{"id":18969,"date":"2026-04-12T15:05:59","date_gmt":"2026-04-12T13:05:59","guid":{"rendered":"https:\/\/webhosting.de\/blog-mailserver-tls-konfiguration-cipher-auswahl-optimierung-server\/"},"modified":"2026-04-12T15:05:59","modified_gmt":"2026-04-12T13:05:59","slug":"blogue-servidor-de-correio-eletronico-configuracao-tls-selecao-de-cifra-otimizacao-servidor","status":"publish","type":"post","link":"https:\/\/webhosting.de\/pt\/blog-mailserver-tls-konfiguration-cipher-auswahl-optimierung-server\/","title":{"rendered":"Configura\u00e7\u00e3o TLS do servidor de correio e sele\u00e7\u00e3o de cifra: Guia definitivo"},"content":{"rendered":"<p>Vou mostrar-vos como <strong>Servidor de correio TLS<\/strong> no Postfix e selecionar conjuntos de cifras fortes para que as liga\u00e7\u00f5es SMTP sejam protegidas de forma consistente. Com base em par\u00e2metros experimentados e testados para TLS 1.2\/1.3, DANE, MTA-STS e pares de chaves modernos, gui\u00e1-lo-ei passo a passo atrav\u00e9s da configura\u00e7\u00e3o, teste e afina\u00e7\u00e3o para que o seu <strong>seguran\u00e7a do correio<\/strong> agarra de forma limpa.<\/p>\n\n<h2>Pontos centrais<\/h2>\n\n<ul>\n  <li><strong>Postfix<\/strong> Configurar de forma segura: Ativar o TLS, restringir protocolos, definir o registo.<\/li>\n  <li><strong>Cifra<\/strong> dar prioridade: ECDHE + GCM\/CHACHA20, aplicar o PFS, bloquear os dados antigos.<\/li>\n  <li><strong>Certificados<\/strong> manter limpo: RSA+ECDSA, cadeia completa, curvas fortes.<\/li>\n  <li><strong>DANE\/MTA-STS<\/strong> utilizar: Orienta\u00e7\u00f5es de ancoragem e redu\u00e7\u00e3o dos riscos de desvaloriza\u00e7\u00e3o.<\/li>\n  <li><strong>Testes<\/strong> e monitoriza\u00e7\u00e3o: Verifique regularmente o OpenSSL, o scanner TLS e os registos MTA.<\/li>\n<\/ul>\n\n\n<figure class=\"wp-block-image size-full is-resized\">\n  <img fetchpriority=\"high\" decoding=\"async\" src=\"https:\/\/webhosting.de\/wp-content\/uploads\/2026\/04\/mailserver-konfiguration-4721.png\" alt=\"\" width=\"1536\" height=\"1024\"\/>\n<\/figure>\n\n\n<h2>SMTP via TLS: o que \u00e9 realmente seguro<\/h2>\n\n<p>Protejo o SMTP com <strong>STARTTLS<\/strong>, para que o transporte de correio eletr\u00f3nico n\u00e3o seja feito em texto simples. TLS oportunista via <strong>smtpd_tls_security_level = may<\/strong> garante que as liga\u00e7\u00f5es de entrada utilizam a encripta\u00e7\u00e3o assim que a esta\u00e7\u00e3o remota a oferece. Para as entregas de sa\u00edda, utilizo <strong>smtp_tls_security_level = dane<\/strong> Verifica\u00e7\u00f5es de pol\u00edticas suportadas por DNSSEC para dificultar os ataques de downgrade. Sem o TLS, os emails podem ser lidos e manipulados em tr\u00e2nsito, o que \u00e9 particularmente perigoso para formul\u00e1rios, encomendas ou dados de conta. Com o TLS ativo durante todo o processo, reduzo significativamente o risco de espionagem e de MITM, e obtenho melhores taxas de entrega porque os grandes fornecedores classificam favoravelmente as liga\u00e7\u00f5es seguras.<\/p>\n\n<h2>Chaves, certificados e protocolos no Postfix<\/h2>\n\n<p>Tenho dois certificados prontos: um <strong>RSA<\/strong>-e um certificado ECDSA para que os MTAs antigos e novos estejam ligados de forma \u00f3ptima. Defino claramente os caminhos no Postfix, por exemplo <strong>smtpd_tls_cert_file<\/strong> para RSA e <strong>smtpd_tls_eccert_file<\/strong> para ECDSA, cada um com uma chave correspondente. Para uma autentica\u00e7\u00e3o limpa, presto aten\u00e7\u00e3o \u00e0 cadeia completa, a um CN\/SAN que corresponda exatamente ao anfitri\u00e3o e a uma curva como <strong>secp384r1<\/strong> para a chave ECDSA. Desactivo estritamente os protocolos mais antigos, ou seja, SSLv2 e SSLv3, para evitar descidas for\u00e7adas. Se estiver a ponderar o tipo de certificado, d\u00ea uma vista de olhos r\u00e1pida a <a href=\"https:\/\/webhosting.de\/pt\/certificados-tls-dv-ov-ev-hosting-comparacao-de-seguranca\/\">DV, OV ou EV<\/a>, para escolher o n\u00edvel de confian\u00e7a correto.<\/p>\n\n\n<figure class=\"wp-block-image size-full is-resized\">\n  <img decoding=\"async\" src=\"https:\/\/webhosting.de\/wp-content\/uploads\/2026\/04\/tls_configuration_guide_4928.png\" alt=\"\" width=\"1536\" height=\"1024\"\/>\n<\/figure>\n\n\n<h2>Sele\u00e7\u00e3o de cifras: Prioridades para TLS 1.2\/1.3<\/h2>\n\n<p>Dou prioridade aos conjuntos de cifras com <strong>PFS<\/strong>, ou seja, ECDHE antes de DHE, e usar GCM ou CHACHA20-POLY1305. No TLS 1.3, a pilha liberta-o de muitos problemas herdados, enquanto o TLS 1.2 continua a exigir uma lista clara. Su\u00edtes inseguras ou fracas, como <strong>RC4<\/strong>, Elimino o 3DES, o CAMELLIA, o aNULL e o eNULL. Para o Postfix, utilizo <strong>smtpd_tls_ciphers = high<\/strong> e uma diretiva restritiva <em>tls_high_cipherlist<\/em>, para que nenhum algoritmo desatualizado passe. Se formos mais fundo, o <a href=\"https:\/\/webhosting.de\/pt\/tls-cipher-suites-hosting-security-serverboost\/\">Guia de su\u00edtes de cifras<\/a> uma categoriza\u00e7\u00e3o f\u00e1cil de compreender e sem lastro.<\/p>\n\n<table>\n  <thead>\n    <tr>\n      <th>Vers\u00e3o TLS<\/th>\n      <th>Conjuntos de cifras favoritos<\/th>\n      <th>Estado<\/th>\n      <th>Nota<\/th>\n    <\/tr>\n  <\/thead>\n  <tbody>\n    <tr>\n      <td><strong>TLS 1.3<\/strong><\/td>\n      <td>TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256, TLS_AES_128_GCM_SHA256<\/td>\n      <td>ativo<\/td>\n      <td>Sele\u00e7\u00e3o firmemente no protocolo, sem mais problemas de legado.<\/td>\n    <\/tr>\n    <tr>\n      <td><strong>TLS 1.2<\/strong><\/td>\n      <td>ECDHE-ECDSA-AES256-GCM-SHA384, ECDHE-RSA-AES256-GCM-SHA384, ECDHE-ECDSA-CHACHA20-POLY1305<\/td>\n      <td>ativo<\/td>\n      <td>Dar prioridade \u00e0 PFS, preferir GCM\/CHACHA.<\/td>\n    <\/tr>\n    <tr>\n      <td><strong>Obsoleto<\/strong><\/td>\n      <td>RC4, 3DES, CAMELLIA, AES128-SHA, aNULL\/eNULL<\/td>\n      <td>bloqueado<\/td>\n      <td>Desativar completamente por raz\u00f5es de seguran\u00e7a.<\/td>\n    <\/tr>\n  <\/tbody>\n<\/table>\n\n<h2>Postfix: par\u00e2metros concretos para main.cf<\/h2>\n\n<p>Defino uma configura\u00e7\u00e3o clara para que o MTA fale de forma segura tanto \u00e0 entrada como \u00e0 sa\u00edda. Para a ECDH ef\u00e9mera, utilizo <strong>smtpd_tls_eecdh_grade<\/strong> e desactivei a compress\u00e3o para evitar ataques do tipo CRIME. Um ficheiro DH forte com 4096 bits evita negocia\u00e7\u00f5es DHE fracas. Coloco restri\u00e7\u00f5es r\u00edgidas nos protocolos e imponho uma qualidade de cifra elevada, favorecendo o TLS 1.3. No in\u00edcio, um n\u00edvel de registo moderado ajuda-me a verificar os handshakes sem inundar o di\u00e1rio.<\/p>\n\n<pre><code># Ativa\u00e7\u00e3o e pol\u00edtica\nsmtpd_tls_security_level = may\nsmtp_tls_security_level = dane\n\nCertificados # (caminhos de exemplo)\nsmtpd_tls_cert_file = \/etc\/ssl\/certs\/mail.example.de.cer\nsmtpd_tls_key_file = \/etc\/ssl\/private\/mail.example.de.key\nsmtpd_tls_eccert_file = \/etc\/ssl\/certs\/mail.example.de_ecc.cer\nsmtpd_tls_eckey_file = \/etc\/ssl\/private\/mail.example.de_ecc.key\n\nProtocolos e cifras #\nsmtpd_tls_protocols = !SSLv2, !SSLv3\nsmtpd_tls_mandatory_protocols = !SSLv2, !SSLv3\nsmtpd_tls_ciphers = high\ntls_high_cipherlist = !aNULL:!eNULL:!RC4:!3DES:!CAMELLIA:HIGH:@STRENGTH\ntls_ssl_options = NO_COMPRESSION\nsmtpd_tls_eecdh_grade = ultra\n\nPar\u00e2metros # DH\nsmtpd_tls_dh1024_param_file = \/etc\/postfix\/dh_4096.pem\n\n# DNSSEC\/DANE (se dispon\u00edvel)\nsmtp_dns_support_level = dnssec\n\n# Registo de dados\nsmtpd_tls_loglevel = 1\n<\/code><\/pre>\n\n<p>Mantenho a cadeia de certificados completa, presto aten\u00e7\u00e3o aos direitos corretos para <strong>privado<\/strong> ficheiros de chaves e verificar os registos ap\u00f3s o recarregamento. Se o TLS 1.2 for necess\u00e1rio para parceiros antigos, mantenho-me estritamente no GCM\/CHACHA e bloqueio tudo o resto. Para o TLS 1.3, confio nos padr\u00f5es da pilha e evito caminhos especiais que dificultam a manuten\u00e7\u00e3o. O agrafamento OCSP s\u00f3 desempenha um papel no SMTP se um proxy a montante o fornecer, pelo que s\u00f3 o verifico nas configura\u00e7\u00f5es correspondentes. Ap\u00f3s cada mudan\u00e7a, eu valido com o OpenSSL para reconhecer efeitos colaterais logo no in\u00edcio e para garantir que o <strong>encripta\u00e7\u00e3o de correio eletr\u00f3nico<\/strong> de forma coerente.<\/p>\n\n\n<figure class=\"wp-block-image size-full is-resized\">\n  <img decoding=\"async\" src=\"https:\/\/webhosting.de\/wp-content\/uploads\/2026\/04\/mailserver-tls-guide-cipher-tips-6954.png\" alt=\"\" width=\"1536\" height=\"1024\"\/>\n<\/figure>\n\n\n<h2>Autenticidade de transporte com DANE, MTA-STS, SPF, DKIM e DMARC<\/h2>\n\n<p>Combino TLS com <strong>DANE<\/strong>, publicando registos TLSA assinados ao abrigo do DNSSEC. Al\u00e9m disso, defino o MTA-STS para que os pares remotos saibam que o meu anfitri\u00e3o requer TLS e a que MX devem aderir. Para a liga\u00e7\u00e3o de identidade, assino os emails de sa\u00edda com <strong>DKIM<\/strong> e entrega segura de dom\u00ednios atrav\u00e9s de regras SPF. Por \u00faltimo, o DMARC define a forma como os destinat\u00e1rios devem lidar com os desvios, o que torna a falsifica\u00e7\u00e3o muito mais dif\u00edcil. Estes componentes funcionam em conjunto: O TLS protege o transporte, enquanto a autentica\u00e7\u00e3o refor\u00e7a o remetente e aumenta visivelmente a taxa de entrega.<\/p>\n\n<p>Se o desempenho for um estrangulamento, optimizo o rein\u00edcio da sess\u00e3o, as funcionalidades de hardware e o pr\u00f3prio aperto de m\u00e3o. Pode come\u00e7ar a utilizar truques pr\u00e1ticos com <a href=\"https:\/\/webhosting.de\/pt\/otimizar-o-desempenho-do-handshake-tls-com-o-quicboost\/\">Aperto de m\u00e3o TLS mais r\u00e1pido<\/a>, para reduzir a lat\u00eancia ao estabelecer uma liga\u00e7\u00e3o. Importante: mantenho a sele\u00e7\u00e3o de cifras e a retoma em equil\u00edbrio, porque os compromissos fracos n\u00e3o compensam em termos de seguran\u00e7a. A negocia\u00e7\u00e3o r\u00e1pida do TLS traz economias significativas, especialmente com grandes volumes de correio. Desta forma <strong>Rendimento<\/strong> e a seguran\u00e7a em equil\u00edbrio.<\/p>\n\n<h2>Testes, controlo e auditorias<\/h2>\n\n<p>Verifico os apertos de m\u00e3o localmente com <strong>openssl<\/strong> e verificar a vers\u00e3o do protocolo, a cifra e a cadeia de certificados. O comando <em>openssl s_client -connect mail.example.de:25 -starttls smtp<\/em> mostra-me ao vivo o que o servidor remoto est\u00e1 a negociar. Ap\u00f3s as altera\u00e7\u00f5es de configura\u00e7\u00e3o, utilizo <em>verifica\u00e7\u00e3o postfix<\/em> e analisar especificamente <strong>smtpd_tls_loglevel<\/strong>, para isolar padr\u00f5es de erro. Os scanners externos de TLS ajudam a categorizar a visibilidade p\u00fablica, especialmente ap\u00f3s altera\u00e7\u00f5es de certificados. Um ciclo de auditoria regular protege contra a deteriora\u00e7\u00e3o progressiva, por exemplo, se uma altera\u00e7\u00e3o da biblioteca afetar as prioridades de cifra.<\/p>\n\n\n<figure class=\"wp-block-image size-full is-resized\">\n  <img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/webhosting.de\/wp-content\/uploads\/2026\/04\/mailserver_tls_guide_nacht_4523.png\" alt=\"\" width=\"1536\" height=\"1024\"\/>\n<\/figure>\n\n\n<h2>Erros de configura\u00e7\u00e3o frequentes e correc\u00e7\u00f5es r\u00e1pidas<\/h2>\n\n<p>Vejo frequentemente cifras desactualizadas como <strong>AES128-SHA<\/strong>, que ainda est\u00e3o activos e impedem o PFS. Uma cadeia de cifras rigorosa e o bloqueio claro de LOW\/MD5\/RC4\/3DES ajudam aqui. Segundo padr\u00e3o: falta de certificados interm\u00e9dios, o que impede as esta\u00e7\u00f5es remotas de verificar a cadeia; adiciono o ficheiro do pacote e testo novamente. Em aparelhos como um Synology, defino o perfil TLS como moderno e removo as op\u00e7\u00f5es herdadas para que o servidor SMTP fale moderno. Com o Microsoft Exchange, verifico especificamente as pol\u00edticas TLS 1.2\/1.3, a atribui\u00e7\u00e3o de certificados por conetor e quaisquer substitui\u00e7\u00f5es de cifra na configura\u00e7\u00e3o do anfitri\u00e3o para que o <strong>Aperto de m\u00e3o<\/strong>-A sele\u00e7\u00e3o \u00e9 correta.<\/p>\n\n<h2>Pr\u00e9-visualiza\u00e7\u00e3o: TLS 1.3, 0-RTT e Post-Quantum<\/h2>\n\n<p>Prefiro o TLS 1.3 porque o aperto de m\u00e3o \u00e9 mais curto e as op\u00e7\u00f5es antigas s\u00e3o omitidas, o que reduz as superf\u00edcies de ataque. A sele\u00e7\u00e3o da op\u00e7\u00e3o <strong>cifra<\/strong> N\u00e3o utilizo o 0-RTT no contexto do SMTP, uma vez que os ataques de repeti\u00e7\u00e3o trazem riscos desnecess\u00e1rios. Para o futuro, estou atento aos procedimentos h\u00edbridos p\u00f3s-qu\u00e2nticos, que poder\u00e3o entrar no ambiente de correio assim que a normaliza\u00e7\u00e3o e o suporte amadurecerem. Continua a ser importante definir as pol\u00edticas e o controlo de forma a que os novos procedimentos possam ser integrados mais tarde sem perturba\u00e7\u00f5es.<\/p>\n\n\n<figure class=\"wp-block-image size-full is-resized\">\n  <img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/webhosting.de\/wp-content\/uploads\/2026\/04\/mailserver_tls_guide_7492.png\" alt=\"\" width=\"1536\" height=\"1024\"\/>\n<\/figure>\n\n\n<h2>Desempenho e taxa de entrega num relance<\/h2>\n\n<p>Eu me\u00e7o o <strong>Lat\u00eancia<\/strong> do aperto de m\u00e3o TLS e otimizar as caches para permitir a reutiliza\u00e7\u00e3o. A retoma da sess\u00e3o (bilhetes\/IDs) reduz a carga inform\u00e1tica e acelera as liga\u00e7\u00f5es recorrentes entre MTAs. Para a revoga\u00e7\u00e3o de certificados, baseio-me em informa\u00e7\u00f5es empilh\u00e1veis no proxy a montante, se dispon\u00edveis, para poupar acessos adicionais. Os grandes destinat\u00e1rios avaliam favoravelmente os transportes seguros, o que aumenta a taxa de entrega, enquanto os caminhos inseguros aumentam o risco de spam e rejei\u00e7\u00e3o. Com uma pol\u00edtica TLS clara, entradas DNS s\u00f3lidas e uma cadeia de assinaturas limpa, crio uma base fi\u00e1vel para <strong>Capacidade de entrega<\/strong>.<\/p>\n\n<h2>O meu calend\u00e1rio de instala\u00e7\u00e3o<\/h2>\n\n<p>Come\u00e7o por obter o certificado de uma CA fi\u00e1vel, gero ECDSA e RSA e armazeno ambos de forma limpa no anfitri\u00e3o. De seguida, personalizo o ficheiro <strong>main.cf<\/strong> com os par\u00e2metros TLS, definir cifras fortes e desativar protocolos antigos. \u00c9 adicionado um novo ficheiro DH com 4096 bits, seguido de um recarregamento e das primeiras verifica\u00e7\u00f5es OpenSSL. Em seguida, configuro o DANE, adiciono o MTA-STS e verifico a validade do SPF\/DKIM\/DMARC. Por fim, executo testes contra alvos externos, verifico os registos durante o funcionamento e programo auditorias regulares para que o <strong>Configura\u00e7\u00e3o<\/strong> permanece seguro a longo prazo.<\/p>\n\n\n<figure class=\"wp-block-image size-full is-resized\">\n  <img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/webhosting.de\/wp-content\/uploads\/2026\/04\/tls-einstellungen-leitfaden-8421.png\" alt=\"\" width=\"1536\" height=\"1024\"\/>\n<\/figure>\n\n\n<h2>M\u00f3dulos em falta: Submiss\u00e3o, SMTPS e SNI<\/h2>\n\n<p>N\u00e3o s\u00f3 protejo a porta 25, como tamb\u00e9m o envio (587) e, opcionalmente, o SMTPS (465). Para o envio, imponho a encripta\u00e7\u00e3o e a autentica\u00e7\u00e3o para que as palavras-passe dos utilizadores nunca sejam enviadas em texto simples. Em <em>master.cf<\/em> Ativo os servi\u00e7os e defino substitui\u00e7\u00f5es espec\u00edficas:<\/p>\n\n<pre><code>Envio # (porta 587) com STARTTLS e obriga\u00e7\u00e3o de autentica\u00e7\u00e3o\nsubmission inet n - y - - smtpd\n  -o syslog_name=postfix\/submission\n  -o smtpd_tls_security_level=encrypt\n  -o smtpd_tls_auth_only=yes\n  -o smtpd_sasl_auth_enable=yes\n  -o milter_macro_daemon_name=ORIGINANDO\n\n# SMTPS (porta 465) como modo wrapper, se necess\u00e1rio\nsmtps inet n - y - - smtpd\n  -o syslog_name=postfix\/smtps\n  -o smtpd_tls_wrappermode=yes\n  -o smtpd_sasl_auth_enable=yes\n  -o milter_macro_daemon_name=ORIGINANDO\n<\/code><\/pre>\n\n<p>Se servir v\u00e1rios dom\u00ednios de correio eletr\u00f3nico num \u00fanico anfitri\u00e3o com os meus pr\u00f3prios certificados, utilizo <strong>SNI<\/strong>. Utilizo um mapa SNI para atribuir o caminho de certificado adequado a cada anfitri\u00e3o de destino e garantir que os clientes MUA tamb\u00e9m v\u00eaem o certificado correto. \u00c9 assim que asseguro a separa\u00e7\u00e3o do cliente com uma identidade TLS consistente.<\/p>\n\n<h2>Pol\u00edticas por dom\u00ednio: controlo de precis\u00e3o<\/h2>\n\n<p>Para al\u00e9m da pol\u00edtica global, tamb\u00e9m fa\u00e7o a gest\u00e3o de <strong>smtp_tls_policy_maps<\/strong> Excep\u00e7\u00f5es e restri\u00e7\u00f5es por dom\u00ednio destinat\u00e1rio. Isto permite-me migrar gradualmente parceiros antigos ou impor requisitos particularmente rigorosos para alvos sens\u00edveis.<\/p>\n\n<pre><code># main.cf\nsmtp_tls_policy_maps = hash:\/etc\/postfix\/tls_policy\n\n# \/etc\/postfix\/tls_policy (entradas de exemplo)\nexample.org s\u00f3 pode ser usado\nlegacy.example.net pode\nsecure.example.com secure\n<\/code><\/pre>\n\n<p><em>apenas dinamarqu\u00eas<\/em> aplica a prote\u00e7\u00e3o DANE sem depend\u00eancia da AC, <em>seguro<\/em> requer uma cadeia CA v\u00e1lida e recusa a entrega de texto simples, <em>pode<\/em> continua a ser oportunista. Ap\u00f3s as altera\u00e7\u00f5es, construo o mapa com <em>mapa postal<\/em> e recarregar o Postfix.<\/p>\n\n<h2>DANE e MTA-STS: aplica\u00e7\u00e3o concreta<\/h2>\n\n<p>Para <strong>DANE<\/strong> Publico registos TLSA ao abrigo do DNSSEC. Prefiro utilizar o DANE-EE (311) porque permite a fixa\u00e7\u00e3o da chave p\u00fablica e facilita a altera\u00e7\u00e3o de certificados com a mesma chave. Um registo TLSA exemplar em <em>_25._tcp.mail.example.de<\/em> tem este aspeto:<\/p>\n\n<pre><code>_25._tcp.mail.example.de. IN TLSA 3 1 1\n<\/code><\/pre>\n\n<p>Eu gero o hash a partir do certificado ECDSA ou RSA e certifico-me de o rodar antes de expirar. \u00c9 importante que a zona DNS seja assinada e que a cadeia de delega\u00e7\u00f5es seja validada sem lacunas.<\/p>\n\n<p>Para <strong>MTA-STS<\/strong> Alojo o ficheiro de pol\u00edtica atrav\u00e9s de HTTPS e adiciono a entrada DNS TXT. Desta forma, especifico que os pares remotos falam TLS e s\u00f3 s\u00e3o aceites com um MX definido. Um ficheiro de pol\u00edtica minimalista:<\/p>\n\n<pre><code>vers\u00e3o: STSv1\nmodo: impor\nmx: mail.example.de\nmax_age: 604800\n<\/code><\/pre>\n\n<p>\u00c9 adicionada uma entrada TXT no DNS em <em>_mta-sts.example.de<\/em> com a vers\u00e3o atual. Opcionalmente, configuro <em>TLS-RPT<\/em> via TXT em <em>_smtp._tls.example.de<\/em> para receber relat\u00f3rios sobre viola\u00e7\u00f5es de pol\u00edticas. Esta telemetria ajuda-me a reconhecer falhas, desclassifica\u00e7\u00f5es e certificados defeituosos numa fase inicial.<\/p>\n\n<h2>Refor\u00e7ar os protocolos, especificar a cifra<\/h2>\n\n<p>Refor\u00e7o os limites do protocolo e imponho a prefer\u00eancia do servidor. O TLS 1.0\/1.1 \u00e9 dispens\u00e1vel atualmente; apenas permito o TLS 1.2 e 1.3 em profundidade e numa base de sa\u00edda. Para o TLS 1.2, defino uma lista positiva expl\u00edcita para excluir stocks mistos de cifras antigas:<\/p>\n\n<pre><code># Refor\u00e7o adicional (main.cf)\nsmtpd_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1\nsmtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1\nsmtp_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1\nsmtp_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1\n\n# Lista de cifras expl\u00edcita do TLS 1.2 (apenas PFS + AEAD)\ntls_high_cipherlist = ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:!aNULL:!eNULL:!MD5:!RC4:!3DES:!CAMELLIA\n\n# Utilizar a prefer\u00eancia do servidor\ntls_preempt_cipherlist = sim\n<\/code><\/pre>\n\n<p>Certifico-me de que o ECDHE \u00e9 privilegiado e que o DHE \u00e9 apenas um recurso. Mantenho o meu ficheiro DH atualizado; no TLS 1.3 n\u00e3o desempenha qualquer papel, mas continua a ser \u00fatil para ac\u00e7\u00f5es raras de DHE.<\/p>\n\n<h2>Retomada de sess\u00e3o e caches<\/h2>\n\n<p>Para acelerar as coisas, ativo as caches de sess\u00e3o para o cliente e o servidor para tornar as reconex\u00f5es mais favor\u00e1veis. A carga da CPU e a lat\u00eancia s\u00e3o visivelmente reduzidas, especialmente com alta taxa de transfer\u00eancia de correio:<\/p>\n\n<pre><code># Cache de sess\u00e3o (main.cf)\nsmtpd_tls_session_cache_database = btree:\/var\/lib\/postfix\/smtpd_scache\nsmtp_tls_session_cache_database = btree:\/var\/lib\/postfix\/smtp_scache\nsmtp_tls_connection_reuse = yes\n<\/code><\/pre>\n\n<p>Controlo a taxa de acertos nos registos e certifico-me de que nenhum \u00e9 demasiado curto. <em>dura\u00e7\u00e3o dos bilhetes<\/em> na biblioteca TLS para abrandar a retoma. Importante: A retoma n\u00e3o deve enfraquecer a pol\u00edtica; mantenho os mesmos requisitos de cifra.<\/p>\n\n<h2>Empresa certificada: Rota\u00e7\u00e3o e manuten\u00e7\u00e3o da corrente<\/h2>\n\n<p>Automatizo a renova\u00e7\u00e3o e o recarregamento do MTA para que nenhum certificado expirado fique em funcionamento. Ap\u00f3s cada renova\u00e7\u00e3o, verifico se os certificados folha e interm\u00e9dios est\u00e3o completamente no pacote. Para a opera\u00e7\u00e3o dupla ECDSA\/RSA, certifico-me de que ambos os pares rodam antes de uma altera\u00e7\u00e3o em massa causar problemas aos clientes. Testo o caminho e a submiss\u00e3o do SNI separadamente porque os MUAs podem apresentar padr\u00f5es de erro diferentes dos MTAs.<\/p>\n\n<h2>Aprofundar o registo e o diagn\u00f3stico<\/h2>\n\n<p>Aumento temporariamente a profundidade do registo quando ocorre um problema e utilizo ferramentas de bordo para verifica\u00e7\u00f5es cruzadas:<\/p>\n\n<pre><code>Registo direcionado para o # (main.cf)\nsmtp_tls_loglevel = 1\nsmtp_tls_note_starttls_offer = yes\n<\/code><\/pre>\n\n<p>Com <em>posttls-finger target.example.com<\/em> Verifico que pol\u00edtica um MTA remoto espera e que cifras\/protocolos s\u00e3o negociados. Utilizo <em>postconf -n | grep tls<\/em>, para ver apenas os par\u00e2metros TLS definidos explicitamente; posso encontrar desvios dos padr\u00f5es mais rapidamente dessa forma. Nos registos, procuro por termos como <em>sem cifra partilhada<\/em>, <em>falha na verifica\u00e7\u00e3o do certificado<\/em> ou <em>vers\u00e3o do protocolo<\/em>, que indicam diretamente incompatibilidade de cifras, problemas de cadeia ou limites de protocolo demasiado r\u00edgidos\/ demasiado frouxos.<\/p>\n\n<h2>Gerir a compatibilidade sem sacrificar a seguran\u00e7a<\/h2>\n\n<p>Planeio as transi\u00e7\u00f5es de forma consciente: mantenho-me a par de <em>pode<\/em>, para evitar a perda de correio eletr\u00f3nico de servidores antigos, mas registo as entregas em texto simples. Na sa\u00edda, mantenho-me rigoroso (DANE\/MTA-STS\/secure) e utilizo <em>smtp_tls_policy_maps<\/em> para casos individuais. Se os parceiros individuais s\u00f3 conseguirem gerir o TLS 1.2 com AES-GCM, isso \u00e9 aceit\u00e1vel; eu fa\u00e7o a gest\u00e3o de tudo o que est\u00e1 abaixo disso atrav\u00e9s de excep\u00e7\u00f5es acordadas com um tempo de execu\u00e7\u00e3o limitado, documento-as e incluo-as no planeamento da migra\u00e7\u00e3o. Isto mant\u00e9m o n\u00edvel geral elevado sem bloquear as opera\u00e7\u00f5es comerciais.<\/p>\n\n<h2>Vis\u00e3o geral das predefini\u00e7\u00f5es TLS do sistema<\/h2>\n\n<p>Tenha em aten\u00e7\u00e3o que o Postfix utiliza a biblioteca TLS do sistema. As actualiza\u00e7\u00f5es do OpenSSL\/LibreSSL podem alterar as prioridades de cifra e o comportamento do TLS 1.3. Ap\u00f3s as actualiza\u00e7\u00f5es do sistema, eu verifico aleatoriamente os handshakes e comparo a sa\u00edda de <em>postconf -n<\/em> com os meus valores-alvo. Um conjunto <em>n\u00edvel_de_compatibilidade<\/em> no Postfix ajuda a manter padr\u00f5es est\u00e1veis, mas eu n\u00e3o confio cegamente nele e documento desvios expl\u00edcitos no main.cf\/master.cf.<\/p>\n\n<h2>Resumo r\u00e1pido para administradores<\/h2>\n\n<p>Gostaria de sublinhar que cifras fortes com PFS, certificados limpos e pol\u00edticas claras s\u00e3o essenciais para <strong>SMTP<\/strong> crucial. O TLS 1.3 liberta-o dos problemas herdados, enquanto o TLS 1.2 exige uma lista de cifras disciplinada. DANE e MTA-STS refor\u00e7am o caminho de transporte, SPF\/DKIM\/DMARC protegem a identidade e a comunica\u00e7\u00e3o. Testes regulares e an\u00e1lises de registos mostram desde logo se uma altera\u00e7\u00e3o tem efeitos secund\u00e1rios indesej\u00e1veis. Com este guia, pode configurar o seu servidor de correio eletr\u00f3nico para ser seguro, ter um bom desempenho e estar preparado para o futuro - sem necessidade de <strong>Riscos<\/strong>.<\/p>","protected":false},"excerpt":{"rendered":"<p>Configura\u00e7\u00e3o do servidor de correio eletr\u00f3nico TLS e sele\u00e7\u00e3o de cifras: configura\u00e7\u00e3o do smtp tls para uma seguran\u00e7a de correio optimizada e alojamento de encripta\u00e7\u00e3o de correio eletr\u00f3nico. Guia completo para especialistas.<\/p>","protected":false},"author":1,"featured_media":18962,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_crdt_document":"","inline_featured_image":false,"footnotes":""},"categories":[708],"tags":[],"class_list":["post-18969","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-email"],"acf":[],"_wp_attached_file":null,"_wp_attachment_metadata":null,"litespeed-optimize-size":null,"litespeed-optimize-set":null,"_elementor_source_image_hash":null,"_wp_attachment_image_alt":null,"stockpack_author_name":null,"stockpack_author_url":null,"stockpack_provider":null,"stockpack_image_url":null,"stockpack_license":null,"stockpack_license_url":null,"stockpack_modification":null,"color":null,"original_id":null,"original_url":null,"original_link":null,"unsplash_location":null,"unsplash_sponsor":null,"unsplash_exif":null,"unsplash_attachment_metadata":null,"_elementor_is_screenshot":null,"surfer_file_name":null,"surfer_file_original_url":null,"envato_tk_source_kit":null,"envato_tk_source_index":null,"envato_tk_manifest":null,"envato_tk_folder_name":null,"envato_tk_builder":null,"envato_elements_download_event":null,"_menu_item_type":null,"_menu_item_menu_item_parent":null,"_menu_item_object_id":null,"_menu_item_object":null,"_menu_item_target":null,"_menu_item_classes":null,"_menu_item_xfn":null,"_menu_item_url":null,"_trp_menu_languages":null,"rank_math_primary_category":null,"rank_math_title":null,"inline_featured_image":null,"_yoast_wpseo_primary_category":null,"rank_math_schema_blogposting":null,"rank_math_schema_videoobject":null,"_oembed_049c719bc4a9f89deaead66a7da9fddc":null,"_oembed_time_049c719bc4a9f89deaead66a7da9fddc":null,"_yoast_wpseo_focuskw":null,"_yoast_wpseo_linkdex":null,"_oembed_27e3473bf8bec795fbeb3a9d38489348":null,"_oembed_c3b0f6959478faf92a1f343d8f96b19e":null,"_trp_translated_slug_en_us":null,"_wp_desired_post_slug":null,"_yoast_wpseo_title":null,"tldname":null,"tldpreis":null,"tldrubrik":null,"tldpolicylink":null,"tldsize":null,"tldregistrierungsdauer":null,"tldtransfer":null,"tldwhoisprivacy":null,"tldregistrarchange":null,"tldregistrantchange":null,"tldwhoisupdate":null,"tldnameserverupdate":null,"tlddeletesofort":null,"tlddeleteexpire":null,"tldumlaute":null,"tldrestore":null,"tldsubcategory":null,"tldbildname":null,"tldbildurl":null,"tldclean":null,"tldcategory":null,"tldpolicy":null,"tldbesonderheiten":null,"tld_bedeutung":null,"_oembed_d167040d816d8f94c072940c8009f5f8":null,"_oembed_b0a0fa59ef14f8870da2c63f2027d064":null,"_oembed_4792fa4dfb2a8f09ab950a73b7f313ba":null,"_oembed_33ceb1fe54a8ab775d9410abf699878d":null,"_oembed_fd7014d14d919b45ec004937c0db9335":null,"_oembed_21a029d076783ec3e8042698c351bd7e":null,"_oembed_be5ea8a0c7b18e658f08cc571a909452":null,"_oembed_a9ca7a298b19f9b48ec5914e010294d2":null,"_oembed_f8db6b27d08a2bb1f920e7647808899a":null,"_oembed_168ebde5096e77d8a89326519af9e022":null,"_oembed_cdb76f1b345b42743edfe25481b6f98f":null,"_oembed_87b0613611ae54e86e8864265404b0a1":null,"_oembed_27aa0e5cf3f1bb4bc416a4641a5ac273":null,"_oembed_time_27aa0e5cf3f1bb4bc416a4641a5ac273":null,"_tldname":null,"_tldclean":null,"_tldpreis":null,"_tldcategory":null,"_tldsubcategory":null,"_tldpolicy":null,"_tldpolicylink":null,"_tldsize":null,"_tldregistrierungsdauer":null,"_tldtransfer":null,"_tldwhoisprivacy":null,"_tldregistrarchange":null,"_tldregistrantchange":null,"_tldwhoisupdate":null,"_tldnameserverupdate":null,"_tlddeletesofort":null,"_tlddeleteexpire":null,"_tldumlaute":null,"_tldrestore":null,"_tldbildname":null,"_tldbildurl":null,"_tld_bedeutung":null,"_tldbesonderheiten":null,"_oembed_ad96e4112edb9f8ffa35731d4098bc6b":null,"_oembed_8357e2b8a2575c74ed5978f262a10126":null,"_oembed_3d5fea5103dd0d22ec5d6a33eff7f863":null,"_eael_widget_elements":null,"_oembed_0d8a206f09633e3d62b95a15a4dd0487":null,"_oembed_time_0d8a206f09633e3d62b95a15a4dd0487":null,"_aioseo_description":null,"_eb_attr":null,"_eb_data_table":null,"_oembed_819a879e7da16dd629cfd15a97334c8a":null,"_oembed_time_819a879e7da16dd629cfd15a97334c8a":null,"_acf_changed":null,"_wpcode_auto_insert":null,"_edit_last":null,"_edit_lock":null,"_oembed_e7b913c6c84084ed9702cb4feb012ddd":null,"_oembed_bfde9e10f59a17b85fc8917fa7edf782":null,"_oembed_time_bfde9e10f59a17b85fc8917fa7edf782":null,"_oembed_03514b67990db061d7c4672de26dc514":null,"_oembed_time_03514b67990db061d7c4672de26dc514":null,"rank_math_news_sitemap_robots":null,"rank_math_robots":null,"_eael_post_view_count":"512","_trp_automatically_translated_slug_ru_ru":null,"_trp_automatically_translated_slug_et":null,"_trp_automatically_translated_slug_lv":null,"_trp_automatically_translated_slug_fr_fr":null,"_trp_automatically_translated_slug_en_us":null,"_wp_old_slug":null,"_trp_automatically_translated_slug_da_dk":null,"_trp_automatically_translated_slug_pl_pl":null,"_trp_automatically_translated_slug_es_es":null,"_trp_automatically_translated_slug_hu_hu":null,"_trp_automatically_translated_slug_fi":null,"_trp_automatically_translated_slug_ja":null,"_trp_automatically_translated_slug_lt_lt":null,"_elementor_edit_mode":null,"_elementor_template_type":null,"_elementor_version":null,"_elementor_pro_version":null,"_wp_page_template":null,"_elementor_page_settings":null,"_elementor_data":null,"_elementor_css":null,"_elementor_conditions":null,"_happyaddons_elements_cache":null,"_oembed_75446120c39305f0da0ccd147f6de9cb":null,"_oembed_time_75446120c39305f0da0ccd147f6de9cb":null,"_oembed_3efb2c3e76a18143e7207993a2a6939a":null,"_oembed_time_3efb2c3e76a18143e7207993a2a6939a":null,"_oembed_59808117857ddf57e478a31d79f76e4d":null,"_oembed_time_59808117857ddf57e478a31d79f76e4d":null,"_oembed_965c5b49aa8d22ce37dfb3bde0268600":null,"_oembed_time_965c5b49aa8d22ce37dfb3bde0268600":null,"_oembed_81002f7ee3604f645db4ebcfd1912acf":null,"_oembed_time_81002f7ee3604f645db4ebcfd1912acf":null,"_elementor_screenshot":null,"_oembed_7ea3429961cf98fa85da9747683af827":null,"_oembed_time_7ea3429961cf98fa85da9747683af827":null,"_elementor_controls_usage":null,"_elementor_page_assets":[],"_elementor_screenshot_failed":null,"theplus_transient_widgets":null,"_eael_custom_js":null,"_wp_old_date":null,"_trp_automatically_translated_slug_it_it":null,"_trp_automatically_translated_slug_pt_pt":null,"_trp_automatically_translated_slug_zh_cn":null,"_trp_automatically_translated_slug_nl_nl":null,"_trp_automatically_translated_slug_pt_br":null,"_trp_automatically_translated_slug_sv_se":null,"rank_math_analytic_object_id":null,"rank_math_internal_links_processed":"1","_trp_automatically_translated_slug_ro_ro":null,"_trp_automatically_translated_slug_sk_sk":null,"_trp_automatically_translated_slug_bg_bg":null,"_trp_automatically_translated_slug_sl_si":null,"litespeed_vpi_list":null,"litespeed_vpi_list_mobile":null,"rank_math_seo_score":null,"rank_math_contentai_score":null,"ilj_limitincominglinks":null,"ilj_maxincominglinks":null,"ilj_limitoutgoinglinks":null,"ilj_maxoutgoinglinks":null,"ilj_limitlinksperparagraph":null,"ilj_linksperparagraph":null,"ilj_blacklistdefinition":null,"ilj_linkdefinition":null,"_eb_reusable_block_ids":null,"rank_math_focus_keyword":"Mailserver TLS","rank_math_og_content_image":null,"_yoast_wpseo_metadesc":null,"_yoast_wpseo_content_score":null,"_yoast_wpseo_focuskeywords":null,"_yoast_wpseo_keywordsynonyms":null,"_yoast_wpseo_estimated-reading-time-minutes":null,"rank_math_description":null,"surfer_last_post_update":null,"surfer_last_post_update_direction":null,"surfer_keywords":null,"surfer_location":null,"surfer_draft_id":null,"surfer_permalink_hash":null,"surfer_scrape_ready":null,"_thumbnail_id":"18962","footnotes":null,"_links":{"self":[{"href":"https:\/\/webhosting.de\/pt\/wp-json\/wp\/v2\/posts\/18969","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/webhosting.de\/pt\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/webhosting.de\/pt\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/webhosting.de\/pt\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/webhosting.de\/pt\/wp-json\/wp\/v2\/comments?post=18969"}],"version-history":[{"count":0,"href":"https:\/\/webhosting.de\/pt\/wp-json\/wp\/v2\/posts\/18969\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/webhosting.de\/pt\/wp-json\/wp\/v2\/media\/18962"}],"wp:attachment":[{"href":"https:\/\/webhosting.de\/pt\/wp-json\/wp\/v2\/media?parent=18969"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/webhosting.de\/pt\/wp-json\/wp\/v2\/categories?post=18969"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/webhosting.de\/pt\/wp-json\/wp\/v2\/tags?post=18969"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}