Quando instalamos o servidor de email configuramos o Postfix com um certificado SSL livre que permite o envio de mensagens SMTP criptografadas pela porta 587 (TLS) do servidor. O certificado instalado, por ser genérico, faz com que apareça uma mensagem ao configurar o cliente de email dizendo que o certificado não é confiável ou válido.
Para algumas pessoas, como é o meu caso, isso não faz muita diferença pois não uso clientes de email de desktop. Eu configuro meus envios e recebimentos do servidor pelo Gmail que considero a melhor opção para gerenciar contas. Mas para empresas que revendem sites e hospedagem o erro de certificado é inconveniente para os clientes, que quase sempre usam o Microsoft Outlook Express.
Neste tutorial mostrarei como desativar o modo obrigatório de criptografia para envios pela porta 587, e explicarei como configurar alguns dos clientes de email mais populares.
No Microsoft Outlook o erro apresentado geralmente é este: The server you are connected to is using a security certificate that cannot be verified ou este: O certificado de segurança foi emitido por uma empresa na qual você não escolheu confiar.
* Este tutorial foi testado em nosso servidor Debian 7 com ISPConfig 3 e Postfix, clique aqui e veja como instalar.
A Acesse o servidor com o usuário root e edite o arquivo /etc/postfix/master.cf. Em seguida modifique conforme abaixo:
# Altere a partir da linha 16 substituindo este código: submission inet n - - - - smtpd -o syslog_name=postfix/submission -o smtpd_tls_security_level=encrypt -o smtpd_sasl_auth_enable=yes -o smtpd_client_restrictions=permit_sasl_authenticated,reject # -o milter_macro_daemon_name=ORIGINATING # Por este outro: submission inet n - - - - smtpd -o syslog_name=postfix/submission -o smtpd_enforce_tls=no -o smtpd_tls_security_level=may -o smtpd_tls_auth_only=no -o smtpd_sasl_auth_enable=yes -o smtpd_client_restrictions=permit_sasl_authenticated,reject # -o milter_macro_daemon_name=ORIGINATING
NOTA: A alteração acima fará com que o certificado TLS não seja “forçado” ou obrigatório para os envios. Mas quando configurar o Outlook, após a alteração, será necessário marcar a opção “Meu servidor de saída (SMTP) requer autenticação” na aba “Servidor de saída” nas configurações avançadas da conta.
B Reinicie o Postfix digitando o comando:
> /etc/init.d/postfix restart
DICA: Para acessar o seu servidor de email pelos endereços smtp.dominio.com.br e pop.dominio.com.br adicione 2 entradas do Tipo A na tabela DNS de cada domínio apontando para o IP do VPS. Por exemplo:
Tipo: A Name: smtp IP Address: NUMERO_IP_DO_VPS *Repita o passo para o registro pop
* Os exemplos abaixo são para um usuário [email protected] (substitua pelas credenciais da sua conta e seu domínio). *Sempre deixe o acesso POP/IMAP com criptografia desmarcada. *E se você configurou o servidor seguindo o tutorial com ISPConfig use sempre o email completo em “Nome de Usuário” nas autenticações.
A Gmail (O Gmail é o mais fácil de configurar):
Receber Email (POP3): Nome de Usuário: [email protected] Senha: ******* Servidor POP: pop.dominio.com.br Porta: 110 Usar uma conexão segura SSL: <desmarcado> Enviar Email (SMTP): Tratar como um aliás: <desmarcado> Nome de Usuário: [email protected] Senha: ******* Servidor SMTP: smtp.dominio.com.br Porta: 587 (se quiser usar com o certificado TLS) Porta: 25 (se não quiser usar o certificado) E por último selecione "TLS" ou "Conexão não segura" conforme a porta escolhida
B Mozilla Thunderbird (Quando adicionar a conta clique em “Configuração Manual”):
Receber Email (POP3): Endereço de Email: [email protected] Senha: ******* Servidor POP: pop.dominio.com.br Porta: 110 SSL: <nenhuma> Autenticação: <senha normal> Enviar Email (SMTP): Nome de Usuário: [email protected] Senha: ******* Servidor SMTP: smtp.dominio.com.br Porta: 587 SSL: <STARTTLS> (se quiser usar com o certificado TLS) SSL: <nenhuma> (se não quiser usar o certificado) Autenticação: <senha normal> * Se aparecer um alerta sobre a exclusão de certificado (no caso de optar com STARTTLS) ou um alerta sobre estar configurando sem criptografia (no caso de SSL: <nenhuma>), ignore marcando a opção "Entendo os riscos" e clicando em "Concluir".
C Outlook Express (O cliente de email mais problemático do planeta, porém é o mais usado):
* Escrevi um tutorial de como configurar o Outlook Express 2010 com criptografia neste link. No mesmo link ensino como importar o certificado para as máquinas Windows que usam o Outlook 2007 (que não importa automaticamente).
* Como a motivação deste artigo foi a possibilidade de driblar a confusão que a Microsoft faz com os certificados mostrarei abaixo como configurar o SMTP na porta 587 sem criptografia (testado no Outlook 2010). Usando a criptografia vários leitores relataram que em algumas versões de Windows/Outlook, mesmo adicionando a exceção de certificado, continua solicitando novamente a cada envio, e em alguns casos nem deixa importar. Além do que, por algum motivo, em certas versões do Outlook o envio pela porta 25 não funciona (isso não é erro do servidor é do Outlook para desktop mesmo).
* Preencha as informações da conta conforme abaixo mas preste atenção na observação ao final Receber Email (POP3): Endereço de Email: [email protected] Senha: ******* Servidor de entrada de emails POP: pop.dominio.com.br Porta: 110 Enviar Email (SMTP): Nome de Usuário: [email protected] Senha: ******* Servidor de saída de emails SMTP: smtp.dominio.com.br OBSERVAÇÃO: Para o envio funcionar sem solicitar certificado clique em "Mais Configurações" e preencha as informações nas abas "Servidor de Saída" e "Avançado" desta forma: Aba "Servidor de Saída": » Marque a opção: "Meu servidor de saída (SMTP) requer autenticação" » Selecione: "Usar mesmas config. do servidor de entrada de emails" Aba "Avançado": » Servidor de entrada (POP3): 110 » Este servidor requer uma conexão criptografada (SSL): <desmarcado> » Servidor de saída (SMTP): 587 » Usar o seguinte tipo de conexão criptografada: <Nenhum> » Marque as demais opções conforme desejar * Clique em "Concluir" e em "Avançar". O Outlook irá verificar as configurações e testar o envio/recebimento. Se der erro veja se as suas credenciais estão corretas.
D Outlook.com (Hotmail/Live) (Versão online e menos complicada da ferramenta da Microsoft, para envios..):
* Clique em "Adicionar uma conta de envio e recebimento" e preencha com o Nome, Email e a Senha. Em seguida clique em "Opções avançadas" Email: [email protected] Informações do servidor (POP3) de entrada: Endereço do Servidor POP: pop.dominio.com.br Porta: 110 Requer uma conexão segura (SSL): <desmarcado> Nome de Usuário: [email protected] Senha: ******* Informações do servidor (SMTP) de saída: Selecione: "Enviar email usando o servidor do provedor" Endereço do Servidor SMTP: smtp.dominio.com.br Porta: 587 Requer uma conexão segura (SSL/TLS): <desmarcado> Usar o mesmo nome de usuário e senha para enviar e receber emails: <marcado>
Após a alteração no Postfix e configurando os computadores com Outlook para usar senha normal (sem criptografia) a experiência para o usuário será a mesma das hospedagens compartilhadas de grandes empresas.
No Outlook Express não esqueça de marcar a opção “Meu servidor de saída (SMTP) requer autenticação” conforme explicado acima.
Se quiser usar senhas criptografadas com o Outlook Express veja o tutorial de como configurar usando o certificado genérico do servidor neste link. Ou compre um certificado válido.
Configurando o envio pela port 587 sem criptografia não tornará o servidor inseguro, lembre-se que ainda é necessário a autenticação conforme explicado.