posttls-finger - آنلاین در ابر

برنامه:

نام

posttls-finger - ویژگی های TLS سرور ESMTP یا LMTP را بررسی کنید.

خلاصه

posttls- انگشت [گزینه های] [اینت:]دامنه[:بندر] [همخوانی داشتن ...]
posttls- انگشت -S [گزینه های] یونیکس:نام خانوادگی [همخوانی داشتن ...]

شرح

posttls- انگشت(1) به مقصد مشخص شده متصل می شود و مربوط به TLS را گزارش می دهد
اطلاعات مربوط به سرور با SMTP، مقصد یک نام دامنه است. با LMTP این است
یا یک نام دامنه با پیشوند اینت: یا یک نام مسیر با پیشوند یونیکس:. اگر پست فیکس است
بدون پشتیبانی TLS ساخته شده است، برنامه posttls-finger حاصل بسیار محدود است
عملکرد، و فقط -a, -c, -h, -o, -S, -t, -T و -v گزینه های موجود است.

توجه: این یک برنامه آزمایشی پشتیبانی نشده است. هیچ تلاشی برای حفظ سازگاری صورت نمی گیرد
بین نسخه های متوالی

برای سرورهای SMTP که از ESMTP پشتیبانی نمی کنند، فقط بنر تبریک و EHLO منفی است.
پاسخ گزارش شده است. در غیر این صورت، پاسخ EHLO گزارش شده جزئیات بیشتری از سرور را ارائه می دهد
قابلیت های.

اگر پشتیبانی TLS زمانی فعال باشد posttls- انگشت(1) کامپایل شده و سرور پشتیبانی می کند
STARTTLS، یک دست دادن TLS انجام می شود.

اگر پشتیبانی DNSSEC در دسترس باشد، سطح امنیت اتصال TLS (-l گزینه) به طور پیش فرض به
اطلاعات; برای جزئیات به TLS_README مراجعه کنید. در غیر این صورت به صورت پیش فرض می باشد امن. این تنظیم
خط مشی تطبیق گواهی را تعیین می کند.

اگر مذاکره TLS موفقیت آمیز باشد، پروتکل TLS و جزئیات رمز گزارش می شود. سرور
سپس گواهی مطابق با خط مشی انتخاب شده (یا پیش فرض) تأیید می شود.
سطح امنیتی با اعتماد مبتنی بر CA عمومی، زمانی که -L گزینه شامل مسابقه قطعی، (درست است، واقعی
به طور پیش‌فرض) تطبیق نام انجام می‌شود، حتی اگر زنجیره گواهی مورد اعتماد نباشد. این
اسامی موجود در گواهی سرور SMTP راه دور را ثبت می کند و در صورت مطابقت با آنها،
زنجیره گواهی مورد اعتماد بودند.

توجه داشته باشید: posttls- انگشت(1) هیچ جستجوی جدولی را انجام نمی دهد، بنابراین جدول خط مشی TLS و
جداول منسوخ در هر سایت مورد بررسی قرار نمی گیرند. با آن ارتباط برقرار نمی کند tlsmgr(8)
دیمون (یا هر دیمون دیگر Postfix)؛ کش جلسه TLS آن در حافظه خصوصی نگهداری می شود،
و با پایان فرآیند ناپدید می شود.

با -r تاخیر گزینه، اگر سرور یک شناسه جلسه TLS اختصاص دهد، جلسه TLS است
ذخیره شده سپس اتصال بسته شده و پس از تأخیر مشخص شده مجدداً باز می شود و
posttls- انگشت(1) سپس گزارش می دهد که آیا جلسه TLS ذخیره شده مجددا استفاده شده است یا خیر.

هنگامی که مقصد یک متعادل کننده بار است، ممکن است بار را بین چندین بار توزیع کند
کش های سرور به طور معمول، هر سرور نام منحصر به فرد خود را در پاسخ EHLO خود برمی گرداند. اگر،
پس از برقراری ارتباط مجدد با -r، یک نام سرور جدید شناسایی می شود، جلسه دیگری برای آن ذخیره می شود
سرور جدید، و اتصال مجدد تا حداکثر تعداد دفعات تکرار می شود (پیش فرض 5)
که می توان از طریق آن مشخص کرد -m گزینه.

انتخاب SMTP یا LMTP (-S گزینه) نحو آرگومان مقصد را تعیین می کند.
با SMTP، می توان یک سرویس را در یک پورت غیر پیش فرض به عنوان مشخص کرد میزبان:سرویسو MX را غیرفعال کنید
(مبدل نامه) جستجوهای DNS با [میزبان] یا [میزبان]:بندر. فرم [] زمانی مورد نیاز است که شما
یک آدرس IP به جای نام میزبان مشخص کنید. یک آدرس IPv6 شکل می گیرد
[ipv6:نشانی]. پورت پیش فرض برای SMTP از در گرفته شده است smtp/tcp ورود به
/ و غیره / خدمات، اگر ورودی پیدا نشد 25 پیش فرض می شود.

با LMTP مشخص کنید یونیکس:نام خانوادگی برای اتصال به یک سرور محلی در حال گوش دادن به یک دامنه یونیکس
سوکت متصل به نام مسیر مشخص شده. در غیر این صورت، یک گزینه اختیاری را مشخص کنید اینت: پیشوند
به دنبال یک دامنه و یک پورت اختیاری، با نحوی مشابه برای SMTP. پیشفرض
پورت TCP برای LMTP 24 است.

استدلال ها:

-a خانواده (پیش فرض: هر)
آدرس اولویت خانواده: ipv4, ipv6 or هر. هنگام استفاده از هر, posttls-finger will
به طور تصادفی یکی از این دو را به عنوان ترجیح داده شده انتخاب کنید و تمام MX را تخلیه کنید
قبل از اینکه هر آدرسی را برای دیگری امتحان کنید، اولویت ها را برای خانواده آدرس اول انتخاب کنید.

-A trust-anchor.pem (پیش فرض: هیچکدام)
فهرستی از فایل‌های PEM trust-anchor که زنجیره اعتماد CAfile و CApath را لغو می‌کند
تایید. چندین بار گزینه را برای تعیین چندین فایل مشخص کنید. دیدن
برای جزئیات، مستندات main.cf برای smtp_tls_trust_anchor_file.

-c غیرفعال کردن گزارش چت SMTP. فقط اطلاعات مربوط به TLS ثبت شده است.

-C زنجیره اعتماد گواهی سرور SMTP راه دور را در قالب PEM چاپ کنید. صادرکننده DN،
اثرانگشت DN موضوع، گواهی و کلید عمومی (نگاه کنید به -d مدالگ گزینه زیر) هستند
بالای هر بلوک گواهی PEM چاپ شده است. اگر مشخص کنید -F فایل CA or -P CApath,
کتابخانه OpenSSL ممکن است زنجیره را با گواهینامه های صادرکننده از دست رفته تقویت کند. دیدن
زنجیره واقعی ارسال شده توسط سرور SMTP راه دور خارج می شود فایل CA و CApath تنظیم نشده

-d مدالگ (پیش فرض: sha1)
الگوریتم خلاصه پیام برای گزارش اثر انگشت سرور SMTP راه دور
و مطابقت با اثر انگشت گواهی ارائه شده توسط کاربر (با سوابق DANE TLSA
الگوریتم در DNS مشخص شده است).

-f RRset DANE TLSA مربوطه را جستجو کنید حتی زمانی که نام میزبان یک نام مستعار و نام مستعار نیست
سوابق آدرس در یک منطقه بدون علامت قرار دارند. دیدن
smtp_tls_force_insecure_host_tlsa_lookup برای جزئیات.

-F CAfile.pem (پیش فرض: هیچکدام)
فایل CA فرمت شده PEM برای تأیید گواهی سرور SMTP راه دور. توسط
به طور پیش فرض هیچ فایل CA استفاده نمی شود و هیچ CA عمومی قابل اعتماد نیست.

-g درجه (پیش‌فرض: متوسط)
حداقل درجه رمز TLS استفاده شده توسط posttls-finger. دیدن
smtp_tls_mandatory_ciphers برای جزئیات.

-h host_lookup (پیش فرض: دی ان اس)
روش های جستجوی نام میزبان که برای اتصال استفاده می شود. مستندات را ببینید
smtp_host_lookup برای نحو و معناشناسی.

-k گواهینامه (پیش فرض: فایل کلیدی)
فایل با زنجیره گواهی مشتری TLS رمزگذاری شده با PEM. این به صورت پیش فرض است فایل کلیدی اگر یک
مشخص شده است.

-K فایل کلیدی (پیش فرض: گواهینامه)
فایل با کلید خصوصی سرویس گیرنده TLS رمزگذاری شده با PEM. این به صورت پیش فرض است گواهینامه اگر یکی باشد
مشخص شده.

-l سطح (پیش فرض: اطلاعات or امن)
سطح امنیت برای اتصال، پیش فرض اطلاعات or امن بسته به اینکه آیا
DNSSEC در دسترس است. برای نحو و معناشناسی، به مستندات مراجعه کنید
smtp_tls_security_level. چه زمانی اطلاعات or فقط دانمارکی پشتیبانی و انتخاب شده است، اگر نه
رکوردهای TLSA یافت می شوند، یا تمام رکوردهای یافت شده غیرقابل استفاده هستند امن سطح
به جای آن استفاده خواهد شد. را اثر انگشت سطح امنیتی به شما امکان می دهد تست کنید
گواهی یا اثر انگشت کلید عمومی قبل از اینکه آنها را در خط مشی مستقر کنید مطابقت دارند
جدول.

توجه داشته باشید، از آنجا که posttls- انگشت در واقع هیچ ایمیلی را تحویل نمی دهد هیچ, ممکن است و
رمزگذاری سطوح امنیتی چندان مفید نیستند. از آنجا که ممکن است و رمزگذاری لازم نیست
گواهی‌های همتا، آنها اغلب با مجموعه‌های رمزی TLS ناشناس مذاکره می‌کنند، بنابراین شما
در این سطوح چیز زیادی در مورد گواهینامه های سرور SMTP راه دور یاد نخواهد گرفت
همچنین از TLS ناشناس پشتیبانی می کند (اگرچه ممکن است متوجه شوید که سرور پشتیبانی می کند
TLS ناشناس).

-L ورود به سیستم (پیش فرض: روتین، مسابقه قطعی)
گزینه های ثبت TLS ریزدانه. برای تنظیم ویژگی های TLS ثبت شده در طول TLS
دست دادن، یک یا چند مورد را مشخص کنید:

0, هیچ
اینها هیچ گزارش TLS را ایجاد نمی کنند. شما به طور کلی بیشتر می خواهید، اما اگر این کار مفید است
شما فقط زنجیره اعتماد را می خواهید:
$ posttls-finger -cC -L هیچ مقصدی

1, روال، خلاصه
این مقادیر مترادف یک خلاصه معمولی یک خطی از TLS را به دست می دهند
اتصال.

2, اشکال زدایی کردن
این مقادیر مترادف روتین، ssl-debug، cache و verbose را با هم ترکیب می‌کنند.

3, ssl-expert
این مقادیر مترادف اشکال زدایی را با ssl-handshake-packet-dump ترکیب می کنند. برای
فقط کارشناسان

4, توسعه دهنده ssl
این مقادیر مترادف ssl-expert را با ssl-session-packet-dump ترکیب می کنند.
فقط برای متخصصان، و در بیشتر موارد، به جای آن از wireshark استفاده کنید.

ssl-debug
گزارش OpenSSL از پیشرفت دست دادن SSL را روشن کنید.

ssl-handshake-packet-dump
ورود بسته های هگزادسیمال از دست دادن SSL. فقط برای کارشناسان

ssl-session-packet-dump
ورود بسته های هگزادسیمال از کل جلسه SSL. فقط برای کسانی مفید است
که می تواند مشکلات پروتکل SSL را از هگز dump ها رفع اشکال کند.

غیر قابل اعتماد
مشکلات تأیید زنجیره اعتماد را ثبت می کند. این به طور خودکار در روشن می شود
سطوح امنیتی که از نام های همتا امضا شده توسط مقامات صدور گواهینامه استفاده می کنند
تایید گواهینامه ها بنابراین در حالی که این تنظیم شناخته شده است، باید
هرگز نیازی به تنظیم صریح آن نیست.

همتا
این یک خلاصه یک خطی از موضوع گواهی سرور SMTP راه دور را ثبت می کند.
صادر کننده و اثر انگشت

مسابقه قطعی
این تطابق گواهی سرور SMTP راه دور را ثبت می کند و CN و هر کدام را نشان می دهد
SubjectAltName و کدام نام مطابقت دارد. با DANE، گزارش‌ها با TLSA مطابقت دارند
گواهی اعتماد-لنگر و نهاد نهایی را ثبت کنید.

نهانگاه این گزارش عملیات کش جلسه را ثبت می کند، و نشان می دهد که آیا کش نشست وجود دارد یا خیر
با سرور SMTP راه دور موثر است. به طور خودکار هنگام اتصال مجدد استفاده می شود
با -r گزینه؛ به ندرت نیاز به تنظیم صریح است.

واژگان
ورود مفصل در درایور Postfix TLS را فعال می کند. شامل همه
peercert..cache و بیشتر.

پیش فرض این است روتین، مسابقه قطعی. پس از اتصال مجدد، همتا, مسابقه قطعی و
واژگان در حالی که به طور خودکار غیرفعال می شوند نهانگاه و خلاصه فعال هستند

-m تعداد دفعات مشاهده (پیش فرض: 5)
هنگامی که -r تاخیر گزینه مشخص شده است، -m گزینه حداکثر تعداد را تعیین می کند
از اتصال مجدد تلاش می کند با یک سرور در پشت یک متعادل کننده بار استفاده شود تا ببیند آیا
حافظه پنهان اتصال احتمالاً برای این مقصد مؤثر است. برخی از MTA ها این کار را نمی کنند
هویت سرور اصلی را در پاسخ EHLO خود نشان می دهد. با این سرورها
هرگز بیش از 1 بار تلاش برای اتصال مجدد وجود نخواهد داشت.

-M insecure_mx_policy (پیش فرض: اطلاعات)
خط‌مشی TLS برای میزبان‌های MX با TLSA "امن" زمانی که مقصد nexthop ثبت می‌شود
سطح امنیتی است اطلاعات، اما رکورد MX از طریق جستجوی "ناامن" MX پیدا شد.
برای جزئیات بیشتر به مستندات main.cf برای smtp_tls_insecure_mx_policy مراجعه کنید.

-o نام = ارزش
صفر یا چند بار را مشخص کنید تا مقدار پارامتر main.cf لغو شود نام با
ارزش. موارد استفاده ممکن شامل نادیده گرفتن مقادیر پارامترهای کتابخانه TLS،
یا "myhostname" برای پیکربندی نام SMTP EHLO ارسال شده به سرور راه دور.

-p پروتکل (پیش‌فرض: !SSLv2)
فهرست پروتکل‌های TLS که posttls-finger حذف یا شامل می‌شود. دیدن
smtp_tls_mandatory_protocols برای جزئیات.

-P CApath/ (پیش فرض: هیچکدام)
دایرکتوری OpenSSL CApath/ (نمایه شده از طریق c_rehash(1)) برای سرور SMTP راه دور
تایید گواهی به طور پیش فرض هیچ CApath استفاده نمی شود و هیچ CA عمومی استفاده نمی شود
مورد اعتماد

-r تاخیر
با یک جلسه TLS قابل ذخیره، پس از آن قطع و وصل شوید تاخیر ثانیه گزارش
آیا جلسه دوباره استفاده می شود. در صورت مواجهه با سرور جدید، حداکثر تا 5 بار سعی کنید
یا همانطور که با -m گزینه. به طور پیش فرض اتصال مجدد غیرفعال است، a را مشخص کنید
تاخیر مثبت برای فعال کردن این رفتار.

-S غیرفعال کردن SMTP؛ یعنی به یک سرور LMTP متصل شوید. پورت پیش فرض برای LMTP over
TCP 24 است. پورت های جایگزین را می توان با افزودن " مشخص کرد.:نام خدمات" یا
":شماره پورت"به آرگومان مقصد.

-t فاصله (پیش فرض: 30)
مهلت زمانی اتصال TCP برای استفاده. همچنین این زمان برای خواندن کنترل از راه دور است
بنر 220 سرور.

-T فاصله (پیش فرض: 30)
مهلت زمانی دستور SMTP/LMTP برای EHLO/LHLO، STARTTLS و QUIT.

-v ثبت کامل Postfix را فعال کنید. برای افزایش سطح، بیش از یک بار مشخص کنید
ثبت نام مفصل

-w حالت بسته بندی TLS خروجی یا پشتیبانی SMTPS را فعال کنید. این به طور معمول در ارائه شده است
پورت 465 توسط سرورهایی که با SMTP ad-hoc در پروتکل SSL سازگار هستند،
به جای پروتکل استاندارد STARTTLS. مقصد دامنه:بندر باید از
البته ارائه چنین خدماتی

[اینت:]دامنه[:بندر]
از طریق TCP به دامنه متصل شوید دامنه، بندر بندر. پورت پیش فرض است SMTP (یا 24 با
LMTP). با SMTP یک جستجوی MX برای حل دامنه به یک میزبان انجام می شود، مگر اینکه
دامنه در محصور شده است []. اگر می خواهید به یک میزبان MX خاص متصل شوید، برای
نمونه mx1.example.com، مشخص كردن [mx1.example.com] به عنوان مقصد و
example.com به عنوان یک همخوانی داشتن بحث و جدل. هنگام استفاده از DNS، دامنه مقصد در نظر گرفته می شود
کاملا واجد شرایط و هیچ دامنه یا پسوند جستجوی پیش فرضی اعمال نمی شود. شما باید استفاده کنید
نام های کاملاً واجد شرایط یا فعال کردن بومی جستجوهای میزبان (اینها پشتیبانی نمی کنند اطلاعات
or فقط دانمارکی زیرا هیچ اطلاعات اعتبارسنجی DNSSEC از طریق آن در دسترس نیست بومی جستجوها).

یونیکس:نام خانوادگی
اتصال به سوکت دامنه یونیکس در نام خانوادگی. فقط LMTP

همخوانی داشتن ...
بدون هیچ آرگومان تطبیقی ​​مشخص شده، تطبیق نام همتای گواهی از آن استفاده می‌کند
استراتژی های پیش فرض کامپایل شده برای هر سطح امنیتی. اگر یک یا چند مورد را مشخص کنید
آرگومان‌ها، از این آرگومان‌ها به‌عنوان فهرست گواهی‌ها یا خلاصه‌های کلید عمومی استفاده می‌شود
مطابقت برای اثر انگشت سطح، یا به عنوان لیستی از نام های DNS برای مطابقت در
گواهی در بررسی و امن سطوح اگر سطح امنیت باشد اطلاعات، یا
فقط دانمارکی نام مسابقه نادیده گرفته می شود، و نام میزبان، nexthop استراتژی ها استفاده می شود.

محیط زیست

MAIL_CONFIG
پارامترهای پیکربندی را از یک مکان غیر پیش فرض بخوانید.

MAIL_VERBOSE
مثل -v گزینه.

از posttls-finger به صورت آنلاین با استفاده از خدمات onworks.net استفاده کنید