4.2.2. Servidor SMTP com autenticação

A instalação do Servidor SMPT limita a utilização apenas à rede interna.

Case seja necessário aceder ao servidor a partir o exterior (por exemplo, a partir da Internet) deve ser previsto um mecanismo que limite o acesso apenas a utilizadores devidamente autorizados, para não correr o risco de o nosso servidor ser considerado um open relay.

Objectivo

Complementar a instalação do Servidor SMTP com um mecanismo de autenticação de utilizadores. Como mecanismo de autenticação iremos usar o suporte sasl do dovecot.

Configuração

A configuração está dividida em duas partes: a configuração do dovecot para trabalhar com o postfix e a configuração do postfix para autenticar utilizadores no dovecot:

Dovecot

A configuração que é necessário alterar é guardada no ficheiro /etc/dovecot/dovecot.conf.

# [...]
auth default {
  # Space separated list of wanted authentication mechanisms:
  #   plain login digest-md5 cram-md5 ntlm rpa apop anonymous gssapi
  mechanisms = plain login
# [...]
  # It's possible to export the authentication interface to other programs:
  socket listen {
    #master {
      # Master socket is typically used to give Dovecot's local delivery
      # agent access to userdb so it can find mailbox locations. It can
      # however also be used to disturb regular user authentications.
      # WARNING: Giving untrusted users access to master socket may be a
      # security risk, don't give too wide permissions to it!
      #path = /var/run/dovecot/auth-master
      #mode = 0600
      # Default user/group is the one who started dovecot-auth (root)
      #user =
      #group =
    #}
    client {
      # The client socket is generally safe to export to everyone. Typical use
      # is to export it to your SMTP server so it can do SMTP AUTH lookups
      # using it.
      path = /var/spool/postfix/private/auth
      mode = 0660
      user = postfix
      group = postfix
    }
  }
# [...]

Reiniciar o serviço dovecot:

server:~# /etc/init.d/dovecot restart

Postfix

A configuração a alterar está guardada no ficheiro /etc/postfix/main.cf:

Acrescentar os parâmetros SASL:

# [...]
# SASL parameters
smtpd_sasl_auth_enable = yes
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_authenticated_header = yes
broken_sasl_auth_clients = yes
# [...]

As restrições de segurança devem permitir o acesso a utilizadores autenticados via sasl:

# [...]
## Seguranca
# Aceita ligações apenas a partir da rede local ou utilizadores autenticados
smtpd_client_restrictions = permit_mynetworks,
                            permit_sasl_authenticated,
                            reject

# Utilizadores locais ou autenticados podem enviar emails para qualquer endereco
# Rejeitar todos os outros
smtpd_recipient_restrictions = permit_mynetworks,
                               permit_sasl_authenticated,
                               reject_unauth_destination
# [...]

Reinicar o serviço postfix:

server:~# /etc/init.d/postfix restart

Configuração Clientes

Nas opções de segurança da configuração do servidor smtp dos clientes deverá ser indicado o utilizador a autenticar:

smtp_tls_auth.png

Ao enviar uma mensagem, será pedida a respectiva password.

Links relacionados

BlinkListblogmarksco.mmentsconnoteadel.icio.usdiggFarkfeedmelinksFurlLinkaGoGoMa.gnoliaNewsVineNetvouzRedditSimpySpurlWistsYahooMyWebFacebook

Comentários

fold
Parabéns pelo How-to Postfix Dovect and Sasl. Simples, Direto e bem explicado!
Robson (guest) 1229034338|%e %b %Y, %H:%M %Z|agohover

Saudações do Brasil Ribeiro,

O seu post sobre postfix Dovecot e Sasl foi muito útil para o meu trabalho e caso você tenha interesse em IPv6, eu poderia lhe ajudar.

Obrigado,
Robson

reply | options
unfold Parabéns pelo How-to Postfix Dovect and Sasl. Simples, Direto e bem explicado! by Robson (guest), 1229034338|%e %b %Y, %H:%M %Z|agohover
fold
Este post está excelente, parei devido a um erro.
João (guest) 1256730651|%e %b %Y, %H:%M %Z|agohover

A configuração está exactamente igual a do tutorial até aqui sempre tive o ok. Neste processo de configuração dá-me erro.

  1. […]

auth default {
# Space separated list of wanted authentication mechanisms:
# plain login digest-md5 cram-md5 ntlm rpa apop anonymous gssapi
mechanisms = plain login

  1. […]
    1. It's possible to export the authentication interface to other programs:

socket listen {
#master {
# Master socket is typically used to give Dovecot's local delivery
# agent access to userdb so it can find mailbox locations. It can
# however also be used to disturb regular user authentications.
# WARNING: Giving untrusted users access to master socket may be a
# security risk, don't give too wide permissions to it!
#path = /var/run/dovecot/auth-master
#mode = 0600
# Default user/group is the one who started dovecot-auth (root)
#user =
#group =
#}
client {
# The client socket is generally safe to export to everyone. Typical use
# is to export it to your SMTP server so it can do SMTP AUTH lookups
# using it.
path = /var/spool/postfix/private/auth
mode = 0660
user = postfix
group = postfix
}
}

  1. […]

root@server:/# /etc/init.d/dovecot restart
* Restarting IMAP/POP3 mail server dovecot Error: Error in configuration file /etc/dovecot/dovecot.conf line 1062: Unknown setting: user
Fatal: Invalid configuration in /etc/dovecot/dovecot.conf
[fail]

Já comentei esta linha, alterei para "user = server" ms dá-me os seguintes erros.

Error: Error in configuration file /etc/dovecot/dovecot.conf line 1081: Unknown section type (section changed in /etc/dovecot/dovecot.conf at line 1009)
Fatal: Invalid configuration in /etc/dovecot/dovecot.conf

reply | options
unfold Este post está excelente, parei devido a um erro. by João (guest), 1256730651|%e %b %Y, %H:%M %Z|agohover
Add a new comment
Page tags: autenticação auth correio dovecot email postfix sasl servidor smtp
Unless otherwise stated, the content of this page is licensed under Creative Commons Attribution-NonCommercial-ShareAlike 3.0 License