Postfix

  • November 2019
  • PDF

This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA


Overview

Download & View Postfix as PDF for free.

More details

  • Words: 3,974
  • Pages: 53
Estrutura da Apresenta¸c˜ ao

Configura¸c˜ao Segura do Servi¸co de E-Mail via Postfix Joaquim Quinteiro Uchˆoa [email protected] Curso de P´ os-Gradua¸c˜ ao “Lato Sensu” a Distˆ ancia, Via Internet, em Administra¸c˜ ao em Redes Linux – ARL http://arl.ginux.ufla.br/

ARL, 2005

Joaquim Quinteiro Uchˆ oa

Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix

Estrutura da Apresenta¸c˜ ao

Estrutura da Apresenta¸c˜ao I 1

Conceitos b´asicos E-Mail Protocolos A Mensagem

2

Postfix

3

Configura¸c˜ao do Servidor Introdu¸c˜ao

4

Configura¸c˜oes B´asicas

5

Configura¸c˜ao para Seguran¸ca Configura¸c˜ao SSL/TLS Controle de Relay Controle Nativo de SPAM

6

Uso de Filtros Externos Joaquim Quinteiro Uchˆ oa

Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix

Conceitos b´ asicos Postfix

Parte I O Postfix

Joaquim Quinteiro Uchˆ oa

Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix

Conceitos b´ asicos Postfix

E-Mail Protocolos A Mensagem

Coment´arios Iniciais

Atualmente, a utiliza¸c˜ao de correio eletrˆonico tornou-se praticamente necess´aria sob o ponto de vista de neg´ocios e social. A configura¸c˜ao de sistemas de correio eletrˆonico tornou-se uma tarefa quase que obrigat´oria por parte dos administradores de sistemas. ´ poss´ıvel obter uma solu¸c˜ao completa e de alta qualidade E para correio eletrˆonico, inclu´ındo recursos agregados (como webmail, cat´alogos de endere¸cos e listas de discuss˜ao) utilizando apenas software livre.

Joaquim Quinteiro Uchˆ oa

Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix

Conceitos b´ asicos Postfix

E-Mail Protocolos A Mensagem

Coment´arios Iniciais

Atualmente, a utiliza¸c˜ao de correio eletrˆonico tornou-se praticamente necess´aria sob o ponto de vista de neg´ocios e social. A configura¸c˜ao de sistemas de correio eletrˆonico tornou-se uma tarefa quase que obrigat´oria por parte dos administradores de sistemas. ´ poss´ıvel obter uma solu¸c˜ao completa e de alta qualidade E para correio eletrˆonico, inclu´ındo recursos agregados (como webmail, cat´alogos de endere¸cos e listas de discuss˜ao) utilizando apenas software livre.

Joaquim Quinteiro Uchˆ oa

Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix

Conceitos b´ asicos Postfix

E-Mail Protocolos A Mensagem

Coment´arios Iniciais

Atualmente, a utiliza¸c˜ao de correio eletrˆonico tornou-se praticamente necess´aria sob o ponto de vista de neg´ocios e social. A configura¸c˜ao de sistemas de correio eletrˆonico tornou-se uma tarefa quase que obrigat´oria por parte dos administradores de sistemas. ´ poss´ıvel obter uma solu¸c˜ao completa e de alta qualidade E para correio eletrˆonico, inclu´ındo recursos agregados (como webmail, cat´alogos de endere¸cos e listas de discuss˜ao) utilizando apenas software livre.

Joaquim Quinteiro Uchˆ oa

Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix

Conceitos b´ asicos Postfix

E-Mail Protocolos A Mensagem

Defini¸c˜oes Mailbox ´ um arquivo ou diret´orio cuja fun¸c˜ao ´e armazenar os e-mails E recebidos por um usu´ario. Em geral: arquivo com nome do login do usu´ario em /var/spool/mail. Mail User Agents (MUA) S˜ao aplica¸c˜oes diretamente ligadas aos usu´arios a fim de que esses possam manipular os seus e-mails (por exemplo, lˆe-los e escrevˆe-los). Mail Transfer Agents (MTA) Respons´avel por encaminhar as mensagens entre as m´aquinas. Realiza diversas fun¸c˜oes de endere¸camento de rede a fim de proporcionar a entrega correta e oferecer facilidades aos MUAs. Joaquim Quinteiro Uchˆ oa

Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix

Conceitos b´ asicos Postfix

E-Mail Protocolos A Mensagem

Protocolos - I Single Mail Transfer Protocol (SMTP) O protocolo utilizado para envio do e-mail do MUA ao MTA e entre os MTA consiste no SMTP (RFC 821) ou no Extended SMTP (ESMTP – RFCs 1869, 1870, 1891 e 1985). Multipurpose Internet Mail Extensions (MIME) Praticamente todos os e-mails s˜ao transmitidos via SMTP no formato MIME (RFC 2045). O protocolo b´asico de transmiss˜ao de e-mail da suporta apenas caracteres ASCII de 7-bit, o que limitaria a transmiss˜ao de e-mails que possuam apenas caracteres da lingua inglesa. MIME define mecanismos para enviar outros tipos de informa¸c˜ao no e-mail, como caracteres em outras linguas e conte´ udo bin´ario. Joaquim Quinteiro Uchˆ oa

Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix

Conceitos b´ asicos Postfix

E-Mail Protocolos A Mensagem

Protocolos - II Post Office Protocol (POP) Para a troca de mensagens entre o servidor e o cliente de e-mail geralmente ´e utilizado o protocolo POP (RFC 1939), Protocolo de ”Agˆencia”de Correio, que recebe este nome por agir como uma agˆencia de correios, guardando as mensagens dos usu´arios em caixas postais e aguardando que estes venham busc´a-las. A conex˜ao usando o protocolo POP ´e feita atrav´es do fornecimento de usu´ario e senha pelo MUA ao MTA. Internet Message Access Protocol (IMAP) Outro protocolo que pode ser utilizado leitura de mensagens ´e o IMAP (RFC 3501), que implementa al´em das funcionalidades fornecidas pelo POP muitos outros recursos. Entre outros, permite que um cliente de e-mail acesse mensagens remotas como se locais. Joaquim Quinteiro Uchˆ oa

Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix

Conceitos b´ asicos Postfix

E-Mail Protocolos A Mensagem

Meu Reino por Uma Figura

Joaquim Quinteiro Uchˆ oa

Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix

Conceitos b´ asicos Postfix

E-Mail Protocolos A Mensagem

A Mensagem de E-mail - I RFC2822: Internet Message Format Cabe¸calho (Header) - i From [email protected] Tue May 31 14:28:10 2005 Delivered-To: [email protected] Received: from server.dominio.com.br (200-200-200-70.core01.spo.ifx.net.br [200.200.200.70]) by mail.ginux.ufla.br (Postfix) with SMTP id B95CC5BDBC for <[email protected]>; Tue, 31 May 2005 14:28:09 -0300 (BRT) Received: (qmail 8408 invoked by uid 89); 31 May 2005 17:29:53 -0000 Received: from unknown (HELO ?192.168.0.179?) ([email protected]) by 0 with SMTP; 31 May 2005 17:29:53 -0000 Message-ID: <[email protected]>

Joaquim Quinteiro Uchˆ oa

Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix

Conceitos b´ asicos Postfix

E-Mail Protocolos A Mensagem

A Mensagem de E-mail - II

Cabe¸calho (Header) - ii Date: Tue, 31 May 2005 10:31:33 -0300 From: Sicrano da Silva <[email protected]> User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.7.7) Gecko/20050420 Debian/1.7.7-2 X-Accept-Language: en MIME-Version: 1.0 To: Joaquim Quinteiro Uchoa <[email protected]> Subject: Uma pergunta Content-Type: text/plain; charset=ISO-8859-1; format=flowed Content-Transfer-Encoding: 8bit Content-Length: 277 Status: RO

Joaquim Quinteiro Uchˆ oa

Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix

Conceitos b´ asicos Postfix

E-Mail Protocolos A Mensagem

A Mensagem de E-mail - III

Corpo cont´em a mensagem em si e anexos. Anexos --8323328-334187457-1046436776=:1494 Content-Type: TEXT/PLAIN; charset=US-ASCII; name="virusmortal.exe" Content-Transfer-Encoding: BASE64 Content-ID: <[email protected]> Content-Description: Content-Disposition: attachment; filename="virusmortal.exe" IyEvdXNyL2Jpbi9wZXJsDQoNCiMgUHJvZ3JhbWEgcGFyYSBsaW1wYXIgbG9n cyBkbyBYQ2hhdA0KIyAoQykgQnJ1bm8gZGUgT2xpdmVpcmEgU2NobmVpZGVy

Joaquim Quinteiro Uchˆ oa

Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix

Conceitos b´ asicos Postfix

Coment´arios sobre Postfix Postfix nasce a partir do VMailer, criado em 1997 por Wietse Zweitze Venema http://www.porcupine.org/wietse/, enquanto trabalhava para a IBM. Venema ´e tamb´em autor de: Coroner’s Toolkit, SATAN e TCP Wrapper. Vmailer foi criado como alternativa ao Sendmail. Em dezembro de 1998, IBM e Venema liberaram o c´odigo do VMailer, de onde assumiria o nome de Postfix. Postfix n˜ao ´e executado com usu´ario root, um programa mestre (master) gerencia processos para controlar entrada, sa´ıda e entrega local `a medida que ´e necess´ario.

Joaquim Quinteiro Uchˆ oa

Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix

Conceitos b´ asicos Postfix

Coment´arios sobre Postfix Postfix nasce a partir do VMailer, criado em 1997 por Wietse Zweitze Venema http://www.porcupine.org/wietse/, enquanto trabalhava para a IBM. Venema ´e tamb´em autor de: Coroner’s Toolkit, SATAN e TCP Wrapper. Vmailer foi criado como alternativa ao Sendmail. Em dezembro de 1998, IBM e Venema liberaram o c´odigo do VMailer, de onde assumiria o nome de Postfix. Postfix n˜ao ´e executado com usu´ario root, um programa mestre (master) gerencia processos para controlar entrada, sa´ıda e entrega local `a medida que ´e necess´ario.

Joaquim Quinteiro Uchˆ oa

Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix

Conceitos b´ asicos Postfix

Processos Ativos

Usu´ario postfix postfix:x:89:89::/var/spool/postfix:/sbin/nologin

Alguns Processos root postfix postfix postfix postfix postfix postfix postfix

3581 3591 7614 7622 7816 7842 7857 7981

/usr/libexec/postfix/master qmgr -l -t fifo -u cleanup -z -t unix -u smtp -t unix -u local -t unix bounce -z -n defer -t unix -u pickup -l -t fifo -u smtp -t unix -u

Joaquim Quinteiro Uchˆ oa

Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix

Conceitos b´ asicos Postfix

Mais uma Figura: Arquitetura do Postfix

Joaquim Quinteiro Uchˆ oa

Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix

Conceitos b´ asicos Postfix

Postfix ´e a Melhor Escolha? Existem v´arias alternativas: Courier-MTA, Exim, Sendmail e Qmail, para citar alguns. V´arias compara¸c˜oes apontam Postfix e Qmail como os mais seguros e de melhor desempenho. Postfix foi criado como alternativa ao Sendmail e possui vantagens significativas sobre o mesmo (como seguran¸ca e facilidade de configura¸c˜ao), oferecendo alta compatibilidade e praticamente a mesma funcionalidade. Sobre o Qmail tem como vantagem uma licen¸ca de c´odigo aberto, o que atrai mais desenvolvedores. Qmail n˜ao possui vers˜ao nova desde antes de novembro de 2003. Este palestrista especula que hoje Postfix possui mais usu´arios que Qmail. Joaquim Quinteiro Uchˆ oa

Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix

Conceitos b´ asicos Postfix

Postfix ´e a Melhor Escolha? Existem v´arias alternativas: Courier-MTA, Exim, Sendmail e Qmail, para citar alguns. V´arias compara¸c˜oes apontam Postfix e Qmail como os mais seguros e de melhor desempenho. Postfix foi criado como alternativa ao Sendmail e possui vantagens significativas sobre o mesmo (como seguran¸ca e facilidade de configura¸c˜ao), oferecendo alta compatibilidade e praticamente a mesma funcionalidade. Sobre o Qmail tem como vantagem uma licen¸ca de c´odigo aberto, o que atrai mais desenvolvedores. Qmail n˜ao possui vers˜ao nova desde antes de novembro de 2003. Este palestrista especula que hoje Postfix possui mais usu´arios que Qmail. Joaquim Quinteiro Uchˆ oa

Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix

Conceitos b´ asicos Postfix

Postfix ´e a Melhor Escolha? Existem v´arias alternativas: Courier-MTA, Exim, Sendmail e Qmail, para citar alguns. V´arias compara¸c˜oes apontam Postfix e Qmail como os mais seguros e de melhor desempenho. Postfix foi criado como alternativa ao Sendmail e possui vantagens significativas sobre o mesmo (como seguran¸ca e facilidade de configura¸c˜ao), oferecendo alta compatibilidade e praticamente a mesma funcionalidade. Sobre o Qmail tem como vantagem uma licen¸ca de c´odigo aberto, o que atrai mais desenvolvedores. Qmail n˜ao possui vers˜ao nova desde antes de novembro de 2003. Este palestrista especula que hoje Postfix possui mais usu´arios que Qmail. Joaquim Quinteiro Uchˆ oa

Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix

Configura¸c˜ ao do Servidor

Parte II Configura¸c˜ao do Servidor

Joaquim Quinteiro Uchˆ oa

Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix

Configura¸c˜ ao do Servidor

Introdu¸c˜ ao

Coment´arios Iniciais

N˜ao adianta configurar o Postfix com o m´aximo de seguran¸ca, caso o servidor e o ambiente computacional seja inseguro.

N˜ao ´e objetivo da palestra ensinar a configurar servi¸cos de forma segura. Palestra ir´a se ater aos elementos essenciais.

Joaquim Quinteiro Uchˆ oa

Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix

Configura¸c˜ ao do Servidor

Introdu¸c˜ ao

Coment´arios Iniciais

N˜ao adianta configurar o Postfix com o m´aximo de seguran¸ca, caso o servidor e o ambiente computacional seja inseguro.

N˜ao ´e objetivo da palestra ensinar a configurar servi¸cos de forma segura. Palestra ir´a se ater aos elementos essenciais.

Joaquim Quinteiro Uchˆ oa

Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix

Configura¸c˜ ao do Servidor

Introdu¸c˜ ao

Coment´arios Iniciais

N˜ao adianta configurar o Postfix com o m´aximo de seguran¸ca, caso o servidor e o ambiente computacional seja inseguro.

N˜ao ´e objetivo da palestra ensinar a configurar servi¸cos de forma segura. Palestra ir´a se ater aos elementos essenciais.

Joaquim Quinteiro Uchˆ oa

Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix

Configura¸c˜ ao do Servidor

Introdu¸c˜ ao

Estrat´egias para Seguran¸ca

Seguran¸ca × Conforto Pol´ıtica do menor privil´egio Elementos para Seguran¸ca: Pol´ıtica de Seguran¸ca e Pol´ıtica de Uso Seguran¸ca de dados armazenados e em trˆansito Seguran¸ca de servi¸cos ativos Seguran¸ca por controle de acesso Preven¸c˜ao e detec¸c˜ao de invas˜ oes

Indica¸c˜ao de Leitura: http://www.nbso.nic.br/docs/

Joaquim Quinteiro Uchˆ oa

Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix

Configura¸c˜ ao do Servidor

Introdu¸c˜ ao

Estrat´egias para Seguran¸ca

Seguran¸ca × Conforto Pol´ıtica do menor privil´egio Elementos para Seguran¸ca: Pol´ıtica de Seguran¸ca e Pol´ıtica de Uso Seguran¸ca de dados armazenados e em trˆansito Seguran¸ca de servi¸cos ativos Seguran¸ca por controle de acesso Preven¸c˜ao e detec¸c˜ao de invas˜ oes

Indica¸c˜ao de Leitura: http://www.nbso.nic.br/docs/

Joaquim Quinteiro Uchˆ oa

Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix

Configura¸c˜ ao do Servidor

Introdu¸c˜ ao

Estrat´egias para Seguran¸ca

Seguran¸ca × Conforto Pol´ıtica do menor privil´egio Elementos para Seguran¸ca: Pol´ıtica de Seguran¸ca e Pol´ıtica de Uso Seguran¸ca de dados armazenados e em trˆansito Seguran¸ca de servi¸cos ativos Seguran¸ca por controle de acesso Preven¸c˜ao e detec¸c˜ao de invas˜ oes

Indica¸c˜ao de Leitura: http://www.nbso.nic.br/docs/

Joaquim Quinteiro Uchˆ oa

Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix

Configura¸c˜ ao do Servidor

Introdu¸c˜ ao

Estrat´egias para Seguran¸ca

Seguran¸ca × Conforto Pol´ıtica do menor privil´egio Elementos para Seguran¸ca: Pol´ıtica de Seguran¸ca e Pol´ıtica de Uso Seguran¸ca de dados armazenados e em trˆansito Seguran¸ca de servi¸cos ativos Seguran¸ca por controle de acesso Preven¸c˜ao e detec¸c˜ao de invas˜ oes

Indica¸c˜ao de Leitura: http://www.nbso.nic.br/docs/

Joaquim Quinteiro Uchˆ oa

Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix

Configura¸c˜ ao do Servidor

Introdu¸c˜ ao

Estrat´egias para Seguran¸ca

Seguran¸ca × Conforto Pol´ıtica do menor privil´egio Elementos para Seguran¸ca: Pol´ıtica de Seguran¸ca e Pol´ıtica de Uso Seguran¸ca de dados armazenados e em trˆansito Seguran¸ca de servi¸cos ativos Seguran¸ca por controle de acesso Preven¸c˜ao e detec¸c˜ao de invas˜ oes

Indica¸c˜ao de Leitura: http://www.nbso.nic.br/docs/

Joaquim Quinteiro Uchˆ oa

Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix

Configura¸c˜ ao do Servidor

Introdu¸c˜ ao

Estrat´egias para Seguran¸ca

Seguran¸ca × Conforto Pol´ıtica do menor privil´egio Elementos para Seguran¸ca: Pol´ıtica de Seguran¸ca e Pol´ıtica de Uso Seguran¸ca de dados armazenados e em trˆansito Seguran¸ca de servi¸cos ativos Seguran¸ca por controle de acesso Preven¸c˜ao e detec¸c˜ao de invas˜ oes

Indica¸c˜ao de Leitura: http://www.nbso.nic.br/docs/

Joaquim Quinteiro Uchˆ oa

Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix

Configura¸c˜ ao do Servidor

Introdu¸c˜ ao

Estrat´egias para Seguran¸ca

Seguran¸ca × Conforto Pol´ıtica do menor privil´egio Elementos para Seguran¸ca: Pol´ıtica de Seguran¸ca e Pol´ıtica de Uso Seguran¸ca de dados armazenados e em trˆansito Seguran¸ca de servi¸cos ativos Seguran¸ca por controle de acesso Preven¸c˜ao e detec¸c˜ao de invas˜ oes

Indica¸c˜ao de Leitura: http://www.nbso.nic.br/docs/

Joaquim Quinteiro Uchˆ oa

Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix

Configura¸c˜ ao do Servidor

Introdu¸c˜ ao

Estrat´egias para Seguran¸ca

Seguran¸ca × Conforto Pol´ıtica do menor privil´egio Elementos para Seguran¸ca: Pol´ıtica de Seguran¸ca e Pol´ıtica de Uso Seguran¸ca de dados armazenados e em trˆansito Seguran¸ca de servi¸cos ativos Seguran¸ca por controle de acesso Preven¸c˜ao e detec¸c˜ao de invas˜ oes

Indica¸c˜ao de Leitura: http://www.nbso.nic.br/docs/

Joaquim Quinteiro Uchˆ oa

Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix

Configura¸c˜ ao do Servidor

Introdu¸c˜ ao

Estrat´egias para Seguran¸ca

Seguran¸ca × Conforto Pol´ıtica do menor privil´egio Elementos para Seguran¸ca: Pol´ıtica de Seguran¸ca e Pol´ıtica de Uso Seguran¸ca de dados armazenados e em trˆansito Seguran¸ca de servi¸cos ativos Seguran¸ca por controle de acesso Preven¸c˜ao e detec¸c˜ao de invas˜ oes

Indica¸c˜ao de Leitura: http://www.nbso.nic.br/docs/

Joaquim Quinteiro Uchˆ oa

Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix

Configura¸c˜ ao do Servidor

Introdu¸c˜ ao

N˜ao se Esque¸ca do DNS (MX)

# arquivo dominio.com.br @ IN MX servidor IN A

Joaquim Quinteiro Uchˆ oa

5 servidor 200.200.200.100

Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix

Configura¸c˜ oes B´ asicas Configura¸c˜ ao para Seguran¸ca Uso de Filtros Externos

Parte III Configura¸c˜ao do Postfix

Joaquim Quinteiro Uchˆ oa

Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix

Configura¸c˜ oes B´ asicas Configura¸c˜ ao para Seguran¸ca Uso de Filtros Externos

Contexto das Configura¸c˜oes

Configura¸c˜oes aqui apresentadas foram efetuadas utilizando-se uma instala¸c˜ao Fedora Core 3, tendo instalado, para os servi¸cos b´asicos de e-mail, al´em do Postfix, os pacotes: cyrus-sasl (para autentica¸c˜ao SMTP) dovecot (para servi¸cos POP e IMAP) squirrelmail (para Webmail)

Joaquim Quinteiro Uchˆ oa

Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix

Configura¸c˜ oes B´ asicas Configura¸c˜ ao para Seguran¸ca Uso de Filtros Externos

Configura¸c˜oes Iniciais

Arquivo main.cf myhostname = mail.dominio.com.br mydomain = dominio.com.br myorigin = $mydomain #inet_interfaces = localhost inet_interfaces = all mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain relay_domains = $mydestination

Joaquim Quinteiro Uchˆ oa

Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix

Configura¸c˜ oes B´ asicas Configura¸c˜ ao para Seguran¸ca Uso de Filtros Externos

Observa¸c˜oes Sobre Configura¸c˜ao Inicial

Observa¸c˜oes Deve-se alterar o mydestination para os dom´ınios (endere¸cos) de e-mail do servidor. O campo relay domains especifica quais m´aquinas podem fazer relay usando o Postfix. No exemplo foi especificado relay local e m´aquinas do dom´ınio.

Joaquim Quinteiro Uchˆ oa

Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix

Configura¸c˜ oes B´ asicas Configura¸c˜ ao para Seguran¸ca Uso de Filtros Externos

Configura¸c˜ ao SSL/TLS Controle de Relay Controle Nativo de SPAM

Certificados Para que se obtenha tr´afego criptografado dos dados, ´e necess´ario a cria¸c˜ao de chaves e certificados. Isso ´e feito para cada servi¸co envolvido (no caso: Postfix, Dovecot e Apache). Pode-se usar um u ´nico par de certificado/chave para todos os servi¸cos, ou um para cada. Vantagens e desvantagens dependem do contexto e est˜ao ligados ao nome (DNS) associado ao servi¸co. Caso seja necess´ario criar mais que um par de certificado/chave, este palestrista recomenda o uso dos scripts dispon´ıveis no arquivo ssl.ca-0.1.tar.gz em http://www.openssl.org/contrib/.

Joaquim Quinteiro Uchˆ oa

Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix

Configura¸c˜ oes B´ asicas Configura¸c˜ ao para Seguran¸ca Uso de Filtros Externos

Configura¸c˜ ao SSL/TLS Controle de Relay Controle Nativo de SPAM

Certificados Para que se obtenha tr´afego criptografado dos dados, ´e necess´ario a cria¸c˜ao de chaves e certificados. Isso ´e feito para cada servi¸co envolvido (no caso: Postfix, Dovecot e Apache). Pode-se usar um u ´nico par de certificado/chave para todos os servi¸cos, ou um para cada. Vantagens e desvantagens dependem do contexto e est˜ao ligados ao nome (DNS) associado ao servi¸co. Caso seja necess´ario criar mais que um par de certificado/chave, este palestrista recomenda o uso dos scripts dispon´ıveis no arquivo ssl.ca-0.1.tar.gz em http://www.openssl.org/contrib/.

Joaquim Quinteiro Uchˆ oa

Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix

Configura¸c˜ oes B´ asicas Configura¸c˜ ao para Seguran¸ca Uso de Filtros Externos

Configura¸c˜ ao SSL/TLS Controle de Relay Controle Nativo de SPAM

Certificados Para que se obtenha tr´afego criptografado dos dados, ´e necess´ario a cria¸c˜ao de chaves e certificados. Isso ´e feito para cada servi¸co envolvido (no caso: Postfix, Dovecot e Apache). Pode-se usar um u ´nico par de certificado/chave para todos os servi¸cos, ou um para cada. Vantagens e desvantagens dependem do contexto e est˜ao ligados ao nome (DNS) associado ao servi¸co. Caso seja necess´ario criar mais que um par de certificado/chave, este palestrista recomenda o uso dos scripts dispon´ıveis no arquivo ssl.ca-0.1.tar.gz em http://www.openssl.org/contrib/.

Joaquim Quinteiro Uchˆ oa

Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix

Configura¸c˜ oes B´ asicas Configura¸c˜ ao para Seguran¸ca Uso de Filtros Externos

Configura¸c˜ ao SSL/TLS Controle de Relay Controle Nativo de SPAM

Configura¸c˜oes dovecot.conf protocols = imap imaps pop3 pop3s ssl_cert_file = /usr/share/ssl/certs/dovecot.pem ssl_key_file = /usr/share/ssl/private/dovecot.pem

main.cf smtpd_tls_cert_file = /etc/postfix/ssl/smtpd.crt smtpd_tls_key_file = /etc/postfix/ssl/smtpd.key smtpd_tls_auth_only = yes smtpd_tls_CAfile = /etc/postfix/ssl/cacert.pem smtpd_tls_received_header = yes smtpd_use_tls = yes smtp_use_tls = yes smtp_tls_note_starttls_offer = yes

Joaquim Quinteiro Uchˆ oa

Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix

Configura¸c˜ oes B´ asicas Configura¸c˜ ao para Seguran¸ca Uso de Filtros Externos

Configura¸c˜ ao SSL/TLS Controle de Relay Controle Nativo de SPAM

Configura¸c˜oes dovecot.conf protocols = imap imaps pop3 pop3s ssl_cert_file = /usr/share/ssl/certs/dovecot.pem ssl_key_file = /usr/share/ssl/private/dovecot.pem

main.cf smtpd_tls_cert_file = /etc/postfix/ssl/smtpd.crt smtpd_tls_key_file = /etc/postfix/ssl/smtpd.key smtpd_tls_auth_only = yes smtpd_tls_CAfile = /etc/postfix/ssl/cacert.pem smtpd_tls_received_header = yes smtpd_use_tls = yes smtp_use_tls = yes smtp_tls_note_starttls_offer = yes

Joaquim Quinteiro Uchˆ oa

Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix

Configura¸c˜ oes B´ asicas Configura¸c˜ ao para Seguran¸ca Uso de Filtros Externos

Configura¸c˜ ao SSL/TLS Controle de Relay Controle Nativo de SPAM

Controle de Relay

Postfix adota uma pol´ıtica moderada de controle de relay em sua configura¸c˜ao b´asica, repassando e-mails somente de clientes em redes de confian¸ca ou dom´ınios configurados como destinos autorizados de relay. Para usu´arios externos que prefiram n˜ao utilizar Webmail, e at´e mesmo para usu´arios locais, pode-se adotar autentica¸c˜ao para envio de mensagens.

Joaquim Quinteiro Uchˆ oa

Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix

Configura¸c˜ oes B´ asicas Configura¸c˜ ao para Seguran¸ca Uso de Filtros Externos

Configura¸c˜ ao SSL/TLS Controle de Relay Controle Nativo de SPAM

SMTP Auth

smtpd_sasl_auth_enable = yes smtpd_recipient_restrictions = permit_sasl_authenticated,permit_mynetworks, check_relay_domains

Joaquim Quinteiro Uchˆ oa

Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix

Configura¸c˜ oes B´ asicas Configura¸c˜ ao para Seguran¸ca Uso de Filtros Externos

Configura¸c˜ ao SSL/TLS Controle de Relay Controle Nativo de SPAM

Acesso ao SMTPD # Permite conexoes apenas de clientes autorizados # Ver configuracao mais completa em proximos slides smtpd_client_restrictions = permit_sasl_authenticated, permit_mynetworks, reject # Nao aceitar conexoes de maquinas que nao saibam # o proprio nome # CUIDADO: pode impedir recebimento de MTAs e # servidores mal-configurados smtpd_helo_restrictions = reject_unknown_hostname # Nao aceite e-mail de dominios que nao existam # CUIDADO: pode impedir recebimento de servicos com # DNS mal-configurado ou recentes smtpd_sender_restrictions = reject_unknown_sender_domain Joaquim Quinteiro Uchˆ oa

Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix

Configura¸c˜ oes B´ asicas Configura¸c˜ ao para Seguran¸ca Uso de Filtros Externos

Configura¸c˜ ao SSL/TLS Controle de Relay Controle Nativo de SPAM

Acesso ao SMTPD main.cf # Permite conexoes apenas de clientes autorizados # Ver configuracao mais completa em proximo slide smtpd_client_restrictions = permit_sasl_authenticated, permit_mynetworks check_client_access hash:/etc/postfix/access /etc/postfix/access # Tomar cuidado para nao recusar remetentes ou # dominios legitimos! [email protected] REJECT spammer.com REJECT divulgue@ REJECT # executar "postmap /etc/postfix/access" apos alterar Joaquim Quinteiro Uchˆ oa

Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix

Configura¸c˜ oes B´ asicas Configura¸c˜ ao para Seguran¸ca Uso de Filtros Externos

Configura¸c˜ ao SSL/TLS Controle de Relay Controle Nativo de SPAM

Checagem de Corpo e Cabe¸calho - I main.cf # controle de cabecalho header_checks = regexp:/etc/postfix/header_checks # controle de corpo (util para anexos!) body_checks = regexp:/etc/postfix/body_checks # recusar servidores com relay aberto maps_rbl_reject_code = 554 smtpd_client_restrictions = permit_sasl_authenticated, permit_mynetworks, check_client_access hash:/etc/postfix/access reject_rbl_client relays.ordb.org Joaquim Quinteiro Uchˆ oa

Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix

Configura¸c˜ oes B´ asicas Configura¸c˜ ao para Seguran¸ca Uso de Filtros Externos

Configura¸c˜ ao SSL/TLS Controle de Relay Controle Nativo de SPAM

Checagem de Corpo e Cabe¸calho - II header checks /^Received:.*HostSpammer/ REJECT /^to: *friend@public\.com/ REJECT /^Received: +from +(porcupine\.org) +/ REJECT /^Subject: .*Make money fast/ REJECT /^X-Mailer: Microsoft Outlook Express/ REJECT

body checks /www\.spammer\.dom/ REJECT /trabalhe em casa.*renda extra/ REJECT /filename=\".*\.(asd|chm|hlp|hta|js|ocx|pif).*\"/ REJECT /filename=.*\.(asd|chm|hlp|hta|js|ocx|pif).*/ REJECT /filename=.*\.(exe|bat|jar|asp|aspx|dll).*/ REJECT /filename=\".*\.(exe|bat|jar|asp|aspx|dll).*\"/ REJECT Joaquim Quinteiro Uchˆ oa

Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix

Configura¸c˜ oes B´ asicas Configura¸c˜ ao para Seguran¸ca Uso de Filtros Externos

Usando content filter

O parˆametro content filter permite a especifica¸c˜ao de filtros externos, que podem ser ferramentas de anti-v´ırus ou anti-spams. content filter = smtp-amavis:[127.0.0.1]:10024 Exemplo de configura¸c˜ao com Amavis/SpamAssassin/ClamAV: Monografia “Servidor de E-mail Postfix/Amavist-new/SpamAssassin/ClamAV” em http://www.ginux.ufla.br/documentacao/monografias.html.

Joaquim Quinteiro Uchˆ oa

Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix

Conclus˜ oes

Coment´arios Finais

´ poss´ıvel ter uma solu¸c˜ao de qualidade e com seguran¸ca para E e-mail usando apenas software livre Configurar servi¸cos de e-mail de forma segura ´e um desafio aos administradores de rede O Postfix ´e um MTA altamente flex´ıvel e permite v´arios controles finos para controle de envio e recebimento de mensagens, bem como evitar o recebimento de SPAMs e V´ırus

Joaquim Quinteiro Uchˆ oa

Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix

Conclus˜ oes

Coment´arios Finais

´ poss´ıvel ter uma solu¸c˜ao de qualidade e com seguran¸ca para E e-mail usando apenas software livre Configurar servi¸cos de e-mail de forma segura ´e um desafio aos administradores de rede O Postfix ´e um MTA altamente flex´ıvel e permite v´arios controles finos para controle de envio e recebimento de mensagens, bem como evitar o recebimento de SPAMs e V´ırus

Joaquim Quinteiro Uchˆ oa

Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix

Conclus˜ oes

Coment´arios Finais

´ poss´ıvel ter uma solu¸c˜ao de qualidade e com seguran¸ca para E e-mail usando apenas software livre Configurar servi¸cos de e-mail de forma segura ´e um desafio aos administradores de rede O Postfix ´e um MTA altamente flex´ıvel e permite v´arios controles finos para controle de envio e recebimento de mensagens, bem como evitar o recebimento de SPAMs e V´ırus

Joaquim Quinteiro Uchˆ oa

Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix

Related Documents

Postfix
July 2020 8
Postfix
November 2019 18
Postfix
November 2019 28
Cyrus Postfix
November 2019 30
Postfix-installation
July 2020 5
Postfix En Debian
December 2019 10