Servidor de E-mail · 5 min read · Feb 13, 2026

Postfix-SMTP-AUTH-TLS-Howto

Postfix-SMTP-AUTH-TLS-Howto

Version 1.0
Author: Falko Timme

Este documento descreve como instalar um servidor de e-mail baseado em postfix que é capaz de SMTP-AUTH e TLS. Deve funcionar (talvez com pequenas alterações em relação a caminhos, etc.) em todos os sistemas operacionais *nix. Eu testei até agora no Debian Woody e Fedora Core 1.

Este howto é destinado como um guia prático; não cobre os fundamentos teóricos. Eles são tratados em muitos outros documentos na web.

Este documento vem sem garantia de qualquer tipo!

1 Obter as Fontes

Precisamos do seguinte software: openssl, cyrus-sasl2, postfix e o patch TLS para postfix. Vamos instalar o software a partir do diretório /tmp.

cd /tmp
wget http://www.openssl.org/source/openssl-0.9.7c.tar.gz
wget –passive-ftp ftp://ftp.andrew.cmu.edu/pub/cyrus-mail/cyrus-sasl-2.1.17.tar.gz
wget –passive-ftp ftp://ftp.aet.tu-cottbus.de/pub/postfix_tls/related/postfix/postfix-2.0.16.tar.gz
wget –passive-ftp ftp://ftp.aet.tu-cottbus.de/pub/postfix_tls/pfixtls-0.8.16-2.0.16-0.9.7b.tar.gz

2 Instalar Openssl

tar xvfz openssl-0.9.7c.tar.gz
cd openssl-0.9.7c
./config
make
make install

3 Instalar Cyrus-sasl

cd /tmp
tar xvfz cyrus-sasl-2.1.17.tar.gz
cd cyrus-sasl-2.1.17
./configure –enable-anon –enable-plain –enable-login –disable-krb4 –with-saslauthd=/var/run/saslauthd –with-pam –with-openssl=/usr/local/ssl –with-plugindir=/usr/local/lib/sasl2 –enable-cram –enable-digest –enable-otp (1 linha!)
make
make install

Se /usr/lib/sasl2 existir:
mv /usr/lib/sasl2 /usr/lib/sasl2_orig

ln -s /usr/local/lib/sasl2 /usr/lib/sasl2

Crie o arquivo /usr/local/lib/sasl2/smtpd.conf:

| # Isso configura o smtpd para autenticar usando o daemon saslauthd. pwcheck_method:saslauthd # Isso permite apenas plain, login, cram-md5 e digest-md5 como os mecanismos de autenticação. mech_list: plain login cram-md5 digest-md5 |

4 Instalar Postfix

cd /tmp
tar xvfz pfixtls-0.8.16-2.0.16-0.9.7b.tar.gz
tar xvfz postfix-2.0.16.tar.gz
cd postfix-2.0.16
useradd postfix
groupadd postdrop
patch -p1 < ../pfixtls-0.8.16-2.0.16-0.9.7b/pfixtls.diff
make makefiles CCARGS=”-DHAS_SSL -DUSE_SASL_AUTH -I/usr/local/include/sasl -I/usr/local/ssl/include” AUXLIBS=”-L/usr/local/ssl/lib -L/usr/local/lib -R/usr/local/lib -lsasl2 -lssl -lcrypto” (1 linha!)
make
make install (aceite os valores padrão)

  • cp /etc/postfix/aliases /etc/
    newaliases*

Crie /etc/init.d/postfix:

| #!/bin/bash # # postfix Este script controla o daemon postfix. # # descrição: Postfix MTA # nome do processo: postfix case "$1" in start) /usr/sbin/postfix start ;; stop) /usr/sbin/postfix stop ;; reload) /usr/sbin/postfix reload ;; restart) $0 stop $0 start ;; *) echo "Uso: $0 {start|stop|reload|restart}" exit 1 esac exit 0 |

chmod 755 /etc/init.d/postfix

Para iniciar postfix na inicialização, faça o seguinte:

ln -s /etc/init.d/postfix /etc/rc2.d/S20postfix
ln -s /etc/init.d/postfix /etc/rc3.d/S20postfix
ln -s /etc/init.d/postfix /etc/rc4.d/S20postfix
ln -s /etc/init.d/postfix /etc/rc5.d/S20postfix
ln -s /etc/init.d/postfix /etc/rc0.d/K20postfix
ln -s /etc/init.d/postfix /etc/rc1.d/K20postfix
ln -s /etc/init.d/postfix /etc/rc6.d/K20postfix

Nosso postfix será executado chrooted em /var/spool/postfix, então precisamos copiar alguns arquivos:

mkdir -p /var/spool/postfix/etc
cd /etc
cp localtime services hosts resolv.conf /var/spool/postfix/etc/
mkdir -p /var/spool/postfix/var/run
mv -f /var/run/saslauthd/ /var/spool/postfix/var/run/
chmod 755 /var/spool/postfix/var/run/saslauthd/
ln -s /var/spool/postfix/var/run/saslauthd/ /var/run/saslauthd

Agora precisamos gerar os arquivos de certificado necessários para TLS:

mkdir /etc/postfix/ssl
cd /etc/postfix/ssl/

Se /usr/bin/openssl existir:

mv /usr/bin/openssl /usr/bin/openssl _orig*

ln -s /usr/local/ssl/bin/openssl /usr/bin/openssl
openssl genrsa -des3 -rand /etc/hosts -out smtpd.key 1024

<- Digite uma senha para smtpd.key.

chmod 600 smtpd.key
openssl req -new -key smtpd.key -out smtpd.csr

<- Novamente, digite sua senha para smtpd.key.
<- Digite o Nome do seu País (por exemplo, “BR”).
<- Digite o Nome do seu Estado ou Província.
<- Digite sua Cidade.
<- Digite o Nome da sua Organização (por exemplo, o nome da sua empresa).
<- Digite o Nome da sua Unidade Organizacional (por exemplo, “Departamento de TI”).
<- Digite o Nome de Domínio Totalmente Qualificado do sistema (por exemplo, “server1.exemplo.com”).
<- Digite seu Endereço de E-mail.

As seguintes informações são opcionais:

<- Digite uma senha de desafio.
<- Digite um nome de empresa opcional.

openssl x509 -req -days 3650 -in smtpd.csr -signkey smtpd.key -out smtpd.crt

<- Novamente, digite sua senha para smtpd.key.

openssl rsa -in smtpd.key -out smtpd.key.unencrypted

<- Novamente, digite sua senha para smtpd.key. *
*

mv -f smtpd.key.unencrypted smtpd.key
openssl req -new -x509 -extensions v3_ca -keyout cakey.pem -out cacert.pem -days 3650

<- Novamente, digite sua senha para smtpd.key.
<- Digite o Nome do seu País (por exemplo, “BR”).
<- Digite o Nome do seu Estado ou Província.
<- Digite sua Cidade.
<- Digite o Nome da sua Organização (por exemplo, o nome da sua empresa).
<- Digite o Nome da sua Unidade Organizacional (por exemplo, “Departamento de TI”).
<- Digite o Nome de Domínio Totalmente Qualificado do sistema (por exemplo, “server1.exemplo.com”).
<- Digite seu Endereço de E-mail.

Edite /etc/postfix/main.cf para habilitar SMTP-AUTH e TLS:

*postconf -e ‘mydomain = exemplo.com’
postconf -e ‘myhostname = server1.$mydomain’
postconf -e ‘smtpd_sasl_local_domain =’
postconf -e ‘smtpd_sasl_auth_enable = yes’
postconf -e ‘smtpd_sasl_security_options = noanonymous’
postconf -e ‘broken_sasl_auth_clients = yes’
postconf -e ‘smtpd_recipient_restrictions=permit_sasl_authenticated,permit_mynetworks,check_relay_domains’
postconf -e ‘inet_interfaces = all’
postconf -e ‘alias_maps = hash:/etc/aliases’

  • postconf -e ‘smtpd_tls_auth_only = no’
    postconf -e ‘smtp_use_tls = yes’
    postconf -e ‘smtpd_use_tls = yes’
    postconf -e ‘smtp_tls_note_starttls_offer = yes’
    postconf -e ‘smtpd_tls_key_file = /etc/postfix/ssl/smtpd.key’
    postconf -e ‘smtpd_tls_cert_file = /etc/postfix/ssl/smtpd.crt’
    postconf -e ‘smtpd_tls_CAfile = /etc/postfix/ssl/cacert.pem’
    postconf -e ‘smtpd_tls_loglevel = 1’
    postconf -e ‘smtpd_tls_received_header = yes’
    postconf -e ‘smtpd_tls_session_cache_timeout = 3600s’
    postconf -e ‘tls_random_source = dev:/dev/urandom’

5 Configurar Saslauthd

Crie /etc/init.d/saslauthd:

| #!/bin/sh -e NAME=saslauthd DAEMON="/usr/sbin/${NAME}" DESC="Daemon de Autenticação SASL" DEFAULTS=/etc/default/saslauthd test -f "${DAEMON}" || exit 0 # Fonte do arquivo de padrões; edite esse arquivo para configurar este script. if [ -e "${DEFAULTS}" ]; then . "${DEFAULTS}" fi # Se não formos iniciar o daemon, simplesmente saia if [ "${START}" != "yes" ]; then exit 0 fi # Se não temos mecanismos definidos if [ "x${MECHANISMS}" = "x" ]; then echo "Você precisa configurar ${DEFAULTS} com mecanismos a serem usados" exit 0 fi # Adicione nossos mecanismos com a flag necessária for i in ${MECHANISMS}; do PARAMS="${PARAMS} -a ${i}" done # Considere nossas opções case "${1}" in start) echo -n "Iniciando ${DESC}: " ln -fs /var/spool/postfix/var/run/${NAME} /var/run/${NAME} ${DAEMON} ${PARAMS} echo "${NAME}." ;; stop) echo -n "Parando ${DESC}: " PROCS=`ps aux | grep -iw '/usr/sbin/saslauthd' | grep -v 'grep' |awk '{print $2}' | tr ' ' ' '` if [ "x${PROCS}" != "x" ]; then kill -15 ${PROCS} &> /dev/null fi echo "${NAME}." ;; restart|force-reload) $0 stop sleep 1 $0 start echo "${NAME}." ;; *) echo "Uso: /etc/init.d/${NAME} {start|stop|restart|force-reload}" >&2 exit 1 ;; esac exit 0 |

chmod 755 /etc/init.d/saslauthd

Para iniciar saslauthd na inicialização, faça o seguinte:

ln -s /etc/init.d/saslauthd /etc/rc2.d/S20saslauthd
ln -s /etc/init.d/saslauthd /etc/rc3.d/S20saslauthd
ln -s /etc/init.d/saslauthd /etc/rc4.d/S20saslauthd
ln -s /etc/init.d/saslauthd /etc/rc5.d/S20saslauthd
ln -s /etc/init.d/saslauthd /etc/rc0.d/K20saslauthd
ln -s /etc/init.d/saslauthd /etc/rc1.d/K20saslauthd
ln -s /etc/init.d/saslauthd /etc/rc6.d/K20saslauthd

Em seguida, crie /etc/default/saslauthd:

| # Isso precisa ser descomentado antes que saslauthd seja executado automaticamente START=yes # Você deve especificar os mecanismos de autenticação que deseja usar. # Isso é padrão para "pam" para suporte PAM, mas também pode incluir # "shadow" ou "sasldb" MECHANISMS=shadow |

Se você descobrir que saslauthd está localizado em /usr/local/sbin em vez de /usr/sbin, crie um link simbólico:

ln -s /usr/local/sbin/saslauthd /usr/sbin/saslauthd

Em seguida, inicie saslauthd e postfix:

/etc/init.d/saslauthd start

/etc/init.d/postfix start

6 Teste sua Configuração

Para ver se SMTP-AUTH e TLS funcionam corretamente, execute o seguinte comando:

telnet localhost 25

Depois de estabelecer a conexão com seu servidor de e-mail postfix, digite

ehlo localhost

Se você ver as linhas

250-STARTTLS e 250-AUTH tudo está bem.

Digite

quit para retornar ao shell do sistema.

Informações adicionais (específicas do Debian) sobre este tópico podem ser encontradas aqui: http://www.projektfarm.com/en/support/debian_setup/index.html.

Links

Postfix MTA: http://www.postfix.org/

OpenSSL: http://www.openssl.org/

Cyrus-SASL: http://asg.web.cmu.edu/sasl/

Postfix/TLS: http://www.aet.tu-cottbus.de/personen/jaenicke/postfix_tls/

Localização original deste documento:

http://www.falkotimme.com/howtos/postfix_smtp_auth_tls/

Share: X/Twitter LinkedIn
#Servidor de E-mail

Receba novas postagens na sua caixa de entrada

Sem spam. Cancele a assinatura a qualquer momento.