O erro “No Suitable Signature Algorithm” no Postfix ocorre quando o servidor de e-mail não consegue encontrar um algoritmo de assinatura adequado para a conexão TLS, impedindo a comunicação segura entre servidores.
Esse problema geralmente ocorre devido a configurações incompatíveis de criptografia, certificados TLS desatualizados ou restrições de segurança no cliente ou servidor.
Neste artigo do Blog Dolutech, explicamos as causas desse erro e como resolvê-lo no Postfix para garantir uma comunicação segura via TLS.
O que Causa o Erro “No Suitable Signature Algorithm” no Postfix?
Esse erro pode ser causado por diversos fatores, incluindo:
Certificados TLS incompatíveis – O certificado do servidor pode estar usando um algoritmo de assinatura que não é aceito pelo cliente.
Versões TLS obsoletas – Configurações do Postfix podem estar restringindo a compatibilidade com versões antigas de TLS.
Bibliotecas OpenSSL desatualizadas – O servidor pode estar rodando uma versão antiga do OpenSSL sem suporte a algoritmos modernos.
Parâmetros de segurança restritivos – Configurações de segurança no Postfix podem estar bloqueando certos algoritmos de assinatura.
Passo a Passo para Resolver o Problema
A seguir, apresentamos diversas soluções para corrigir esse problema no Postfix.
Verifique a versão do OpenSSL Rode o seguinte comando para verificar a versão instalada:
openssl versionSe for muito antiga, atualize para uma versão mais recente com:
sudo apt update && sudo apt upgrade -y opensslAtualize o Postfix e bibliotecas de SSL:
sudo apt install --only-upgrade postfix libsasl2-modules opensslTeste para saber se o erro foi corrigido com apenas a atualização de bibliotecas SSL, caso não:
Ajuste as configurações de TLS no Postfix Edite o arquivo de configuração do Postfix:
sudo vim /etc/postfix/main.cfAdicione ou modifique as seguintes linhas:
smtpd_tls_security_level = may
smtpd_tls_auth_only = yes
smtp_tls_protocols = !SSLv2, !SSLv3
smtpd_tls_protocols = !SSLv2, !SSLv3
smtp_tls_mandatory_protocols = TLSv1, TLSv1.1, TLSv1.2, TLSv1.3
smtpd_tls_mandatory_protocols = TLSv1, TLSv1.1, TLSv1.2, TLSv1.3
smtp_tls_mandatory_ciphers = high
smtpd_tls_mandatory_ciphers = high
smtp_tls_ciphers = high
smtpd_tls_ciphers = high
smtpd_tls_eecdh_grade = ultra
tls_preempt_cipherlist = yesReinicie o Postfix
sudo systemctl restart postfixVerificar e Atualizar os Certificados TLS
Se os certificados TLS utilizados pelo Postfix forem antigos ou incompatíveis, o erro pode ocorrer. Para verificar o certificado, execute:
openssl s_client -connect smtp.seudominio.com:25 -starttls smtpCaso o certificado esteja vencido ou utilize um algoritmo de assinatura fraco, renove-o com Let’s Encrypt:
sudo certbot renew
Após renovar, atualize a configuração no main.cf para garantir que o Postfix use os novos certificados:
smtpd_tls_cert_file = /etc/letsencrypt/live/seudominio.com/fullchain.pem
smtpd_tls_key_file = /etc/letsencrypt/live/seudominio.com/privkey.pemReinicie o Postfix para aplicar as mudanças:
sudo systemctl restart postfixAjustar a Lista de Ciphers TLS
Caso o erro persista, você pode especificar manualmente os ciphers TLS suportados. No main.cf, adicione:
tls_medium_cipherlist = HIGH:!aNULL:!MD5E reinicie o Postfix:
sudo systemctl restart postfixIsso garante que o Postfix use apenas algoritmos seguros e modernos.
Conclusão
O erro “No Suitable Signature Algorithm” no Postfix pode ser resolvido atualizando OpenSSL, ajustando os parâmetros TLS e garantindo que os certificados TLS estejam corretos.
Resumo das Soluções
- Atualizar OpenSSL para garantir suporte a algoritmos modernos.
- Configurar o Postfix para TLS seguro, desativando SSLv2/SSLv3.
- Verificar e atualizar os certificados TLS para evitar incompatibilidades.
- Testar a conexão TLS com OpenSSL para validar as configurações.
- Ajustar a lista de ciphers para garantir segurança máxima.
Se seguir esse guia, seu Postfix estará totalmente compatível com TLS moderno, garantindo uma comunicação segura e eficiente.
Amante por tecnologia Especialista em Cibersegurança e Big Data, Formado em Administração de Infraestrutura de Redes, Pós-Graduado em Ciências de Dados e Big Data Analytics e Machine Learning, Com MBA em Segurança da Informação, Escritor do livro ” Cibersegurança: Protegendo a sua Reputação Digital”.
