Estrutura da Apresenta¸c˜ ao
Configura¸c˜ao Segura do Servi¸co de E-Mail via Postfix Joaquim Quinteiro Uchˆoa
[email protected] Curso de P´ os-Gradua¸c˜ ao “Lato Sensu” a Distˆ ancia, Via Internet, em Administra¸c˜ ao em Redes Linux – ARL http://arl.ginux.ufla.br/
ARL, 2005
Joaquim Quinteiro Uchˆ oa
Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix
Estrutura da Apresenta¸c˜ ao
Estrutura da Apresenta¸c˜ao I 1
Conceitos b´asicos E-Mail Protocolos A Mensagem
2
Postfix
3
Configura¸c˜ao do Servidor Introdu¸c˜ao
4
Configura¸c˜oes B´asicas
5
Configura¸c˜ao para Seguran¸ca Configura¸c˜ao SSL/TLS Controle de Relay Controle Nativo de SPAM
6
Uso de Filtros Externos Joaquim Quinteiro Uchˆ oa
Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix
Conceitos b´ asicos Postfix
Parte I O Postfix
Joaquim Quinteiro Uchˆ oa
Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix
Conceitos b´ asicos Postfix
E-Mail Protocolos A Mensagem
Coment´arios Iniciais
Atualmente, a utiliza¸c˜ao de correio eletrˆonico tornou-se praticamente necess´aria sob o ponto de vista de neg´ocios e social. A configura¸c˜ao de sistemas de correio eletrˆonico tornou-se uma tarefa quase que obrigat´oria por parte dos administradores de sistemas. ´ poss´ıvel obter uma solu¸c˜ao completa e de alta qualidade E para correio eletrˆonico, inclu´ındo recursos agregados (como webmail, cat´alogos de endere¸cos e listas de discuss˜ao) utilizando apenas software livre.
Joaquim Quinteiro Uchˆ oa
Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix
Conceitos b´ asicos Postfix
E-Mail Protocolos A Mensagem
Coment´arios Iniciais
Atualmente, a utiliza¸c˜ao de correio eletrˆonico tornou-se praticamente necess´aria sob o ponto de vista de neg´ocios e social. A configura¸c˜ao de sistemas de correio eletrˆonico tornou-se uma tarefa quase que obrigat´oria por parte dos administradores de sistemas. ´ poss´ıvel obter uma solu¸c˜ao completa e de alta qualidade E para correio eletrˆonico, inclu´ındo recursos agregados (como webmail, cat´alogos de endere¸cos e listas de discuss˜ao) utilizando apenas software livre.
Joaquim Quinteiro Uchˆ oa
Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix
Conceitos b´ asicos Postfix
E-Mail Protocolos A Mensagem
Coment´arios Iniciais
Atualmente, a utiliza¸c˜ao de correio eletrˆonico tornou-se praticamente necess´aria sob o ponto de vista de neg´ocios e social. A configura¸c˜ao de sistemas de correio eletrˆonico tornou-se uma tarefa quase que obrigat´oria por parte dos administradores de sistemas. ´ poss´ıvel obter uma solu¸c˜ao completa e de alta qualidade E para correio eletrˆonico, inclu´ındo recursos agregados (como webmail, cat´alogos de endere¸cos e listas de discuss˜ao) utilizando apenas software livre.
Joaquim Quinteiro Uchˆ oa
Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix
Conceitos b´ asicos Postfix
E-Mail Protocolos A Mensagem
Defini¸c˜oes Mailbox ´ um arquivo ou diret´orio cuja fun¸c˜ao ´e armazenar os e-mails E recebidos por um usu´ario. Em geral: arquivo com nome do login do usu´ario em /var/spool/mail. Mail User Agents (MUA) S˜ao aplica¸c˜oes diretamente ligadas aos usu´arios a fim de que esses possam manipular os seus e-mails (por exemplo, lˆe-los e escrevˆe-los). Mail Transfer Agents (MTA) Respons´avel por encaminhar as mensagens entre as m´aquinas. Realiza diversas fun¸c˜oes de endere¸camento de rede a fim de proporcionar a entrega correta e oferecer facilidades aos MUAs. Joaquim Quinteiro Uchˆ oa
Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix
Conceitos b´ asicos Postfix
E-Mail Protocolos A Mensagem
Protocolos - I Single Mail Transfer Protocol (SMTP) O protocolo utilizado para envio do e-mail do MUA ao MTA e entre os MTA consiste no SMTP (RFC 821) ou no Extended SMTP (ESMTP – RFCs 1869, 1870, 1891 e 1985). Multipurpose Internet Mail Extensions (MIME) Praticamente todos os e-mails s˜ao transmitidos via SMTP no formato MIME (RFC 2045). O protocolo b´asico de transmiss˜ao de e-mail da suporta apenas caracteres ASCII de 7-bit, o que limitaria a transmiss˜ao de e-mails que possuam apenas caracteres da lingua inglesa. MIME define mecanismos para enviar outros tipos de informa¸c˜ao no e-mail, como caracteres em outras linguas e conte´ udo bin´ario. Joaquim Quinteiro Uchˆ oa
Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix
Conceitos b´ asicos Postfix
E-Mail Protocolos A Mensagem
Protocolos - II Post Office Protocol (POP) Para a troca de mensagens entre o servidor e o cliente de e-mail geralmente ´e utilizado o protocolo POP (RFC 1939), Protocolo de ”Agˆencia”de Correio, que recebe este nome por agir como uma agˆencia de correios, guardando as mensagens dos usu´arios em caixas postais e aguardando que estes venham busc´a-las. A conex˜ao usando o protocolo POP ´e feita atrav´es do fornecimento de usu´ario e senha pelo MUA ao MTA. Internet Message Access Protocol (IMAP) Outro protocolo que pode ser utilizado leitura de mensagens ´e o IMAP (RFC 3501), que implementa al´em das funcionalidades fornecidas pelo POP muitos outros recursos. Entre outros, permite que um cliente de e-mail acesse mensagens remotas como se locais. Joaquim Quinteiro Uchˆ oa
Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix
Conceitos b´ asicos Postfix
E-Mail Protocolos A Mensagem
Meu Reino por Uma Figura
Joaquim Quinteiro Uchˆ oa
Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix
Conceitos b´ asicos Postfix
E-Mail Protocolos A Mensagem
A Mensagem de E-mail - I RFC2822: Internet Message Format Cabe¸calho (Header) - i From
[email protected] Tue May 31 14:28:10 2005 Delivered-To:
[email protected] Received: from server.dominio.com.br (200-200-200-70.core01.spo.ifx.net.br [200.200.200.70]) by mail.ginux.ufla.br (Postfix) with SMTP id B95CC5BDBC for <
[email protected]>; Tue, 31 May 2005 14:28:09 -0300 (BRT) Received: (qmail 8408 invoked by uid 89); 31 May 2005 17:29:53 -0000 Received: from unknown (HELO ?192.168.0.179?) (
[email protected]) by 0 with SMTP; 31 May 2005 17:29:53 -0000 Message-ID: <
[email protected]>
Joaquim Quinteiro Uchˆ oa
Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix
Conceitos b´ asicos Postfix
E-Mail Protocolos A Mensagem
A Mensagem de E-mail - II
Cabe¸calho (Header) - ii Date: Tue, 31 May 2005 10:31:33 -0300 From: Sicrano da Silva <
[email protected]> User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.7.7) Gecko/20050420 Debian/1.7.7-2 X-Accept-Language: en MIME-Version: 1.0 To: Joaquim Quinteiro Uchoa <
[email protected]> Subject: Uma pergunta Content-Type: text/plain; charset=ISO-8859-1; format=flowed Content-Transfer-Encoding: 8bit Content-Length: 277 Status: RO
Joaquim Quinteiro Uchˆ oa
Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix
Conceitos b´ asicos Postfix
E-Mail Protocolos A Mensagem
A Mensagem de E-mail - III
Corpo cont´em a mensagem em si e anexos. Anexos --8323328-334187457-1046436776=:1494 Content-Type: TEXT/PLAIN; charset=US-ASCII; name="virusmortal.exe" Content-Transfer-Encoding: BASE64 Content-ID: <
[email protected]> Content-Description: Content-Disposition: attachment; filename="virusmortal.exe" IyEvdXNyL2Jpbi9wZXJsDQoNCiMgUHJvZ3JhbWEgcGFyYSBsaW1wYXIgbG9n cyBkbyBYQ2hhdA0KIyAoQykgQnJ1bm8gZGUgT2xpdmVpcmEgU2NobmVpZGVy
Joaquim Quinteiro Uchˆ oa
Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix
Conceitos b´ asicos Postfix
Coment´arios sobre Postfix Postfix nasce a partir do VMailer, criado em 1997 por Wietse Zweitze Venema http://www.porcupine.org/wietse/, enquanto trabalhava para a IBM. Venema ´e tamb´em autor de: Coroner’s Toolkit, SATAN e TCP Wrapper. Vmailer foi criado como alternativa ao Sendmail. Em dezembro de 1998, IBM e Venema liberaram o c´odigo do VMailer, de onde assumiria o nome de Postfix. Postfix n˜ao ´e executado com usu´ario root, um programa mestre (master) gerencia processos para controlar entrada, sa´ıda e entrega local `a medida que ´e necess´ario.
Joaquim Quinteiro Uchˆ oa
Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix
Conceitos b´ asicos Postfix
Coment´arios sobre Postfix Postfix nasce a partir do VMailer, criado em 1997 por Wietse Zweitze Venema http://www.porcupine.org/wietse/, enquanto trabalhava para a IBM. Venema ´e tamb´em autor de: Coroner’s Toolkit, SATAN e TCP Wrapper. Vmailer foi criado como alternativa ao Sendmail. Em dezembro de 1998, IBM e Venema liberaram o c´odigo do VMailer, de onde assumiria o nome de Postfix. Postfix n˜ao ´e executado com usu´ario root, um programa mestre (master) gerencia processos para controlar entrada, sa´ıda e entrega local `a medida que ´e necess´ario.
Joaquim Quinteiro Uchˆ oa
Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix
Conceitos b´ asicos Postfix
Processos Ativos
Usu´ario postfix postfix:x:89:89::/var/spool/postfix:/sbin/nologin
Alguns Processos root postfix postfix postfix postfix postfix postfix postfix
3581 3591 7614 7622 7816 7842 7857 7981
/usr/libexec/postfix/master qmgr -l -t fifo -u cleanup -z -t unix -u smtp -t unix -u local -t unix bounce -z -n defer -t unix -u pickup -l -t fifo -u smtp -t unix -u
Joaquim Quinteiro Uchˆ oa
Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix
Conceitos b´ asicos Postfix
Mais uma Figura: Arquitetura do Postfix
Joaquim Quinteiro Uchˆ oa
Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix
Conceitos b´ asicos Postfix
Postfix ´e a Melhor Escolha? Existem v´arias alternativas: Courier-MTA, Exim, Sendmail e Qmail, para citar alguns. V´arias compara¸c˜oes apontam Postfix e Qmail como os mais seguros e de melhor desempenho. Postfix foi criado como alternativa ao Sendmail e possui vantagens significativas sobre o mesmo (como seguran¸ca e facilidade de configura¸c˜ao), oferecendo alta compatibilidade e praticamente a mesma funcionalidade. Sobre o Qmail tem como vantagem uma licen¸ca de c´odigo aberto, o que atrai mais desenvolvedores. Qmail n˜ao possui vers˜ao nova desde antes de novembro de 2003. Este palestrista especula que hoje Postfix possui mais usu´arios que Qmail. Joaquim Quinteiro Uchˆ oa
Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix
Conceitos b´ asicos Postfix
Postfix ´e a Melhor Escolha? Existem v´arias alternativas: Courier-MTA, Exim, Sendmail e Qmail, para citar alguns. V´arias compara¸c˜oes apontam Postfix e Qmail como os mais seguros e de melhor desempenho. Postfix foi criado como alternativa ao Sendmail e possui vantagens significativas sobre o mesmo (como seguran¸ca e facilidade de configura¸c˜ao), oferecendo alta compatibilidade e praticamente a mesma funcionalidade. Sobre o Qmail tem como vantagem uma licen¸ca de c´odigo aberto, o que atrai mais desenvolvedores. Qmail n˜ao possui vers˜ao nova desde antes de novembro de 2003. Este palestrista especula que hoje Postfix possui mais usu´arios que Qmail. Joaquim Quinteiro Uchˆ oa
Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix
Conceitos b´ asicos Postfix
Postfix ´e a Melhor Escolha? Existem v´arias alternativas: Courier-MTA, Exim, Sendmail e Qmail, para citar alguns. V´arias compara¸c˜oes apontam Postfix e Qmail como os mais seguros e de melhor desempenho. Postfix foi criado como alternativa ao Sendmail e possui vantagens significativas sobre o mesmo (como seguran¸ca e facilidade de configura¸c˜ao), oferecendo alta compatibilidade e praticamente a mesma funcionalidade. Sobre o Qmail tem como vantagem uma licen¸ca de c´odigo aberto, o que atrai mais desenvolvedores. Qmail n˜ao possui vers˜ao nova desde antes de novembro de 2003. Este palestrista especula que hoje Postfix possui mais usu´arios que Qmail. Joaquim Quinteiro Uchˆ oa
Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix
Configura¸c˜ ao do Servidor
Parte II Configura¸c˜ao do Servidor
Joaquim Quinteiro Uchˆ oa
Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix
Configura¸c˜ ao do Servidor
Introdu¸c˜ ao
Coment´arios Iniciais
N˜ao adianta configurar o Postfix com o m´aximo de seguran¸ca, caso o servidor e o ambiente computacional seja inseguro.
N˜ao ´e objetivo da palestra ensinar a configurar servi¸cos de forma segura. Palestra ir´a se ater aos elementos essenciais.
Joaquim Quinteiro Uchˆ oa
Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix
Configura¸c˜ ao do Servidor
Introdu¸c˜ ao
Coment´arios Iniciais
N˜ao adianta configurar o Postfix com o m´aximo de seguran¸ca, caso o servidor e o ambiente computacional seja inseguro.
N˜ao ´e objetivo da palestra ensinar a configurar servi¸cos de forma segura. Palestra ir´a se ater aos elementos essenciais.
Joaquim Quinteiro Uchˆ oa
Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix
Configura¸c˜ ao do Servidor
Introdu¸c˜ ao
Coment´arios Iniciais
N˜ao adianta configurar o Postfix com o m´aximo de seguran¸ca, caso o servidor e o ambiente computacional seja inseguro.
N˜ao ´e objetivo da palestra ensinar a configurar servi¸cos de forma segura. Palestra ir´a se ater aos elementos essenciais.
Joaquim Quinteiro Uchˆ oa
Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix
Configura¸c˜ ao do Servidor
Introdu¸c˜ ao
Estrat´egias para Seguran¸ca
Seguran¸ca × Conforto Pol´ıtica do menor privil´egio Elementos para Seguran¸ca: Pol´ıtica de Seguran¸ca e Pol´ıtica de Uso Seguran¸ca de dados armazenados e em trˆansito Seguran¸ca de servi¸cos ativos Seguran¸ca por controle de acesso Preven¸c˜ao e detec¸c˜ao de invas˜ oes
Indica¸c˜ao de Leitura: http://www.nbso.nic.br/docs/
Joaquim Quinteiro Uchˆ oa
Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix
Configura¸c˜ ao do Servidor
Introdu¸c˜ ao
Estrat´egias para Seguran¸ca
Seguran¸ca × Conforto Pol´ıtica do menor privil´egio Elementos para Seguran¸ca: Pol´ıtica de Seguran¸ca e Pol´ıtica de Uso Seguran¸ca de dados armazenados e em trˆansito Seguran¸ca de servi¸cos ativos Seguran¸ca por controle de acesso Preven¸c˜ao e detec¸c˜ao de invas˜ oes
Indica¸c˜ao de Leitura: http://www.nbso.nic.br/docs/
Joaquim Quinteiro Uchˆ oa
Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix
Configura¸c˜ ao do Servidor
Introdu¸c˜ ao
Estrat´egias para Seguran¸ca
Seguran¸ca × Conforto Pol´ıtica do menor privil´egio Elementos para Seguran¸ca: Pol´ıtica de Seguran¸ca e Pol´ıtica de Uso Seguran¸ca de dados armazenados e em trˆansito Seguran¸ca de servi¸cos ativos Seguran¸ca por controle de acesso Preven¸c˜ao e detec¸c˜ao de invas˜ oes
Indica¸c˜ao de Leitura: http://www.nbso.nic.br/docs/
Joaquim Quinteiro Uchˆ oa
Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix
Configura¸c˜ ao do Servidor
Introdu¸c˜ ao
Estrat´egias para Seguran¸ca
Seguran¸ca × Conforto Pol´ıtica do menor privil´egio Elementos para Seguran¸ca: Pol´ıtica de Seguran¸ca e Pol´ıtica de Uso Seguran¸ca de dados armazenados e em trˆansito Seguran¸ca de servi¸cos ativos Seguran¸ca por controle de acesso Preven¸c˜ao e detec¸c˜ao de invas˜ oes
Indica¸c˜ao de Leitura: http://www.nbso.nic.br/docs/
Joaquim Quinteiro Uchˆ oa
Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix
Configura¸c˜ ao do Servidor
Introdu¸c˜ ao
Estrat´egias para Seguran¸ca
Seguran¸ca × Conforto Pol´ıtica do menor privil´egio Elementos para Seguran¸ca: Pol´ıtica de Seguran¸ca e Pol´ıtica de Uso Seguran¸ca de dados armazenados e em trˆansito Seguran¸ca de servi¸cos ativos Seguran¸ca por controle de acesso Preven¸c˜ao e detec¸c˜ao de invas˜ oes
Indica¸c˜ao de Leitura: http://www.nbso.nic.br/docs/
Joaquim Quinteiro Uchˆ oa
Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix
Configura¸c˜ ao do Servidor
Introdu¸c˜ ao
Estrat´egias para Seguran¸ca
Seguran¸ca × Conforto Pol´ıtica do menor privil´egio Elementos para Seguran¸ca: Pol´ıtica de Seguran¸ca e Pol´ıtica de Uso Seguran¸ca de dados armazenados e em trˆansito Seguran¸ca de servi¸cos ativos Seguran¸ca por controle de acesso Preven¸c˜ao e detec¸c˜ao de invas˜ oes
Indica¸c˜ao de Leitura: http://www.nbso.nic.br/docs/
Joaquim Quinteiro Uchˆ oa
Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix
Configura¸c˜ ao do Servidor
Introdu¸c˜ ao
Estrat´egias para Seguran¸ca
Seguran¸ca × Conforto Pol´ıtica do menor privil´egio Elementos para Seguran¸ca: Pol´ıtica de Seguran¸ca e Pol´ıtica de Uso Seguran¸ca de dados armazenados e em trˆansito Seguran¸ca de servi¸cos ativos Seguran¸ca por controle de acesso Preven¸c˜ao e detec¸c˜ao de invas˜ oes
Indica¸c˜ao de Leitura: http://www.nbso.nic.br/docs/
Joaquim Quinteiro Uchˆ oa
Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix
Configura¸c˜ ao do Servidor
Introdu¸c˜ ao
Estrat´egias para Seguran¸ca
Seguran¸ca × Conforto Pol´ıtica do menor privil´egio Elementos para Seguran¸ca: Pol´ıtica de Seguran¸ca e Pol´ıtica de Uso Seguran¸ca de dados armazenados e em trˆansito Seguran¸ca de servi¸cos ativos Seguran¸ca por controle de acesso Preven¸c˜ao e detec¸c˜ao de invas˜ oes
Indica¸c˜ao de Leitura: http://www.nbso.nic.br/docs/
Joaquim Quinteiro Uchˆ oa
Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix
Configura¸c˜ ao do Servidor
Introdu¸c˜ ao
Estrat´egias para Seguran¸ca
Seguran¸ca × Conforto Pol´ıtica do menor privil´egio Elementos para Seguran¸ca: Pol´ıtica de Seguran¸ca e Pol´ıtica de Uso Seguran¸ca de dados armazenados e em trˆansito Seguran¸ca de servi¸cos ativos Seguran¸ca por controle de acesso Preven¸c˜ao e detec¸c˜ao de invas˜ oes
Indica¸c˜ao de Leitura: http://www.nbso.nic.br/docs/
Joaquim Quinteiro Uchˆ oa
Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix
Configura¸c˜ ao do Servidor
Introdu¸c˜ ao
N˜ao se Esque¸ca do DNS (MX)
# arquivo dominio.com.br @ IN MX servidor IN A
Joaquim Quinteiro Uchˆ oa
5 servidor 200.200.200.100
Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix
Configura¸c˜ oes B´ asicas Configura¸c˜ ao para Seguran¸ca Uso de Filtros Externos
Parte III Configura¸c˜ao do Postfix
Joaquim Quinteiro Uchˆ oa
Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix
Configura¸c˜ oes B´ asicas Configura¸c˜ ao para Seguran¸ca Uso de Filtros Externos
Contexto das Configura¸c˜oes
Configura¸c˜oes aqui apresentadas foram efetuadas utilizando-se uma instala¸c˜ao Fedora Core 3, tendo instalado, para os servi¸cos b´asicos de e-mail, al´em do Postfix, os pacotes: cyrus-sasl (para autentica¸c˜ao SMTP) dovecot (para servi¸cos POP e IMAP) squirrelmail (para Webmail)
Joaquim Quinteiro Uchˆ oa
Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix
Configura¸c˜ oes B´ asicas Configura¸c˜ ao para Seguran¸ca Uso de Filtros Externos
Configura¸c˜oes Iniciais
Arquivo main.cf myhostname = mail.dominio.com.br mydomain = dominio.com.br myorigin = $mydomain #inet_interfaces = localhost inet_interfaces = all mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain relay_domains = $mydestination
Joaquim Quinteiro Uchˆ oa
Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix
Configura¸c˜ oes B´ asicas Configura¸c˜ ao para Seguran¸ca Uso de Filtros Externos
Observa¸c˜oes Sobre Configura¸c˜ao Inicial
Observa¸c˜oes Deve-se alterar o mydestination para os dom´ınios (endere¸cos) de e-mail do servidor. O campo relay domains especifica quais m´aquinas podem fazer relay usando o Postfix. No exemplo foi especificado relay local e m´aquinas do dom´ınio.
Joaquim Quinteiro Uchˆ oa
Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix
Configura¸c˜ oes B´ asicas Configura¸c˜ ao para Seguran¸ca Uso de Filtros Externos
Configura¸c˜ ao SSL/TLS Controle de Relay Controle Nativo de SPAM
Certificados Para que se obtenha tr´afego criptografado dos dados, ´e necess´ario a cria¸c˜ao de chaves e certificados. Isso ´e feito para cada servi¸co envolvido (no caso: Postfix, Dovecot e Apache). Pode-se usar um u ´nico par de certificado/chave para todos os servi¸cos, ou um para cada. Vantagens e desvantagens dependem do contexto e est˜ao ligados ao nome (DNS) associado ao servi¸co. Caso seja necess´ario criar mais que um par de certificado/chave, este palestrista recomenda o uso dos scripts dispon´ıveis no arquivo ssl.ca-0.1.tar.gz em http://www.openssl.org/contrib/.
Joaquim Quinteiro Uchˆ oa
Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix
Configura¸c˜ oes B´ asicas Configura¸c˜ ao para Seguran¸ca Uso de Filtros Externos
Configura¸c˜ ao SSL/TLS Controle de Relay Controle Nativo de SPAM
Certificados Para que se obtenha tr´afego criptografado dos dados, ´e necess´ario a cria¸c˜ao de chaves e certificados. Isso ´e feito para cada servi¸co envolvido (no caso: Postfix, Dovecot e Apache). Pode-se usar um u ´nico par de certificado/chave para todos os servi¸cos, ou um para cada. Vantagens e desvantagens dependem do contexto e est˜ao ligados ao nome (DNS) associado ao servi¸co. Caso seja necess´ario criar mais que um par de certificado/chave, este palestrista recomenda o uso dos scripts dispon´ıveis no arquivo ssl.ca-0.1.tar.gz em http://www.openssl.org/contrib/.
Joaquim Quinteiro Uchˆ oa
Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix
Configura¸c˜ oes B´ asicas Configura¸c˜ ao para Seguran¸ca Uso de Filtros Externos
Configura¸c˜ ao SSL/TLS Controle de Relay Controle Nativo de SPAM
Certificados Para que se obtenha tr´afego criptografado dos dados, ´e necess´ario a cria¸c˜ao de chaves e certificados. Isso ´e feito para cada servi¸co envolvido (no caso: Postfix, Dovecot e Apache). Pode-se usar um u ´nico par de certificado/chave para todos os servi¸cos, ou um para cada. Vantagens e desvantagens dependem do contexto e est˜ao ligados ao nome (DNS) associado ao servi¸co. Caso seja necess´ario criar mais que um par de certificado/chave, este palestrista recomenda o uso dos scripts dispon´ıveis no arquivo ssl.ca-0.1.tar.gz em http://www.openssl.org/contrib/.
Joaquim Quinteiro Uchˆ oa
Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix
Configura¸c˜ oes B´ asicas Configura¸c˜ ao para Seguran¸ca Uso de Filtros Externos
Configura¸c˜ ao SSL/TLS Controle de Relay Controle Nativo de SPAM
Configura¸c˜oes dovecot.conf protocols = imap imaps pop3 pop3s ssl_cert_file = /usr/share/ssl/certs/dovecot.pem ssl_key_file = /usr/share/ssl/private/dovecot.pem
main.cf smtpd_tls_cert_file = /etc/postfix/ssl/smtpd.crt smtpd_tls_key_file = /etc/postfix/ssl/smtpd.key smtpd_tls_auth_only = yes smtpd_tls_CAfile = /etc/postfix/ssl/cacert.pem smtpd_tls_received_header = yes smtpd_use_tls = yes smtp_use_tls = yes smtp_tls_note_starttls_offer = yes
Joaquim Quinteiro Uchˆ oa
Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix
Configura¸c˜ oes B´ asicas Configura¸c˜ ao para Seguran¸ca Uso de Filtros Externos
Configura¸c˜ ao SSL/TLS Controle de Relay Controle Nativo de SPAM
Configura¸c˜oes dovecot.conf protocols = imap imaps pop3 pop3s ssl_cert_file = /usr/share/ssl/certs/dovecot.pem ssl_key_file = /usr/share/ssl/private/dovecot.pem
main.cf smtpd_tls_cert_file = /etc/postfix/ssl/smtpd.crt smtpd_tls_key_file = /etc/postfix/ssl/smtpd.key smtpd_tls_auth_only = yes smtpd_tls_CAfile = /etc/postfix/ssl/cacert.pem smtpd_tls_received_header = yes smtpd_use_tls = yes smtp_use_tls = yes smtp_tls_note_starttls_offer = yes
Joaquim Quinteiro Uchˆ oa
Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix
Configura¸c˜ oes B´ asicas Configura¸c˜ ao para Seguran¸ca Uso de Filtros Externos
Configura¸c˜ ao SSL/TLS Controle de Relay Controle Nativo de SPAM
Controle de Relay
Postfix adota uma pol´ıtica moderada de controle de relay em sua configura¸c˜ao b´asica, repassando e-mails somente de clientes em redes de confian¸ca ou dom´ınios configurados como destinos autorizados de relay. Para usu´arios externos que prefiram n˜ao utilizar Webmail, e at´e mesmo para usu´arios locais, pode-se adotar autentica¸c˜ao para envio de mensagens.
Joaquim Quinteiro Uchˆ oa
Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix
Configura¸c˜ oes B´ asicas Configura¸c˜ ao para Seguran¸ca Uso de Filtros Externos
Configura¸c˜ ao SSL/TLS Controle de Relay Controle Nativo de SPAM
SMTP Auth
smtpd_sasl_auth_enable = yes smtpd_recipient_restrictions = permit_sasl_authenticated,permit_mynetworks, check_relay_domains
Joaquim Quinteiro Uchˆ oa
Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix
Configura¸c˜ oes B´ asicas Configura¸c˜ ao para Seguran¸ca Uso de Filtros Externos
Configura¸c˜ ao SSL/TLS Controle de Relay Controle Nativo de SPAM
Acesso ao SMTPD # Permite conexoes apenas de clientes autorizados # Ver configuracao mais completa em proximos slides smtpd_client_restrictions = permit_sasl_authenticated, permit_mynetworks, reject # Nao aceitar conexoes de maquinas que nao saibam # o proprio nome # CUIDADO: pode impedir recebimento de MTAs e # servidores mal-configurados smtpd_helo_restrictions = reject_unknown_hostname # Nao aceite e-mail de dominios que nao existam # CUIDADO: pode impedir recebimento de servicos com # DNS mal-configurado ou recentes smtpd_sender_restrictions = reject_unknown_sender_domain Joaquim Quinteiro Uchˆ oa
Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix
Configura¸c˜ oes B´ asicas Configura¸c˜ ao para Seguran¸ca Uso de Filtros Externos
Configura¸c˜ ao SSL/TLS Controle de Relay Controle Nativo de SPAM
Acesso ao SMTPD main.cf # Permite conexoes apenas de clientes autorizados # Ver configuracao mais completa em proximo slide smtpd_client_restrictions = permit_sasl_authenticated, permit_mynetworks check_client_access hash:/etc/postfix/access /etc/postfix/access # Tomar cuidado para nao recusar remetentes ou # dominios legitimos!
[email protected] REJECT spammer.com REJECT divulgue@ REJECT # executar "postmap /etc/postfix/access" apos alterar Joaquim Quinteiro Uchˆ oa
Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix
Configura¸c˜ oes B´ asicas Configura¸c˜ ao para Seguran¸ca Uso de Filtros Externos
Configura¸c˜ ao SSL/TLS Controle de Relay Controle Nativo de SPAM
Checagem de Corpo e Cabe¸calho - I main.cf # controle de cabecalho header_checks = regexp:/etc/postfix/header_checks # controle de corpo (util para anexos!) body_checks = regexp:/etc/postfix/body_checks # recusar servidores com relay aberto maps_rbl_reject_code = 554 smtpd_client_restrictions = permit_sasl_authenticated, permit_mynetworks, check_client_access hash:/etc/postfix/access reject_rbl_client relays.ordb.org Joaquim Quinteiro Uchˆ oa
Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix
Configura¸c˜ oes B´ asicas Configura¸c˜ ao para Seguran¸ca Uso de Filtros Externos
Configura¸c˜ ao SSL/TLS Controle de Relay Controle Nativo de SPAM
Checagem de Corpo e Cabe¸calho - II header checks /^Received:.*HostSpammer/ REJECT /^to: *friend@public\.com/ REJECT /^Received: +from +(porcupine\.org) +/ REJECT /^Subject: .*Make money fast/ REJECT /^X-Mailer: Microsoft Outlook Express/ REJECT
body checks /www\.spammer\.dom/ REJECT /trabalhe em casa.*renda extra/ REJECT /filename=\".*\.(asd|chm|hlp|hta|js|ocx|pif).*\"/ REJECT /filename=.*\.(asd|chm|hlp|hta|js|ocx|pif).*/ REJECT /filename=.*\.(exe|bat|jar|asp|aspx|dll).*/ REJECT /filename=\".*\.(exe|bat|jar|asp|aspx|dll).*\"/ REJECT Joaquim Quinteiro Uchˆ oa
Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix
Configura¸c˜ oes B´ asicas Configura¸c˜ ao para Seguran¸ca Uso de Filtros Externos
Usando content filter
O parˆametro content filter permite a especifica¸c˜ao de filtros externos, que podem ser ferramentas de anti-v´ırus ou anti-spams. content filter = smtp-amavis:[127.0.0.1]:10024 Exemplo de configura¸c˜ao com Amavis/SpamAssassin/ClamAV: Monografia “Servidor de E-mail Postfix/Amavist-new/SpamAssassin/ClamAV” em http://www.ginux.ufla.br/documentacao/monografias.html.
Joaquim Quinteiro Uchˆ oa
Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix
Conclus˜ oes
Coment´arios Finais
´ poss´ıvel ter uma solu¸c˜ao de qualidade e com seguran¸ca para E e-mail usando apenas software livre Configurar servi¸cos de e-mail de forma segura ´e um desafio aos administradores de rede O Postfix ´e um MTA altamente flex´ıvel e permite v´arios controles finos para controle de envio e recebimento de mensagens, bem como evitar o recebimento de SPAMs e V´ırus
Joaquim Quinteiro Uchˆ oa
Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix
Conclus˜ oes
Coment´arios Finais
´ poss´ıvel ter uma solu¸c˜ao de qualidade e com seguran¸ca para E e-mail usando apenas software livre Configurar servi¸cos de e-mail de forma segura ´e um desafio aos administradores de rede O Postfix ´e um MTA altamente flex´ıvel e permite v´arios controles finos para controle de envio e recebimento de mensagens, bem como evitar o recebimento de SPAMs e V´ırus
Joaquim Quinteiro Uchˆ oa
Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix
Conclus˜ oes
Coment´arios Finais
´ poss´ıvel ter uma solu¸c˜ao de qualidade e com seguran¸ca para E e-mail usando apenas software livre Configurar servi¸cos de e-mail de forma segura ´e um desafio aos administradores de rede O Postfix ´e um MTA altamente flex´ıvel e permite v´arios controles finos para controle de envio e recebimento de mensagens, bem como evitar o recebimento de SPAMs e V´ırus
Joaquim Quinteiro Uchˆ oa
Configura¸c˜ ao Segura do Servi¸co de E-Mail via Postfix