5.2.2 Servidor SMTP com autenticación

Cuando se instala el Servidor SMPT, su uso se limita a la red interna.

Si es necesario acceder al servidor a partir del exterior (por ejemplo, a partir de Internet) debe preverse un mecanismo que limite su acceso sólo a los usuarios autorizados. Esto con el fin de prevenir el riesgo de que nuestro servidor sea considerado como un open relay.

Complementar la instalación del Servidor SMPT con un mecanismo de autenticación de usuarios, en este caso vamos a emplear el soporte sasl de dovecot.

La configuración está divida en dos partes. Primero, la configuración de dovecot para que trabaje con postfix. Y segundo, la configuración de postfix para autenticar usuarios en dovecot:

Se debe modificar el archivo que está almacenado en la siguiente dirección /etc/dovecot/dovecot.conf.

/etc/dovecot/dovecot.conf

# [...]
auth default {
  # Space separated list of wanted authentication mechanisms:
  #   plain login digest-md5 cram-md5 ntlm rpa apop anonymous gssapi
  mechanisms = plain login
# [...]
  # It's possible to export the authentication interface to other programs:
  socket listen {
    #master {
      # Master socket is typically used to give Dovecot's local delivery
      # agent access to userdb so it can find mailbox locations. It can
      # however also be used to disturb regular user authentications.
      # WARNING: Giving untrusted users access to master socket may be a
      # security risk, don't give too wide permissions to it!
      #path = /var/run/dovecot/auth-master
      #mode = 0600
      # Default user/group is the one who started dovecot-auth (root)
      #user =
      #group =
    #}
    client {
      # The client socket is generally safe to export to everyone. Typical use
      # is to export it to your SMTP server so it can do SMTP AUTH lookups
      # using it.
      path = /var/spool/postfix/private/auth
      mode = 0660
      user = postfix
      group = postfix
    }
  }
}
# [...]

Reiniciar el servicio dovecot:

root@server:~# /etc/init.d/dovecot restart

Se debe modificar el archivo que está almacenado en la siguiente dirección /etc/postfix/main.cf:

Se deben añadir los parámetros SASL:

/etc/postfix/main.cf

# [...]
# SASL parameters
smtpd_sasl_auth_enable = yes
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_authenticated_header = yes
broken_sasl_auth_clients = yes
# [...]

Las restricciones de seguridad deben permitir el acceso a los usuarios autenticados vía sasl:

/etc/postfix/main.cf

# [...]
## Seguranca
# Aceita ligações apenas a partir da rede local ou utilizadores autenticados
smtpd_client_restrictions = permit_mynetworks,
                            permit_sasl_authenticated,
                            reject

# Utilizadores locais ou autenticados podem enviar emails para qualquer endereco
# Rejeitar todos os outros
smtpd_recipient_restrictions = permit_mynetworks,
                               permit_sasl_authenticated,
                               reject_unauth_destination
# [...]

Reiniciar el servicio postfix:

root@server:~# /etc/init.d/postfix restart

En las opciones de seguridad dentro de la configuración del servidor smtp de los clientes, debe indicarse cuál usuario se autenticará:

Ao enviar uma mensagem, será pedida a respectiva password.

• Wikipedia: SASL (http://en.wikipedia.org/wiki/Simple_Authentication_and_Security_Layer)
• Dovecot SASL configuration for the Postfix SMTP server (http://www.postfix.org/SASL_README.html#server_dovecot)