MTA Postfix

Habilitar a autenticação no servidor de e-mail permite que os

usuários enviem mensagens utilizando seu MTA sem ter que passar
o endereço da rede na diretiva mynetworks no arquivo
"/etc/postfx/main.cf".

Os endereços contidos na diretica mynetworks podem facilmente

ser alvo de spammers, para coibir esse tipo de ação utilizaremos o
SASL (Simple Authentication and Security Layer ou Camada de
Simples Autenticação e Segurança).

Instale os pacotes abaixo para confgurarmos o SASL

# apt install libsasl2-2 sasl2-bin libsasl2-modules libdb4 .6
 MTA Postfix
Renomeie o arquivo original de confguração
# mv /etc/default/saslauthd /etc/default/saslauthd.bkp

Crie o diretório de spool para o serviço

# mkdir -p /var/spool/postfx/var/run/saslauthd

Crie o arquivo saslauthd

# vim /etc/default/saslauthd

START=yes
MECHANISMS="pam"
 MTA Postfix
MECH_OPTIONS=" "
THREADS=5
OPTIONS="-c -m /var/spool/postfx/var/run/saslauthd"

Grave as alterações e feche o arquivo e crie o arquivo smtpd.conf

# vim /etc/postfx/sasl/smtpd.conf
pwcheck_method : saslauthd
mech_list : plain login

Reinicialize o saslauthd
# systemctl restart saslauthd
 MTA Postfix
Adicione o usuário postifx ao grupo sasl e reinicie o Postfx
# adduser postfx sasl
# systemctl restart postfx

Cheque o status dos serviços

# systemctl status saslauthd
# systemctl status postfx

Transport Layer Security (TLS) é uma camada de segurança para o

sistema de autenticação. O sistema de autenticação por padrão é
executado em texto puro, sem criptografa, fato que torna todo
processo de autenticação um risco a segurança do ambiente.
 MTA Postfix
Será implementado o TLS para criptografar o tráfego de dados de
autenticação no MTA ASF, para isso você criará tanto a
infraestrutura de diretórios como também estará responsável pela
confecção dos certifcados digitais autoassinados para
implementação do recurso.

Crie o diretório onde os certifcdos serão armazenados

# mkdir -p /etc/postfx/ssl

Entre no diretório e crie a chave criptográfca

# cd /etc/postfx/ssl
# openssl genrsa -des3 -rand /etc/hosts -out smtpd.key 1024
 MTA Postfix
Entre com uma senha fácil de lembrar para a utilização da chave,
considerarei a senha como 'password'. Agora crie o certifcado de
autenticidade para acessos

# openssl req -new -key smtpd.key -out smtpd.csr

Entre com a senha da chave e preencha as informações

Country Name (2 letter code) [AU]: BR

State or Province Name (full name) [Some-State]: RiodeJaneiro
Locality Name (eg,city) [ ]: RiodeJaneiro
ocality Name (eg,city) [ ]: RJ
Organization Name (eg,company) [Internet Widgits Pty Ltd]: ASF
 MTA Postfix
Organizational Unit Name (eg,section) [ ]: SI
Common Name (eg,YOUR name) [ ]: mail.asf.com
Email Address [ ]: analista@asf.com
Please enter the following ’ extra ’ attributes to be sent with your
certifcate request
A challenge password [ ]: (Apenas tecle Enter)
An optional company name [ ]: (Apenas tecle Enter)

Assine o certifcado digital

# openssl x509 -req -days 365 -in smtpd.csr -signkey smtpd.key -out
smtpd.crt
 MTA Postfix
Para facilitar a utilização do serviço, crie uma chave decriptada
# openssl rsa -in smtpd.key -out smtpd.key.nocrypt

Renomeie a chave criptografada

# mv smtpd.key smtpd.key.orig

Renomeie a chave decriptada

# mv smtpd.key.nocrypt smtpd.key

Gere o certifcado da AC através de seu arquivo .pem

# openssl req -new -x509 -extensions v3_ca -keyout cakey.pem -out
cacert.pem -days 365
 MTA Postfix
Utilize uma senha simples de lembrar, manterei o padrão password,
preencha os dados conforme abaixo
Country Name (2 letter code ) [AU]: BR
State or Province Name (full name) [Some-State]: RiodeJaneiro
Locality Name (eg,city) [ ]: RJ
Organization Name (eg,company) [Internet Widgits Pty Ltd]: ASF
Organizational Unit Name (eg,section) [ ]: SI
Common Name (eg,YOUR name) [ ]: mail.asf.com
Email Address : analista@asf.com
Instale os pacotes do MDA courier
# apt install courier-imap-ssl courier-pop-ssl courier-ssl
 MTA Postfix
Após a instalação reincie o postfx
# systemctl restart postfx

Inicie e habilite os novos serviços para o startup do sistema

# systemctl start courier-imap-ssl
# systemctl enable courier-imap-ssl
# systemctl start courier-pop-ssl
# systemctl enable courier-pop-ssl

Verifque se as portas 993 e 995 estão em estado LISTEN

# ss -nltp | egrep '993|995'
 MTA Postfix
No node cliente Interno instale o MUA Thunderbird, confgure e
autentique a conta do usuário analista
# apt-get install thunderbird

Na confguração do MUA escolha a opção Ignorar e usar meu

-email existente, entre com as informações da conta conforme
abaixo

Seu nome: Analista

Endereço de e-mail: analista@asf.com
Senha: ***************
MTA Postfix
MTA Postfix
 MTA Postfix
Aceite o certifcado e prossiga com a confguração.
MTA Postfix
 MTA Postfix
Após aceitar o certifcado o MUA autenticará sua conta sem
criptografa, então, para confgurar e utilizar o SSL/TLS acesse a
opção Editar na barra de menus e escolha confgurações de
conta
 MTA Postfix
Na opção Servidor defna a Segurança da conexão como
SSL/TLS, clique em OK e aceite o novo certifcado para utilizar o
serviço com criptografa.
MTA Postfix
 MTA Postfix
Após autenticar no e-mail, envie uma mensagem para o próprio e-
mail do analista para testar o funcionamento do serviço.
 MTA Postfix
Verifque a mensagem, se ela chegar em sua caixa de entrada o
serviço esta funcional.
 MTA Postfix
Agora acesse o o node gateway e defna as regras do script de
frewall para permitir o acesso externo ao serviço.
# vim /sbin/frewall.sh
# 5 - Habilita o FORWARD da LAN para MTAs
iptables -A FORWARD -p tcp -s $LAN -m multiport --dports
25,110,143,587,993,995 -j ACCEPT

# 8 - Habilita o FORWARD para acesso ao MTA

iptables -A FORWARD -p tcp -i enp0s9 -s $LNK -d $DTC -m
multiport --dports 25,110,143,587,993,995 -j ACCEPT
 MTA Postfix
# 5 - Habilita acesso do clente Externo ao MTA
for MAIL in 25 110 143 587 993 995
do
iptables -t nat -A PREROUTING -p tcp -d $FWL2 --dport $MAIL
-j DNAT --to-destination $DTC:$MAIL
done

Após estas alterações execute o script de frewall

# frewall.sh

Logue na maquina Cliente Externo e siga os passos dos próximos

slides para confgurar o cliente de e-mail (MUA) Thunderbird e
acessar a conta de e-mail do usuário analista.
 MTA Postfix
Para não ter problemas com a instalação do Thunderbird altere o
arquivo /etc/resolv.conf comentando todas as linhas relacionadas ao
dominio ASF e a seus DNS’s
# chattr -i /etc/resolv.conf
# vim /etc/resolv.conf
# domain asf.com
# search asf.com
# nameserver 200.50.100.10
# nameserver 200.50.100.20
nameserver 8.8.8.8
 MTA Postfix
Atualize o sistema e instale o Thunderbird
# yum check-update && yum update
# yum install thunderbird
Após instalar o Thunderbird, restaure as confgurações de DNS
# vim /etc/resolv.conf
domain asf.com
search asf.com
nameserver 200.50.100.10
nameserver 200.50.100.20
nameserver 8.8.8.8
 MTA Postfix
Aplique novamente a imutabilidade sobre o arquivo
# chattr -i /etc/resolv.conf

Execute o Thunderbird e confgure a conta do analista manualmente

 MTA Postfix
Após aceitar o certifcado o MUA autenticará sua conta sem
criptografa, então, para confgurar e utilizar o SSL/TLS acesse a
opção Editar na barra de menus e escolha confgurações de
conta
 MTA Postfix
Na opção Servidor defna a Segurança da conexão como
SSL/TLS, clique em OK e aceite o novo certifcado para utilizar o
serviço com criptografa.
MTA Postfix
 MTA Postfix
Verifque a mensagem, contida em sua caixa de entrada, execute
testes de envio para o próprio e-mail do analista e teste o envio para
alguma conta do gmail, se seu provedor não bloquear a saída de
pacotes oriundos da porta 25/TCP você deve receber a mensagem
na pasta Spam.