이것은 Ubuntu Online, Fedora Online, Windows 온라인 에뮬레이터 또는 MAC OS 온라인 에뮬레이터와 같은 여러 무료 온라인 워크스테이션 중 하나를 사용하여 OnWorks 무료 호스팅 제공자에서 실행할 수 있는 posttls-finger 명령입니다.
프로그램:
이름
posttls-finger - ESMTP 또는 LMTP 서버의 TLS 속성을 조사합니다.
개요
포스트틀스-핑거 [옵션] [아이넷:]도메인[:포트] [일치 ...]
포스트틀스-핑거 -S [옵션] 유닉스:경로명 [일치 ...]
기술
포스트틀스-핑거(1) 지정된 목적지에 접속하여 TLS 관련 보고를 합니다.
서버에 대한 정보입니다. SMTP의 경우 대상은 도메인 이름이지만 LMTP의 경우 대상은 도메인 이름입니다.
접두사가 붙은 도메인 이름 아이넷: 또는 접두사가 붙은 경로 이름 유닉스:. Postfix가 있는 경우
TLS 지원 없이 빌드된 결과 posttls-finger 프로그램은 매우 제한적입니다.
기능, 그리고 오직 -a, -c, -h, -o, -S, -t, -T 그리고 -v 옵션을 사용할 수 있습니다.
참고: 이것은 지원되지 않는 테스트 프로그램입니다. 호환성을 유지하려는 시도가 없습니다.
연속 버전 사이.
ESMTP를 지원하지 않는 SMTP 서버의 경우 인사말 배너와 부정 EHLO만 표시됩니다.
응답이 보고됩니다. 그렇지 않으면 보고된 EHLO 응답 세부 정보가 서버에 추가됩니다.
기능.
TLS 지원이 활성화된 경우 포스트틀스-핑거(1) 컴파일이 되어 있고, 서버가 지원
starttlsTLS 핸드셰이크가 시도됩니다.
DNSSEC 지원이 가능한 경우 연결 TLS 보안 수준(-l 옵션) 기본값은
덴마크 사람자세한 내용은 TLS_README를 참조하세요. 그렇지 않으면 기본값으로 설정됩니다. 안전해야합니다.. 이 설정
인증서 일치 정책을 결정합니다.
TLS 협상이 성공하면 TLS 프로토콜 및 암호화 세부 정보가 보고됩니다. 서버
그런 다음 인증서는 선택한(또는 기본값) 정책에 따라 검증됩니다.
보안 수준. 공개 CA 기반 신뢰를 사용하는 경우 -L 옵션 포함 서트매치, (진실
기본적으로) 인증서 체인이 신뢰할 수 없는 경우에도 이름 일치가 수행됩니다.
원격 SMTP 서버 인증서에서 찾은 이름을 기록하고 일치하는 이름이 있으면 기록합니다.
인증서 체인이 신뢰할 수 있었나요?
참고 : 포스트틀스-핑거(1) 테이블 조회를 수행하지 않으므로 TLS 정책 테이블과
더 이상 사용되지 않는 사이트별 테이블은 참조되지 않습니다. tlsmgr(8)
데몬(또는 다른 Postfix 데몬); TLS 세션 캐시는 개인 메모리에 보관됩니다.
프로세스가 종료되면 사라집니다.
와 더불어 -r 지연 옵션, 서버가 TLS 세션 ID를 할당하는 경우 TLS 세션은
캐시됨. 그런 다음 연결이 닫히고 지정된 지연 시간 후에 다시 열립니다.
포스트틀스-핑거(1) 캐시된 TLS 세션이 재사용되었는지 보고합니다.
목적지가 로드 밸런서인 경우 여러 로드를 분산할 수 있습니다.
서버 캐시. 일반적으로 각 서버는 EHLO 응답에서 고유한 이름을 반환합니다.
다시 연결하면 -r, 새로운 서버 이름이 감지되면 다른 세션이 캐시됩니다.
새로운 서버로 재연결은 최대 횟수(기본 5회)까지 반복됩니다.
다음을 통해 지정할 수 있습니다. -m 옵션을 선택합니다.
SMTP 또는 LMTP 선택(-S 옵션)은 대상 인수의 구문을 결정합니다.
SMTP를 사용하면 기본이 아닌 포트에서 서비스를 다음과 같이 지정할 수 있습니다. 주인:서비스, MX를 비활성화합니다.
(메일 교환기) [를 사용한 DNS 조회주인] 또는 [주인]:포트. [] 형식은 다음 경우에 필요합니다.
호스트 이름 대신 IP 주소를 지정하세요. IPv6 주소는 다음 형식을 따릅니다.
[IPv6:주소]. SMTP의 기본 포트는 다음에서 가져옵니다. SMTP/TCP 입장
/ etc / services항목을 찾을 수 없으면 기본값은 25입니다.
LMTP를 사용하여 지정 유닉스:경로명 유닉스 도메인을 수신하는 로컬 서버에 연결하려면
지정된 경로 이름에 바인딩된 소켓입니다. 그렇지 않은 경우 선택 사항을 지정합니다. 아이넷: 접두사
다음 도메인 그리고 SMTP와 동일한 구문을 사용하는 선택적 포트입니다. 기본값은
LMTP의 TCP 포트는 24입니다.
인수 :
-a 가족 (기본: 어떤)
주소 가족 선호도: ipv4, ipv6 or 어떤. 사용할 때 어떤, posttls-finger는
두 가지 중 하나를 더 선호하는 것으로 무작위로 선택하고 모든 MX를 소진합니다.
다른 주소에 대한 주소를 시도하기 전에 첫 번째 주소 패밀리에 대한 기본 설정을 확인합니다.
-A trust-anchor.pem (기본값: 없음)
CAfile 및 CApath 신뢰 체인을 재정의하는 PEM 신뢰 앵커 파일 목록
확인. 여러 파일을 지정하려면 옵션을 여러 번 지정하세요.
자세한 내용은 smtp_tls_trust_anchor_file에 대한 main.cf 문서를 참조하세요.
-c SMTP 채팅 로깅을 비활성화합니다. TLS 관련 정보만 기록됩니다.
-C 원격 SMTP 서버 인증서 신뢰 체인을 PEM 형식으로 출력합니다. 발급자 DN,
주체 DN, 인증서 및 공개 키 지문(참조 -d 엠달그 아래 옵션)은
각 PEM 인증서 블록 위에 인쇄됩니다. 지정하는 경우 -F CA파일 or -P CApath,
OpenSSL 라이브러리는 발급자 인증서가 누락된 경우 체인을 확장할 수 있습니다.
원격 SMTP 서버에서 보낸 실제 체인은 다음과 같습니다. CA파일 그리고 CApath 미설정
-d 엠달그 (기본: sha1)
원격 SMTP 서버 지문을 보고하는 데 사용할 메시지 다이제스트 알고리즘
사용자가 제공한 인증서 지문(DANE TLSA 레코드 포함)과 일치
알고리즘은 DNS에 지정되어 있습니다).
-f 호스트 이름이 별칭이 아니거나 해당 호스트 이름이 별칭이 아닌 경우에도 연관된 DANE TLSA RRset을 조회합니다.
주소 기록이 서명되지 않은 구역에 있습니다.
자세한 내용은 smtp_tls_force_insecure_host_tlsa_lookup을 참조하세요.
-F CAfile.pem (기본값: 없음)
원격 SMTP 서버 인증서 확인을 위한 PEM 형식의 CAfile입니다.
기본적으로 CAfile이 사용되지 않으며 공개 CA를 신뢰하지 않습니다.
-g 학년 (기본값: 중간)
posttls-finger에서 사용하는 최소 TLS 암호화 등급입니다. 다음을 참조하세요.
자세한 내용은 smtp_tls_mandatory_ciphers를 참조하세요.
-h 호스트 조회 (기본: DNS)
연결에 사용된 호스트 이름 조회 방법입니다. 다음 문서를 참조하세요.
구문과 의미론에 대한 smtp_host_lookup.
-k 인증서 파일 (기본: 키 파일)
PEM으로 인코딩된 TLS 클라이언트 인증서 체인이 있는 파일입니다. 기본값은 다음과 같습니다. 키 파일 하나라면
이 지정됩니다.
-K 키 파일 (기본: 인증서 파일)
PEM으로 인코딩된 TLS 클라이언트 개인 키가 포함된 파일입니다. 기본값은 다음과 같습니다. 인증서 파일 만약 하나가 있다면
지정되었습니다.
-l 수평 (기본: 덴마크 사람 or 안전해야합니다.)
연결에 대한 보안 수준(기본값) 덴마크 사람 or 안전해야합니다. 여부에 따라
DNSSEC을 사용할 수 있습니다. 구문 및 의미에 대해서는 다음 문서를 참조하세요.
smtp_tls_security_level. 언제 덴마크 사람 or 데인 전용 지원되고 선택되어 있지 않은 경우
TLSA 레코드가 발견되었거나 발견된 모든 레코드를 사용할 수 없는 경우 안전해야합니다. 수평
대신 사용됩니다. 지문 보안 수준을 통해 테스트할 수 있습니다.
정책에 배포하기 전에 인증서 또는 공개 키 지문이 일치하는지 확인하세요.
테이블.
참고로, 포스트틀스-핑거 실제로 이메일을 전달하지 않습니다. 없음, 5월 그리고
암호화 보안 수준은 그다지 유용하지 않습니다. 5월 그리고 암호화 필요하지 않습니다
피어 인증서의 경우 익명의 TLS 암호 그룹을 협상하는 경우가 많으므로
이 수준에서는 원격 SMTP 서버의 인증서에 대해 많은 정보를 얻을 수 없습니다.
또한 익명 TLS를 지원합니다(서버가 지원한다는 것을 알 수 있음)
익명 TLS).
-L 로그옵트 (기본: 루틴, certmatch)
세분화된 TLS 로깅 옵션. TLS 로깅 중에 로깅되는 TLS 기능을 조정합니다.
핸드셰이크, 다음 중 하나 이상을 지정하세요:
0, 없음
이것들은 TLS 로깅을 생성하지 않습니다. 일반적으로 더 많은 것이 필요하지만 이것이 편리합니다.
당신은 단지 신뢰 체인을 원합니다:
$ posttls-finger -cC -L 없음 대상
1, 일상, 개요
이러한 동의어 값은 TLS의 일반적인 한 줄 요약을 생성합니다.
연결.
2, 디버그
이러한 동의어 값은 routine, ssl-debug, cache 및 verbose를 결합한 것입니다.
3, ssl-expert
이러한 동의어 값은 debug와 ssl-handshake-packet-dump를 결합합니다.
전문가만.
4, ssl-개발자
이러한 동의어 값은 ssl-expert와 ssl-session-packet-dump를 결합합니다.
전문가만 사용할 수 있으며, 대부분의 경우 Wireshark를 대신 사용하세요.
ssl-디버그
SSL 핸드셰이크 진행 상황에 대한 OpenSSL 로깅을 켭니다.
ssl-handshake-패킷-덤프
SSL 핸드셰이크의 16진수 패킷 덤프를 기록합니다. 전문가만 사용할 수 있습니다.
ssl-세션-패킷-덤프
SSL 세션 전체의 16진수 패킷 덤프를 기록합니다. 이는 해당 세션에만 유용합니다.
16진수 덤프에서 SSL 프로토콜 문제를 디버깅할 수 있는 사람은 누구입니까?
신뢰할 수없는
신뢰 체인 검증 문제를 기록합니다. 이 기능은 다음에서 자동으로 켜집니다.
인증 기관에서 서명한 피어 이름을 사용하는 보안 수준
인증서의 유효성을 검사합니다. 따라서 이 설정이 인식되는 동안
명시적으로 설정할 필요는 없습니다.
피어서트
이는 원격 SMTP 서버 인증서 주체에 대한 한 줄 요약을 기록합니다.
발급자 및 지문.
서트매치
이는 원격 SMTP 서버 인증서 일치를 기록하여 CN과 각 항목을 표시합니다.
subjectAltName과 일치하는 이름. DANE을 사용하면 TLSA 일치 기록
신뢰 앵커 및 최종 엔터티 인증서를 기록합니다.
캐시 이것은 세션 캐싱이 수행되는지 여부를 보여주는 세션 캐시 작업을 기록합니다.
원격 SMTP 서버와 유효합니다. 재연결 시 자동으로 사용됩니다.
와 더불어 -r 옵션입니다. 명시적으로 설정할 필요가 있는 경우는 거의 없습니다.
말 수가 많은
Postfix TLS 드라이버에서 자세한 로깅을 활성화합니다.
peercert..cache 등.
디폴트는 루틴, certmatch. 다시 연결한 후, 피어서트, 서트매치 그리고
말 수가 많은 자동으로 비활성화됩니다 캐시 그리고 개요 사용할 수 있습니다.
-m 계산 (기본: 5)
때 -r 지연 옵션이 지정되면 -m 옵션은 최대 수를 결정합니다
부하 분산 장치 뒤에 있는 서버와 함께 사용하려는 재연결 시도를 확인하여
이 대상에는 연결 캐싱이 효과적일 가능성이 높습니다. 일부 MTA는 그렇지 않습니다.
EHLO 응답에서 기본 서버 ID를 노출합니다. 이러한 서버를 사용하여
재연결 시도는 1회를 초과하지 않습니다.
-M 안전하지 않은 MX 정책 (기본: 덴마크 사람)
"보안" TLSA 레코드가 있는 MX 호스트에 대한 TLS 정책은 다음 홉 대상입니다.
보안 수준은 덴마크 사람하지만 MX 레코드는 "안전하지 않은" MX 조회를 통해 발견되었습니다.
자세한 내용은 smtp_tls_insecure_mx_policy에 대한 main.cf 문서를 참조하세요.
-o 이름 = 값
main.cf 매개변수 값을 재정의하려면 0회 이상을 지정하세요. name 과
가치. 가능한 사용 사례에는 TLS 라이브러리 매개변수 값을 재정의하는 것이 포함됩니다.
또는 "myhostname"을 사용하여 원격 서버로 전송되는 SMTP EHLO 이름을 구성합니다.
-p 프로토콜 (기본값: !SSLv2)
posttls-finger에서 제외하거나 포함할 TLS 프로토콜 목록입니다. 다음을 참조하세요.
자세한 내용은 smtp_tls_mandatory_protocols를 참조하세요.
-P CApath/ (기본값: 없음)
OpenSSL CApath/ 디렉토리(인덱싱됨) c_rehash(1)) 원격 SMTP 서버용
인증서 확인. 기본적으로 CApath는 사용되지 않으며 공개 CA도 없습니다.
신뢰할 수 있습니다.
-r 지연
캐시 가능한 TLS 세션을 사용하여 연결을 끊고 다시 연결합니다. 지연 초. 보고
세션 재사용 여부. 새 서버가 발견되면 최대 5회까지 재시도합니다.
또는 지정된 대로 -m 옵션. 기본적으로 재연결은 비활성화되어 있습니다.
이러한 동작을 가능하게 하는 긍정적 지연.
-S SMTP를 비활성화합니다. 즉, LMTP 서버에 연결합니다. LMTP의 기본 포트는
TCP는 24입니다. 대체 포트는 "를 추가하여 지정할 수 있습니다.:서비스 이름"또는
":포트 번호"대상 인수에.
-t 시간 제한 (기본: 30)
사용할 TCP 연결 시간 초과입니다. 원격 읽기 시간 초과이기도 합니다.
서버의 220 배너.
-T 시간 제한 (기본: 30)
EHLO/LHLO, STARTTLS 및 QUIT에 대한 SMTP/LMTP 명령 시간 초과.
-v 자세한 Postfix 로깅을 활성화합니다. 로깅 수준을 높이려면 두 번 이상 지정하세요.
자세한 로깅.
-w 발신 TLS 래퍼 모드 또는 SMTPS 지원을 활성화합니다. 이는 일반적으로 다음에서 제공됩니다.
SSL 프로토콜의 ad-hoc SMTP와 호환되는 서버에 의해 포트 465가 사용됩니다.
표준 STARTTLS 프로토콜 대신. 대상 도메인:포트 ~해야 한다
물론 그런 서비스를 제공합니다.
[아이넷:]도메인[:포트]
TCP를 통해 도메인에 연결 도메인, 포트 포트. 기본 포트는 다음과 같습니다. SMTP (또는 24개와 함께
LMTP). SMTP를 사용하면 도메인을 호스트로 확인하기 위해 MX 조회가 수행됩니다.
도메인은 다음으로 둘러싸여 있습니다 []. 특정 MX 호스트에 연결하려면
예 mx1.example.com, 지정 [mx1.example.com] 목적지로
example.com 등 일치 인수. DNS를 사용할 때 대상 도메인은 다음과 같이 가정됩니다.
완전히 정규화되고 기본 도메인이나 검색 접미사가 적용되지 않습니다. 다음을 사용해야 합니다.
정규화된 이름 또는 활성화 출신 호스트 조회(이것은 지원하지 않음) 덴마크 사람
or 데인 전용 DNSSEC 검증 정보가 제공되지 않으므로 출신 조회).
유닉스:경로명
UNIX 도메인 소켓에 연결합니다. 경로명. LMTP만 가능.
일치 ...
일치 인수가 지정되지 않으면 인증서 피어 이름 일치는 다음을 사용합니다.
각 보안 수준에 대해 컴파일된 기본 전략이 제공됩니다. 하나 이상의 보안 수준을 지정하는 경우
인수는 인증서 또는 공개 키 다이제스트 목록으로 사용됩니다.
에 대한 일치 지문 수준 또는 일치할 DNS 이름 목록으로
에서 인증서 확인 그리고 안전해야합니다. 수준. 보안 수준이 덴마크 사람및
데인 전용 일치 이름은 무시됩니다. 호스트 이름, 넥스트홉 전략이 사용됩니다.
환경
MAIL_CONFIG
기본 위치가 아닌 곳에서 구성 매개변수를 읽습니다.
MAIL_VERBOSE
과 동일 -v 옵션을 선택합니다.
onworks.net 서비스를 사용하여 posttls-finger를 온라인으로 사용하세요
