O autor selecionou o Free and Open Source Fund para receber uma doação como parte do programa Write for DOnations.
O Postfix é um agente de transferência de e-mail (MTA), uma aplicação utilizada para enviar e receber e-mails. Ele pode ser configurado para enviar e-mails apenas de uma aplicação local. Isso é útil em situações em que você precisa enviar regularmente notificações por e-mail de seus apps ou, simplesmente, tem um grande tráfego de saída que um provedor de serviço de e-mail de terceiros não permitiria. Ele também é uma alternativa mais leve do que executar um servidor SMTP completo, enquanto mantém a funcionalidade necessária.
Neste tutorial, você instalará e configurará o Postfix como um servidor SMTP apenas para envio. Você também solicitará certificados TLS gratuitos do Let’s Encrypt para seu domínio e criptografará os e-mails de saída usando-os.
your_domain
durante todo o processo. Você pode comprar um nome de domínio em Namecheap, obter um gratuitamente em Freenom ou usar o registrador de domínios de sua escolha.your_domain
apontando para o endereço IP público do seu servidor. Você pode seguir esta introdução para DNS DigitalOcean para mais detalhes sobre como adicioná-los.Nota: o hostname do seu servidor e o nome do seu Droplet devem corresponder ao your_domain
, pois a DigitalOcean define automaticamente os registros de PTR para o endereço IP do Droplet de acordo com o nome dele.
Você pode verificar o hostname do servidor digitando hostname
no prompt de comando. A saída deve corresponder ao nome que você deu ao Droplet quando ele foi criado.
Neste passo, você instalará o Postfix. A maneira mais rápida é instalar o pacote mailutils
, que inclui os pacotes do Postfix com alguns programas suplementares que você utilizará para testar o envio de e-mail.
Primeiro, atualize o banco de dados de pacotes:
- sudo apt update
Em seguida, instale o Postfix executando o seguinte comando:
- sudo apt install mailutils
Perto do final do processo de instalação, será mostrada a janela de configuração do Postfix:
A opção padrão é Internet Site
Essa é a opção recomendada para seu caso de uso. Então, pressione TAB
e, depois, ENTER
. Se você só vir o texto de descrição, pressione TAB
para selecionar OK
, depois ENTER
.
Se ele não aparecer automaticamente, execute o seguinte comando para iniciá-lo:
- sudo dpkg-reconfigure postfix
Após isso, você receberá outro prompt de configuração sobre o nome do sistema de e-mail:
O nome do sistema de e-mail deve ser o mesmo que você atribuiu ao seu servidor quando você o estava criando. Quando você terminar, pressione TAB
, seguido de ENTER
.
Agora você instalou o Postfix e poderá iniciar a configuração dele.
Neste passo, você configurará o Postfix para enviar e receber e-mails apenas do servidor no qual ele está em execução — ou seja do localhost
.
Para que isso aconteça, você precisa configurar o Postfix para ouvir apenas na interface de loopback, a interface de rede virtual que o servidor utiliza para se comunicar internamente. Para fazer as alterações, você precisará editar o arquivo de configuração principal do Postfix chamado main.cf
, armazenado em etc/postfix
.
Abra-o para edição utilizando seu editor de texto favorito:
- sudo nano /etc/postfix/main.cf
Procure as seguintes linhas:
. . .
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
. . .
Defina o valor da configuração inet_interfaces
para loopback-only
:
. . .
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = loopback-only
. . .
Outra diretiva que você precisará modificar é mydestination
, que especifica a lista de domínios que são entregues através do transporte de entrega de correio local_transport
. Por padrão, os valores são semelhantes a estes:
. . .
mydestination = $myhostname, your_domain, localhost.com, , localhost
. . .
Altere a linha para que ela fique como esta:
. . .
mydestination = localhost.$mydomain, localhost, $myhostname
. . .
Se o domínio é na verdade um subdomínio, e você gostaria que as mensagens de e-mail parecessem ter sido enviadas do domínio principal, adicione a seguinte linha ao final de main.cf
:
...
masquerade_domains = your_main_domain
A configuração opcional masquerade_domains
especifica os domínios para os quais o subdomínio será removido do endereço de e-mail.
Quando terminar, salve e feche o arquivo.
Nota: se você está hospedando vários domínios em um único servidor, os outros domínios podem também ser passados para o Postfix utilizando a diretiva mydestination
.
Em seguida, reinicie o Postfix executando o seguinte comando:
- sudo systemctl restart postfix
Você configurou o Postfix para enviar e-mails apenas do seu servidor. Agora, você irá testá-lo enviando uma mensagem de exemplo para um endereço de e-mail.
Neste passo, você testará se o Postfix pode enviar e-mails para uma conta de e-mail externa usando o comando mail
, que faz parte do pacote mailutils
que você instalou no primeiro passo.
Para enviar um e-mail de teste, execute o seguinte comando:
- echo "This is the body of the email" | mail -s "This is the subject line" your_email_address
Você pode alterar o corpo e o assunto do e-mail ao seu gosto. Lembre-se de substituir your_email_address
por um endereço de e-mail válido que você possa acessar.
Agora, verifique o endereço de e-mail para o qual você enviou esta mensagem. Você deve ver a mensagem em sua caixa de entrada. Se ele não estiver lá, verifique sua pasta de spam. Neste ponto, todos os e-mails que você envia não são criptografados, o que faz com que os prestadores de serviços pensem que ele é provavelmente spam. Você configurará a criptografia mais tarde, no passo 5.
Se você receber um erro do comando mail
, ou se não tiver recebido uma mensagem após um longo período de tempo, verifique se a configuração do Postfix que você editou é válida e que o nome e o hostname do seu servidor estão configurados para o seu domínio.
Observe que com esta configuração, o endereço no campo From
para os e-mails de teste que você envia estará na forma de your_user_name@your_domain
, onde your_user_name
é o nome de usuário do servidor com o qual você executou o comando.
Agora, você enviou um e-mail do seu servidor e verificou se ele foi recebido com sucesso. No próximo passo, você configurará o encaminhamento de e-mail para o root
.
Neste passo, você configurará o encaminhamento e-mail para o usuário root
, para que as mensagens geradas pelo sistema enviadas a ele em seu servidor sejam encaminhadas para um endereço de e-mail externo.
O arquivo /etc/aliases
contém uma lista de nomes alternativos para os destinatários de e-mail. Abra-o para edição:
- sudo nano /etc/aliases
No estado padrão, ele se parece com isto:
# See man 5 aliases for format
postmaster: root
A única diretiva presente especifica que os e-mails gerados pelo sistema são enviados para o root
.
Adicione a linha seguinte ao final do arquivo:
...
root: your_email_address
Com esta linha, você especifica que e-mails enviados para o root
acabam sendo encaminhados para um endereço de e-mail. Lembre-se de substituir your_email_address
pelo seu endereço de e-mail pessoal. Quando terminar, salve e feche o arquivo.
Para que a mudança entre em vigor, execute o seguinte comando:
- sudo newaliases
A execução do newaliases
construirá um banco de dados de aliases que o comando mail
utiliza, que são pegos do arquivo de configuração que você acabou de editar.
Teste se o envio de e-mails para o root
funciona executando:
- echo "This is the body of the email" | mail -s "This is the subject line" root
Você deve receber o e-mail em seu endereço e-mail. Se ele não estiver lá, verifique sua pasta de spam.
Neste passo, você configurou o encaminhamento de mensagens geradas pelo sistema para seu endereço de e-mail. Agora, você habilitará a criptografia de mensagens para que todos os e-mails que seu servidor enviar sejam imunizados contra adulteração em trânsito e sejam vistos como mais legítimos.
Agora você habilitará a criptografia SMTP solicitando um certificado TLS gratuito da Let’s Encrypt para o seu domínio (usando Certbot) e configurando o Postfix para usá-lo ao enviar mensagens.
O Ubuntu inclui o Certbot em seus repositórios de pacotes padrão, para que você possa instalá-lo executando o seguinte comando:
- sudo apt install certbot
Quando solicitada a confirmação, digite Y
e pressione ENTER
.
Como parte da configuração inicial de servidor nos pré-requisitos, você instalou o ufw
, o firewall descomplicado. Você precisará configurá-lo para permitir a porta HTTP 80
, para que a verificação de domínios possa ser concluída. Execute o comando a seguir para habilitá-lo:
- sudo ufw allow 80
O resultado ficará parecido com este:
OutputRule added
Rule added (v6)
Agora que a porta está aberta, execute o Certbot para obter um certificado:
- sudo certbot certonly --standalone --rsa-key-size 4096 --agree-tos --preferred-challenges http -d your_domain
Este comando ordena que o Certbot emita certificados com um tamanho de chaves RSA de 4096 bits para executar um servidor web temporário (--standalone
) para verificação, e para verificar através da porta 80
(--preferred-challenges http
). Lembre-se de substituir your_domain
pelo seu domínio antes de executar o comando e digite seu endereço de e-mail quando solicitado.
O resultado será semelhante a este:
OutputSaving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator standalone, Installer None
Obtaining a new certificate
Performing the following challenges:
http-01 challenge for `your_domain`
Waiting for verification...
Cleaning up challenges
IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at:
/etc/letsencrypt/live/your_domain/fullchain.pem
Your key file has been saved at:
/etc/letsencrypt/live/your_domain/privkey.pem
Your cert will expire on 2020-07-11. To obtain a new or tweaked
version of this certificate in the future, simply run certbot
again. To non-interactively renew *all* of your certificates, run
"certbot renew"
- If you like Certbot, please consider supporting our work by:
Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le
Como escrito nas notas, seu certificado e o arquivo de chave privada foram salvos em /etc/letsencrypt/live/your_domain
.
Agora que você tem seu certificado, abra o main.cf
para edição:
- sudo nano /etc/postfix/main.cf
Procure a seguinte sessão:
# TLS parameters
smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
smtpd_tls_security_level=may
smtp_tls_CApath=/etc/ssl/certs
smtp_tls_security_level=may
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
Modifique isso para ficar assim, substituindo your_domain
pelo seu domínio, onde necessário. Isso irá atualizar suas configurações TLS para o Postfix:
# TLS parameters
smtpd_tls_cert_file=/etc/letsencrypt/live/your_domain/fullchain.pem
smtpd_tls_key_file=/etc/letsencrypt/live/your_domain/privkey.pem
smtpd_tls_security_level=may
smtp_tls_CApath=/etc/ssl/certs
smtp_tls_security_level=may
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
Quando terminar, salve e feche o arquivo.
Aplique as alterações reiniciando o Postfix:
- sudo systemctl restart postfix
Agora, tente enviar um e-mail novamente:
- echo "This is the body of an encrypted email" | mail -s "This is the subject line" your_email_address
Em seguida, verifique o endereço de e-mail que você forneceu. É possível que você veja a mensagem em sua caixa de entrada imediatamente, pois os provedores de e-mail são muito mais propensos a marcar mensagens não criptografadas como spam.
Você pode verificar as informações técnicas sobre a mensagem de e-mail em seu cliente para ver que a mensagem está de fato criptografada.
Agora, você tem um servidor de e-mail apenas para envio, equipado com o Postfix. Criptografar todas as mensagens de saída é um bom primeiro passo eficaz para os provedores de e-mail não marcarem suas mensagens como spam imediatamente. Se você estiver fazendo isso em um cenário de desenvolvimento, então, esta medida deve ser o suficiente.
No entanto, se o seu caso de uso for enviar e-mails para usuários do site em potencial (como e-mails de confirmação para uma inscrição no quadro de mensagens), verifique a configuração de registros SPF, para que os e-mails do seu servidor tenham ainda mais probabilidade de serem considerados legítimos.
Thanks for learning with the DigitalOcean Community. Check out our offerings for compute, storage, networking, and managed databases.
This textbox defaults to using Markdown to format your answer.
You can type !ref in this text area to quickly search our full set of tutorials, documentation & marketplace offerings and insert the link!