diff --git a/nginx/sites-available/webmail.itguys.com.br.conf b/nginx/sites-available/webmail.itguys.com.br.conf
new file mode 100644
index 0000000..da89968
--- /dev/null
+++ b/nginx/sites-available/webmail.itguys.com.br.conf
@@ -0,0 +1,78 @@
+# Ficheiro: /etc/nginx/sites-available/webmail.itguys.com.br.conf
+#
+# Configuração de Proxy Reverso com Terminação SSL e Cache Inteligente para Microsoft Exchange.
+
+# Bloco para redirecionar todo o tráfego HTTP para HTTPS
+server {
+    listen 80;
+    listen [::]:80;
+    server_name webmail.itguys.com.br;
+
+    # Regra especial para a validação do Let's Encrypt funcionar
+    location /.well-known/acme-challenge/ {
+        root /var/www/html;
+    }
+
+    location / {
+        return 301 https://$host$request_uri;
+    }
+}
+
+# Bloco principal para o site HTTPS
+server {
+    listen 443 ssl http2;
+    listen [::]:443 ssl http2;
+    server_name webmail.itguys.com.br;
+
+    # O Certbot irá gerir estas linhas e adicionar os caminhos dos certificados
+    # ssl_certificate /etc/letsencrypt/live/webmail.itguys.com.br/fullchain.pem;
+    # ssl_certificate_key /etc/letsencrypt/live/webmail.itguys.com.br/privkey.pem;
+
+    # Cabeçalhos de segurança para proteger os utilizadores
+    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
+    add_header X-Content-Type-Options "nosniff" always;
+    add_header X-Frame-Options "SAMEORIGIN" always;
+
+    # Usa o log global que já configurámos
+    access_log /var/log/nginx/access.log detailed_proxy;
+    error_log /var/log/nginx/error.log;
+
+    # --- ESTRATÉGIA DE CACHE HÍBRIDA E SEGURA ---
+    proxy_cache zabbix_cache; # Reutilizando a nossa zona de cache
+    add_header X-Proxy-Cache $upstream_cache_status;
+    # Regra geral: NÃO cachear nada por defeito, para proteger caixas de correio e conteúdo dinâmico.
+    proxy_no_cache 1;
+    proxy_cache_bypass 1;
+
+    # --- LOCALIZAÇÃO PARA FICHEIROS ESTÁTICOS (CACHE ATIVADO) ---
+    # Cacheia agressivamente a interface do OWA/ECP (CSS, JS, imagens, etc.)
+    location ~* \.(jpg|jpeg|gif|png|webp|svg|css|js|ico|woff2|ttf)$ {
+        proxy_no_cache 0; # Ativa o cache apenas para estes ficheiros
+        proxy_cache_bypass 0;
+        proxy_cache_valid 200 60m; # Cacheia por 60 minutos
+
+        # Instrui o NAVEGADOR do cliente a cachear por 24 horas
+        expires 24h;
+
+        proxy_pass https://IP_INTERNO_DO_EXCHANGE;
+        # Para backends HTTPS com certificados auto-assinados (comum em redes internas)
+        proxy_ssl_verify off;
+    }
+
+    # --- LOCALIZAÇÃO PRINCIPAL PARA OWA, ECP, ActiveSync, etc. (SEM CACHE) ---
+    location / {
+        # O cache permanece desativado aqui por causa da regra geral do servidor.
+        proxy_pass https://IP_INTERNO_DO_EXCHANGE;
+
+        # Timeouts longos para suportar sessões do Outlook e uploads/downloads grandes.
+        proxy_read_timeout 3600s;
+        proxy_send_timeout 300s;
+
+        # Cabeçalhos essenciais para que o Exchange funcione corretamente atrás de um proxy.
+        proxy_set_header Host $host;
+        proxy_set_header X-Real-IP $remote_addr;
+        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
+        proxy_set_header X-Forwarded-Proto $scheme;
+        proxy_http_version 1.1;
+    }
+}