Servidor de Email: Desativando o certificado SSL para autenticação das contas

Quando instalamos o servidor de email configuramos o Postfix com um certificado SSL livre que permite o envio de mensagens SMTP criptografadas pela porta 587 (TLS)  do servidor. O certificado instalado, por ser genérico, faz com que apareça uma mensagem ao configurar o cliente de email dizendo que o certificado não é confiável ou válido.

Para algumas pessoas, como é o meu caso, isso não faz muita diferença pois não uso clientes de email de desktop. Eu configuro meus envios e recebimentos do servidor pelo Gmail que considero a melhor opção para gerenciar contas. Mas para empresas que revendem sites e hospedagem o erro de certificado é inconveniente para os clientes, que quase sempre usam o Microsoft Outlook Express.

Neste tutorial mostrarei como desativar o modo obrigatório de criptografia para envios pela porta 587, e explicarei como configurar alguns dos clientes de email mais populares.

No Microsoft Outlook o erro apresentado geralmente é este: The server you are connected to is using a security certificate that cannot be verified ou este: O certificado de segurança foi emitido por uma empresa na qual você não escolheu confiar.

Configurando o Postfix e os clientes de email

* Este tutorial foi testado em nosso servidor Debian 7 com ISPConfig 3 e Postfix, clique aqui e veja como instalar.

Desative a criptografia TLS obrigatória para envios SMTP pela porta 587

A Acesse o servidor com o usuário root e edite o arquivo /etc/postfix/master.cf. Em seguida modifique conforme abaixo:

# Altere a partir da linha 16 substituindo este código:

submission inet n - - - - smtpd
 -o syslog_name=postfix/submission
 -o smtpd_tls_security_level=encrypt
 -o smtpd_sasl_auth_enable=yes
 -o smtpd_client_restrictions=permit_sasl_authenticated,reject
# -o milter_macro_daemon_name=ORIGINATING


# Por este outro:

submission inet n - - - - smtpd
 -o syslog_name=postfix/submission
 -o smtpd_enforce_tls=no
 -o smtpd_tls_security_level=may
 -o smtpd_tls_auth_only=no
 -o smtpd_sasl_auth_enable=yes
 -o smtpd_client_restrictions=permit_sasl_authenticated,reject
# -o milter_macro_daemon_name=ORIGINATING

NOTA: A alteração acima fará com que o certificado TLS não seja “forçado” ou obrigatório para os envios. Mas quando configurar o Outlook, após a alteração, será necessário marcar a opção “Meu servidor de saída (SMTP) requer autenticação” na aba “Servidor de saída” nas configurações avançadas da conta.

B Reinicie o Postfix digitando o comando:

> /etc/init.d/postfix restart

2 Exemplos de configuração POP e SMTP para os principais clientes de email

DICA: Para acessar o seu servidor de email pelos endereços smtp.dominio.com.br e pop.dominio.com.br adicione 2 entradas do Tipo A na tabela DNS de cada domínio apontando para o IP do VPS. Por exemplo:

Tipo: A
Name: smtp
IP Address: NUMERO_IP_DO_VPS

*Repita o passo para o registro pop

* Os exemplos abaixo são para um usuário [email protected] (substitua pelas credenciais da sua conta e seu domínio). *Sempre deixe o acesso POP/IMAP com criptografia desmarcada. *E se você configurou o servidor seguindo o tutorial com ISPConfig use sempre o email completo em “Nome de Usuário” nas autenticações.

A Gmail (O Gmail é o mais fácil de configurar):

Receber Email (POP3):

Nome de Usuário: [email protected]
Senha: *******
Servidor POP: pop.dominio.com.br
Porta: 110
Usar uma conexão segura SSL: <desmarcado>

Enviar Email (SMTP):

Tratar como um aliás: <desmarcado>
Nome de Usuário: [email protected]
Senha: *******
Servidor SMTP: smtp.dominio.com.br
Porta: 587 (se quiser usar com o certificado TLS)
Porta: 25 (se não quiser usar o certificado)
E por último selecione "TLS" ou "Conexão não segura" conforme a porta escolhida

B Mozilla Thunderbird (Quando adicionar a conta clique em “Configuração Manual”):

Receber Email (POP3):

Endereço de Email: [email protected]
Senha: *******
Servidor POP: pop.dominio.com.br
Porta: 110
SSL: <nenhuma>
Autenticação: <senha normal>

Enviar Email (SMTP):

Nome de Usuário: [email protected]
Senha: *******
Servidor SMTP: smtp.dominio.com.br
Porta: 587
SSL: <STARTTLS>  (se quiser usar com o certificado TLS)
SSL: <nenhuma>  (se não quiser usar o certificado)
Autenticação: <senha normal>

* Se aparecer um alerta sobre a exclusão de certificado (no caso de optar com STARTTLS) ou um alerta sobre estar configurando sem criptografia (no caso de SSL: <nenhuma>), ignore marcando a opção "Entendo os riscos" e clicando em "Concluir".

C Outlook Express (O cliente de email mais problemático do planeta, porém é o mais usado):

* Escrevi um tutorial de como configurar o Outlook Express 2010 com criptografia neste link. No mesmo link ensino como importar o certificado para as máquinas Windows que usam o Outlook 2007 (que não importa automaticamente).

* Como a motivação deste artigo foi a possibilidade de driblar a confusão que a Microsoft faz com os certificados mostrarei abaixo como configurar o SMTP na porta 587 sem criptografia (testado no Outlook 2010). Usando a criptografia vários leitores relataram que em algumas versões de Windows/Outlook, mesmo adicionando a exceção de certificado, continua solicitando novamente a cada envio, e em alguns casos nem deixa importar. Além do que, por algum motivo, em certas versões do Outlook o envio pela porta 25 não funciona (isso não é erro do servidor é do Outlook para desktop mesmo).

* Preencha as informações da conta conforme abaixo mas preste atenção na observação ao final

Receber Email (POP3):

Endereço de Email: [email protected]
Senha: *******
Servidor de entrada de emails POP: pop.dominio.com.br
Porta: 110

Enviar Email (SMTP):

Nome de Usuário: [email protected]
Senha: *******
Servidor de saída de emails SMTP: smtp.dominio.com.br

OBSERVAÇÃO: Para o envio funcionar sem solicitar certificado clique em "Mais Configurações" e preencha as informações nas abas "Servidor de Saída" e "Avançado" desta forma:

Aba "Servidor de Saída":
   » Marque a opção: "Meu servidor de saída (SMTP) requer autenticação"
   » Selecione: "Usar mesmas config. do servidor de entrada de emails"

Aba "Avançado":
   » Servidor de entrada (POP3): 110
   » Este servidor requer uma conexão criptografada (SSL): <desmarcado>
   » Servidor de saída (SMTP): 587
   » Usar o seguinte tipo de conexão criptografada: <Nenhum>

   » Marque as demais opções conforme desejar


* Clique em "Concluir" e em "Avançar". O Outlook irá verificar as configurações e testar o envio/recebimento. Se der erro veja se as suas credenciais estão corretas.

D Outlook.com (Hotmail/Live) (Versão online e menos complicada da ferramenta da Microsoft, para envios..):

* Clique em "Adicionar uma conta de envio e recebimento" e preencha com o Nome, Email e a Senha. Em seguida clique em "Opções avançadas"

Email: [email protected] 

Informações do servidor (POP3) de entrada:

Endereço do Servidor POP: pop.dominio.com.br
Porta: 110
Requer uma conexão segura (SSL): <desmarcado>
Nome de Usuário: [email protected]
Senha: *******

Informações do servidor (SMTP) de saída:

Selecione: "Enviar email usando o servidor do provedor"
Endereço do Servidor SMTP: smtp.dominio.com.br
Porta: 587
Requer uma conexão segura (SSL/TLS): <desmarcado>
Usar o mesmo nome de usuário e senha para enviar e receber emails: <marcado>
NOTAS:

Após a alteração no Postfix e configurando os computadores com Outlook para usar senha normal (sem criptografia) a experiência para o usuário será a mesma das hospedagens compartilhadas de grandes empresas.

No Outlook Express não esqueça de marcar a opção “Meu servidor de saída (SMTP) requer autenticação” conforme explicado acima.

Se quiser usar senhas criptografadas com o Outlook Express veja o tutorial de como configurar usando o certificado genérico do servidor neste link. Ou compre um certificado válido.

Configurando o envio pela port 587 sem criptografia não tornará o servidor inseguro, lembre-se que ainda é necessário a autenticação conforme explicado.

Gestão em infraestrutura de Servidores Cloud VPS e Dedicados. Planos mensais acessíveis e consultoria diferenciada para agências de marketing.
Envie um email para [email protected] e solicite uma análise gratuita!

  • Douglas Wegermann Pereira

    A algumas semanas eu me matei para encontrar essa solução, eu consegui com muito sacrifício.
    Neste caso, quem seguiu o tutorial de configuração da VPS para Hospedagem, a opção

    “# -o milter_macro_daemon_name=ORIGINATING”

    está descomentada, devemos comenta-la novamente?

  • Sim, pode comentar.
    Aquilo ali no nosso caso não faz diferença alguma (se você seguiu o tutorial com ISPConfig 3).

    Eu não publiquei a solução antes porque a quantidade de mensagens de leitores a responder é alta e estou desenvolvendo uma opção plus para o Fator (talvez eu cobre uma mensalidade baixa e publique tutoriais melhores ainda com video e mais detalhes/exemplos).

    Tem outros artigos aqui para revisar e publicar. Quando tiver dúvidas ou dificuldades pode sempre enviar um email para mim no [email protected]. Nunca deixo de responder aos leitores.

  • Douglas Wegermann Pereira

    Bacana! Acho uma ideia muito válida.

    Obrigado por compartilhar conosco.
    Sucesso!

  • Weslley Almeida

    Boa tarde, Luis.

    Como faço para enviar e-mails via Thunderbird/Outlook com Sparkpost configurado?
    Recebo normalmente, mas não consigo enviar.

  • Tem que configurar o SMTP com as informações que o SparkPost passa, o smtp deles, o usuário que aparece no painel da conta e a senha é a API para o domínio. O domínio precisa estar verificado e ativo no painel da SparkPost.

  • Weslley Almeida

    Muito Obrigado!
    Vou criar outra conta no Sparkpost, porque é para um cliente que resolveu utilizar o Thunderbird.
    Vlw..

  • Todo domínio precisa ser configurado e verificado no painel da SparkPost para conseguir enviar.

  • Weslley Almeida

    É porque estou utilizando uma conta para todos, mas já que tem que passar a senha vou criar uma conta para cada cliente. Mais uma vez, muito obrigado!

  • Geovane Pereira Correia

    Bom dia, Sr. Luis.

    Fiz todos os procedimentos descritos no tutorial.

    Consegui enviar um email de uma conta para outra, mas tudo no mesmo domínio.

    Quando tento enviar do meu domínio para fora, ex: gmail, ou outro, o email simplesmente não chega lá, ou não sai do servidor.

    O que poderia estar acontecendo?

    Nem o Thunderboard conseguiu receber, muito menos enviar.

    Obrigado.

  • Geovane Pereira Correia

    Quando envio pelo SquirrelMail, o email vai beleza.

    Mas quando conecto por fora, via software desktop, não vai.

    Só consigo enviar para as contas do próprio domínio, pra fora não envia.

    Obrigado.

  • Com certeza você errou algum passo. E o tutorial mais atualizado é o Debian 8 que já tem a última versão do Roundcube, pelo jeito você está instalando com Debian 7.

  • Geovane Pereira Correia

    Sim, instalei 2 máquinas, uma Debian 7 e a outra Debian 8.
    Mas no momento estou utilizando a Debian 7.

    É preciso liberar portas no ipTables ou mudar regras no Firewall?

    Obrigado.

  • Não precisa fazer nada com IPTables, o ISPConfig já faz todo o trabalho de firewall. Clientes novos da Digital Ocean ou da maioria das outras empresas que alugam VPS pedem que abra um ticket de suporte para desbloquear a porta de envio de emails, mas como você falou que está enviando direto do servidor então não deve ser isso.

  • Geovane Pereira Correia

    Isso mesmo Sr. Luis.

    Já solicitei a liberação, consigo enviar pra fora sem problemas.

    Mas só quando estou logado pelo browser, no caso do Thunderbird, e outros software desktop, só consigo enviar para as contas do mesmo domínio.

    Para fora não vai.

    Enviei para o seu email, meus 2 arquivos de configurações citados no tutorial.

    Se o senhor disponibilizar um tempinho pra dar uma olhada, eu ficarei muito grato.

    Obrigado.

    Um forte abraço à todos.

  • Cristiano Chagas

    Instalei o roundcube mas ele só recebe e-mails, quando enviamos ele diz que foi enviado mas não chegar no destinatário, e sem erro não sei por onde começar a procurar pela solução

  • Tente isso logo após o envio:
    > tail /var/log/mail.log

    E caso envie mesmo mas não apareça na caixa de entrada do destinatário veja aqui no site o meu post sobre problemas na entrega de emails. Use o Mail Tester para avaliar a sua nota de entrega.

  • Cristiano Chagas

    Estou recebendo esse erro abaixo provavelmente problema com a porta 25
    mas não sei o que fazer para resolver,

    relay=none, delay=6968, delays=6968/0.03/0/0.01, dsn=4.4.1, status=deferred (delivery temporarily suspended: connect to aspmx2.googlemail.com[64.233.190.27]:25: Connection timed out)