Professional Documents
Culture Documents
TRABALHO DE GRADUAO
c 2014
Todos os direitos autorais reservados a Luciano Silva da Silva. A reproduo de partes ou do
todo deste trabalho s poder ser feita mediante a citao da fonte.
E-mail: luciano@cpd.ufsm.br
elaborado por
Luciano Silva da Silva
COMISSO EXAMINADORA:
RESUMO
Trabalho de Graduao
Curso Superior de Tecnologia em Redes de Computadores
Universidade Federal de Santa Maria
ESTUDO DE UM SISTEMA DE E-MAIL UTILIZANDO POSTFIX COM SPF, DKIM
E DMARC
AUTOR: LUCIANO SILVA DA SILVA
ORIENTADOR: RENATO PREIGSCHADT DE AZEVEDO
Local da Defesa e Data: Santa Maria, 11 de Dezembro de 2014.
A comunicao por e-mail remota dos primrdios da internet e uma das aplicaes
mais importantes e de maior uso em rede de computadores. Com a disseminao do uso da
internet e do e-mail, tem sido um problema para os administradores de rede na classificao
deste tipo de correspondncia eletrnica. E-mails no desejados caracterizados como SPAM
geram um trfego desnecessrio na rede alm de uma sobrecarga nos servidores. Este trabalho
apresenta um configurao de um sistema de envio e recebimento de e-mail mostrando o funcionamento dos protocolos envolvidos no transporte da mensagem como SMTP e ESMTP, na
recuperao de mensagem como os protocolos POP3 e IMAP e construo e formato da mensagem como o MIME. Aspectos de segurana no e-mail como PGP e S/MIME assim como tecnologias para reduo de e-mail indesejados em nvel de domnio como SPF, DKIM e DMARC.
realizado uma implantao de um agente de transferncia de e-mails com o software Postfix e Courier com a configurao para uso com autenticao SASL, uso dos protocolos POP3
e IMAP, uso de camada de segurana TLS alm de aplicao de DKIM em e-mails enviados
atravs do software open-dkim e aplicao de poltica SPF para verificao dos e-mails recebidos. A instalao dentro da organizao utilizando ferramentas com cdigo aberto permite uma
economia e segurana de um modo eficiente e didtico para o administrador de rede.
ABSTRACT
Undergraduate Final Work
Bachelor Thesis
Federal University of Santa Maria
STUDY OF A SYSTEM OF E-MAIL USING POSTFIX WITH SPF, DKIM AND
DMARC
AUTHOR: LUCIANO SILVA DA SILVA
ADVISOR: RENATO PREIGSCHADT DE AZEVEDO
Defense Place and Date: Santa Maria, December 11st , 2014.
The remote communication by e-mail of the internet beginning and is one of the most
important applications and greater use of computer network. With the widespread use of the
Internet and email, has been a problem for network administrators in the classification of such
electronic mail. Emails unwanted characterized as SPAM generate unnecessary network traffic
and a burden on the servers. This paper presents a configuration of a sending and receiving email system showing the operation of the protocols involved in the transport of the message as
SMTP and ESMTP, the message of recovery as the POP3 and IMAP protocols, construction and
message format as MIME . Safety aspects in the email as PGP and S / MIME and technologies
to reduce unwanted email at the domain level as SPF, DKIM and DMARC. It held a deployment
of a mail transfer agent with Postfix and Courier software with the configuration for use with
SASL authentication, using the POP3 and IMAP protocols, use of TLS security layer as well as
DKIM application in emails sent through the open-dkim software and SPF policy enforcement
for verification of incoming mail. The installation within the organization using tools with
open source allows an economy and security of an efficient and didactic way for the network
administrator.
Keywords: e-mail,SPF,DKIM,DMARC.
LISTA DE FIGURAS
Figura 2.1
Figura 2.2
Figura 2.3
Figura 2.4
Figura 2.5
Figura 2.6
Figura 3.1
Figura 4.1
Figura 4.2
Figura 4.3
Figura 4.4
Figura 4.5
Figura 4.6
Figura 4.7
Figura 4.8
Figura 4.9
17
17
18
19
21
21
23
27
27
28
29
29
30
31
32
32
LISTA DE ANEXOS
BIND
BIT
BNF
Backus-Naur Form
DMARC
DNS
DKIM
FQDN
IMAP
ISC
HTML
LDAP
MD5
Message-Digest algorithm 5
MIME
MDA
MTA
MTU
MX
Mail eXchange
PGP
POP3
RBL
RFC
SASL
SHA1
SMTP
SPF
TCP
TLS
TXT
Texto Puro
XML
SUMRIO
1 INTRODUO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2 REVISO BIBLIOGRAFICA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.1 Protocolo SMTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.2 Protocolo ESMTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.3 Protocolo POP3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.4 Protocolo IMAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.5 Formato Padro do E-Mail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.6 MIME . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.7 PGP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.8 SMIME . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.9 SPF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.10DKIM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.11DMARC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3 FERRAMENTAS E MATERIAIS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.1 DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.1.1 BIND . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.2 POSTFIX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.3 Courier . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.4 SASL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.5 SPAMASSASSIN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4 ESTUDO DE CASO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.1 AMBIENTE DE TESTES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.1.1 Teste configurao DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.1.2 Instalao do PostFix . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.2 SASL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.3 Proteo TLS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.4 Protocolos POP3 e IMAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.5 Configurando o DKIM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.6 Configurando o SPF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5 CONCLUSO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
REFERNCIAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
APNDICES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
11
13
13
14
15
16
16
17
18
19
19
20
21
23
23
24
24
25
25
26
27
27
27
27
29
30
31
31
32
33
34
36
11
1 INTRODUO
A comunicao por e-mail remota dos primrdios da internet e uma das aplicaes
mais importantes e de maior uso em rede de computadores. Inicialmente planejada para troca
de mensagens de textos e de arquivos, a longo do tempo possibilitou o seu uso para envio de
mdia como fotos, hiperlinks, textos formatados em HTML, etc (TANENBAUM, 2003).
Com o a disseminao do uso da internet, o uso e-mail tambm se difundiu, destacandose a modalidade de mala direta, ou seja, envio de um e-mail para muitos destinatrios, tem sido
um problema para os administradores de rede na classificao deste tipo de correspondncia
eletrnica. E-mails no desejados caracterizados como SPAM geram um trfego desnecessrio
na rede alm de uma sobrecarga nos servidores.
Muitas iniciativas tem sido tomadas de modo a regularizar a comunicao por e-mail.
Aspectos como autorizao, confiabilidade e segurana vem sendo elaborados de modo a melhorar o funcionamento.
No ano de 2014, o governo brasileiro publicou a Portaria Interministerial nmero 141
que dispe sobre comunicaes de dados da Administrao Pblica Federal direta, autrquica
e fundacional onde servios de fornecedores privados ou entidades fornecedores deve adotar o
e-PING Padres de Interoperabilidade do Governo Eletrnico(BRASIL, 2014a).
O e-PING define um conjunto mnimo de premissas, polticas e especificaes tcnicas que regulamentam a utilizao da Tecnologia de Informao e Comunicao com vrios
itens referentes a troca de mensagem entre usurios por e-mail abordados no presente trabalho(BRASIL, 2014b).
O trabalho atual faz um estudo sobre o funcionamento do e-mail de modo a servir de
base para futuros trabalhos na rea.
No captulo 2 ser revisado formato bsico de um mensagem de e-mail e o MIME assim como a estrutura e protocolos necessrios para sua manipulao e transporte como SMTP,
ESMTP, POP3 e IMAP. As principais tecnologias de segurana aplicadas ao e-mail como PGP
e S/MIME e em nvel de domnio como SPF,DKIM e DMARC so revisadas nesta seo. No
captulo 3 ser abordado as principais ferramentas ou softwares que utilizam os recursos apresentados na seo anterior como o servio de nome BIND, o MTA Postfix, o Courier e SASL.
No captulo 4 tem-se um estudo de caso onde o processo de instalao realizado a partir das
condies bsicas de funcionamento de um sistema de envio de e-mail at a configurao mais
12
13
2 REVISO BIBLIOGRAFICA
Neste Captulo ser visto os principais protocolos utilizados para troca de mensagem de
e-mail como o SMTP e o ESMTP, utilizado para transferncia entre servidores e, POP e IMAP
utilizados para recuperao pelo agente de usurio de sua caixa postal no servidor. Ser visto
o formato padro de e-mail e o MIME que permite o uso de caracteres especiais. A nvel de
segurana ser visto o uso do PGP e do S/MIME assim como o uso do SPF, DKIM e DMARC
que so utilizados em nvel de domnio.
2.1
Protocolo SMTP
O protocolo Simple Mail Transfer Protocol (SMTP) um protocolo elaborado para per-
14
NOOP: Nenhuma operao ser executada, sua utilizao para checar se a sesso ainda em
aberta.
Por outro lado h um grande nmero de resposta por parte do servidor, (conforme
anexo). As respostas comuns de operao so:
211: Situao do sistema.
220: Pronto para operao.
250: Resposta positiva a pedido feito pelo cliente.
354: Pede a cliente que inicie a transmisso do e-mail
2.2
Protocolo ESMTP
O Extended SMTP ou ESMTP uma derivao do protocoloco original SMTP no qual
15
usar este comando e havendo permisso por parte do servidor ser iniciada uma comunicao
por TLS embora os comandos continuem em ESMTP.
2.3
Protocolo POP3
O Post Office Protocol 3 ou protocolo POP3 assim como o IMAP que ser visto no pr-
ximo tpico so protocolos de recuperao de e-mail, ou seja, eles so utilizados pelo Agente
de e-mail do usurio de forma a transferir ou copiar o e-mail de sua caixa postal para outro
local. Tambm depende de daemon de sistema esperando conexes TCP na porta 110 e requer
autenticao para acesso a caixa postal. Estabelecida a conexo o primeiro estado do autorizao (MYERS, 1996) onde o usurio identificado. Se for aprovado, o estado seguinte
de transao. Por fim aps o comando de sada h o estado adaptao onde so executados os
comandos como apagar mensagens. Os principais comandos so:
USER user: Identificao do usurio.
PASS password: Senha do usurio
STAT: Mostra o nmero total de mensagens e tamanho total ocupado.
LIST n: Sem o parmetro n lista todas mensagem na caixa postal com o tamanho de cada
mensagem armazenada.
RETR n: Faz com que o contedo da mensagem n seja transmitido pela conexo.
QUIT: finaliza a sesso POP3
DELE n: Apaga a mensagem n aps a finalizao da sesso POP3.
RSET: Reinicia a sesso POP3 sem executar operaes como apagar mensagens.
TOP n x: Assim como o comando RETR permite transmitir o cabealho e x linhas do corpo
da mensagem n.
NOOP: Apenas para manter a conexo aberta.
Alm da transmisso em si do dado solicitado, as respostas do servidor seguem o padro:
+OK mensagen: O comando solicitado foi executado com sucesso.
-ERR mensagem: Ocorreu um erro no comando anterior.
16
2.4
Protocolo IMAP
O (TANENBAUM, 2003) Internet Message Access Protocol ou IMAP assim como o
POP3 um protocolo de recuperao porm com mais recursos, mas tambm significativamente mais complexo (KUROSE, 2010). O IMAP segue as mesmas condies do POP3 com a
diferena principal de aguardar conexes na porta 143 e guardar as mensagens no servidor de
modo que o usurio possa acessar suas mensagens de qualquer computador. O IMAP tambm
permite que possa criar e organizar as mensagens em diferentes pastas assim como marcar as
mensagens como lida, respondida, marcada, apagada, rascunho e recente(CRISPIN, 1994). Os
comandos do cliente de IMAP iniciam com um identificador chamado tag e para cada novo
comando deve ter uma tag diferente. As respostas do servidor podem iniciar com * chamadas untag ou iniciarem com a "tag" quando for solicitado por comando do cliente seguidos dos
parametros.
OK: Indica sucesso
NO: Indica falha
BAD: Indica erro como comando no reconhecido ou erro de sintaxe.
2.5
como remetente, destinatrio, endereo e outros, o formato foi planejado para a mensagem de
de e-mail contm tambm campos como estes chamados de cabealhos. De modo semelhante,
quando uma mensagem de e-mail enviada, um cabealho contendo informaes perifricas
antecede o corpo da mensagem em si.(KUROSE, 2010).
"Cada campo de cabealho consiste em um nica linha de texto ASCII contendo o nome do
campo, um sinal de dois pontos e, normalmente, um valor.(TANENBAUM, 2003)"
Desde modo, so empregado cabealhos para auxiliarem no transporte da mensagem como na
figura 2.1.
H outros cabealhos como na Figura 2.2 destinados a outras funes.
Ainda h a permisso de criao de novos cabealhos desde que estes comecem com os
caracteres "X-". Estes cabealhos sero utilizados pelo programa MTU do usurio ou mesmo
pelos MTA adicionando alguma informao especfica.
17
MIME
Com a limitao do protocolo SMTP em trabalhar com caracteres ASCII foi necessrio a
criao do Multipurpose Internet Mail Extensions (MIME) que permite enviar outros caracteres
alm dos contidos na tabela ASCII assim como enviar outros tipos de formato como arquivos,
imagens e o outros.
Os cabealhos includos pelo MIME so:
MIME-Version: Identifica a verso do MIME, sua ausncia indica que uma mensagem de
texto simples.
Content-Description: Ajuda a identificar a mensagem.
Content-Id: Assim com o cabealho message-Id, um nmero exclusivo para referencias deste
item.
Content-Transfer-Encoding: Define o formato que o contedo ser transferido pelo mensagem.
Os valores possvel so: "BASE64", "QUOTED-PRINTABLE", "8BIT", "7BIT", "BINARY",
"x-token"(BORESTEIN, 1992) onde os mais significativos o base64. "esse esquema, grupos
de 24 bits so divididos em at quartro unidades de 6bits, com cada unidade sendo enviada
com um caractere ASCII vlido"(TANENBAUM, 2003) e quoted-printable que trate-se de um
cdigo ASCII onde todo caractere cujo valor ultrapasse o 127, mximo desda codificao, seja
substitudo por um sinal de igual e pelo valor do carcter como dois dgitos hexadecimais.
Content-Type: No formato de um tipo e subtipo separados por uma barra, especifica a contedo
18
da transmisso que pode ser por exemplo: Text, Image, Video, Application, entre outros. Um
tipo muito utilizado o multipart/alternative que especifica que a mensagem contm mais de
uma parte, com incio e o fim de cada parte claramente delimitados. Com este cabealho vem a
tag boundary que define um sequncia de caracteres que ser a separao de cada parte.
2.7
PGP
Criado por Phil Zimmerman o Pretty Good Privacy (PGP) uma ferramenta que permite
Este digest encriptado com a chave privada do remetente e adicionado ao corpo da mensagem
como pode ser visto na Figura 2.3.
hash ou funo de hash um algortimo de disperso que obtm uma um valor quase exclusivo ou o mais
individual possvel apartir de um entrada que pode ser uma mensagem
19
SMIME
Assim como o PGP, o Secure/Multipurpose Internet Mail Extensions (S/MIME) se pro-
SPF
Sender Policy framework (SPF) uma abordagem diferente para evitar a falsificao
20
"all"deve ser o ltimo parametro sob pena de nenhum outro parametro posterior ser validado.
Os qualificadores possveis so:
"+":(Pass) - Vlido (valor padro)
-":(Fail) - Invlido
"~":(Softfail) - Invlido Leve
"?":(Neutral) - Neutro
E h outros opes que poderiam ser includas como "include", "ptr", "redirect"e "ipv6".
(WONG, 2006)
Caso o MTA trabalhe com e-mails redirecionados, necessrio que o relay reescreva o
endereo do remetente no envelope e encapsule o endereo original em um processo chamado
Sender Rewriting Scheme (SRS).
2.10
DKIM
DomainKeys Identified Mail (DKIM) assim o SPF permite uma validao de um e-mail
21
DMARC
Domain-based Message Authentication, Reporting and Conformance (DMARC) assim
como o SPF e DKIM atua a nvel da gerncia de um domnio de rede mas enquanto que o
SPF define quais os hosts do domnio esto habilitados a enviar e-mail e o DKIM assina as
mensagens enviadas, o DMARC define uma poltica que deve ser utilizada pelo receptor. O
DMARC no invalida as tecnologias SPF e DKIM e sim utiliza-as (DMARC.ORG, 2014).
22
TXT a um domnio DNS para validao, mtodo de recuperao da chave pblica e identidade
assinante.
O DMARC estabelece uma poltica que pode ser: rejeio onde o receptor descartar
toda mensagem que no passar no testes de validao; quarentena onde o receptor colocar os
e-mails no validados recebidos em uma uma situao transio; ou nenhuma onde o receptor
no tomar nenhuma ao com as mensagens no validadas recebidas, a no de reportagem ao
emissor (KUCHERAWY, 2014). Na Figura 2.6 pode ser visto a aplicao da poltica em "Apply
Appropriate DMARC Policy". No necessrio dizer que as mensagens validadas no devem
sofrer quaisquer restrio e sero entregues normalmente (KUCHERAWY, 2014).
Mesmo que somente as tags referentes a verso e a poltica seja exigidas para o funcionamento (SUPPORT.GOOGLE.COM, 2014), h uma srie de recursos uteis que deve ser
utilizados pelo administrador de rede. O protocolo estabelece uma cota para anlise no qual
ser aplicada a poltica definida que vai de 0%, onde nenhum e-mail ser aplicada a poltica,
a 100% onde a poltica ser aplicada todos os e-mails. Este contexto extremamente til
para o processo de implantao ou ciclo de implantao do DMARC em um domnio (SUPPORT.GOOGLE.COM, 2014).
O DMARC tem o recurso de enviar relatrios dirios (KUCHERAWY, 2014) ao administrador do dominio em formato XML, um formato adequado relatrios, ao endereo de
e-mail do proprietrio do domnio descrito no registro DMARC atravs de um e-mail, independente da poltica e cota adotada. H ainda a opo de um relatrio com informaes forenses
atravs de uma tag especfica (WWW.ZYTRAX.COM, 2014). Embora esta tecnologia seja empregada em alguns site como AOL2 ,Gmail3 , Hotmail4 ,Yahoo5 (DMARC.ORG, 2014) a edio
das normas pela RFC esta em modo rascunho na data de apresentao deste trabalho.
Neste Captulo foi visto os principais protocolos responsveis pela transferncia de mensagens de e-mail entre servidores como o SMTP e o ESMTP, ou entre cliente e e caixa postal
como o POP3 e IMAP assim como a composio do e-mail formado por cabealhos especficos
e o corpo do e-mail Foi visto ferramentas de segurana como o PGP e o S/MIME e tambm
ferramentas de segurana em nvel de domnio como o SPF, DKIM e o DMARC.
2
3
4
5
http://www.aol.com/
https://mail.google.com/
https://www.hotmail.com/
https://mail.yahoo.com
23
3 FERRAMENTAS E MATERIAIS
DNS
O formato de comunicao em redes de computadores que utilizam o protocolo TCP/IP
um formato numrico denominado endereo de rede que pode ser ipv4 ou ipv6 ou ainda ambos
em um estado de transio, cada host possui um endereo. A dificuldades de memorizao
dos valores nmericos foi uma das razes para do DNS. O DNS um servio hierrquico e
distribudo em redes de computadores destinado a traduo dos endereos de rede para um
formato baseado em caracteres denominado Full-qualified domain name (FQDN) composto do
nome do host, ponto e o nome completo do domnio.
A consulta DNS se d atravs de uma requisio do cliente ao servidor, esta requisio
pode ser uma consulta para um endereo FQDN onde ser retornado o IP ou uma requisio
contendo um endereo IP onde ser retornado o nome do host atrelado a este IP chamado
reverso. Isso evita que algum utilize um domnio que no lhe pertence para enviar spam,
por exemplo.
H outros tipos de consultas disponveis como na Figura 3.1.
24
3.1.1
BIND
O Berkeley Internet Name Domain6 (BIND) mantido pela Internet Software Consor-
tium (ISC) e a implementao mais utilizada como servidor de nomes. O BIND livre para
uso e compatvel com a maioria dos distribuies linux empregada em servidor como a distribuio Debian Wheezy7 utilizada neste trabalho.
No necessrio no presente trabalho a configurao completa do servio de nomes
BIND, necessrio o acesso a configurao do mesmo de modo a inserir registro do tipo TXT
alm da correta configurao do nome e MX para o servidor de e-mail a ser implementado.
3.2
POSTFIX
A funo bsica de um MTA capacidade receber e entregar mensagem de e-mail via
SMTP ou para a caixa postal do usurio no caso do Mail Delivery Agent (MDA), e existem
inmeros programas que objetivam este fim como Postfix8 , Qmail9 , Sendmail10 Exim11 , Microsoft Exchange12 e inmeros outros que normalmente utilizam algum destes citados como base
e adicionam algumas alteraes e/ou integram os mais variados servios(OLIVEIRA, 2011).
O Postfix foi desenvolvido a partir do Sendmail com objetivos de ser rpido e robusto,
fcil de configurar e seguro enquanto compatvel com este. Para isto o Postfix utiliza diversos
programas, cada qual executando uma nica tarefa e utilizando mltiplas camadas de segurana
para proteger o sistema. H um daemon13 que responsvel por gerenciamento dos outros
programas que so executados somente quando h necessidade.
Durante a instalao possvel a escolha de modelos bsicos de configurao para o
postfix:
Internet Site: Acesso completo a internet para envio e recebimento de e-mail.
Smarthost: Servidor recebe mensagens, mas o envio fica a cargo de outra mquina.
Satellite system: servidor envia atravs de outra mquina e no recebe mensagens.
6
7
8
9
10
11
12
13
http://www.isc.org/downloads/bind/
https://www.debian.org/
http://www.postfix.org/
http://www.qmail.org/
http://www.sendmail.com
http://www.exim.org/
http://www.emailexchange.com.br/
processo que roda de forma independente em plano de fundo
25
Para configurao adequada de um servidor de e-mail de produo ser necessrio a configurao dos arquivos /etc/postfix/main.cf para parmetros de configurao e /etc/postfix/master.cf
para gerncia de processos e servios.
O arquivo /var/log/mail.log contem um registro das operaes executadas pelo postfix,
com registro de conexes, entregas, conexes pop, imap e operaes como spf e dkim.
3.3
Courier
O Courier14 um programa que possibilita a recuperao das mensagens de e-mail da
caixa postal do usurio de forma remota atravs dos protocolos POP3 ou IMAP seja atravs de
TLS ou no. Os formatos de caixas postal ou recipientes de e-mail pode ser:
mailbox: Um nico arquivo com todas mensagens concatenadas separadas pela string
"From"seguida pelo remetente e data da mensagem.
Maildir: Cada mensagem forma um arquivo nico. formado pelo diretrio raiz chamado "Maildir" que deve conter no mnimo os subdiretrios: "tmp" para mensagens
recm-chegadas, "new" para novas mensagens e "cur" para mensagens marcadas como
lidas. H ainda a possibilidade de criao de outros subdiretrios assim como possibilidade de marcao das mensagens a partir de sinalizaes ou "flags".
H inmeros programas que se prope a este fim como: dovecot15 , cyrrus16 , popa3d17 e
outros. Foi optado neste trabalho o uso do Courier pela grande disseminao assim como farta
documentao e casos de uso.
3.4
SASL
Define pela RFC 2222, um pacote que permite o uso de mecanismos adicionais de
http://www.courier-mta.org/
http://dovecot.org/
http://www.cyrusimap.org/
http://www.openwall.com/popa3d/
26
cada como por exemplo a configurao do SASL fica facilitada a configurao caso o administrador do sistema opte por um autenticao unificada como por exemplo o LDAP.
3.5
SPAMASSASSIN
H inumeros programas de combate a mensagens solicitadas e um dos mais documenta-
dos spamassassin18 . O spamassassin utiliza as mais diversas tcnicas para controle de e-mail
recebidos como procura por strings, analise de bayes19 , lista de bloqueio chamadas RBL (Real
Time Blacklist) , listas brancas (White Lists), SPF e DKIM , razor que um catlogo de spam
baseado em assinaturas de e-mail. Todos estes itens para montar uma pontuao ou "score".
Quanto maior esta pontuao menor a chance da mensagem ser um spam.O Dspam20 , uma
ferramente similar ao spamassassin permite uma base personalizada por usurio.
Uma abordagem de uma ferramenta como dspam ou spamassassin deve ser feita com
muito cuidado pelo administrador de rede. Todos os fatores que determinam o "Spam" devem
ser estudados e configurados corretamente sob pena do sistema realizar um efeito contrrio
ao que se prope como excluir mensagem legtimas e deixar passar mensagens que o usurio
considerar como "Spam".
Neste Captulo foi visto uma viso geral de alguns programas que iram exercer funes
principais em um sistema de e-mail. Embora o BIND no seja de fato configurado em funo
deste sistema, ele fundamental para o funcionamento deste servio. O Postfix a programa
responsvel pela estrutura principal e nele deve ser configurado praticamente todos os parmetros necessrios. O Courier tem a funo da implementao dos protocolos de recuperao dos
e-mails e h uma viso geral sobre o funcionamento do Spamassassin.
18
19
20
http://spamassassin.apache.org/
Processo de usar mtodos estatsticos para classificar documentos por categorias
http://dspam.nuclearelephant.com/
27
4 ESTUDO DE CASO
AMBIENTE DE TESTES
Para realizao dos testes, utilizamos a ltima verso estvel do Debian Wheezy que
tem como MTA padro o programa Exim. Deve ser retirado e instalado o PostFix como MTA.
4.1.1
4.1.2
Instalao do PostFix
Aps a 1a etapa pode se fazer um teste simples para ver o funcionamento do servidor
28
O mesmo teste pode ser realizado para outro host em que o estado de configurao esteja
similar de modo que pode-se fazer o mesmo processo visando um usurio noutro servidor com
um comando similar ao utilizado alterando-se destinatrio e servidor.
Pode-se capturar o trfego da rede como visto na Figura 4.3. As informaes contidas no e-mail
so envidas de modo de texto plano e mostrado a captura do trfego de rede de um envio de
uma mensagem atravs do software Wireshark21 , como a mensagem em texto plano pode-se
visualizar todo contedo da mensagem.
21
https://www.wireshark.org/
29
4.2
SASL
Para permitir que o servidor possa ser acessado externamente deve-se ativar um meca-
nismo para limitar o acesso somente a usurios autorizados. Neste caso pode-se usar o Simple
Authentication and Security Layer (SASL) Neste caso a senha ser codificada na base64 para
ser realizado o login
Para teste ser usado os comandos para codificar o usurio e senha como esta apresentado na Figura 4.4.
30
Uma decodificao bsica apartir dos campos capturados na anlise tem-se os valores:
echo "YWx1bm8x"|base64 decode && echo -n ":"&& echo "MTIzbXVkYXI="|base64
decode
Onde o resultado pelo comando a sequncia "aluno1:123mudar"contedo o usurio e
senha.
4.3
Proteo TLS
Para proteo deve ser instalado criptografia TLS no protocolo SMTP utilizando-se a
parte 3 do Anexo A. Vai ser perguntado informaes como chave secreta e outras informaes.
Apos a configurao foi realizado um teste com o comando
openssl s_client -starttls smtp -crlf -connect dominioa.intranet.local:25
Foi realizada a mesma transmisso que o modo anterior e feita uma analise com wireshark.
31
4.4
Configurando o DKIM
A configurao do DKIM fcil e simples, o arquivo /etc/opendkim.conf deve conter
32
Configurando o SPF
Diferetemente do que foi realizado na configurao do DKIM onde foi necessrio colo-
car a assinatura gerada no e-mail que saia pelo MTA. A configurao do SPF alm da realizada
no servidor de domnio para envio de e-mails, deve haver uma integrao entre o MTA e uma
ferramenta para anlise do e-mails que chegam se o domnio que envio esta de acordo com as
normas SPF.
Na Figura 4.9 tem-se na linhas 4 e 5 a validao do e-mail enviado do dominioa.intranet.local
para dominiob.intranet.local sendo aprovado com o valor "PASS".
33
5 CONCLUSO
34
REFERNCIAS
35
MYERS, J. [RFC - 2222] Simple Authentication and Security Layer (SASL). Network
Working Group, Disponvel em <https://www.ietf.org/rfc/rfc2222.txt>. Acessado em Novembro/2014.
OLIVEIRA, W. d. M. Postfix - Servidor de E-mail- Guia Prtico. 1th.ed. Rio de Janeiro, RJ,
Brasil: Editora Cincia Moderna Ltda., 2011.
SUPPORT.GOOGLE.COM. Criar um registro DMARC. Acessado em Novembro/2014,
https://support.google.com/a/answer/2466563?hl=pt-BR.
TANENBAUM, A. S. Redes de Computadores. 4th.ed. xBoston, MA, USA: xAddison-Wesley
Longman Publishing Co., Inc., 2003.
WONG, M. [RFC - 4408] Sender Policy Framework (SPF) for Authorizing Use
of Domains in E-Mail - Version 1. Network Working Group,
Disponvel em
How
PGP
http://www.pgpi.org/doc/pgpintro/.
works.
Acessado
em
Novembro/2014,
36
APNDICES
37
Parte 1
Na verso 7 do sistema operacional Debian, deve-se retirar o exim e instalar o postfix
apt-get update
apt-get upgrade
apt-get remove exim4
apt-get install postfix
No quadro de opes que ser apresentado deve ser selecionada a opo "internet site".
O arquivo de configurao inicial do postfix main.cf ficar da seguinte forma:
mydomain = intranet.local
myhostname = dominiob.$mydomain
myorigin = $mydomain
mydestination = $myhostname, $mydomain
mynetworks = 127.0.0.0/8 192.168.0.0/24
home_mailbox = Maildir
A.2
Parte 2
Instalacao do Simple Authentication and Security Layer
smtpd_sasl_auth_enable = yes
broken_sasl_auth_clients = yes
smtpd_sasl_authenticated_header = yes
smtpd_helo_required = yes
38
smtpd_recipient_restrictions =
permit_myneworks,
permit_sasl_authenticated,
reject_unauth_destination
START=yes
OPTIONS=-c -m /var/spool/postfix/var/run/saslauthd -r"
pwcheck_method:
mech_list:
A.3
saslauthd
plain login
Parte 3
Para criao dos certificados auto-assinados deve ser executados os comandos abaixo:
openssl req -new -x509 -extensions v3_ca -keyout cakey.pem -out cacert.p
-days 3650
smtpd_tls_auth_only = yes
smtp_use_tls = yes
39
smtpd_use_tls = yes
smtpd_tls_key_file = /etc/postfix/ssl/smtpd.key
smtpd_tls_cert_file = /etc/postfix/ssl/smtpd.crt
smtpd_tls_CAfile = /etc/postfix/ssl/cacert.pem
A.4
Parte 4
Instalao do Courier apt-get install courier-pop-ssl courier-imap-ssl
A.5
Parte 5
Instalao do OpenDKIM
AutoRestart Yes
AutoRestartRate 10/1h
UMask 002
Syslog yes
SyslogSuccess Yes
LogWhy Yes
Canonicalization relaxed/simple
ExternalIgnoreList refile:/etc/opendkim/TrustedHosts
InternalHosts refile:/etc/opendkim/TrustedHosts
KeyTable refile:/etc/opendkim/KeyTable
SigningTable refile:/etc/opendkim/SigningTable
40
Mode sv
PidFile /var/run/opendkim/opendkim.pid
SignatureAlgorithm rsa-sha256
UserID opendkim:opendkim
Socket inet:12301@localhost
milter_protocol = 2
milter_default_action = accept
smtpd_milters = inet:localhost:12301
non_smtpd_milters = inet:localhost:12301
127.0.0.1
localhost
192.168.0.1/24
*.intranet.local
A.6
Parte 6
Na instalao do SPF, h duas opes: uma baseada em python e outra baseada em perl.
41
Nesta instalao foi optado por usar a baseada em python utilizando-se o comando:
a restrio:
check_policy_service unix:private/policy-spf
E adicionar ao final do arquivo a linha:
policy-spf_time_limit = 3600s