Você está na página 1de 53

Estrutura da Apresentacao

Conguracao Segura do Servico de E-Mail


via Postx
Joaquim Quinteiro Uchoa
joukim@ginux.ufla.br
Curso de Pos-Graduacao Lato Sensu a Distancia, Via Internet,
em Administracao em Redes Linux ARL
http://arl.ginux.ufla.br/
ARL, 2005
Joaquim Quinteiro Uchoa Conguracao Segura do Servico de E-Mail via Postx
Estrutura da Apresentacao
Estrutura da Apresentacao I
1
Conceitos basicos
E-Mail
Protocolos
A Mensagem
2
Postx
3
Conguracao do Servidor
Introducao
4
Conguracoes Basicas
5
Conguracao para Seguranca
Conguracao SSL/TLS
Controle de Relay
Controle Nativo de SPAM
6
Uso de Filtros Externos
Joaquim Quinteiro Uchoa Conguracao Segura do Servico de E-Mail via Postx
Conceitos basicos
Postx
Parte I
O Postx
Joaquim Quinteiro Uchoa Conguracao Segura do Servico de E-Mail via Postx
Conceitos basicos
Postx
E-Mail
Protocolos
A Mensagem
Comentarios Iniciais
Atualmente, a utilizacao de correio eletronico tornou-se
praticamente necessaria sob o ponto de vista de negocios e
social.
A conguracao de sistemas de correio eletronico tornou-se
uma tarefa quase que obrigatoria por parte dos
administradores de sistemas.

E possvel obter uma solucao completa e de alta qualidade


para correio eletronico, inclundo recursos agregados (como
webmail, catalogos de enderecos e listas de discussao)
utilizando apenas software livre.
Joaquim Quinteiro Uchoa Conguracao Segura do Servico de E-Mail via Postx
Conceitos basicos
Postx
E-Mail
Protocolos
A Mensagem
Comentarios Iniciais
Atualmente, a utilizacao de correio eletronico tornou-se
praticamente necessaria sob o ponto de vista de negocios e
social.
A conguracao de sistemas de correio eletronico tornou-se
uma tarefa quase que obrigatoria por parte dos
administradores de sistemas.

E possvel obter uma solucao completa e de alta qualidade


para correio eletronico, inclundo recursos agregados (como
webmail, catalogos de enderecos e listas de discussao)
utilizando apenas software livre.
Joaquim Quinteiro Uchoa Conguracao Segura do Servico de E-Mail via Postx
Conceitos basicos
Postx
E-Mail
Protocolos
A Mensagem
Comentarios Iniciais
Atualmente, a utilizacao de correio eletronico tornou-se
praticamente necessaria sob o ponto de vista de negocios e
social.
A conguracao de sistemas de correio eletronico tornou-se
uma tarefa quase que obrigatoria por parte dos
administradores de sistemas.

E possvel obter uma solucao completa e de alta qualidade


para correio eletronico, inclundo recursos agregados (como
webmail, catalogos de enderecos e listas de discussao)
utilizando apenas software livre.
Joaquim Quinteiro Uchoa Conguracao Segura do Servico de E-Mail via Postx
Conceitos basicos
Postx
E-Mail
Protocolos
A Mensagem
Denicoes
Mailbox

E um arquivo ou diretorio cuja funcao e armazenar os e-mails


recebidos por um usuario. Em geral: arquivo com nome do login
do usuario em /var/spool/mail.
Mail User Agents (MUA)
Sao aplicacoes diretamente ligadas aos usuarios a m de que esses
possam manipular os seus e-mails (por exemplo, le-los e
escreve-los).
Mail Transfer Agents (MTA)
Responsavel por encaminhar as mensagens entre as maquinas.
Realiza diversas funcoes de enderecamento de rede a m de
proporcionar a entrega correta e oferecer facilidades aos MUAs.
Joaquim Quinteiro Uchoa Conguracao Segura do Servico de E-Mail via Postx
Conceitos basicos
Postx
E-Mail
Protocolos
A Mensagem
Protocolos - I
Single Mail Transfer Protocol (SMTP)
O protocolo utilizado para envio do e-mail do MUA ao MTA e
entre os MTA consiste no SMTP (RFC 821) ou no Extended
SMTP (ESMTP RFCs 1869, 1870, 1891 e 1985).
Multipurpose Internet Mail Extensions (MIME)
Praticamente todos os e-mails sao transmitidos via SMTP no
formato MIME (RFC 2045). O protocolo basico de transmissao de
e-mail da suporta apenas caracteres ASCII de 7-bit, o que limitaria
a transmissao de e-mails que possuam apenas caracteres da lingua
inglesa. MIME dene mecanismos para enviar outros tipos de
informacao no e-mail, como caracteres em outras linguas e
conte udo binario.
Joaquim Quinteiro Uchoa Conguracao Segura do Servico de E-Mail via Postx
Conceitos basicos
Postx
E-Mail
Protocolos
A Mensagem
Protocolos - II
Post Oce Protocol (POP)
Para a troca de mensagens entre o servidor e o cliente de e-mail
geralmente e utilizado o protocolo POP (RFC 1939), Protocolo de
Agenciade Correio, que recebe este nome por agir como uma
agencia de correios, guardando as mensagens dos usuarios em
caixas postais e aguardando que estes venham busca-las.
A conexao usando o protocolo POP e feita atraves do
fornecimento de usuario e senha pelo MUA ao MTA.
Internet Message Access Protocol (IMAP)
Outro protocolo que pode ser utilizado leitura de mensagens e o
IMAP (RFC 3501), que implementa alem das funcionalidades
fornecidas pelo POP muitos outros recursos. Entre outros, permite
que um cliente de e-mail acesse mensagens remotas como se locais.
Joaquim Quinteiro Uchoa Conguracao Segura do Servico de E-Mail via Postx
Conceitos basicos
Postx
E-Mail
Protocolos
A Mensagem
Meu Reino por Uma Figura
Joaquim Quinteiro Uchoa Conguracao Segura do Servico de E-Mail via Postx
Conceitos basicos
Postx
E-Mail
Protocolos
A Mensagem
A Mensagem de E-mail - I
RFC2822: Internet Message Format
Cabecalho (Header) - i
From sicrano@dominio.com.br Tue May 31 14:28:10 2005
Delivered-To: joukim@ginux.ufla.br
Received: from server.dominio.com.br
(200-200-200-70.core01.spo.ifx.net.br [200.200.200.70])
by mail.ginux.ufla.br (Postfix) with SMTP id B95CC5BDBC
for <joukim@ginux.comp.ufla.br>;
Tue, 31 May 2005 14:28:09 -0300 (BRT)
Received: (qmail 8408 invoked by uid 89);
31 May 2005 17:29:53 -0000
Received: from unknown (HELO ?192.168.0.179?)
(sicrano@estacao.dominio.com.br)
by 0 with SMTP; 31 May 2005 17:29:53 -0000
Message-ID: <429C6735.5000509@dominio.com.br>
Joaquim Quinteiro Uchoa Conguracao Segura do Servico de E-Mail via Postx
Conceitos basicos
Postx
E-Mail
Protocolos
A Mensagem
A Mensagem de E-mail - II
Cabecalho (Header) - ii
Date: Tue, 31 May 2005 10:31:33 -0300
From: Sicrano da Silva <sicrano@dominio.com.br>
User-Agent: Mozilla/5.0 (X11; U; Linux i686;
en-US; rv:1.7.7) Gecko/20050420 Debian/1.7.7-2
X-Accept-Language: en
MIME-Version: 1.0
To: Joaquim Quinteiro Uchoa <joukim@ginux.ufla.br>
Subject: Uma pergunta
Content-Type: text/plain; charset=ISO-8859-1; format=flowed
Content-Transfer-Encoding: 8bit
Content-Length: 277
Status: RO
Joaquim Quinteiro Uchoa Conguracao Segura do Servico de E-Mail via Postx
Conceitos basicos
Postx
E-Mail
Protocolos
A Mensagem
A Mensagem de E-mail - III
Corpo contem a mensagem em si e anexos.
Anexos
--8323328-334187457-1046436776=:1494
Content-Type: TEXT/PLAIN; charset=US-ASCII; name="virusmortal.exe"
Content-Transfer-Encoding: BASE64
Content-ID: <XTPO.4.44.0302280952560.1494@localhost.localdomain>
Content-Description:
Content-Disposition: attachment; filename="virusmortal.exe"
IyEvdXNyL2Jpbi9wZXJsDQoNCiMgUHJvZ3JhbWEgcGFyYSBsaW1wYXIgbG9n
cyBkbyBYQ2hhdA0KIyAoQykgQnJ1bm8gZGUgT2xpdmVpcmEgU2NobmVpZGVy
Joaquim Quinteiro Uchoa Conguracao Segura do Servico de E-Mail via Postx
Conceitos basicos
Postx
Comentarios sobre Postx
Postx nasce a partir do VMailer, criado em 1997 por Wietse
Zweitze Venema http://www.porcupine.org/wietse/,
enquanto trabalhava para a IBM. Venema e tambem autor de:
Coroners Toolkit, SATAN e TCP Wrapper. Vmailer foi criado
como alternativa ao Sendmail.
Em dezembro de 1998, IBM e Venema liberaram o codigo do
VMailer, de onde assumiria o nome de Postx.
Postx nao e executado com usuario root, um programa mestre
(master) gerencia processos para controlar entrada, sada e entrega
local `a medida que e necessario.
Joaquim Quinteiro Uchoa Conguracao Segura do Servico de E-Mail via Postx
Conceitos basicos
Postx
Comentarios sobre Postx
Postx nasce a partir do VMailer, criado em 1997 por Wietse
Zweitze Venema http://www.porcupine.org/wietse/,
enquanto trabalhava para a IBM. Venema e tambem autor de:
Coroners Toolkit, SATAN e TCP Wrapper. Vmailer foi criado
como alternativa ao Sendmail.
Em dezembro de 1998, IBM e Venema liberaram o codigo do
VMailer, de onde assumiria o nome de Postx.
Postx nao e executado com usuario root, um programa mestre
(master) gerencia processos para controlar entrada, sada e entrega
local `a medida que e necessario.
Joaquim Quinteiro Uchoa Conguracao Segura do Servico de E-Mail via Postx
Conceitos basicos
Postx
Processos Ativos
Usuario postfix
postfix:x:89:89::/var/spool/postfix:/sbin/nologin
Alguns Processos
root 3581 /usr/libexec/postfix/master
postfix 3591 qmgr -l -t fifo -u
postfix 7614 cleanup -z -t unix -u
postfix 7622 smtp -t unix -u
postfix 7816 local -t unix
postfix 7842 bounce -z -n defer -t unix -u
postfix 7857 pickup -l -t fifo -u
postfix 7981 smtp -t unix -u
Joaquim Quinteiro Uchoa Conguracao Segura do Servico de E-Mail via Postx
Conceitos basicos
Postx
Mais uma Figura: Arquitetura do Postx
Joaquim Quinteiro Uchoa Conguracao Segura do Servico de E-Mail via Postx
Conceitos basicos
Postx
Postx e a Melhor Escolha?
Existem varias alternativas: Courier-MTA, Exim, Sendmail e
Qmail, para citar alguns. Varias comparacoes apontam Postx e
Qmail como os mais seguros e de melhor desempenho.
Postx foi criado como alternativa ao Sendmail e possui vantagens
signicativas sobre o mesmo (como seguranca e facilidade de
conguracao), oferecendo alta compatibilidade e praticamente a
mesma funcionalidade.
Sobre o Qmail tem como vantagem uma licenca de codigo aberto,
o que atrai mais desenvolvedores. Qmail nao possui versao nova
desde antes de novembro de 2003. Este palestrista especula que
hoje Postx possui mais usuarios que Qmail.
Joaquim Quinteiro Uchoa Conguracao Segura do Servico de E-Mail via Postx
Conceitos basicos
Postx
Postx e a Melhor Escolha?
Existem varias alternativas: Courier-MTA, Exim, Sendmail e
Qmail, para citar alguns. Varias comparacoes apontam Postx e
Qmail como os mais seguros e de melhor desempenho.
Postx foi criado como alternativa ao Sendmail e possui vantagens
signicativas sobre o mesmo (como seguranca e facilidade de
conguracao), oferecendo alta compatibilidade e praticamente a
mesma funcionalidade.
Sobre o Qmail tem como vantagem uma licenca de codigo aberto,
o que atrai mais desenvolvedores. Qmail nao possui versao nova
desde antes de novembro de 2003. Este palestrista especula que
hoje Postx possui mais usuarios que Qmail.
Joaquim Quinteiro Uchoa Conguracao Segura do Servico de E-Mail via Postx
Conceitos basicos
Postx
Postx e a Melhor Escolha?
Existem varias alternativas: Courier-MTA, Exim, Sendmail e
Qmail, para citar alguns. Varias comparacoes apontam Postx e
Qmail como os mais seguros e de melhor desempenho.
Postx foi criado como alternativa ao Sendmail e possui vantagens
signicativas sobre o mesmo (como seguranca e facilidade de
conguracao), oferecendo alta compatibilidade e praticamente a
mesma funcionalidade.
Sobre o Qmail tem como vantagem uma licenca de codigo aberto,
o que atrai mais desenvolvedores. Qmail nao possui versao nova
desde antes de novembro de 2003. Este palestrista especula que
hoje Postx possui mais usuarios que Qmail.
Joaquim Quinteiro Uchoa Conguracao Segura do Servico de E-Mail via Postx
Conguracao do Servidor
Parte II
Conguracao do Servidor
Joaquim Quinteiro Uchoa Conguracao Segura do Servico de E-Mail via Postx
Conguracao do Servidor Introducao
Comentarios Iniciais
Nao adianta congurar o Postx com o maximo de seguranca,
caso o servidor e o ambiente computacional seja inseguro.
Nao e objetivo da palestra ensinar a congurar servicos de forma
segura.
Palestra ira se ater aos elementos essenciais.
Joaquim Quinteiro Uchoa Conguracao Segura do Servico de E-Mail via Postx
Conguracao do Servidor Introducao
Comentarios Iniciais
Nao adianta congurar o Postx com o maximo de seguranca,
caso o servidor e o ambiente computacional seja inseguro.
Nao e objetivo da palestra ensinar a congurar servicos de forma
segura.
Palestra ira se ater aos elementos essenciais.
Joaquim Quinteiro Uchoa Conguracao Segura do Servico de E-Mail via Postx
Conguracao do Servidor Introducao
Comentarios Iniciais
Nao adianta congurar o Postx com o maximo de seguranca,
caso o servidor e o ambiente computacional seja inseguro.
Nao e objetivo da palestra ensinar a congurar servicos de forma
segura.
Palestra ira se ater aos elementos essenciais.
Joaquim Quinteiro Uchoa Conguracao Segura do Servico de E-Mail via Postx
Conguracao do Servidor Introducao
Estrategias para Seguranca
Seguranca Conforto
Poltica do menor privilegio
Elementos para Seguranca:
Poltica de Seguranca e Poltica de Uso
Seguranca de dados armazenados e em transito
Seguranca de servicos ativos
Seguranca por controle de acesso
Prevencao e deteccao de invasoes
Indicacao de Leitura: http://www.nbso.nic.br/docs/
Joaquim Quinteiro Uchoa Conguracao Segura do Servico de E-Mail via Postx
Conguracao do Servidor Introducao
Estrategias para Seguranca
Seguranca Conforto
Poltica do menor privilegio
Elementos para Seguranca:
Poltica de Seguranca e Poltica de Uso
Seguranca de dados armazenados e em transito
Seguranca de servicos ativos
Seguranca por controle de acesso
Prevencao e deteccao de invasoes
Indicacao de Leitura: http://www.nbso.nic.br/docs/
Joaquim Quinteiro Uchoa Conguracao Segura do Servico de E-Mail via Postx
Conguracao do Servidor Introducao
Estrategias para Seguranca
Seguranca Conforto
Poltica do menor privilegio
Elementos para Seguranca:
Poltica de Seguranca e Poltica de Uso
Seguranca de dados armazenados e em transito
Seguranca de servicos ativos
Seguranca por controle de acesso
Prevencao e deteccao de invasoes
Indicacao de Leitura: http://www.nbso.nic.br/docs/
Joaquim Quinteiro Uchoa Conguracao Segura do Servico de E-Mail via Postx
Conguracao do Servidor Introducao
Estrategias para Seguranca
Seguranca Conforto
Poltica do menor privilegio
Elementos para Seguranca:
Poltica de Seguranca e Poltica de Uso
Seguranca de dados armazenados e em transito
Seguranca de servicos ativos
Seguranca por controle de acesso
Prevencao e deteccao de invasoes
Indicacao de Leitura: http://www.nbso.nic.br/docs/
Joaquim Quinteiro Uchoa Conguracao Segura do Servico de E-Mail via Postx
Conguracao do Servidor Introducao
Estrategias para Seguranca
Seguranca Conforto
Poltica do menor privilegio
Elementos para Seguranca:
Poltica de Seguranca e Poltica de Uso
Seguranca de dados armazenados e em transito
Seguranca de servicos ativos
Seguranca por controle de acesso
Prevencao e deteccao de invasoes
Indicacao de Leitura: http://www.nbso.nic.br/docs/
Joaquim Quinteiro Uchoa Conguracao Segura do Servico de E-Mail via Postx
Conguracao do Servidor Introducao
Estrategias para Seguranca
Seguranca Conforto
Poltica do menor privilegio
Elementos para Seguranca:
Poltica de Seguranca e Poltica de Uso
Seguranca de dados armazenados e em transito
Seguranca de servicos ativos
Seguranca por controle de acesso
Prevencao e deteccao de invasoes
Indicacao de Leitura: http://www.nbso.nic.br/docs/
Joaquim Quinteiro Uchoa Conguracao Segura do Servico de E-Mail via Postx
Conguracao do Servidor Introducao
Estrategias para Seguranca
Seguranca Conforto
Poltica do menor privilegio
Elementos para Seguranca:
Poltica de Seguranca e Poltica de Uso
Seguranca de dados armazenados e em transito
Seguranca de servicos ativos
Seguranca por controle de acesso
Prevencao e deteccao de invasoes
Indicacao de Leitura: http://www.nbso.nic.br/docs/
Joaquim Quinteiro Uchoa Conguracao Segura do Servico de E-Mail via Postx
Conguracao do Servidor Introducao
Estrategias para Seguranca
Seguranca Conforto
Poltica do menor privilegio
Elementos para Seguranca:
Poltica de Seguranca e Poltica de Uso
Seguranca de dados armazenados e em transito
Seguranca de servicos ativos
Seguranca por controle de acesso
Prevencao e deteccao de invasoes
Indicacao de Leitura: http://www.nbso.nic.br/docs/
Joaquim Quinteiro Uchoa Conguracao Segura do Servico de E-Mail via Postx
Conguracao do Servidor Introducao
Estrategias para Seguranca
Seguranca Conforto
Poltica do menor privilegio
Elementos para Seguranca:
Poltica de Seguranca e Poltica de Uso
Seguranca de dados armazenados e em transito
Seguranca de servicos ativos
Seguranca por controle de acesso
Prevencao e deteccao de invasoes
Indicacao de Leitura: http://www.nbso.nic.br/docs/
Joaquim Quinteiro Uchoa Conguracao Segura do Servico de E-Mail via Postx
Conguracao do Servidor Introducao
Nao se Esqueca do DNS (MX)
# arquivo dominio.com.br
@ IN MX 5 servidor
servidor IN A 200.200.200.100
Joaquim Quinteiro Uchoa Conguracao Segura do Servico de E-Mail via Postx
Conguracoes Basicas
Conguracao para Seguranca
Uso de Filtros Externos
Parte III
Conguracao do Postx
Joaquim Quinteiro Uchoa Conguracao Segura do Servico de E-Mail via Postx
Conguracoes Basicas
Conguracao para Seguranca
Uso de Filtros Externos
Contexto das Conguracoes
Conguracoes aqui apresentadas foram efetuadas utilizando-se
uma instalacao Fedora Core 3, tendo instalado, para os servicos
basicos de e-mail, alem do Postx, os pacotes:
cyrus-sasl (para autenticacao SMTP)
dovecot (para servicos POP e IMAP)
squirrelmail (para Webmail)
Joaquim Quinteiro Uchoa Conguracao Segura do Servico de E-Mail via Postx
Conguracoes Basicas
Conguracao para Seguranca
Uso de Filtros Externos
Conguracoes Iniciais
Arquivo main.cf
myhostname = mail.dominio.com.br
mydomain = dominio.com.br
myorigin = $mydomain
#inet_interfaces = localhost
inet_interfaces = all
mydestination = $myhostname, localhost.$mydomain,
localhost, $mydomain
relay_domains = $mydestination
Joaquim Quinteiro Uchoa Conguracao Segura do Servico de E-Mail via Postx
Conguracoes Basicas
Conguracao para Seguranca
Uso de Filtros Externos
Observacoes Sobre Conguracao Inicial
Observacoes
Deve-se alterar o mydestination para os domnios (enderecos) de
e-mail do servidor.
O campo relay domains especica quais maquinas podem fazer
relay usando o Postx. No exemplo foi especicado relay local e
maquinas do domnio.
Joaquim Quinteiro Uchoa Conguracao Segura do Servico de E-Mail via Postx
Conguracoes Basicas
Conguracao para Seguranca
Uso de Filtros Externos
Conguracao SSL/TLS
Controle de Relay
Controle Nativo de SPAM
Certicados
Para que se obtenha trafego criptografado dos dados, e necessario
a criacao de chaves e certicados. Isso e feito para cada servico
envolvido (no caso: Postx, Dovecot e Apache).
Pode-se usar um unico par de certicado/chave para todos os
servicos, ou um para cada. Vantagens e desvantagens dependem
do contexto e estao ligados ao nome (DNS) associado ao servico.
Caso seja necessario criar mais que um par de certicado/chave,
este palestrista recomenda o uso dos scripts disponveis no arquivo
ssl.ca-0.1.tar.gz em http://www.openssl.org/contrib/.
Joaquim Quinteiro Uchoa Conguracao Segura do Servico de E-Mail via Postx
Conguracoes Basicas
Conguracao para Seguranca
Uso de Filtros Externos
Conguracao SSL/TLS
Controle de Relay
Controle Nativo de SPAM
Certicados
Para que se obtenha trafego criptografado dos dados, e necessario
a criacao de chaves e certicados. Isso e feito para cada servico
envolvido (no caso: Postx, Dovecot e Apache).
Pode-se usar um unico par de certicado/chave para todos os
servicos, ou um para cada. Vantagens e desvantagens dependem
do contexto e estao ligados ao nome (DNS) associado ao servico.
Caso seja necessario criar mais que um par de certicado/chave,
este palestrista recomenda o uso dos scripts disponveis no arquivo
ssl.ca-0.1.tar.gz em http://www.openssl.org/contrib/.
Joaquim Quinteiro Uchoa Conguracao Segura do Servico de E-Mail via Postx
Conguracoes Basicas
Conguracao para Seguranca
Uso de Filtros Externos
Conguracao SSL/TLS
Controle de Relay
Controle Nativo de SPAM
Certicados
Para que se obtenha trafego criptografado dos dados, e necessario
a criacao de chaves e certicados. Isso e feito para cada servico
envolvido (no caso: Postx, Dovecot e Apache).
Pode-se usar um unico par de certicado/chave para todos os
servicos, ou um para cada. Vantagens e desvantagens dependem
do contexto e estao ligados ao nome (DNS) associado ao servico.
Caso seja necessario criar mais que um par de certicado/chave,
este palestrista recomenda o uso dos scripts disponveis no arquivo
ssl.ca-0.1.tar.gz em http://www.openssl.org/contrib/.
Joaquim Quinteiro Uchoa Conguracao Segura do Servico de E-Mail via Postx
Conguracoes Basicas
Conguracao para Seguranca
Uso de Filtros Externos
Conguracao SSL/TLS
Controle de Relay
Controle Nativo de SPAM
Conguracoes
dovecot.conf
protocols = imap imaps pop3 pop3s
ssl_cert_file = /usr/share/ssl/certs/dovecot.pem
ssl_key_file = /usr/share/ssl/private/dovecot.pem
main.cf
smtpd_tls_cert_file = /etc/postfix/ssl/smtpd.crt
smtpd_tls_key_file = /etc/postfix/ssl/smtpd.key
smtpd_tls_auth_only = yes
smtpd_tls_CAfile = /etc/postfix/ssl/cacert.pem
smtpd_tls_received_header = yes
smtpd_use_tls = yes
smtp_use_tls = yes
smtp_tls_note_starttls_offer = yes
Joaquim Quinteiro Uchoa Conguracao Segura do Servico de E-Mail via Postx
Conguracoes Basicas
Conguracao para Seguranca
Uso de Filtros Externos
Conguracao SSL/TLS
Controle de Relay
Controle Nativo de SPAM
Conguracoes
dovecot.conf
protocols = imap imaps pop3 pop3s
ssl_cert_file = /usr/share/ssl/certs/dovecot.pem
ssl_key_file = /usr/share/ssl/private/dovecot.pem
main.cf
smtpd_tls_cert_file = /etc/postfix/ssl/smtpd.crt
smtpd_tls_key_file = /etc/postfix/ssl/smtpd.key
smtpd_tls_auth_only = yes
smtpd_tls_CAfile = /etc/postfix/ssl/cacert.pem
smtpd_tls_received_header = yes
smtpd_use_tls = yes
smtp_use_tls = yes
smtp_tls_note_starttls_offer = yes
Joaquim Quinteiro Uchoa Conguracao Segura do Servico de E-Mail via Postx
Conguracoes Basicas
Conguracao para Seguranca
Uso de Filtros Externos
Conguracao SSL/TLS
Controle de Relay
Controle Nativo de SPAM
Controle de Relay
Postx adota uma poltica moderada de controle de relay em sua
conguracao basica, repassando e-mails somente de clientes em
redes de conanca ou domnios congurados como destinos
autorizados de relay.
Para usuarios externos que preram nao utilizar Webmail, e ate
mesmo para usuarios locais, pode-se adotar autenticacao para
envio de mensagens.
Joaquim Quinteiro Uchoa Conguracao Segura do Servico de E-Mail via Postx
Conguracoes Basicas
Conguracao para Seguranca
Uso de Filtros Externos
Conguracao SSL/TLS
Controle de Relay
Controle Nativo de SPAM
SMTP Auth
smtpd_sasl_auth_enable = yes
smtpd_recipient_restrictions =
permit_sasl_authenticated,permit_mynetworks,
check_relay_domains
Joaquim Quinteiro Uchoa Conguracao Segura do Servico de E-Mail via Postx
Conguracoes Basicas
Conguracao para Seguranca
Uso de Filtros Externos
Conguracao SSL/TLS
Controle de Relay
Controle Nativo de SPAM
Acesso ao SMTPD
# Permite conexoes apenas de clientes autorizados
# Ver configuracao mais completa em proximos slides
smtpd_client_restrictions = permit_sasl_authenticated,
permit_mynetworks, reject
# Nao aceitar conexoes de maquinas que nao saibam
# o proprio nome
# CUIDADO: pode impedir recebimento de MTAs e
# servidores mal-configurados
smtpd_helo_restrictions = reject_unknown_hostname
# Nao aceite e-mail de dominios que nao existam
# CUIDADO: pode impedir recebimento de servicos com
# DNS mal-configurado ou recentes
smtpd_sender_restrictions = reject_unknown_sender_domain
Joaquim Quinteiro Uchoa Conguracao Segura do Servico de E-Mail via Postx
Conguracoes Basicas
Conguracao para Seguranca
Uso de Filtros Externos
Conguracao SSL/TLS
Controle de Relay
Controle Nativo de SPAM
Acesso ao SMTPD
main.cf
# Permite conexoes apenas de clientes autorizados
# Ver configuracao mais completa em proximo slide
smtpd_client_restrictions = permit_sasl_authenticated,
permit_mynetworks
check_client_access hash:/etc/postfix/access
/etc/postfix/access
# Tomar cuidado para nao recusar remetentes ou
# dominios legitimos!
divulque@spammer.com REJECT
spammer.com REJECT
divulgue@ REJECT
# executar "postmap /etc/postfix/access" apos alterar
Joaquim Quinteiro Uchoa Conguracao Segura do Servico de E-Mail via Postx
Conguracoes Basicas
Conguracao para Seguranca
Uso de Filtros Externos
Conguracao SSL/TLS
Controle de Relay
Controle Nativo de SPAM
Checagem de Corpo e Cabecalho - I
main.cf
# controle de cabecalho
header_checks = regexp:/etc/postfix/header_checks
# controle de corpo (util para anexos!)
body_checks = regexp:/etc/postfix/body_checks
# recusar servidores com relay aberto
maps_rbl_reject_code = 554
smtpd_client_restrictions = permit_sasl_authenticated,
permit_mynetworks,
check_client_access hash:/etc/postfix/access
reject_rbl_client relays.ordb.org
Joaquim Quinteiro Uchoa Conguracao Segura do Servico de E-Mail via Postx
Conguracoes Basicas
Conguracao para Seguranca
Uso de Filtros Externos
Conguracao SSL/TLS
Controle de Relay
Controle Nativo de SPAM
Checagem de Corpo e Cabecalho - II
header checks
/^Received:.*HostSpammer/ REJECT
/^to: *friend@public\.com/ REJECT
/^Received: +from +(porcupine\.org) +/ REJECT
/^Subject: .*Make money fast/ REJECT
/^X-Mailer: Microsoft Outlook Express/ REJECT
body checks
/www\.spammer\.dom/ REJECT
/trabalhe em casa.*renda extra/ REJECT
/filename=\".*\.(asd|chm|hlp|hta|js|ocx|pif).*\"/ REJECT
/filename=.*\.(asd|chm|hlp|hta|js|ocx|pif).*/ REJECT
/filename=.*\.(exe|bat|jar|asp|aspx|dll).*/ REJECT
/filename=\".*\.(exe|bat|jar|asp|aspx|dll).*\"/ REJECT
Joaquim Quinteiro Uchoa Conguracao Segura do Servico de E-Mail via Postx
Conguracoes Basicas
Conguracao para Seguranca
Uso de Filtros Externos
Usando content filter
O parametro content filter permite a especicacao de ltros
externos, que podem ser ferramentas de anti-vrus ou anti-spams.
content filter = smtp-amavis:[127.0.0.1]:10024
Exemplo de conguracao com Amavis/SpamAssassin/ClamAV:
Monograa Servidor de E-mail -
Postx/Amavist-new/SpamAssassin/ClamAV em
http://www.ginux.ufla.br/documentacao/monografias.html.
Joaquim Quinteiro Uchoa Conguracao Segura do Servico de E-Mail via Postx
Conclusoes
Comentarios Finais

E possvel ter uma solucao de qualidade e com seguranca para


e-mail usando apenas software livre
Congurar servicos de e-mail de forma segura e um desao
aos administradores de rede
O Postx e um MTA altamente exvel e permite varios
controles nos para controle de envio e recebimento de
mensagens, bem como evitar o recebimento de SPAMs e Vrus
Joaquim Quinteiro Uchoa Conguracao Segura do Servico de E-Mail via Postx
Conclusoes
Comentarios Finais

E possvel ter uma solucao de qualidade e com seguranca para


e-mail usando apenas software livre
Congurar servicos de e-mail de forma segura e um desao
aos administradores de rede
O Postx e um MTA altamente exvel e permite varios
controles nos para controle de envio e recebimento de
mensagens, bem como evitar o recebimento de SPAMs e Vrus
Joaquim Quinteiro Uchoa Conguracao Segura do Servico de E-Mail via Postx
Conclusoes
Comentarios Finais

E possvel ter uma solucao de qualidade e com seguranca para


e-mail usando apenas software livre
Congurar servicos de e-mail de forma segura e um desao
aos administradores de rede
O Postx e um MTA altamente exvel e permite varios
controles nos para controle de envio e recebimento de
mensagens, bem como evitar o recebimento de SPAMs e Vrus
Joaquim Quinteiro Uchoa Conguracao Segura do Servico de E-Mail via Postx