19/05/2016

AutenticandoosclienteseAtivandooTLS

AutenticandoosclienteseAtivandooTLS
Autenticandoosclientes

Originalmente,oPostfixdeterminaosclientesqueestoautorizadosaenviaremailsatravsdoseu
servidordeacordocomaconfiguraodalinha"mynetworks",dentrodoarquivomain.cf.Usandoa
linha"mynetworks=127.0.0.0/8"ou"mynetworks=127.0.0.1"oPostfixaceitaapenasemails
enviadosapartirdoprprioservidor,umaconfiguraoidealseosusuriosenviamosemails
atravsdeumwebmailinstaladonoprprioservidor,semSMTPexterno.
Vocpodetambmpermitiroenvioapartirdequalquermicrodaredelocal,usandoalgocomo
"mynetworks=192.168.0.0/24".Oproblemasurgequandovocprecisapermitiroenviodeemails
parausuriosespalhadospelaweb,conectadosviaADSL,modemououtrasmodalidadesde
conexocomIPdinmico.
Imagine,porexemplo,ocasodeumprovedordeacessoqueprecisapermitirqueseususurios
enviememailsusandoseuSMTP,mesmoquandoelesestiveremacessandoatravsdeoutro
provedor.
Vocnopodesimplesmentepermitiroenvioapartirdequalquerendereo,casocontrrioseu
servidorvaiserrapidamentedescobertopelosspammers,quecomearoautilizartodaasua
bandaparaenviarsuastentadorasofertasdeprodutos.Pior,depoisdealgumtempo,seuservidor
vaiacabarcaindonaslistasnegrasdeendereosusadosparaenviodespam,fazendocomque
seusprpriosemailsvlidospassemaserrecusadosporoutrosservidores.
Asoluo,nessecaso,passaraautenticarosusurios,comofazamaioriadosprovedores.
UsamosentooSASL,quenoDebian(EtchouSid)podeserinstaladoviaaptget:
#aptgetinstalllibsasl2sasl2binlibsasl2moduleslibdb3utilprocmail
Depoisdeinstalarospacotes,abraoarquivo"/etc/default/saslauthd",ondevoasopesde
inicializaodoautenticador.Oprimeiropassosubstituiralinha"START=no"por:
START=yes
Adicione(oumodifique)tambmalinha:
MECHANISMS="pam"
Issofazcomqueelesejainicializadoduranteobooteaceiteaautenticaodosusurios.
http://www.hardware.com.br/tutoriais/servidoremails/autenticandoclientesativandotls.html

1/8

19/05/2016

AutenticandoosclienteseAtivandooTLS

Continuando,crie(ouedite)oarquivo"/etc/postfix/sasl/smtpd.conf"deformaqueelecontenha
apenasaslinhas:
pwcheck_method:saslauthd
mech_list:plainlogin
OpacotedoPostfixusadonoDebianEtchenoUbuntu6.10(oumaisrecente)eemoutras
distribuiesderivadasdeles,rodadentrodeumchroot(oujaula),oquemelhorabastantea
segurana,impedindoquequalquereventualproblemadeseguranafiquerestritoaoservidordee
mails,semafetarorestodosistema.Vocnotarquedentrodapasta"/var/spool/postfix"estono
apenasosdiretrioscomasfilasdemensagens,mastambmbinriosebibliotecasdequeopostfix
precisaparafuncionar.
Oproblemaquededentrodoseuchroot,oPostfixnotemacessoaosaslauthd,fazendocomque
aautenticaodosusuriosnofuncione.OprpriosaslauthdnecessrioporqueoPostfix
(mesmoaorodarforadochroot)notemacessoaosarquivosdesenhadosistemaeporissono
capazdeautenticarosusuriosporsis.
Pararesolveresteproblema,precisamoscriarapasta"/var/spool/postfix/var/run/saslauthd",utilizada
peloPostfixdentrodochrooteconfigurarosaslparautilizlanolugardapastapadro.Desta
forma,oPostfixconseguesecomunicarcomele.
Estetipodeprecauodeseguranaparecealgocomplicadoedesnecessrioprimeiravista,mas
justamenteporcausadetruquescomoestequeosservidoresLinuxacabamsendotoseguros.
Paracomeodeconversa,oPostfixporsisbastanteseguro.Mas,comoosservidoresdeemail
soumpontocomumdeataque,eleficaisoladodentrodochrootdeformaque,mesmonaremota
possibilidadedeumcrackerconseguirobtercontrolesobreoPostfixatravsumexploitremoto,ele
nopoderiafazermuitacoisa.Paracompletar,oPostfixrodadentrodeprivilgiosmuitolimitados,
deformaque,mesmoqueocrackertenhamuitasorteeaimprovvelfalhadesegurananoPostfix
sejacombinadacomumafalhanosistemaqueopermitaescapardochroot,eleaindaassimno
conseguiriafazermuitacoisa.)
Comececriandoodiretrio:
#mkdirp/var/spool/postfix/var/run/saslauthd
Abraagoraoarquivo"/etc/default/saslauthd"(omesmoondesubstitumoso"START=no"por
"START=yes")esubstituaalinha
OPTIONS="c"

http://www.hardware.com.br/tutoriais/servidoremails/autenticandoclientesativandotls.html

2/8

19/05/2016

AutenticandoosclienteseAtivandooTLS

por:
OPTIONS="cm/var/spool/postfix/var/run/saslauthdr"
Reinicieoservioparaqueasalteraesentrememvigor:
#/etc/init.d/saslauthdrestart
IssofazcomqueoSASLpasseautilizarodiretriodentrodochrooteoPostfixtenhaacessoao
saslauthdepossaassimautenticarosusuriosatravsdele.Notequeo"/var/spool/postfix"o
diretrioondeestochroot.EstaalocalizaopadronoDebianaousaroutradistribuio,
verifiquesenoestsendousadooutrodiretrio.
Sparagarantir,adicioneopostfixaogruposasl:
#adduserpostfixsasl
IssocompletaaconfiguraodoSASL.
OpassoseguinteaconfiguraodoPostfix.Abraoarquivo"/etc/postfix/main.cf"eadicioneas
linhasabaixonofinaldoarquivo.Aoreciclarumarquivodeconfiguraoanterior,verifiqueseesta
configuraojnofoiincludaemoutropontodoarquivo:
smtpd_sasl_local_domain=
smtpd_sasl_auth_enable=yes
smtpd_sasl_security_options=noanonymous
broken_sasl_auth_clients=yes
smtpd_recipient_restrictions=permit_sasl_authenticated,
permit_mynetworks,
reject_unauth_destination
smtpd_tls_auth_only=no
Feitoisso,reinicieoPostfixparaqueasalteraesentrememvigor:
#/etc/init.d/postfixrestart
Porenquanto,oservidorsuportaapenasautenticaoemtextopuro,semencriptao.Esteo
sistema"clssico",aindausadopormuitoprovedoresdeacesso,masquepossuiproblemasbvios
desegurana,jquealgumqueconsigasniffararedelocal,poderiacapturarassenhasdos
usuriosnomomentoemqueelestentassembaixarosemails.
Paratestar,configureumclientedeemailsqualquerparautilizaroendereoIPdoservidorcomo
http://www.hardware.com.br/tutoriais/servidoremails/autenticandoclientesativandotls.html

3/8

19/05/2016

AutenticandoosclienteseAtivandooTLS

SMTP(aquiestouusandooSylpeed)e,nasconfiguraes,ativeaopodeautenticaoparao
servidorSMTPeescolhaaopo"PLAIN"(loginemtextopuro).Envieumemaildetestepara
confirmarsetudoestfuncionando.

AtivandooTLS

OTLS(TransportLayerSecurity)adicionaseguranaaonossosistemadeautenticao,permitindo
queosusuriospossambaixarosemailssemmedo,mesmoaoacessarapartirderedespblicas.
Emalgumasdistribuies(comonoDebianSarge),vocprecisainstalaropacote"postfixtls".Nas
demais(incluindooDebianEtch,queaversoatual),elejvemintegradoaopacoteprincipaldo
Postfix.
OTLStrabalhautilizandoumconjuntodechavesdeencriptaoecertificados,usadosparacriaro
tnelencriptadoegarantiraseguranadaseo.Oprimeiropassocriaresteconjuntode
arquivos.
Acesseodiretrio"/etc/postfix/ssl"(crieosenoexistir)erodeoscomandosabaixo,umdecada
vezenestaordem.Duranteageraodaschaves,sersolicitadoquevocinformeuma
passphrase,umasenhaquepodeconterentre4e8191caracteres.Administradoresparanicos
costumamusarpassphrasesbemgrandes,masnoexagere,poisvocprecisarconfirmla
algumasvezesduranteoprocesso.Oscomandosso:
#mkdir/etc/postfix/ssl
#cd/etc/postfix/ssl/
http://www.hardware.com.br/tutoriais/servidoremails/autenticandoclientesativandotls.html

4/8

19/05/2016

AutenticandoosclienteseAtivandooTLS

#opensslgenrsades3rand/etc/hostsoutsmtpd.key1024
#chmod600smtpd.key
#opensslreqnewkeysmtpd.keyoutsmtpd.csr
#opensslx509reqdays730insmtpd.csrsignkeysmtpd.keyoutsmtpd.crt
#opensslrsainsmtpd.keyoutsmtpd.key.unencrypted
#mvfsmtpd.key.unencryptedsmtpd.key
#opensslreqnewx509extensionsv3_cakeyoutcakey.pemoutcacert.pemdays730
O"730"usadonaslinhasdeterminaavalidadedoscertificados,emdias.Nocaso,estoucriando
certificadosvlidospordoisanos.Depoisdesteprazo,osclientescomearoareceberumavisoao
seautenticarem,avisandoqueocertificadoexpiroueprecisareirepetiroprocessoparaatualizlos.
Sepreferir,vocpodeusarumnmeromaisalto,paragerarcertificadosvlidospormaistempo.
Paragerarcertificadosvlidospor10anos,porexemplo,substituao"730"por"3650".
Continuando,abranovamenteoarquivo"/etc/postfix/main.cf"eadicioneaslinhasabaixo(sem
mexernaslinhasreferentesaoSASLqueadicionamosanteriormente):
smtp_use_tls=yes
smtp_tls_note_starttls_offer=yes
smtpd_tls_CAfile=/etc/postfix/ssl/cacert.pem
smtpd_tls_loglevel=1
smtpd_tls_received_header=yes
smtpd_tls_session_cache_timeout=3600s
smtpd_tls_cert_file=/etc/postfix/ssl/smtpd.crt
smtpd_tls_key_file=/etc/postfix/ssl/smtpd.key
smtpd_tls_session_cache_database=btree:${queue_directory}/smtpd_scache
smtp_tls_session_cache_database=btree:${queue_directory}/smtp_scache
tls_random_source=dev:/dev/urandom
ReinicieoPostfixparaqueasalteraesentrememvigor:
#/etc/init.d/postfixrestart
Paraqueosclientesconsigamseautenticarnoservidor,necessrioinstalaropacote"courier
authdaemon"eo"courierssl",almdospacotescourierpop,courierpopssl,courierimap,courier
imapsslquevimosanteriormente.Vocpodeusarocomandoabaixoparainstalardeumavez
todosospacotesnecessrios:
#aptgetinstallcourierauthdaemoncourierbasecourierimapcourierimapssl
courierpopcourierpopsslcouriersslgaminlibgamin0libglib2.00
Paratestar,ativeousodoSSLparaoservidorSMTPdentrodasprefernciasdoseuclientedee
http://www.hardware.com.br/tutoriais/servidoremails/autenticandoclientesativandotls.html

5/8

19/05/2016

AutenticandoosclienteseAtivandooTLS

mail.NocasodoThunderbird,porexemplo,marqueaopo"UsarConexoSegura>TLS"dentro
domenu"Enviar",nasconfiguraesdaconta.Oclientedeemailexibiralgunsavisossobrea
validadedocertificado,oquenormal,jqueestamosutilizandoumcertificado"selfsigned",ou
seja,umcertificado"caseiro",quenoreconhecidopornenhumaautoridadecertificadora.
EmpresascomoaVerisignvendemcertificadosreconhecidos,masospreossoproibitivosforade
grandesinstalaes.
ComoTLS,Aautenticaocontinuafuncionandodamesmaforma,masagoratodososdadosso
transmitidosdeformasegura.Lembresedequeaoinstalarocourier,jativamostambmosuporte
aSSLparaoIMAPePOP3,deformaquevocpodeativarambasasopesnoclientedeemail:

Aquiestumexemplodearquivo/etc/postfix/main.cfcompleto,incluindoaconfiguraodoSASL
edoTLS:
#/etc/postfix/main.cf
myhostname=etch.kurumin.com.br
mydomain=kurumin.com.br
append_dot_mydomain=no
alias_maps=hash:/etc/aliases
alias_database=hash:/etc/aliases
myorigin=/etc/mailname
mydestination=etch.kurumin.com.br,kurumin.com.br,localhost
relayhost=
mynetworks=127.0.0.0/8
http://www.hardware.com.br/tutoriais/servidoremails/autenticandoclientesativandotls.html

6/8

19/05/2016

AutenticandoosclienteseAtivandooTLS

home_mailbox=Maildir/
mailbox_command=
recipient_delimiter=+
inet_interfaces=all
inet_protocols=all
message_size_limit=20000000
mailbox_size_limit=0
smtpd_sasl_local_domain=
smtpd_sasl_auth_enable=yes
smtpd_sasl_security_options=noanonymous
broken_sasl_auth_clients=yes
smtpd_recipient_restrictions=permit_sasl_authenticated,
permit_mynetworks,
reject_unauth_destination
smtpd_tls_auth_only=no
smtp_use_tls=yes
smtp_tls_note_starttls_offer=yes
smtpd_tls_CAfile=/etc/postfix/ssl/cacert.pem
smtpd_tls_loglevel=1
smtpd_tls_received_header=yes
smtpd_tls_session_cache_timeout=3600s
smtpd_tls_cert_file=/etc/postfix/ssl/smtpd.crt
smtpd_tls_key_file=/etc/postfix/ssl/smtpd.key
smtpd_tls_session_cache_database=btree:${queue_directory}/smtpd_scache
smtp_tls_session_cache_database=btree:${queue_directory}/smtp_scache
tls_random_source=dev:/dev/urandom
Oarquivo/etc/default/saslauthd(depoisderemovidososcomentrios),ficaria:
START=yes
MECHANISMS="pam"
MECH_OPTIONS=""
THREADS=5
OPTIONS="cm/var/spool/postfix/var/run/saslauthdr"
Oarquivo/etc/postfix/sasl/smtpd.conf,quevimosnoincio,continuacomapenasasduaslinhas:
pwcheck_method:saslauthd
mech_list:plainlogin
ndice
http://www.hardware.com.br/tutoriais/servidoremails/autenticandoclientesativandotls.html

7/8

19/05/2016

AutenticandoosclienteseAtivandooTLS

http://www.hardware.com.br/tutoriais/servidoremails/autenticandoclientesativandotls.html

8/8