これは、Ubuntu Online、Fedora Online、Windows オンライン エミュレーター、MAC OS オンライン エミュレーターなど、複数の無料オンライン ワークステーションのいずれかを使用して、OnWorks 無料ホスティング プロバイダーで実行できるコマンド posttls-finger です。
プログラム:
NAME
posttls-finger - ESMTP または LMTP サーバーの TLS プロパティを調べます.
SYNOPSIS
postTLS フィンガー [オプション] [アイネット:]ドメイン[:ポート] [match ...]
postTLS フィンガー -S [オプション] UNIX:パス名 [match ...]
DESCRIPTION
postTLS フィンガー(1) 指定された宛先に接続し、TLS 関連を報告する
サーバーに関する情報。 SMTP では、宛先はドメイン名です。 LMTPでは
で始まるドメイン名 アイネット: またはパス名の前に UNIX:. Postfix の場合
TLS サポートなしで構築されたので、結果として得られる posttls-finger プログラムは非常に制限されています
機能、およびのみ -a, -c, -h, -o, -S, -t, -T -v オプションが利用可能です。
注: これはサポートされていないテスト プログラムです。 互換性を維持する試みは行われていません
連続したバージョン間で。
ESMTP をサポートしない SMTP サーバーの場合、グリーティング バナーとネガティブ EHLO のみ
対応が報告されています。 それ以外の場合は、報告された EHLO 応答でサーバーの詳細が示されます
機能を提供します。
TLS サポートが有効になっている場合 postTLS フィンガー(1) がコンパイルされ、サーバーがサポートする
STARTTLS、TLS ハンドシェイクが試行されます。
DNSSEC サポートが利用可能な場合、接続 TLS セキュリティ レベル (-l オプション) デフォルトは
データ; 詳細については、TLS_README を参照してください。 それ以外の場合、デフォルトは 安全に。 この設定は
証明書照合ポリシーを決定します。
TLS ネゴシエーションが成功すると、TLS プロトコルと暗号の詳細が報告されます。 サーバー
次に、証明書は、選択された (またはデフォルトの) ポリシーに従って検証されます。
セキュリティレベル。 パブリック CA ベースの信頼では、 -L オプションが含まれています 証明書一致、 (真実
デフォルトでは、証明書チェーンが信頼されていない場合でも、名前の照合が実行されます。 これ
リモート SMTP サーバー証明書で見つかった名前をログに記録し、一致するものがあれば、
証明書チェーンは信頼されていましたか。
注意: postTLS フィンガー(1) テーブル ルックアップを実行しないため、TLS ポリシー テーブルと
廃止されたサイトごとのテーブルは参照されません。 とは通信しません。 tlsmgr(8)
デーモン (またはその他の Postfix デーモン); その TLS セッション キャッシュはプライベート メモリに保持されます。
プロセスが終了すると消えます。
-r 遅らせる オプションで、サーバーが TLS セッション ID を割り当てる場合、TLS セッションは
キャッシュされました。 その後、接続が閉じられ、指定された遅延の後に再び開かれます。
postTLS フィンガー(1) 次に、キャッシュされた TLS セッションが再利用されたかどうかを報告します。
宛先がロードバランサーの場合、複数のサーバー間で負荷を分散している可能性があります
サーバーキャッシュ。 通常、各サーバーは EHLO 応答で一意の名前を返します。 もしも、
との再接続時に -r、新しいサーバー名が検出され、別のセッションがキャッシュされます
新しいサーバー、および再接続が最大回数 (デフォルトは 5) まで繰り返されます。
経由で指定できる -m オプションを選択します。
SMTP または LMTP の選択 (-S オプション) は、宛先引数の構文を決定します。
SMTP を使用すると、デフォルト以外のポートでサービスを次のように指定できます。 host:サービス、MX を無効にする
(メール エクスチェンジャー) [ を使用した DNS ルックアップhost]または[host]:ポート. [] フォームは、
ホスト名の代わりに IP アドレスを指定します。 IPv6 アドレスの形式は次のとおりです。
[IPv6:住所]。 SMTP のデフォルト ポートは、 SMTP/TCP エントリー
/etc/services、エントリが見つからない場合のデフォルトは 25 です。
LMTPで指定 UNIX:パス名 UNIX ドメインでリッスンしているローカル サーバーに接続する
指定されたパス名にバインドされたソケット。 それ以外の場合は、オプションを指定します アイネット: 接頭辞
続いて ドメイン オプションのポート。SMTP と同じ構文を使用します。 デフォルト
LMTP の TCP ポートは 24 です。
引数:
-a 家族 (ディフォルト: どれか)
住所家族の好み: ipv4, ipv6 or どれか。 使用時 どれか、posttls-finger will
XNUMX つのうちの XNUMX つをより好ましいものとしてランダムに選択し、すべての MX を使い果たします
他のアドレスを試す前に、最初のアドレスファミリの設定を確認してください。
-A トラストアンカー.pem (デフォルト: なし)
CAfile および CApath 信頼チェーンをオーバーライドする PEM トラスト アンカー ファイルのリスト
検証。 複数のファイルを指定するには、オプションを複数回指定します。 見る
詳細については、smtp_tls_trust_anchor_file の main.cf ドキュメントを参照してください。
-c SMTP チャット ログを無効にします。 TLS 関連の情報のみがログに記録されます。
-C リモート SMTP サーバー証明書の信頼チェーンを PEM 形式で出力します。 発行者 DN、
サブジェクト DN、証明書、および公開鍵の指紋 (を参照) -d ムダルグ 以下のオプション) は
各 PEM 証明書ブロックの上に印刷されています。 指定すれば -F CAファイル or -P CAパス,
OpenSSL ライブラリは、不足している発行者証明書でチェーンを補強する場合があります。 見る
リモートSMTPサーバーから送信された実際のチェーンが離れる CAファイル CAパス 未設定。
-d ムダルグ (ディフォルト: sha1)
リモート SMTP サーバーのフィンガープリントのレポートに使用するメッセージ ダイジェスト アルゴリズム
ユーザー提供の証明書フィンガープリントとの照合 (DANE TLSA レコードを使用)
アルゴリズムは DNS で指定されます)。
-f ホスト名がエイリアスではなく、その
アドレス レコードは署名されていないゾーンにあります。 見る
詳細については、smtp_tls_force_insecure_host_tlsa_lookup を参照してください。
-F CAfile.pem (デフォルト: なし)
リモート SMTP サーバー証明書検証用の PEM 形式の CAfile。 に
デフォルトでは、CAfile は使用されず、パブリック CA は信頼されません。
-g グレード (デフォルト: 中)
posttls-finger で使用される最小 TLS 暗号グレード。 見る
詳細については、smtp_tls_mandatory_ciphers を参照してください。
-h ホストルックアップ (ディフォルト: DNS)
接続に使用されるホスト名検索方法。 のドキュメントを参照してください
構文とセマンティクスの smtp_host_lookup。
-k 証明書ファイル (ディフォルト: キーファイル)
PEM でエンコードされた TLS クライアント証明書チェーンを含むファイル。 これはデフォルトで キーファイル もしあれば
指定されています。
-K キーファイル (ディフォルト: 証明書ファイル)
PEM でエンコードされた TLS クライアント秘密鍵を含むファイル。 これはデフォルトで 証明書ファイル ある場合
指定。
-l レベル (ディフォルト: データ or 安全に)
接続のセキュリティ レベル、デフォルト データ or 安全に かどうかによる
DNSSEC が利用可能です。 構文とセマンティクスについては、のドキュメントを参照してください。
smtp_tls_security_level。 いつ データ or デーンのみ サポートされていない場合は選択されています
TLSA レコードが見つかった、または見つかったすべてのレコードが使用できない場合、 安全に レベル
代わりに使用されます。 の 指紋 セキュリティレベルでテストできます
ポリシーに展開する前に、証明書または公開鍵の指紋の一致
列で番号の横にあるXをクリックします。
注意してください。 postTLS フィンガー 実際にはメールを配信しません。 なし, かもしれません
暗号化する セキュリティ レベルはあまり役に立ちません。 以来 かもしれません 暗号化する 必要ありません
ピア証明書は、多くの場合、匿名の TLS 暗号スイートをネゴシエートするため、
これらのレベルでは、リモート SMTP サーバーの証明書についてあまり学習しません。
匿名 TLS もサポートしています (ただし、サーバーがサポートしていることを知るかもしれません)。
匿名 TLS)。
-L ロゴプト (ディフォルト: ルーチン、certmatch)
きめ細かい TLS ロギング オプション。 TLS 中にログに記録される TLS 機能を調整するには
ハンドシェイク、次の XNUMX つ以上を指定します。
0, なし
これらは TLS ロギングを生成しません。 通常はもっと必要になりますが、これは次の場合に便利です
あなたは信頼チェーンが欲しいだけです:
$ posttls-finger -cC -L none 宛先
1, ルーチン、 要約
これらの同義の値は、TLS の通常の XNUMX 行の要約を生成します
接続。
2, debug
これらの同義の値は、routine、ssl-debug、cache、および verbose を組み合わせたものです。
3, SSL エキスパート
これらの同義の値は、debug と ssl-handshake-packet-dump を組み合わせたものです。 為に
専門家のみ。
4, SSL 開発者
これらの同義の値は、ssl-expert と ssl-session-packet-dump を組み合わせたものです。
専門家のみ、ほとんどの場合、wireshark を代わりに使用してください。
SSL デバッグ
SSL ハンドシェークの進行状況の OpenSSL ロギングをオンにします。
ssl ハンドシェイク パケット ダンプ
SSL ハンドシェイクの XNUMX 進数のパケット ダンプをログに記録します。 専門家のみ。
ssl セッション パケット ダンプ
SSL セッション全体の XNUMX 進数のパケット ダンプをログに記録します。 それらにのみ役立つ
XNUMX 進ダンプから SSL プロトコルの問題をデバッグできる人。
信頼できない
信頼チェーンの検証の問題をログに記録します。 で自動的にオンになります。
認証局によって署名されたピア名を使用するセキュリティ レベル
証明書を検証します。 したがって、この設定が認識されている間は、
明示的に設定する必要はありません。
ピア証明書
これにより、リモート SMTP サーバー証明書のサブジェクトの概要が XNUMX 行に記録されます。
発行者、およびフィンガープリント。
証明書一致
これにより、リモート SMTP サーバー証明書の一致がログに記録され、CN とそれぞれが示されます。
subjectAltName と一致した名前。 DANE を使用して、TLSA の一致をログに記録します
トラストアンカーとエンドエンティティの証明書を記録します。
キャッシュ これは、セッション キャッシュ操作をログに記録し、セッション キャッシュが有効かどうかを示します。
リモート SMTP サーバーで有効です。 再接続時に自動的に使用
-r オプション; 明示的に設定する必要はほとんどありません。
詳細
Postfix TLS ドライバーで詳細ログを有効にします。 のすべてを含む
peercert..cache など。
デフォルトは ルーチン、certmatch. 再接続後、 ピア証明書, 証明書一致
詳細 は自動的に無効になります キャッシュ 要約 有効になります。
-m カウント (ディフォルト: 5)
時 -r 遅らせる オプションが指定されている場合、 -m オプションは最大数を決定します
ロードバランサーの背後にあるサーバーで使用する再接続試行の回数。
この宛先では、接続キャッシュが効果的である可能性があります。 一部の MTA はそうではありません
EHLO 応答で基盤となるサーバー ID を公開します。 これらのサーバーで
再接続が 1 回以上試行されることはありません。
-M insecure_mx_policy (ディフォルト: データ)
ネクストホップ宛先が「安全な」TLSA レコードを持つ MX ホストの TLS ポリシー
セキュリティレベルは データ、しかし MX レコードは「安全でない」MX ルックアップを介して見つかりました。
詳細については、smtp_tls_insecure_mx_policy の main.cf ドキュメントを参照してください。
-o 名前=値
main.cf パラメーターの値をオーバーライドするには、XNUMX 回以上指定します。 名
値. 考えられるユースケースには、TLS ライブラリ パラメータの値のオーバーライドが含まれます。
または "myhostname" を使用して、リモート サーバーに送信される SMTP EHLO 名を構成します。
-p プロトコル (デフォルト: !SSLv2)
posttls-finger が除外または含める TLS プロトコルのリスト。 見る
詳細については、smtp_tls_mandatory_protocols を参照してください。
-P CAパス/ (デフォルト: なし)
OpenSSL CApath/ ディレクトリ ( c_rehash(1)) リモート SMTP サーバーの場合
証明書の確認。 デフォルトでは、CApath は使用されず、パブリック CA は使用されません。
信頼できます。
-r 遅らせる
キャッシュ可能な TLS セッションでは、切断してから再接続します。 遅らせる 秒。 報告
セッションが再利用されるかどうか。 新しいサーバーが検出された場合は、最大 5 回再試行します
または -m オプション。 デフォルトでは再接続は無効になっています。
この動作を有効にする正の遅延。
-S SMTP を無効にします。 つまり、LMTP サーバーに接続します。 LMTP over のデフォルト ポート
TCP は 24 です。" を追加することで代替ポートを指定できます。:サービス名"または
":ポート番号" を宛先引数に追加します。
-t タイムアウト (ディフォルト: 30)
使用する TCP 接続タイムアウト。 これは、リモートを読み取るためのタイムアウトでもあります
サーバーの 220 バナー。
-T タイムアウト (ディフォルト: 30)
EHLO/LHLO、STARTTLS、および QUIT の SMTP/LMTP コマンドのタイムアウト。
-v 詳細 Postfix ロギングを有効にします。 複数指定するとレベルアップ
詳細なログ記録。
-w 発信 TLS ラッパー モードまたは SMTPS サポートを有効にします。 これは通常、
SSL プロトコルのアドホック SMTP と互換性のあるサーバーによるポート 465、
標準の STARTTLS プロトコルではなく。 行き先 ドメイン:ポート する必要があります
もちろん、そのようなサービスを提供します。
[アイネット:]ドメイン[:ポート]
TCP 経由でドメインに接続する ドメインポート ポート. デフォルトのポートは SMTP (または 24 で
LMTP)。 SMTP では、ドメインをホストに解決するために MX ルックアップが実行されます。
ドメインはで囲まれています []. 特定の MX ホストに接続する場合は、
mx1.example.com、 特定 [mx1.example.com] を目的地として、
example.com として match 口論。 DNS を使用する場合、宛先ドメインは想定されます
完全修飾され、デフォルトのドメインまたは検索サフィックスは適用されません。 使用する必要があります
完全修飾名または有効にする ネイティブ ホスト ルックアップ (これらはサポートしていません データ
or デーンのみ 経由で DNSSEC 検証情報を利用できないため ネイティブ ルックアップ)。
UNIX:パス名
UNIX ドメイン ソケットに接続します。 パス名. LMTP のみ。
match ...
match 引数が指定されていない場合、証明書のピア名の照合では、
各セキュリティ レベルのコンパイル済みのデフォルト戦略。 XNUMX つ以上指定する場合
引数、これらは証明書または公開鍵ダイジェストのリストとして使用されます
にマッチ 指紋 レベル、または一致する DNS 名のリストとして
での証明書 確認する 安全に レベル。 セキュリティレベルが データまたは
デーンのみ マッチ名は無視され、 ホスト名、 ネクストホップ 戦略が使用されます。
ENVIRONMENT
MAIL_CONFIG
デフォルト以外の場所から構成パラメータを読み取ります。
MAIL_VERBOSE
と同じ -v オプションを選択します。
onworks.net サービスを使用してオンラインで posttls-finger を使用する
