Este guia fornece instruções detalhadas sobre como instalar um certificado SSL no agente de transferência de correio Postfix. Ele também inclui informações úteis sobre onde comprar o melhor certificado SSL para o Postfix.
Se você já gerou seu código CSR e está procurando apenas diretrizes de instalação, fique à vontade para pular a primeira parte.
Índice
- Gerar um código CSR no Postfix
- Instalar um certificado SSL no Postfix
- Teste a instalação do Postfix
- Onde comprar o melhor certificado SSL para o Postfix?

Também gravamos um vídeo que o orienta durante todo o processo. Você pode assistir ao vídeo, ler as instruções ou fazer as duas coisas. Você pode assistir ao vídeo abaixo.
Gerar um código CSR no Postfix
Para obter um certificado SSL de uma CA (autoridade de certificação) confiável, você deve enviar uma CSR (solicitação de assinatura de certificado) ao seu provedor de SSL. O CSR é um bloco de texto codificado com seus dados de contato, como informações sobre o site e a empresa.
Você tem duas opções:
- Use nosso Gerador de CSR para criar o CSR automaticamente.
- Siga nosso tutorial passo a passo sobre como gerar CSR no Postfix.
Durante o processo de pedido com o fornecedor de SSL, você terá que abrir o arquivo CSR e copiar e colar o texto inteiro na caixa correspondente. Use qualquer editor de texto, como o Bloco de Notas, para abrir o código CSR.
Instalar um certificado SSL no Postfix
Depois que a CA validar a solicitação de SSL e enviar os arquivos SSL necessários para a sua caixa de entrada, você poderá iniciar a instalação do SSL. Faça o seguinte:
Etapa 1. Prepare seus arquivos SSL
O Postfix oferece suporte a certificados SSL no formato X.509. Uma instalação correta requer os seguintes arquivos:
- Seu arquivo de chave privada: você gerou o arquivo de chave junto com o código CSR em seu servidor.
- Seu certificado SSL principal: ele reside na pasta ZIP arquivada que você recebeu da CA. Verifique seu e-mail, faça o download e extraia seu certificado SSL. Para fins desta demonstração, nomearemos o arquivo do certificado SSL primário como .crt
- A CA intermediária: esse é o arquivo do pacote da CA (.ca-bundle) da mesma pasta ZIP do seu certificado SSL. Em nosso caso, nomearemos o arquivo intca.crt
Observação: você pode colocar todos os três arquivos em um único diretório. Por exemplo, /etc/postfix.
Etapa 2. Adicionar o certificado SSL ao Postfix
Há duas abordagens, dependendo da versão do Postfix que você possui:
Para o Postfix 3.4 e versões mais recentes
Crie um “arquivo de cadeia” que contenha a chave, o certificado do servidor e os intermediários nessa ordem exata.
cat /path/to/privkey.key /path/to/server.crt /path/to/intermediate.pem > /etc/postfix/rsachain.pem
Esse método moderno evita problemas de rolagem e funciona de forma limpa com o Postfix smtpd_tls_chain_files.
Alternativa (todas as versões)
Mantenha a chave separada e combine apenas o certificado do servidor com o(s) intermediário(s):
cat /path/to/server.crt /path/to/intermediate.pem > /etc/postfix/server.pem
Você fará referência a esse pacote e à chave privada em sua configuração do Postfix.
Etapa 3: Configurar o Postfix
Edite /etc/postfix/main.cf e escolha o estilo de configuração que corresponda à sua configuração:
Opção A – Postfix ≥ 3.4 (recomendado):
smtpd_tls_chain_files = /etc/postfix/rsachain.pem
smtpd_tls_security_level = may
Opção B – Legado
smtpd_tls_cert_file = /etc/postfix/server.pem
smtpd_tls_key_file = /etc/postfix/privkey.key
smtpd_tls_security_level = may
Use may para SMTP de entrada na porta 25. Não defina encrypt em servidores MX públicos, pois isso quebra a compatibilidade com remetentes somente simples.
O Postfix já desativa SSLv2/SSLv3 e cifras fracas, portanto, não são necessárias listas negras adicionais, a menos que você precise de autenticação de certificado de cliente.
Proteja o serviço de envio (porta 587)
Se os seus usuários enviarem e-mails pelo Postfix (via Outlook, Thunderbird, Apple Mail etc.), eles se conectarão na porta 587. Essa é a porta de envio, diferente da porta 25, que é para entrega de servidor para servidor.
Aqui, você pode aplicar regras mais rígidas porque somente os usuários autenticados são afetados. Em /etc/postfix/main.cf, adicione:
smtpd_tls_mandatory_protocols = >=TLSv1.2
Em /etc/postfix/master.cf, verifique se o envio está ativado e você pode substituí-lo desta forma:
submission inet n - n - - smtpd
-o smtpd_tls_security_level=encrypt
-o smtpd_sasl_auth_enable=yes
-o smtpd_tls_mandatory_protocols=>=TLSv1.2
Etapa 4: recarregar o Postfix
Aplique as alterações recarregando o Postfix:
postfix reload
# or
systemctl reload postfix
Etapa 5: Verificar o certificado
Verifique se o Postfix está servindo a cadeia correta com o OpenSSL:
openssl s_client -starttls smtp -connect yourdomain.com:25 -servername yourdomain.com </dev/null \
| openssl x509 -noout -issuer -subject
Você deverá ver o certificado do servidor junto com a cadeia de emissores adequada. Parabéns, você instalou com êxito um certificado SSL no Postfix.
Teste sua instalação SSL
Depois de instalar um certificado SSL no Postfix, é sempre aconselhável verificar se há possíveis erros ou vulnerabilidades em sua nova instalação, apenas para garantir a segurança. Com essas poderosas ferramentas de SSL, você pode obter relatórios instantâneos sobre todos os aspectos do seu certificado SSL e sua configuração.
Onde comprar o melhor certificado SSL para o Postfix?
Você já chegou ao destino! Aqui, na SSL Dragon, oferecemos a mais ampla variedade de produtos SSL a preços incrivelmente baixos. Todos os nossos certificados são compatíveis com o agente de transferência de correio Postfix.
Se você não sabe qual certificado escolher ou está com dificuldades para encontrar o produto perfeito para o seu site, nossas ferramentas rápidas e intuitivas SSL Wizard e Advanced Certificate Filter tornarão a pesquisa mais eficiente e agradável.
Caso encontre alguma imprecisão ou tenha detalhes a acrescentar a estas instruções de instalação do SSL, sinta-se à vontade para enviar seus comentários para [email protected]. Sua opinião será muito apreciada! Obrigado.
Economize 10% em certificados SSL ao fazer seu pedido hoje!
Emissão rápida, criptografia forte, 99,99% de confiança no navegador, suporte dedicado e garantia de reembolso de 25 dias. Código do cupom: SAVE10


