UNIVERSIDADE FEDERAL DE SANTA MARIA

CLEGIO TCNICO INDUSTRIAL DE SANTA MARIA

CURSO SUPERIOR DE TECNOLOGIA EM REDES DE
COMPUTADORES

ESTUDO DE UM SISTEMA DE E-MAIL

UTILIZANDO POSTFIX COM SPF, DKIM E
DMARC

TRABALHO DE GRADUAO

Luciano Silva da Silva

Santa Maria, RS, Brasil

2014

ESTUDO DE UM SISTEMA DE E-MAIL UTILIZANDO

POSTFIX COM SPF, DKIM E DMARC

Luciano Silva da Silva

Trabalho de Graduao apresentado ao Curso Superior de Tecnologia em

Redes de Computadores da Universidade Federal de Santa Maria (UFSM, RS),
como requisito parcial para a obteno do grau de
Tecnlogo em Redes de Computadores

Orientador: Prof. Dr. Renato Preigschadt de Azevedo

Santa Maria, RS, Brasil

2014

Silva, Luciano Silva da

ESTUDO DE UM SISTEMA DE E-MAIL UTILIZANDO POSTFIX COM SPF, DKIM E DMARC / por Luciano Silva da Silva. 2014.
41 f.: il.; 30 cm.
Orientador: Renato Preigschadt de Azevedo
Monografia (Graduao) - Universidade Federal de Santa Maria,
Clegio Tcnico Industrial de Santa Maria, Curso Superior de Tecnologia em Redes de Computadores, RS, 2014.
1. E-mail. 2. Postfix. 3. SPF. 4. DKIM. 5. DMARC. I. Azevedo ,
Renato Preigschadt de. II. Ttulo.

c 2014

Todos os direitos autorais reservados a Luciano Silva da Silva. A reproduo de partes ou do
todo deste trabalho s poder ser feita mediante a citao da fonte.
E-mail: luciano@cpd.ufsm.br

Universidade Federal de Santa Maria

Clegio Tcnico Industrial de Santa Maria
Curso Superior de Tecnologia em Redes de Computadores

A Comisso Examinadora, abaixo assinada,

aprova o Trabalho de Graduao

ESTUDO DE UM SISTEMA DE E-MAIL UTILIZANDO POSTFIX COM

SPF, DKIM E DMARC

elaborado por
Luciano Silva da Silva

como requisito parcial para obteno do grau de

Tecnlogo em Redes de Computadores

COMISSO EXAMINADORA:

Renato Preigschadt de Azevedo , Dr.

(Presidente/Orientador)

Simone Regina Ceolin, Dra. (UFSM)

Rodrigo Castro Gil, Ms. (UFSM)

Santa Maria, 11 de Dezembro de 2014.

RESUMO
Trabalho de Graduao
Curso Superior de Tecnologia em Redes de Computadores
Universidade Federal de Santa Maria
ESTUDO DE UM SISTEMA DE E-MAIL UTILIZANDO POSTFIX COM SPF, DKIM
E DMARC
AUTOR: LUCIANO SILVA DA SILVA
ORIENTADOR: RENATO PREIGSCHADT DE AZEVEDO
Local da Defesa e Data: Santa Maria, 11 de Dezembro de 2014.
A comunicao por e-mail remota dos primrdios da internet e uma das aplicaes
mais importantes e de maior uso em rede de computadores. Com a disseminao do uso da
internet e do e-mail, tem sido um problema para os administradores de rede na classificao
deste tipo de correspondncia eletrnica. E-mails no desejados caracterizados como SPAM
geram um trfego desnecessrio na rede alm de uma sobrecarga nos servidores. Este trabalho
apresenta um configurao de um sistema de envio e recebimento de e-mail mostrando o funcionamento dos protocolos envolvidos no transporte da mensagem como SMTP e ESMTP, na
recuperao de mensagem como os protocolos POP3 e IMAP e construo e formato da mensagem como o MIME. Aspectos de segurana no e-mail como PGP e S/MIME assim como tecnologias para reduo de e-mail indesejados em nvel de domnio como SPF, DKIM e DMARC.
realizado uma implantao de um agente de transferncia de e-mails com o software Postfix e Courier com a configurao para uso com autenticao SASL, uso dos protocolos POP3
e IMAP, uso de camada de segurana TLS alm de aplicao de DKIM em e-mails enviados
atravs do software open-dkim e aplicao de poltica SPF para verificao dos e-mails recebidos. A instalao dentro da organizao utilizando ferramentas com cdigo aberto permite uma
economia e segurana de um modo eficiente e didtico para o administrador de rede.

Palavras-chave: E-mail. Postfix. SPF. DKIM. DMARC.

ABSTRACT
Undergraduate Final Work
Bachelor Thesis
Federal University of Santa Maria
STUDY OF A SYSTEM OF E-MAIL USING POSTFIX WITH SPF, DKIM AND
DMARC
AUTHOR: LUCIANO SILVA DA SILVA
ADVISOR: RENATO PREIGSCHADT DE AZEVEDO
Defense Place and Date: Santa Maria, December 11st , 2014.
The remote communication by e-mail of the internet beginning and is one of the most
important applications and greater use of computer network. With the widespread use of the
Internet and email, has been a problem for network administrators in the classification of such
electronic mail. Emails unwanted characterized as SPAM generate unnecessary network traffic
and a burden on the servers. This paper presents a configuration of a sending and receiving email system showing the operation of the protocols involved in the transport of the message as
SMTP and ESMTP, the message of recovery as the POP3 and IMAP protocols, construction and
message format as MIME . Safety aspects in the email as PGP and S / MIME and technologies
to reduce unwanted email at the domain level as SPF, DKIM and DMARC. It held a deployment
of a mail transfer agent with Postfix and Courier software with the configuration for use with
SASL authentication, using the POP3 and IMAP protocols, use of TLS security layer as well as
DKIM application in emails sent through the open-dkim software and SPF policy enforcement
for verification of incoming mail. The installation within the organization using tools with
open source allows an economy and security of an efficient and didactic way for the network
administrator.

Keywords: e-mail,SPF,DKIM,DMARC.

LISTA DE FIGURAS
Figura 2.1
Figura 2.2
Figura 2.3
Figura 2.4
Figura 2.5
Figura 2.6
Figura 3.1
Figura 4.1
Figura 4.2
Figura 4.3
Figura 4.4
Figura 4.5
Figura 4.6
Figura 4.7
Figura 4.8
Figura 4.9

Cabealhos relacionados ao transporte de mensagens . . . . . . . . . . . . . . . . . . . . . .

Outros cabealhos definidos de mensagens. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Modelo bsico de assinatura do PGP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Modelo bsico encriptao do PGP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Exemplo de assintatura dkim . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Fluxo de envio com utilizao do DMARC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Principais tipos de registros de recursos do DNS para IPV4 . . . . . . . . . . . . . . . .
Teste Bsico de configurao de DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Parte do arquivo de Log referente ao envio de um e-mail. . . . . . . . . . . . . . . . . . . .
Captura de trafgo de rede com Wireshark. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Transformao de string para base64. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Captura de trfego com Wireshark. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Captura de trfego com Wireshark com STARTTLS. . . . . . . . . . . . . . . . . . . . . . . .
Sesso tpica de acesso e recuperao por POP. . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Assinatura DKIM no cabealho de um e-mail. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
SPF validando o email recebido. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

17
17
18
19
21
21
23
27
27
28
29
29
30
31
32
32

LISTA DE ANEXOS

LISTA DE ABREVIATURAS E SIGLAS

ASCII

American Standard Code for Information Interchange

BIND

Berkeley Internet Name Domain

BIT

BInary digiT ou Dgito Binrio

BNF

Backus-Naur Form

DMARC

Domain-based Message Authentication, Reporting and Conformance

DNS

Domain Name System

DKIM

DomainKeys Identified Mail

FQDN

Full-qualified domain name

IMAP

Internet Message Access Protocol

ISC

Internet Software Consortium

HTML

HyperText Markup Language Linguagem de Marcao de Hipertexto

LDAP

Lightweight Directory Access Protocol

MD5

Message-Digest algorithm 5

MIME

Multipurpose Internet Mail Extensions

MDA

Agente de Entrega de e-mail

MTA

Agente de Tranferncia de e-mail

MTU

Agente de Usurio de e-mail

MX

Mail eXchange

PGP

Pretty Good Privacy

POP3

Post Office Protocol 3

RBL

Real Time Blacklist

RFC

Request for Comments

SASL

Simple Authentication and Security Layer

SHA1

Secure Hash Algorithm 1

SMTP

Simple Mail Transfer Protocol

SPF

Sender Policy framework

TCP

Protocolo de controle de transmisso

TLS

Transport Layer Security

TXT

Texto Puro

XML

eXtensible Markup Language

SUMRIO
1 INTRODUO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2 REVISO BIBLIOGRAFICA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.1 Protocolo SMTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.2 Protocolo ESMTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.3 Protocolo POP3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.4 Protocolo IMAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.5 Formato Padro do E-Mail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.6 MIME . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.7 PGP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.8 SMIME . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.9 SPF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.10DKIM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.11DMARC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3 FERRAMENTAS E MATERIAIS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.1 DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.1.1 BIND . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.2 POSTFIX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.3 Courier . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.4 SASL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.5 SPAMASSASSIN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4 ESTUDO DE CASO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.1 AMBIENTE DE TESTES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.1.1 Teste configurao DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.1.2 Instalao do PostFix . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.2 SASL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.3 Proteo TLS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.4 Protocolos POP3 e IMAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.5 Configurando o DKIM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.6 Configurando o SPF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5 CONCLUSO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
REFERNCIAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
APNDICES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

11
13
13
14
15
16
16
17
18
19
19
20
21
23
23
24
24
25
25
26
27
27
27
27
29
30
31
31
32
33
34
36

11

1 INTRODUO

A comunicao por e-mail remota dos primrdios da internet e uma das aplicaes
mais importantes e de maior uso em rede de computadores. Inicialmente planejada para troca
de mensagens de textos e de arquivos, a longo do tempo possibilitou o seu uso para envio de
mdia como fotos, hiperlinks, textos formatados em HTML, etc (TANENBAUM, 2003).
Com o a disseminao do uso da internet, o uso e-mail tambm se difundiu, destacandose a modalidade de mala direta, ou seja, envio de um e-mail para muitos destinatrios, tem sido
um problema para os administradores de rede na classificao deste tipo de correspondncia
eletrnica. E-mails no desejados caracterizados como SPAM geram um trfego desnecessrio
na rede alm de uma sobrecarga nos servidores.
Muitas iniciativas tem sido tomadas de modo a regularizar a comunicao por e-mail.
Aspectos como autorizao, confiabilidade e segurana vem sendo elaborados de modo a melhorar o funcionamento.
No ano de 2014, o governo brasileiro publicou a Portaria Interministerial nmero 141
que dispe sobre comunicaes de dados da Administrao Pblica Federal direta, autrquica
e fundacional onde servios de fornecedores privados ou entidades fornecedores deve adotar o
e-PING Padres de Interoperabilidade do Governo Eletrnico(BRASIL, 2014a).
O e-PING define um conjunto mnimo de premissas, polticas e especificaes tcnicas que regulamentam a utilizao da Tecnologia de Informao e Comunicao com vrios
itens referentes a troca de mensagem entre usurios por e-mail abordados no presente trabalho(BRASIL, 2014b).
O trabalho atual faz um estudo sobre o funcionamento do e-mail de modo a servir de
base para futuros trabalhos na rea.
No captulo 2 ser revisado formato bsico de um mensagem de e-mail e o MIME assim como a estrutura e protocolos necessrios para sua manipulao e transporte como SMTP,
ESMTP, POP3 e IMAP. As principais tecnologias de segurana aplicadas ao e-mail como PGP
e S/MIME e em nvel de domnio como SPF,DKIM e DMARC so revisadas nesta seo. No
captulo 3 ser abordado as principais ferramentas ou softwares que utilizam os recursos apresentados na seo anterior como o servio de nome BIND, o MTA Postfix, o Courier e SASL.
No captulo 4 tem-se um estudo de caso onde o processo de instalao realizado a partir das
condies bsicas de funcionamento de um sistema de envio de e-mail at a configurao mais

12

avanado mostrando, na medida possvel, testes de funcionamento e anlises de trfego de rede

de modo que o administrador possa ter uma viso ampla do funcionamento deste sistema alm
de estar incluso no Apndice A todo o roteiro de configurao segmentado em partes.

13

2 REVISO BIBLIOGRAFICA

Neste Captulo ser visto os principais protocolos utilizados para troca de mensagem de
e-mail como o SMTP e o ESMTP, utilizado para transferncia entre servidores e, POP e IMAP
utilizados para recuperao pelo agente de usurio de sua caixa postal no servidor. Ser visto
o formato padro de e-mail e o MIME que permite o uso de caracteres especiais. A nvel de
segurana ser visto o uso do PGP e do S/MIME assim como o uso do SPF, DKIM e DMARC
que so utilizados em nvel de domnio.
2.1

Protocolo SMTP
O protocolo Simple Mail Transfer Protocol (SMTP) um protocolo elaborado para per-

mitir a troca de mensagens entre Agentes de Usurio (MTU) e Agentes de Transferncia de

e-mails (MTA) ou entre MTAs. Este agente deve rodar como um programa residente chamado
de daemon e esperar conexes TCP na porta 25 do sistema ou estar em condies de conectar
na porta 25 caso for solicitado a entrega de um e-mail para um host. Este protocolo permite que
o host onde o servio rode tanto opere como servidor, no caso de receber uma conexo de host
externo quanto cliente no caso do servio conectar um host externo. Estabelecida a conexo
cliente e servidor se comunicaro atravs do STMP que estabelece um conjunto de palavras em
caracteres ASCII que servem de comandos por parte cliente e uma resposta do servidor baseado
em um valor numrico e sequncia de caracteres de explicao para proceder a transmisso do
e-mail(TANENBAUM, 2003).
As operaes bsicas por parte do cliente so:
HELO nomedocliente: Serve para identificao do Agente de transferncia cliente.
MAIL FROM: sender : Indentifica o usurio no cliente que deseja enviar o e-mail.
RCPT TO: recipient : Indentifica a conta do usurio que deve ser enviado o e-mail
DATA : Inicia o envio do corpo do e-mail, como poder conter muitos retorno de linhas, o aviso
do fim do envio ser avisado atravs <CRLF>.<CRLF> (retorno de linha, ponto final seguido
de retorno de linha).
QUIT : Finaliza a sesso SMTP.
H outros comandos que pode ser usados como:
RSET: Aborta a transmisso corrente do e-mail sem contudo fechar a sesso
VRFY recipient : Verifica se existe o destinatrio recipient.

14

NOOP: Nenhuma operao ser executada, sua utilizao para checar se a sesso ainda em
aberta.

Por outro lado h um grande nmero de resposta por parte do servidor, (conforme
anexo). As respostas comuns de operao so:
211: Situao do sistema.
220: Pronto para operao.
250: Resposta positiva a pedido feito pelo cliente.
354: Pede a cliente que inicie a transmisso do e-mail

2.2

Protocolo ESMTP
O Extended SMTP ou ESMTP uma derivao do protocoloco original SMTP no qual

adiciona funcionalidades mantendo a compatibilidade ao STMP existente. Os recursos do

ESMTP so ativados quando o MTA cliente utiliza o comando EHLO, ao contrrio do HELO
que indica que o MTA do cliente no tem suporte a este protocolo. Entre as opes mais comuns pode-se citar:
SIZE: Permite que o servidor diga para o cliente qual o tamanho mximo permitido para envio.
NOTIFY: O servidor habilita o uso do parmetro NOTIFY.
CHUNKING: Indica que o servidor aceita o comando BDAT que usado como alternativa ao
comand DATA diferenciando pelo fato de definir um valor em bytes para transmisso. Quando
o tamanho da mensagem for igual ao valor citado, o servidor assume que a transmisso foi
completada.
PIPELINING: Em uma transmisso normal, tanto cliente quanto servidor tem que esperar a
respostas mtuas para prosseguirem o dilogo o que pode aumentar demasiadamente o tempo
da comunicao. Com este comando ativado ser permitido ao cliente fazer vrios comandos
sem esperar por resposta para cada comando.
AUTH mecanismo: Permite ao cliente autenticar no servidor. O mecanismo pode ser PLAIN,
LOGIN, CRAM-MD5, DIGEST-MD5 e outros e so estabelecidos pelo servidor.
8BITMIME: Possibilita o cliente enviar o corpo da mensagem ao servidor em 8 bits ao contrario de enviar nativamente em 7 bits do caracteres ASCII.
STARTTLS: Este comando indica que o servidor permite a comunicao por TLS. Se o cliente

15

usar este comando e havendo permisso por parte do servidor ser iniciada uma comunicao
por TLS embora os comandos continuem em ESMTP.
2.3

Protocolo POP3
O Post Office Protocol 3 ou protocolo POP3 assim como o IMAP que ser visto no pr-

ximo tpico so protocolos de recuperao de e-mail, ou seja, eles so utilizados pelo Agente
de e-mail do usurio de forma a transferir ou copiar o e-mail de sua caixa postal para outro
local. Tambm depende de daemon de sistema esperando conexes TCP na porta 110 e requer
autenticao para acesso a caixa postal. Estabelecida a conexo o primeiro estado do autorizao (MYERS, 1996) onde o usurio identificado. Se for aprovado, o estado seguinte
de transao. Por fim aps o comando de sada h o estado adaptao onde so executados os
comandos como apagar mensagens. Os principais comandos so:
USER user: Identificao do usurio.
PASS password: Senha do usurio
STAT: Mostra o nmero total de mensagens e tamanho total ocupado.
LIST n: Sem o parmetro n lista todas mensagem na caixa postal com o tamanho de cada
mensagem armazenada.
RETR n: Faz com que o contedo da mensagem n seja transmitido pela conexo.
QUIT: finaliza a sesso POP3
DELE n: Apaga a mensagem n aps a finalizao da sesso POP3.
RSET: Reinicia a sesso POP3 sem executar operaes como apagar mensagens.
TOP n x: Assim como o comando RETR permite transmitir o cabealho e x linhas do corpo
da mensagem n.
NOOP: Apenas para manter a conexo aberta.
Alm da transmisso em si do dado solicitado, as respostas do servidor seguem o padro:
+OK mensagen: O comando solicitado foi executado com sucesso.
-ERR mensagem: Ocorreu um erro no comando anterior.

16

2.4

Protocolo IMAP
O (TANENBAUM, 2003) Internet Message Access Protocol ou IMAP assim como o

POP3 um protocolo de recuperao porm com mais recursos, mas tambm significativamente mais complexo (KUROSE, 2010). O IMAP segue as mesmas condies do POP3 com a
diferena principal de aguardar conexes na porta 143 e guardar as mensagens no servidor de
modo que o usurio possa acessar suas mensagens de qualquer computador. O IMAP tambm
permite que possa criar e organizar as mensagens em diferentes pastas assim como marcar as
mensagens como lida, respondida, marcada, apagada, rascunho e recente(CRISPIN, 1994). Os
comandos do cliente de IMAP iniciam com um identificador chamado tag e para cada novo
comando deve ter uma tag diferente. As respostas do servidor podem iniciar com * chamadas untag ou iniciarem com a "tag" quando for solicitado por comando do cliente seguidos dos
parametros.
OK: Indica sucesso
NO: Indica falha
BAD: Indica erro como comando no reconhecido ou erro de sintaxe.

2.5

Formato Padro do E-Mail

Com semelhana a uma carta de correio onde necessrio o preenchimento de campos

como remetente, destinatrio, endereo e outros, o formato foi planejado para a mensagem de
de e-mail contm tambm campos como estes chamados de cabealhos. De modo semelhante,
quando uma mensagem de e-mail enviada, um cabealho contendo informaes perifricas
antecede o corpo da mensagem em si.(KUROSE, 2010).
"Cada campo de cabealho consiste em um nica linha de texto ASCII contendo o nome do
campo, um sinal de dois pontos e, normalmente, um valor.(TANENBAUM, 2003)"
Desde modo, so empregado cabealhos para auxiliarem no transporte da mensagem como na
figura 2.1.
H outros cabealhos como na Figura 2.2 destinados a outras funes.
Ainda h a permisso de criao de novos cabealhos desde que estes comecem com os
caracteres "X-". Estes cabealhos sero utilizados pelo programa MTU do usurio ou mesmo
pelos MTA adicionando alguma informao especfica.

17

Figura 2.1 Cabealhos relacionados ao transporte de mensagens

Fonte: (TANENBAUM, 2003)

Figura 2.2 Outros cabealhos definidos de mensagens.

Fonte: (TANENBAUM, 2003)
2.6

MIME
Com a limitao do protocolo SMTP em trabalhar com caracteres ASCII foi necessrio a

criao do Multipurpose Internet Mail Extensions (MIME) que permite enviar outros caracteres
alm dos contidos na tabela ASCII assim como enviar outros tipos de formato como arquivos,
imagens e o outros.
Os cabealhos includos pelo MIME so:
MIME-Version: Identifica a verso do MIME, sua ausncia indica que uma mensagem de
texto simples.
Content-Description: Ajuda a identificar a mensagem.
Content-Id: Assim com o cabealho message-Id, um nmero exclusivo para referencias deste
item.
Content-Transfer-Encoding: Define o formato que o contedo ser transferido pelo mensagem.
Os valores possvel so: "BASE64", "QUOTED-PRINTABLE", "8BIT", "7BIT", "BINARY",
"x-token"(BORESTEIN, 1992) onde os mais significativos o base64. "esse esquema, grupos
de 24 bits so divididos em at quartro unidades de 6bits, com cada unidade sendo enviada
com um caractere ASCII vlido"(TANENBAUM, 2003) e quoted-printable que trate-se de um
cdigo ASCII onde todo caractere cujo valor ultrapasse o 127, mximo desda codificao, seja
substitudo por um sinal de igual e pelo valor do carcter como dois dgitos hexadecimais.
Content-Type: No formato de um tipo e subtipo separados por uma barra, especifica a contedo

18

da transmisso que pode ser por exemplo: Text, Image, Video, Application, entre outros. Um
tipo muito utilizado o multipart/alternative que especifica que a mensagem contm mais de
uma parte, com incio e o fim de cada parte claramente delimitados. Com este cabealho vem a
tag boundary que define um sequncia de caracteres que ser a separao de cada parte.
2.7

PGP
Criado por Phil Zimmerman o Pretty Good Privacy (PGP) uma ferramenta que permite

privacidade, autenticao, assinatura digital e compactao de forma integrada com o e-mail

apartir do uso de chaves pblicas e privadas, criptografia e compactao(TANENBAUM, 2003).
Apartir de um par de chaves pblico-privadas, para se criar uma assinatura para uma mensagem
em texto plano, realizado um hash

como MD5 ou SHA1 obtendo o digest da mensagem.

Este digest encriptado com a chave privada do remetente e adicionado ao corpo da mensagem
como pode ser visto na Figura 2.3.

Figura 2.3 Modelo bsico de assinatura do PGP.

Fonte: (ZIMMERMANN, 2010)
Na Figura 2.4 pode ser visto o envio de uma mensagem criptografada. Para o remetente
enviar a mensagem, gerada um chave de sesso aleatria com o qual criptografado o contedo da mensagem. Com a chave pblica do destinatrio encriptada esta chave e adicionado
a mensagem criptografada inicial.
1

hash ou funo de hash um algortimo de disperso que obtm uma um valor quase exclusivo ou o mais
individual possvel apartir de um entrada que pode ser uma mensagem

19

Figura 2.4 Modelo bsico encriptao do PGP.

Fonte: (ZIMMERMANN, 2010)
2.8

SMIME
Assim como o PGP, o Secure/Multipurpose Internet Mail Extensions (S/MIME) se pro-

pe a mesmas funcionalidades como autenticao, integridade da mensagem, assinatura digital

e privacidade aproveitando a estrutura disponvel pelo MIME. O S/MIME foi programado para
ser usado tanto pelos agentes de usurio quanto agentes de transferncia quanto por pginas
HTTP que tambm utilizam o MIME para comunicao.
2.9

SPF
Sender Policy framework (SPF) uma abordagem diferente para evitar a falsificao

de e-mails atravs da verificao se o servidor de origem do e-mail autorizado pelo domnio

que realizado atravs de uma consulta DNS deste domnio. Basicamente o SPF permite: ao
administrador de um domnio definir uma poltica onde so designadas os hosts com autorizao
para envio de e-mail, e quais no so autorizados; e ao administrador de um servio de email estabelecer critrios de aceitao de mensagens baseados na checagem das polticas do
domnio(ANTISPAM.BR, 2014).
O registro SPF uma entrada do tipo TXT no servidor de nomes para determinado
domnio onde deve iniciar com o parmetro v=spf1 seguido de definies da poltica SPF. Caso
o servidor permite, o registro pode ser do tipo SPF. Um exemplo seria de registro SPF seria:
exemplo.com. IN TXT "v=spf1 a mx ip4:192.168.0.0/24 -all"
Neste exemplo tem-se que para o domino exemplo.com os registros do tipo "a", "mx"ou
pertencentes a rede 192.168.0.0/24 esto autorizados e enviar e-mail em nome deste domnio.
A clusula -all"indica que nenhum outro host poder enviar em nome deste host. O parametro

20

"all"deve ser o ltimo parametro sob pena de nenhum outro parametro posterior ser validado.
Os qualificadores possveis so:
"+":(Pass) - Vlido (valor padro)
-":(Fail) - Invlido
"~":(Softfail) - Invlido Leve
"?":(Neutral) - Neutro
E h outros opes que poderiam ser includas como "include", "ptr", "redirect"e "ipv6".
(WONG, 2006)
Caso o MTA trabalhe com e-mails redirecionados, necessrio que o relay reescreva o
endereo do remetente no envelope e encapsule o endereo original em um processo chamado
Sender Rewriting Scheme (SRS).
2.10

DKIM
DomainKeys Identified Mail (DKIM) assim o SPF permite uma validao de um e-mail

enviado de um domnio com o adicional de acrescentar assinaturas digitais permitindo que o

MTA receptor possa confirmar o e-mail recebido. Assim como o S/MIME e PGP que utilizavam assinaturas no corpo do e-mail e requerer a chave pblica do remetente, o DKIM coloca
assinatura como um registro TXT especfico no DNS do domnio. Mas enquanto o S/MINE
e PGP no necessitam de interveno do administrador de rede, o DKIM foi projetado para
prover controle sobre o endereos deste domnio (FENTON, 2007) alm de outras vantagens
como: no envolve outras partes como no caso de um certificado CA, a verificao se far apenas entre os domnios envolvidos. No necessrio atualizaes no clientes do e-mail, o uso
se dar de forma transparente para os usurios finais. E permite que sejam utilizados mltiplas
chaves para o mesmo domnio atravs do uso de selector.
Na Figura 2.5 tem um exemplo da aplicao do DKIM. Apartir da numerao das linhas
a esquerda, pode ser visto na linha 1 os campos de verso, algoritmo usado, seletor e dominio.
Na linha 2 tem-se o tipo de algoritmo aplicado com a canonizao, mtodo de busca da chave
pblica e o domnio de assinatura. Na linha 5 encontra-se a assinatura em si em codificada em
base64.

21

Figura 2.5 Exemplo de assintatura dkim

Fonte: (ALLMAN, 2007)
2.11

DMARC
Domain-based Message Authentication, Reporting and Conformance (DMARC) assim

como o SPF e DKIM atua a nvel da gerncia de um domnio de rede mas enquanto que o
SPF define quais os hosts do domnio esto habilitados a enviar e-mail e o DKIM assina as
mensagens enviadas, o DMARC define uma poltica que deve ser utilizada pelo receptor. O
DMARC no invalida as tecnologias SPF e DKIM e sim utiliza-as (DMARC.ORG, 2014).

Figura 2.6 Fluxo de envio com utilizao do DMARC

Fonte: www.dmarc.org
O funcionamento similar aos processos anteriores de busca de informaes por consulta ao dominio DNS. Como pode-se ver na figura 2.6, os parmetros DMARC so aplicados
ao MTA que esta enviando. O MTA que recebe o e-mail far suas verificaes padres em
"Standard Validation Tests" assim como verificao DKIM em "Retrieve Verfied DKIM Domains", SPF em "Retrieve Envelope From via SPF" e DMARC com auxilio da uma consulta

22

TXT a um domnio DNS para validao, mtodo de recuperao da chave pblica e identidade
assinante.
O DMARC estabelece uma poltica que pode ser: rejeio onde o receptor descartar
toda mensagem que no passar no testes de validao; quarentena onde o receptor colocar os
e-mails no validados recebidos em uma uma situao transio; ou nenhuma onde o receptor
no tomar nenhuma ao com as mensagens no validadas recebidas, a no de reportagem ao
emissor (KUCHERAWY, 2014). Na Figura 2.6 pode ser visto a aplicao da poltica em "Apply
Appropriate DMARC Policy". No necessrio dizer que as mensagens validadas no devem
sofrer quaisquer restrio e sero entregues normalmente (KUCHERAWY, 2014).
Mesmo que somente as tags referentes a verso e a poltica seja exigidas para o funcionamento (SUPPORT.GOOGLE.COM, 2014), h uma srie de recursos uteis que deve ser
utilizados pelo administrador de rede. O protocolo estabelece uma cota para anlise no qual
ser aplicada a poltica definida que vai de 0%, onde nenhum e-mail ser aplicada a poltica,
a 100% onde a poltica ser aplicada todos os e-mails. Este contexto extremamente til
para o processo de implantao ou ciclo de implantao do DMARC em um domnio (SUPPORT.GOOGLE.COM, 2014).
O DMARC tem o recurso de enviar relatrios dirios (KUCHERAWY, 2014) ao administrador do dominio em formato XML, um formato adequado relatrios, ao endereo de
e-mail do proprietrio do domnio descrito no registro DMARC atravs de um e-mail, independente da poltica e cota adotada. H ainda a opo de um relatrio com informaes forenses
atravs de uma tag especfica (WWW.ZYTRAX.COM, 2014). Embora esta tecnologia seja empregada em alguns site como AOL2 ,Gmail3 , Hotmail4 ,Yahoo5 (DMARC.ORG, 2014) a edio
das normas pela RFC esta em modo rascunho na data de apresentao deste trabalho.
Neste Captulo foi visto os principais protocolos responsveis pela transferncia de mensagens de e-mail entre servidores como o SMTP e o ESMTP, ou entre cliente e e caixa postal
como o POP3 e IMAP assim como a composio do e-mail formado por cabealhos especficos
e o corpo do e-mail Foi visto ferramentas de segurana como o PGP e o S/MIME e tambm
ferramentas de segurana em nvel de domnio como o SPF, DKIM e o DMARC.

2
3
4
5

http://www.aol.com/
https://mail.google.com/
https://www.hotmail.com/
https://mail.yahoo.com

23

3 FERRAMENTAS E MATERIAIS

Neste Capitulo ser apresentada as principais ferramentas utilizadas para um sistema

de e-mail e quais tecnologias implementam-as. O uso do BIND como servio de nomes de
domnio, o Postfix como o principal coluna do sistema de mensagens com suas caractersticas
principais. O Courier como a implementao do protocolo de recuperao, SASL mecanismo
de autenticao e uma viso geral sobre Spamassassin.
3.1

DNS
O formato de comunicao em redes de computadores que utilizam o protocolo TCP/IP

um formato numrico denominado endereo de rede que pode ser ipv4 ou ipv6 ou ainda ambos
em um estado de transio, cada host possui um endereo. A dificuldades de memorizao
dos valores nmericos foi uma das razes para do DNS. O DNS um servio hierrquico e
distribudo em redes de computadores destinado a traduo dos endereos de rede para um
formato baseado em caracteres denominado Full-qualified domain name (FQDN) composto do
nome do host, ponto e o nome completo do domnio.
A consulta DNS se d atravs de uma requisio do cliente ao servidor, esta requisio
pode ser uma consulta para um endereo FQDN onde ser retornado o IP ou uma requisio
contendo um endereo IP onde ser retornado o nome do host atrelado a este IP chamado
reverso. Isso evita que algum utilize um domnio que no lhe pertence para enviar spam,
por exemplo.
H outros tipos de consultas disponveis como na Figura 3.1.

Figura 3.1 Principais tipos de registros de recursos do DNS para IPV4

Fonte: (TANENBAUM, 2003)

24

3.1.1

BIND
O Berkeley Internet Name Domain6 (BIND) mantido pela Internet Software Consor-

tium (ISC) e a implementao mais utilizada como servidor de nomes. O BIND livre para
uso e compatvel com a maioria dos distribuies linux empregada em servidor como a distribuio Debian Wheezy7 utilizada neste trabalho.
No necessrio no presente trabalho a configurao completa do servio de nomes
BIND, necessrio o acesso a configurao do mesmo de modo a inserir registro do tipo TXT
alm da correta configurao do nome e MX para o servidor de e-mail a ser implementado.
3.2

POSTFIX
A funo bsica de um MTA capacidade receber e entregar mensagem de e-mail via

SMTP ou para a caixa postal do usurio no caso do Mail Delivery Agent (MDA), e existem
inmeros programas que objetivam este fim como Postfix8 , Qmail9 , Sendmail10 Exim11 , Microsoft Exchange12 e inmeros outros que normalmente utilizam algum destes citados como base
e adicionam algumas alteraes e/ou integram os mais variados servios(OLIVEIRA, 2011).
O Postfix foi desenvolvido a partir do Sendmail com objetivos de ser rpido e robusto,
fcil de configurar e seguro enquanto compatvel com este. Para isto o Postfix utiliza diversos
programas, cada qual executando uma nica tarefa e utilizando mltiplas camadas de segurana
para proteger o sistema. H um daemon13 que responsvel por gerenciamento dos outros
programas que so executados somente quando h necessidade.
Durante a instalao possvel a escolha de modelos bsicos de configurao para o
postfix:
Internet Site: Acesso completo a internet para envio e recebimento de e-mail.
Smarthost: Servidor recebe mensagens, mas o envio fica a cargo de outra mquina.
Satellite system: servidor envia atravs de outra mquina e no recebe mensagens.
6
7
8
9
10
11
12
13

http://www.isc.org/downloads/bind/
https://www.debian.org/
http://www.postfix.org/
http://www.qmail.org/
http://www.sendmail.com
http://www.exim.org/
http://www.emailexchange.com.br/
processo que roda de forma independente em plano de fundo

25

Para configurao adequada de um servidor de e-mail de produo ser necessrio a configurao dos arquivos /etc/postfix/main.cf para parmetros de configurao e /etc/postfix/master.cf
para gerncia de processos e servios.
O arquivo /var/log/mail.log contem um registro das operaes executadas pelo postfix,
com registro de conexes, entregas, conexes pop, imap e operaes como spf e dkim.
3.3

Courier
O Courier14 um programa que possibilita a recuperao das mensagens de e-mail da

caixa postal do usurio de forma remota atravs dos protocolos POP3 ou IMAP seja atravs de
TLS ou no. Os formatos de caixas postal ou recipientes de e-mail pode ser:
mailbox: Um nico arquivo com todas mensagens concatenadas separadas pela string
"From"seguida pelo remetente e data da mensagem.
Maildir: Cada mensagem forma um arquivo nico. formado pelo diretrio raiz chamado "Maildir" que deve conter no mnimo os subdiretrios: "tmp" para mensagens
recm-chegadas, "new" para novas mensagens e "cur" para mensagens marcadas como
lidas. H ainda a possibilidade de criao de outros subdiretrios assim como possibilidade de marcao das mensagens a partir de sinalizaes ou "flags".
H inmeros programas que se prope a este fim como: dovecot15 , cyrrus16 , popa3d17 e
outros. Foi optado neste trabalho o uso do Courier pela grande disseminao assim como farta
documentao e casos de uso.
3.4

SASL
Define pela RFC 2222, um pacote que permite o uso de mecanismos adicionais de

autenticao a protocolos orientados conexo . Ele permite a negociao do mecanismo de

autenticao entre um cliente e um servidor antes iniciar a sesso(MYERS, 1997). Alguns
exemplos de mecanismos so digest-md5, cram-md5 e outras. Com a configurao do SASL
fica facilitada a configurao caso o administrador do sistema opte por um autenticao unifi14
15
16
17

http://www.courier-mta.org/
http://dovecot.org/
http://www.cyrusimap.org/
http://www.openwall.com/popa3d/

26

cada como por exemplo a configurao do SASL fica facilitada a configurao caso o administrador do sistema opte por um autenticao unificada como por exemplo o LDAP.
3.5

SPAMASSASSIN
H inumeros programas de combate a mensagens solicitadas e um dos mais documenta-

dos spamassassin18 . O spamassassin utiliza as mais diversas tcnicas para controle de e-mail
recebidos como procura por strings, analise de bayes19 , lista de bloqueio chamadas RBL (Real
Time Blacklist) , listas brancas (White Lists), SPF e DKIM , razor que um catlogo de spam
baseado em assinaturas de e-mail. Todos estes itens para montar uma pontuao ou "score".
Quanto maior esta pontuao menor a chance da mensagem ser um spam.O Dspam20 , uma
ferramente similar ao spamassassin permite uma base personalizada por usurio.
Uma abordagem de uma ferramenta como dspam ou spamassassin deve ser feita com
muito cuidado pelo administrador de rede. Todos os fatores que determinam o "Spam" devem
ser estudados e configurados corretamente sob pena do sistema realizar um efeito contrrio
ao que se prope como excluir mensagem legtimas e deixar passar mensagens que o usurio
considerar como "Spam".
Neste Captulo foi visto uma viso geral de alguns programas que iram exercer funes
principais em um sistema de e-mail. Embora o BIND no seja de fato configurado em funo
deste sistema, ele fundamental para o funcionamento deste servio. O Postfix a programa
responsvel pela estrutura principal e nele deve ser configurado praticamente todos os parmetros necessrios. O Courier tem a funo da implementao dos protocolos de recuperao dos
e-mails e h uma viso geral sobre o funcionamento do Spamassassin.

18
19
20

http://spamassassin.apache.org/
Processo de usar mtodos estatsticos para classificar documentos por categorias
http://dspam.nuclearelephant.com/

27

4 ESTUDO DE CASO

Neste capitulo mostrado um estudo de caso de uma instalao e configurao de um

sistema de e-mail desde da etapa inicial seguindo um roteiro de adio de recursos e verificando
os estudos realizados.
4.1

AMBIENTE DE TESTES
Para realizao dos testes, utilizamos a ltima verso estvel do Debian Wheezy que

tem como MTA padro o programa Exim. Deve ser retirado e instalado o PostFix como MTA.
4.1.1

Teste configurao DNS

O primeiro passo a correta configurao do servio de nomes onde deve-se previa-

mente haver um registro no DNS para suporte deste HOST.

Figura 4.1 Teste Bsico de configurao de DNS

Fonte: Do Autor

4.1.2

Instalao do PostFix
Aps a 1a etapa pode se fazer um teste simples para ver o funcionamento do servidor

enviando um texto de um host a outro atravs do comando:

echo "Um e-mail de teste de B"|mail -s "Assunto Teste"aluno2@dominiob.intranet.local
Obtemos o seguinte contedo no arquivo /var/log/mail.log

Figura 4.2 Parte do arquivo de Log referente ao envio de um e-mail.

Fonte: Do Autor
O log na Figura 4.2 mostra resumidamente que o e-mail foi enviado com sucesso, mesmo
sendo para o prprio usurio e host.

28

O mesmo teste pode ser realizado para outro host em que o estado de configurao esteja
similar de modo que pode-se fazer o mesmo processo visando um usurio noutro servidor com
um comando similar ao utilizado alterando-se destinatrio e servidor.
Pode-se capturar o trfego da rede como visto na Figura 4.3. As informaes contidas no e-mail
so envidas de modo de texto plano e mostrado a captura do trfego de rede de um envio de
uma mensagem atravs do software Wireshark21 , como a mensagem em texto plano pode-se
visualizar todo contedo da mensagem.

Figura 4.3 Captura de trafgo de rede com Wireshark.

21

https://www.wireshark.org/

29

4.2

SASL
Para permitir que o servidor possa ser acessado externamente deve-se ativar um meca-

nismo para limitar o acesso somente a usurios autorizados. Neste caso pode-se usar o Simple
Authentication and Security Layer (SASL) Neste caso a senha ser codificada na base64 para
ser realizado o login
Para teste ser usado os comandos para codificar o usurio e senha como esta apresentado na Figura 4.4.

Figura 4.4 Transformao de string para base64.

Fonte: Do Autor
Apesar do usurio e senha no serem transmitidos em texto plano pelo protocolo SMTP,
utilizando uma captura de rede com wireshark como abaixo. Como resultado de uma captura
pelo tem-se:

Figura 4.5 Captura de trfego com Wireshark.

Fonte: Do Autor

30

Uma decodificao bsica apartir dos campos capturados na anlise tem-se os valores:
echo "YWx1bm8x"|base64 decode && echo -n ":"&& echo "MTIzbXVkYXI="|base64
decode
Onde o resultado pelo comando a sequncia "aluno1:123mudar"contedo o usurio e
senha.
4.3

Proteo TLS
Para proteo deve ser instalado criptografia TLS no protocolo SMTP utilizando-se a

parte 3 do Anexo A. Vai ser perguntado informaes como chave secreta e outras informaes.
Apos a configurao foi realizado um teste com o comando
openssl s_client -starttls smtp -crlf -connect dominioa.intranet.local:25
Foi realizada a mesma transmisso que o modo anterior e feita uma analise com wireshark.

Figura 4.6 Captura de trfego com Wireshark com STARTTLS.

Fonte: Do Autor
Na captura de trfego da Figura 4.6 tanto usurio, senha e contedo do e-mail no so
mais acessveis para escuta em rede.

31

4.4

Protocolos POP3 e IMAP

Para utilizao dos protocolos de autenticao POP3 e IMAP seguido a configuarao

da parte 5 do Anexo A que a instalao do software Courier.

Figura 4.7 Sesso tpica de acesso e recuperao por POP.

Fonte: Do Autor
Na Figura 4.7 pode ser visto uma sesso de acesso POP tpica. Da linha 1 a linha 5
tem-se o estado de autorizao do usurio com os comandos de usurio e senha transmitidos
em texto plano. Mesmo que esta comunicao esteja protegida pela camada inferior de TLS, o
prprio POP tem recursos de encriptao atravs do comando APOP (MYERS, 1996). Da linha
6 a linha 103 tem-se o estado de transao onde foi pedido para listar as mensagens na linha 6
e recuperar a mensagem 1 na linha 36. Na 104 tem o comando QUIT que finaliza a interao
com o cliente e inicia a fase de atualizao.
4.5

Configurando o DKIM
A configurao do DKIM fcil e simples, o arquivo /etc/opendkim.conf deve conter

algumas configuraes de funcionamento. necessria uma configurao para criao do par de

chaves sendo que uma deve ser utilizada pelo Postfix e outra ser disponibilizada pelo servidor
DNS devendo o administrador de rede providenciar a insero do registro para o servidor de
nomes. De acordo com a Figura 4.8 visualizada a assinatura em funcionamento nas linhas 17
a 23.

32

Figura 4.8 Assinatura DKIM no cabealho de um e-mail.

Fonte: Do Autor
4.6

Configurando o SPF
Diferetemente do que foi realizado na configurao do DKIM onde foi necessrio colo-

car a assinatura gerada no e-mail que saia pelo MTA. A configurao do SPF alm da realizada
no servidor de domnio para envio de e-mails, deve haver uma integrao entre o MTA e uma
ferramenta para anlise do e-mails que chegam se o domnio que envio esta de acordo com as
normas SPF.
Na Figura 4.9 tem-se na linhas 4 e 5 a validao do e-mail enviado do dominioa.intranet.local
para dominiob.intranet.local sendo aprovado com o valor "PASS".

Figura 4.9 SPF validando o email recebido.

Fonte: Do Autor
Neste Captulo foi visto o funcionamento do sistema de e-mail desde a instalao a partir
de um sistema sem nenhuma configurao inicial passando pela instalao e configurao do
Postfix em modo SMTP aps com TLS, Courier com acesso POP3 e IMAP ambos utilizando a
proteo da camada TLS, a configurao do DKIM e do SPF no Postfix e o registro necessrio
para ser inserido no servidor DNS.

33

5 CONCLUSO

O uso de um sistema de e-mail indispensvel para qualquer organizao, seja ela

comercial, educacional, pblico ou privada, pequena ou grande e o no funcionamento deste
sistema ira acarretar em srios prejuzos no s financeiros como tambm na imagem desta
organizao.
Neste trabalho foi realizado uma proposta de um sistema completo e didtico de administrao de e-mail utilizando-se ferramentas de cdigo aberto que pode ser hospedado dentro
da prpria organizao, se houver equipamento disponvel, acarretando uma economia na dispensa de contratao de servios externos como tambm na segurana que os dados dos usurios
no esto em poder de um entidade externa.
Para realizao deste trabalho foi necessrio um estudo sobre os protocolos que regem o
manuseio de cada mensagem de e-mail desde do envio, transporte entre servidores, entrega na
caixa postal ou recipiente do usurio e recuperao por este usurio onde todas estas atividades
so registradas em arquivos de registro ou logs permitindo auditorias caso forem necessrias,
algo que normalmente no disponibilizado por entidades que disponibilizam o uso de e-mail
para organizaes.
H tambm uma abordagem dos principais softwares utilizados assim como um passo a
passo que permite um administrador de rede criar e configurar seu sistema de e-mail utilizando
as ferramentas apresentadas desde o sistema bsico at um sistema em condies de aplicao
mais prticas.
Devido a natureza do trfego de e-mail na atualidade caracterizado pela grande nmero
de mensagens no solicitadas denominadas como "spam" foi apresentado algumas tcnicas visando a eliminao deste trfego como o SPF, DKIM e DMARC que so aplicadas a nvel do
servio do domnio de origem onde o administrador deve procurar zelar pela boa conduta dos
usurio deste servio criando uma nvel de confiana entre os domnios que aplicam estas tcnicas. A ferramenta DMARC ainda no esta como RFC assim como no h pacotes para as
distribuies tradicionais como por exemplo o Debian que utilizado neste exemplo.

34

REFERNCIAS

ALLMAN, E. [RFC - 4870] DomainKeys Identified Mail (DKIM) Signatures. Network

Working Group, Disponvel em <http://www.ietf.org/rfc/rfc4870.txt>. Acessado em Novembro/2014.
ANTISPAM.BR. SPF- Sender Policy Framework. Acessado em Novembro/2014,
http://www.antispam.br/admin/spf/.
BORESTEIN, N. [RFC - 1341] MIME (Multipurpose Internet Mail Extensions). Network
Working Group, Disponvel em <https://tools.ietf.org/html/rfc1341>. Acessado em Novembro/2014.
BRASIL. PORTARIA INTERMINISTERIAL Nmero 141. Dirio Oficinal da Repblica Federativa do Brasil, Brasilia, DF, Brasil, p.8283, 2014.
BRASIL. e-PING Padres de Interoperabilidadede Governo Eletrnico Documento de Referncia. Acessado em Novembro/2014, http://eping.governoeletronico.gov.br/.
CRISPIN, M. [RFC - 1730] Internet Message Access Protocol - Version 4. Network Working
Group, Disponvel em <https://tools.ietf.org/html/rfc1730>. Acessado em Novembro/2014.
DMARC.ORG. DMARC.org. Acessado em Novembro/2014, http://www.dmarc.org/.
FENTON, J. Leiba e. DomainKeys Identified Mail (DKIM): using digital signatures for domain
verification. Fourth Conference on Email and Anti-Spam, California, CA, USA, 2007.
KUCHERAWY, M. Domain-based Message Authentication, Reporting and Conformance
(DMARC). draft-kucherawy-dmarc-base-05, Disponvel em <https://tools.ietf.org/html/draftkucherawy-dmarc-base-05>. Acessado em Novembro/2014.
KUROSE, J. F. Redes de Computadores e a Internet. 5th.ed. So Paulo, SP, Brasil: Addison
Wesley, Inc., 2010.
MYERS, J. [RFC - 1939] Post Office Protocol - Version 3. Network Working Group, Disponvel em <https://www.ietf.org/rfc/rfc1939.txt>. Acessado em Novembro/2014.

35

MYERS, J. [RFC - 2222] Simple Authentication and Security Layer (SASL). Network
Working Group, Disponvel em <https://www.ietf.org/rfc/rfc2222.txt>. Acessado em Novembro/2014.
OLIVEIRA, W. d. M. Postfix - Servidor de E-mail- Guia Prtico. 1th.ed. Rio de Janeiro, RJ,
Brasil: Editora Cincia Moderna Ltda., 2011.
SUPPORT.GOOGLE.COM. Criar um registro DMARC. Acessado em Novembro/2014,
https://support.google.com/a/answer/2466563?hl=pt-BR.
TANENBAUM, A. S. Redes de Computadores. 4th.ed. xBoston, MA, USA: xAddison-Wesley
Longman Publishing Co., Inc., 2003.
WONG, M. [RFC - 4408] Sender Policy Framework (SPF) for Authorizing Use
of Domains in E-Mail - Version 1. Network Working Group,

Disponvel em

<http://www.ietf.org/rfc/rfc4408.txt>. Acessado em Novembro/2014.

WWW.ZYTRAX.COM. HOWTO - Define a DMARC Record. Acessado em Novembro/2014, http://www.zytrax.com/books/dns/ch9/dmarc.html.
ZIMMERMANN.

How

PGP

http://www.pgpi.org/doc/pgpintro/.

works.

Acessado

em

Novembro/2014,

36

APNDICES

37

APNDICE A Instalao do PostFix

A.1

Parte 1
Na verso 7 do sistema operacional Debian, deve-se retirar o exim e instalar o postfix

sendo necessrio esta logado como usurio administrativo "root".

apt-get update
apt-get upgrade
apt-get remove exim4
apt-get install postfix

No quadro de opes que ser apresentado deve ser selecionada a opo "internet site".
O arquivo de configurao inicial do postfix main.cf ficar da seguinte forma:
mydomain = intranet.local
myhostname = dominiob.$mydomain
myorigin = $mydomain
mydestination = $myhostname, $mydomain
mynetworks = 127.0.0.0/8 192.168.0.0/24
home_mailbox = Maildir
A.2

Parte 2
Instalacao do Simple Authentication and Security Layer

apt-get install sasl2-bin

Adio ao arquivo /etc/postfix/main.cf

smtpd_sasl_auth_enable = yes
broken_sasl_auth_clients = yes
smtpd_sasl_authenticated_header = yes
smtpd_helo_required = yes

38

smtpd_recipient_restrictions =
permit_myneworks,
permit_sasl_authenticated,
reject_unauth_destination

Ativao do SASL no arquivo /etc/default/saslauthd.

START=yes
OPTIONS=-c -m /var/spool/postfix/var/run/saslauthd -r"

E a criao do arquivo /etc/postfix/sasl/smtpd.conf com contedo:

pwcheck_method:
mech_list:

A.3

saslauthd

plain login

Parte 3
Para criao dos certificados auto-assinados deve ser executados os comandos abaixo:

openssl genrsa -des3 -rand /etc/hosts -out smtpd.key 1024

chmod 0600 smtpd.key
openssl req -new -key smtpd.key -out smtpd.csr
openssl x509 -req -days 3650 -in smtpd.csr -signkey smtpd.key -out
smtpd.crt
openssl rsa -in smtpd.key -out smtpd.key.unencrypted
mv smtpd.key.unencrypted smtpd.key

openssl req -new -x509 -extensions v3_ca -keyout cakey.pem -out cacert.p
-days 3650

Adiciona ao arquivo /etc/postfix/main.cf

smtpd_tls_auth_only = yes
smtp_use_tls = yes

39

smtpd_use_tls = yes
smtpd_tls_key_file = /etc/postfix/ssl/smtpd.key
smtpd_tls_cert_file = /etc/postfix/ssl/smtpd.crt
smtpd_tls_CAfile = /etc/postfix/ssl/cacert.pem

A.4

Parte 4
Instalao do Courier apt-get install courier-pop-ssl courier-imap-ssl

Mudana no arquivo /etc/courier/pop3d-ssl:

POP3_TLS_REQUIRED=1
Mudana no arquivo /etc/courier/imapd-ssl:
IMAP_TLS_REQUIRED=1

A.5

Parte 5
Instalao do OpenDKIM

apt-get install opendkim opendkim-tools

Editar o arquivo /etc/opendkim.conf da forma abaixo:

AutoRestart Yes
AutoRestartRate 10/1h
UMask 002
Syslog yes
SyslogSuccess Yes
LogWhy Yes

Canonicalization relaxed/simple

ExternalIgnoreList refile:/etc/opendkim/TrustedHosts
InternalHosts refile:/etc/opendkim/TrustedHosts
KeyTable refile:/etc/opendkim/KeyTable
SigningTable refile:/etc/opendkim/SigningTable

40

Mode sv
PidFile /var/run/opendkim/opendkim.pid
SignatureAlgorithm rsa-sha256

UserID opendkim:opendkim

Socket inet:12301@localhost

Adicionar ao arquivo /etc/posftix/main.cf

milter_protocol = 2
milter_default_action = accept
smtpd_milters = inet:localhost:12301
non_smtpd_milters = inet:localhost:12301

Alm da configurao dos arquivos: /etc/opendkim/TrustedHosts

127.0.0.1
localhost
192.168.0.1/24
*.intranet.local

A gerao do par de chaves pblicas e privadas:

opendkim-genkey -s mail -d intranet.local

E com a chave gerada o registro a ser colocado no dominio DNS

mail._domainkey IN TXT "v=DKIM1; k=rsa; p=<chave gerada>"

A.6

Parte 6
Na instalao do SPF, h duas opes: uma baseada em python e outra baseada em perl.

41

Nesta instalao foi optado por usar a baseada em python utilizando-se o comando:

apt-get install postfix-policyd-spf-python

Aps deve ser adicionado ao arquivo etc/postfix/master.cf:

policy-spf unix - n n - - spawn

user=nobody argv=/usr/bin/policyd-spf

E no arquivo /etc/postfix/main.cf adiconar a clusula:

smtpd_recipient_restrictions =

a restrio:

check_policy_service unix:private/policy-spf
E adicionar ao final do arquivo a linha:
policy-spf_time_limit = 3600s