas
Configuração para Segurança
Uso de Filtros Externos

Configurações Iniciais

Arquivo main.cf
myhostname = mail.dominio.com.br
mydomain = dominio.com.br
myorigin = $mydomain
#inet_interfaces = localhost
inet_interfaces = all
mydestination = $myhostname, localhost.$mydomain,
localhost, $mydomain
relay_domains = $mydestination

Joaquim Quinteiro Uchôa Configuração Segura do Serviço de E-Mail via Postfix

 Configurações Básicas
Configuração para Segurança
Uso de Filtros Externos

Observações Sobre Configuração Inicial

Observações
Deve-se alterar o mydestination para os domı́nios (endereços) de
e-mail do servidor.

O campo relay domains especifica quais máquinas podem fazer

relay usando o Postfix. No exemplo foi especificado relay local e
máquinas do domı́nio.

Joaquim Quinteiro Uchôa Configuração Segura do Serviço de E-Mail via Postfix

 Configurações Básicas Configuração SSL/TLS
Configuração para Segurança Controle de Relay
Uso de Filtros Externos Controle Nativo de SPAM

Certificados

Para que se obtenha tráfego criptografado dos dados, é necessário

a criação de chaves e certificados. Isso é feito para cada serviço
envolvido (no caso: Postfix, Dovecot e Apache).

Pode-se usar um único par de certificado/chave para todos os

serviços, ou um para cada. Vantagens e desvantagens dependem
do contexto e estão ligados ao nome (DNS) associado ao serviço.

Caso seja necessário criar mais que um par de certificado/chave,

este palestrista recomenda o uso dos scripts disponı́veis no arquivo
ssl.ca-0.1.tar.gz em http://www.openssl.org/contrib/.

Joaquim Quinteiro Uchôa Configuração Segura do Serviço de E-Mail via Postfix

 Configurações Básicas Configuração SSL/TLS
Configuração para Segurança Controle de Relay
Uso de Filtros Externos Controle Nativo de SPAM

Certificados

Para que se obtenha tráfego criptografado dos dados, é necessário

a criação de chaves e certificados. Isso é feito para cada serviço
envolvido (no caso: Postfix, Dovecot e Apache).

Pode-se usar um único par de certificado/chave para todos os

serviços, ou um para cada. Vantagens e desvantagens dependem
do contexto e estão ligados ao nome (DNS) associado ao serviço.

Caso seja necessário criar mais que um par de certificado/chave,

este palestrista recomenda o uso dos scripts disponı́veis no arquivo
ssl.ca-0.1.tar.gz em http://www.openssl.org/contrib/.

Joaquim Quinteiro Uchôa Configuração Segura do Serviço de E-Mail via Postfix

 Configurações Básicas Configuração SSL/TLS
Configuração para Segurança Controle de Relay
Uso de Filtros Externos Controle Nativo de SPAM

Certificados

Para que se obtenha tráfego criptografado dos dados, é necessário

a criação de chaves e certificados. Isso é feito para cada serviço
envolvido (no caso: Postfix, Dovecot e Apache).

Pode-se usar um único par de certificado/chave para todos os

serviços, ou um para cada. Vantagens e desvantagens dependem
do contexto e estão ligados ao nome (DNS) associado ao serviço.

Caso seja necessário criar mais que um par de certificado/chave,

este palestrista recomenda o uso dos scripts disponı́veis no arquivo
ssl.ca-0.1.tar.gz em http://www.openssl.org/contrib/.

Joaquim Quinteiro Uchôa Configuração Segura do Serviço de E-Mail via Postfix

 Configurações Básicas Configuração SSL/TLS
Configuração para Segurança Controle de Relay
Uso de Filtros Externos Controle Nativo de SPAM

Configurações

dovecot.conf
protocols = imap imaps pop3 pop3s
ssl_cert_file = /usr/share/ssl/certs/dovecot.pem
ssl_key_file = /usr/share/ssl/private/dovecot.pem

main.cf
smtpd_tls_cert_file = /etc/postfix/ssl/smtpd.crt
smtpd_tls_key_file = /etc/postfix/ssl/smtpd.key
smtpd_tls_auth_only = yes
smtpd_tls_CAfile = /etc/postfix/ssl/cacert.pem
smtpd_tls_received_header = yes
smtpd_use_tls = yes
smtp_use_tls = yes
smtp_tls_note_starttls_offer = yes

Joaquim Quinteiro Uchôa Configuração Segura do Serviço de E-Mail via Postfix

 Configurações Básicas Configuração SSL/TLS
Configuração para Segurança Controle de Relay
Uso de Filtros Externos Controle Nativo de SPAM

Configurações

dovecot.conf
protocols = imap imaps pop3 pop3s
ssl_cert_file = /usr/share/ssl/certs/dovecot.pem
ssl_key_file = /usr/share/ssl/private/dovecot.pem

main.cf
smtpd_tls_cert_file = /etc/postfix/ssl/smtpd.crt
smtpd_tls_key_file = /etc/postfix/ssl/smtpd.key
smtpd_tls_auth_only = yes
smtpd_tls_CAfile = /etc/postfix/ssl/cacert.pem
smtpd_tls_received_header = yes
smtpd_use_tls = yes
smtp_use_tls = yes
smtp_tls_note_starttls_offer = yes

Joaquim Quinteiro Uchôa Configuração Segura do Serviço de E-Mail via Postfix

 Configurações Básicas Configuração SSL/TLS
Configuração para Segurança Controle de Relay
Uso de Filtros Externos Controle Nativo de SPAM

Controle de Relay

Postfix adota uma polı́tica moderada de controle de relay em sua

configuração básica, repassando e-mails somente de clientes em
redes de confiança ou domı́nios configurados como destinos
autorizados de relay.

Para usuários externos que prefiram não utilizar Webmail, e até

mesmo para usuários locais, pode-se adotar autenticação para
envio de mensagens.

Joaquim Quinteiro Uchôa Configuração Segura do Serviço de E-Mail via Postfix

 Configurações Básicas Configuração SSL/TLS
Configuração para Segurança Controle de Relay
Uso de Filtros Externos Controle Nativo de SPAM

SMTP Auth

smtpd_sasl_auth_enable = yes
smtpd_recipient_restrictions =
permit_sasl_authenticated,permit_mynetworks,
check_relay_domains

Joaquim Quinteiro Uchôa Configuração Segura do Serviço de E-Mail via Postfix

 Configurações Básicas Configuração SSL/TLS
Configuração para Segurança Controle de Relay
Uso de Filtros Externos Controle Nativo de SPAM

Acesso ao SMTPD
# Permite conexoes apenas de clientes autorizados
# Ver configuracao mais completa em proximos slides
smtpd_client_restrictions = permit_sasl_authenticated,
permit_mynetworks, reject

# Nao aceitar conexoes de maquinas que nao saibam

# o proprio nome
# CUIDADO: pode impedir recebimento de MTAs e
# servidores mal-configurados
smtpd_helo_restrictions = reject_unknown_hostname

# Nao aceite e-mail de dominios que nao existam

# CUIDADO: pode impedir recebimento de servicos com
# DNS mal-configurado ou recentes
smtpd_sender_restrictions = reject_unknown_sender_domain
Joaquim Quinteiro Uchôa Configuração Segura do Serviço de E-Mail via Postfix
 Configurações Básicas Configuração SSL/TLS
Configuração para Segurança Controle de Relay
Uso de Filtros Externos Controle Nativo de SPAM

Acesso ao SMTPD
main.cf
# Permite conexoes apenas de clientes autorizados
# Ver configuracao mais completa em proximo slide
smtpd_client_restrictions = permit_sasl_authenticated,
permit_mynetworks
check_client_access hash:/etc/postfix/access

/etc/postfix/access
# Tomar cuidado para nao recusar remetentes ou
# dominios legitimos!
divulque@spammer.com REJECT
spammer.com REJECT
divulgue@ REJECT
# executar "postmap /etc/postfix/access" apos alterar

Joaquim Quinteiro Uchôa Configuração Segura do Serviço de E-Mail via Postfix

 Configurações Básicas Configuração SSL/TLS
Configuração para Segurança Controle de Relay
Uso de Filtros Externos Controle Nativo de SPAM

Checagem de Corpo e Cabeçalho - I

main.cf
# controle de cabecalho
header_checks = regexp:/etc/postfix/header_checks

# controle de corpo (util para anexos!)

body_checks = regexp:/etc/postfix/body_checks

# recusar servidores com relay aberto

maps_rbl_reject_code = 554
smtpd_client_restrictions = permit_sasl_authenticated,
permit_mynetworks,
check_client_access hash:/etc/postfix/access
reject_rbl_client relays.ordb.org

Joaquim Quinteiro Uchôa Configuração Segura do Serviço de E-Mail via Postfix

 Configurações Básicas Configuração SSL/TLS
Configuração para Segurança Controle de Relay
Uso de Filtros Externos Controle Nativo de SPAM

Checagem de Corpo e Cabeçalho - II

header checks
/^Received:.*HostSpammer/ REJECT
/^to: *friend@public\.com/ REJECT
/^Received: +from +(porcupine\.org) +/ REJECT
/^Subject: .*Make money fast/ REJECT
/^X-Mailer: Microsoft Outlook Express/ REJECT

body checks
/www\.spammer\.dom/ REJECT
/trabalhe em casa.*renda extra/ REJECT
/filename=\".*\.(asd|chm|hlp|hta|js|ocx|pif).*\"/ REJECT
/filename=.*\.(asd|chm|hlp|hta|js|ocx|pif).*/ REJECT
/filename=.*\.(exe|bat|jar|asp|aspx|dll).*/ REJECT
/filename=\".*\.(exe|bat|jar|asp|aspx|dll).*\"/ REJECT

Joaquim Quinteiro Uchôa Configuração Segura do Serviço de E-Mail via Postfix

 Configurações Básicas
Configuração para Segurança
Uso de Filtros Externos

Usando content filter

O parâmetro content filter permite a especificação de filtros

externos, que podem ser ferramentas de anti-vı́rus ou anti-spams.

content filter = smtp-amavis:[127.0.0.1]:10024

Exemplo de configuração com Amavis/SpamAssassin/ClamAV:

Monografia “Servidor de E-mail -
Postfix/Amavist-new/SpamAssassin/ClamAV” em

http://www.ginux.ufla.br/documentacao/monografias.html.

Joaquim Quinteiro Uchôa Configuração Segura do Serviço de E-Mail via Postfix

 Conclusões

Comentários Finais

É possı́vel ter uma solução de qualidade e com segurança para

e-mail usando apenas software livre
Configurar serviços de e-mail de forma segura é um desafio
aos administradores de rede
O Postfix é um MTA altamente flexı́vel e permite vários
controles finos para controle de envio e recebimento de
mensagens, bem como evitar o recebimento de SPAMs e Vı́rus

Joaquim Quinteiro Uchôa Configuração Segura do Serviço de E-Mail via Postfix

 Conclusões

Comentários Finais

É possı́vel ter uma solução de qualidade e com segurança para

e-mail usando apenas software livre
Configurar serviços de e-mail de forma segura é um desafio
aos administradores de rede
O Postfix é um MTA altamente flexı́vel e permite vários
controles finos para controle de envio e recebimento de
mensagens, bem como evitar o recebimento de SPAMs e Vı́rus

Joaquim Quinteiro Uchôa Configuração Segura do Serviço de E-Mail via Postfix

 Conclusões

Comentários Finais

É possı́vel ter uma solução de qualidade e com segurança para

e-mail usando apenas software livre
Configurar serviços de e-mail de forma segura é um desafio
aos administradores de rede
O Postfix é um MTA altamente flexı́vel e permite vários
controles finos para controle de envio e recebimento de
mensagens, bem como evitar o recebimento de SPAMs e Vı́rus

Joaquim Quinteiro Uchôa Configuração Segura do Serviço de E-Mail via Postfix