Guia para configurar Postfix com autenticação SASL no Ubuntu 22.04

11 min de leitura  ·  Guia técnico

Para configurar o Postfix com autenticação SASL no Ubuntu 22.04, instale os pacotes necessários, configure o main.cf e o Dovecot, e crie usuários para envio seguro de emails. Este processo garante que apenas usuários autenticados possam enviar emails através do servidor.

1. Instalar Postfix e pacotes SASL necessários
2. Configurar autenticação SASL no arquivo main.cf
3. Criar usuários e senhas para autenticação
4. Configurar TLS para conexões seguras
5. Testar a autenticação via telnet
6. Verificar logs e ajustar permissões

Pré-requisitos

• Ubuntu 22.04 LTS com acesso root ou sudo
• Conexão à internet para download de pacotes
• Conhecimento básico de linha de comando Linux
• Domínio configurado com registros MX válidos
• Portas 25, 587 e 465 liberadas no firewall

Instalação do Postfix com suporte SASL

A instalação correta do Postfix com autenticação SASL requer pacotes específicos que fornecem os mecanismos de autenticação necessários. O processo começa atualizando o sistema e instalando os componentes essenciais.

Primeiro, atualize o sistema e instale os pacotes necessários:

sudo apt update && sudo apt upgrade -y
sudo apt install postfix dovecot-core dovecot-imapd dovecot-pop3d -y

Durante a instalação do Postfix, selecione "Internet Site" quando solicitado e configure seu domínio principal. Após a instalação, verifique se os serviços estão ativos:

sudo systemctl status postfix
sudo systemctl status dovecot

Output esperado mostrará ambos os serviços como "active (running)". Se o Dovecot não estiver ativo, inicie-o:

sudo systemctl enable dovecot
sudo systemctl start dovecot

Configuração da autenticação SASL no Postfix

A configuração SASL no Postfix envolve modificar o arquivo principal de configuração e definir os parâmetros de autenticação. Esta etapa determina como o servidor validará as credenciais dos usuários.

Edite o arquivo de configuração principal do Postfix:

sudo nano /etc/postfix/main.cf

Adicione as seguintes linhas ao final do arquivo para habilitar SASL:

# Configuração SASL
smtpd_sasl_auth_enable = yes
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_security_options = noanonymous
smtpd_sasl_local_domain = $myhostname
broken_sasl_auth_clients = yes

# Restrições de relay
smtpd_relay_restrictions = permit_mynetworks,
    permit_sasl_authenticated,
    defer_unauth_destination

# Configuração TLS
smtpd_tls_auth_only = yes
smtpd_use_tls = yes
smtpd_tls_cert_file = /etc/ssl/certs/postfix.pem
smtpd_tls_key_file = /etc/ssl/private/postfix.key

Configure também o arquivo master.cf para submission na porta 587:

sudo nano /etc/postfix/master.cf

Descomente e configure a linha submission:

submission inet n       -       y       -       -       smtpd
  -o syslog_name=postfix/submission
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_tls_auth_only=yes
  -o smtpd_reject_unlisted_recipient=no
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
  -o milter_macro_daemon_name=ORIGINATING

Configuração do Dovecot para autenticação SASL

O Dovecot fornece um mecanismo robusto de autenticação SASL que integra perfeitamente com o Postfix. Esta configuração permite usar contas de usuário do sistema ou bases de dados personalizadas para autenticação.

Configure o arquivo de autenticação do Dovecot:

sudo nano /etc/dovecot/conf.d/10-master.conf

Localize a seção "service auth" e configure o socket para Postfix:

service auth {
  unix_listener /var/spool/postfix/private/auth {
    mode = 0666
    user = postfix
    group = postfix
  }
}

Configure a autenticação no arquivo 10-auth.conf:

sudo nano /etc/dovecot/conf.d/10-auth.conf

Certifique-se de que estas linhas estejam descomentadas:

disable_plaintext_auth = yes
auth_mechanisms = plain login

Reinicie os serviços para aplicar as configurações:

sudo systemctl restart dovecot
sudo systemctl restart postfix

Criação de usuários para autenticação

A criação de usuários específicos para email garante segurança e organização adequadas. Estes usuários podem ser contas do sistema ou virtuais, dependendo da configuração escolhida.

Para usar autenticação com usuários do sistema, crie um usuário dedicado:

sudo adduser emailuser
sudo passwd emailuser

Para configuração mais avançada com usuários virtuais, crie um arquivo de senhas:

sudo nano /etc/postfix/sasl_passwd

Adicione as credenciais no formato:

[email protected]:senha123
[email protected]:outrasenha

Gere o banco de dados hash e configure permissões:

sudo postmap /etc/postfix/sasl_passwd
sudo chmod 600 /etc/postfix/sasl_passwd*
sudo chown postfix:postfix /etc/postfix/sasl_passwd*

Configuração de TLS para segurança

A implementação de TLS é crucial para proteger as credenciais durante a transmissão. Esta configuração força o uso de conexões criptografadas para autenticação SASL.

Gere certificados SSL auto-assinados para teste:

sudo openssl req -new -x509 -days 365 -nodes -out /etc/ssl/certs/postfix.pem -keyout /etc/ssl/private/postfix.key

Configure as permissões corretas:

sudo chmod 644 /etc/ssl/certs/postfix.pem
sudo chmod 600 /etc/ssl/private/postfix.key

Atualize o main.cf com os novos certificados:

sudo nano /etc/postfix/main.cf

Modifique as linhas TLS:

smtpd_tls_cert_file = /etc/ssl/certs/postfix.pem
smtpd_tls_key_file = /etc/ssl/private/postfix.key
smtpd_tls_security_level = may
smtpd_tls_protocols = !SSLv2, !SSLv3

Teste da configuração SASL

O teste adequado da autenticação SASL verifica se todas as configurações estão funcionando corretamente. Este processo identifica problemas antes da implementação em produção.

Teste a conectividade e recursos SASL:

telnet localhost 587

No prompt do telnet, digite:

EHLO teste.local

Output esperado deve incluir:

250-AUTH PLAIN LOGIN
250-STARTTLS

Teste autenticação com base64. Primeiro, codifique suas credenciais:

echo -ne '\[email protected]\000senha123' | base64

Use o resultado no comando AUTH:

AUTH PLAIN AHVzdWFyaW9AZG9taW5pby5jb20Ac2VuaGExMjM=

Resposta de sucesso:

235 2.7.0 Authentication successful

Verifique os logs para confirmar a autenticação:

sudo tail -f /var/log/mail.log

Problemas comuns e como resolver

Erro: "authentication failed" mesmo com credenciais corretas

Causa: Permissões incorretas no socket de autenticação ou configuração inadequada do Dovecot.
Solução: Verifique se o usuário postfix tem acesso ao socket em /var/spool/postfix/private/auth e confirme que o Dovecot está configurado corretamente. Reinicie ambos os serviços após ajustes.

Conexão recusada na porta 587

Causa: Firewall bloqueando a porta ou configuração incorreta no master.cf.
Solução: Libere a porta 587 no firewall com sudo ufw allow 587 e verifique se a linha submission está descomentada e configurada corretamente no arquivo /etc/postfix/master.cf.

TLS não funciona ou certificado rejeitado

Causa: Certificados SSL inválidos ou permissões incorretas nos arquivos de certificado.
Solução: Regenere os certificados com o comando openssl fornecido anteriormente e verifique as permissões. O arquivo .pem deve ter permissão 644 e o .key deve ter 600, ambos pertencentes ao usuário postfix.

Monitoramento e manutenção

O monitoramento contínuo da autenticação SASL garante operação estável e identifica tentativas de acesso não autorizado. Implementar logs detalhados e alertas previne problemas de segurança.

Configure logs detalhados no Postfix:

sudo nano /etc/postfix/main.cf

Adicione para logging verboso:

smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
smtpd_sasl_local_domain = $myhostname
debug_peer_level = 2
debug_peer_list = 127.0.0.1

Monitore tentativas de autenticação falhadas:

sudo grep "authentication failed" /var/log/mail.log

Configure rotação de logs para evitar crescimento excessivo:

sudo nano /etc/logrotate.d/postfix

Implemente backup regular das configurações:

sudo cp /etc/postfix/main.cf /etc/postfix/main.cf.backup.$(date +%Y%m%d)
sudo cp /etc/dovecot/conf.d/10-master.conf /etc/dovecot/conf.d/10-master.conf.backup.$(date +%Y%m%d)

Perguntas frequentes sobre configuração Postfix SASL

O que é autenticação SASL no Postfix?

SASL (Simple Authentication and Security Layer) é um protocolo que permite autenticação segura no Postfix. Ele verifica credenciais de usuários antes de permitir o envio de emails, prevenindo spam e uso não autorizado do servidor.

Qual a diferença entre Dovecot SASL e Cyrus SASL?

Dovecot SASL é mais simples de configurar e integra melhor com servidores de email completos. Cyrus SASL oferece mais opções de autenticação mas requer configuração mais complexa. Para a maioria dos casos, Dovecot SASL é recomendado.

Como testar se a autenticação SASL está funcionando?

Use o comando 'telnet localhost 587' seguido de 'EHLO teste' para verificar se AUTH aparece na resposta. Também pode usar 'postconf -n | grep sasl' para confirmar as configurações ativas no Postfix.

Postfix não aceita autenticação após configurar SASL, o que fazer?

Verifique se o serviço saslauthd está rodando com 'systemctl status saslauthd'. Confirme as permissões do socket em /var/run/saslauthd e se o usuário postfix tem acesso ao grupo sasl. Reinicie ambos os serviços após ajustes.

É possível usar SASL com TLS no Postfix?

Sim, é altamente recomendado combinar SASL com TLS para criptografar as credenciais durante a transmissão. Configure TLS no Postfix e force autenticação apenas em conexões criptografadas usando 'smtpd_tls_auth_only = yes'.

Conclusão

A configuração do Postfix com autenticação SASL no Ubuntu 22.04 estabelece uma base sólida para um servidor de email seguro e confiável. Esta implementação previne uso não autorizado e garante que apenas usuários autenticados possam enviar emails através do servidor.

• Mantenha certificados TLS atualizados e monitore logs regularmente para identificar tentativas de acesso suspeitas
• Implemente políticas de senha forte e considere autenticação de dois fatores para usuários administrativos
• Realize backups periódicos das configurações e teste a recuperação em ambiente de desenvolvimento

Leia também

• Instalando painel de gerenciamento de hospedagem VirtualMin.
• Como usar a ferramenta oficial de acesso remoto do Windows no PC e celular
• Como acessar o painel de gerenciamento dos meus Serviços.

Precisa de ajuda com configuração de servidor de email?

Nossa equipe especializada pode auxiliar na implementação completa de servidores de email seguros com Postfix e SASL. Oferecemos suporte técnico especializado para configurações avançadas e otimização de performance.

Conheça nossos servidores VPS otimizados para email