ນີ້ແມ່ນຄໍາສັ່ງ posttls-finger ທີ່ສາມາດດໍາເນີນການໄດ້ໃນ OnWorks ຜູ້ໃຫ້ບໍລິການໂຮດຕິ້ງຟຣີໂດຍໃຊ້ຫນຶ່ງໃນຫຼາຍໆບ່ອນເຮັດວຽກອອນໄລນ໌ຂອງພວກເຮົາເຊັ່ນ Ubuntu Online, Fedora Online, Windows online emulator ຫຼື MAC OS online emulator
ໂຄງການ:
NAME
posttls-finger - ກວດສອບຄຸນສົມບັດ TLS ຂອງເຊີບເວີ ESMTP ຫຼື LMTP.
ສະຫຼຸບສັງລວມ
posttls-ນິ້ວມື [ທາງເລືອກໃນການ] [inet:]ໂດເມນ[:port] [ການແຂ່ງຂັນ ...]
posttls-ນິ້ວມື -S [ທາງເລືອກໃນການ] Unix:ຊື່ເສັ້ນທາງ [ການແຂ່ງຂັນ ...]
ລາຍລະອຽດ
posttls-ນິ້ວມື(1) ເຊື່ອມຕໍ່ກັບຈຸດຫມາຍປາຍທາງທີ່ລະບຸໄວ້ແລະລາຍງານທີ່ກ່ຽວຂ້ອງກັບ TLS
ຂໍ້ມູນກ່ຽວກັບເຄື່ອງແມ່ຂ່າຍ. ດ້ວຍ SMTP, ປາຍທາງແມ່ນຊື່ໂດເມນ; ກັບ LMTP ມັນແມ່ນ
ບໍ່ວ່າຊື່ໂດເມນທີ່ນຳໜ້າດ້ວຍ inet: ຫຼືຊື່ເສັ້ນທາງທີ່ນຳໜ້າດ້ວຍ Unix:. ຖ້າ Postfix ແມ່ນ
ສ້າງຂຶ້ນໂດຍບໍ່ມີການສະຫນັບສະຫນູນ TLS, ໂຄງການ posttls-finger ຜົນໄດ້ຮັບແມ່ນມີຈໍາກັດຫຼາຍ
ການທໍາງານ, ແລະພຽງແຕ່ໄດ້ -a, -c, -h, -o, -S, -t, -T ແລະ -v ທາງເລືອກທີ່ມີຢູ່.
ໝາຍເຫດ: ນີ້ແມ່ນໂຄງການທົດສອບທີ່ບໍ່ຮອງຮັບ. ບໍ່ມີຄວາມພະຍາຍາມທີ່ຈະຮັກສາຄວາມເຂົ້າກັນໄດ້
ລະຫວ່າງສະບັບສືບຕໍ່.
ສຳລັບເຊີບເວີ SMTP ທີ່ບໍ່ຮອງຮັບ ESMTP, ມີແຕ່ປ້າຍໂຄສະນາທັກທາຍ ແລະ EHLO ລົບເທົ່ານັ້ນ.
ການຕອບໂຕ້ໄດ້ຖືກລາຍງານ. ຖ້າບໍ່ດັ່ງນັ້ນ, ຄໍາຕອບຂອງ EHLO ທີ່ລາຍງານໃຫ້ລາຍລະອຽດເພີ່ມເຕີມຕໍ່ກັບເຊີບເວີ
ຄວາມສາມາດ.
ຖ້າການສະຫນັບສະຫນູນ TLS ຖືກເປີດໃຊ້ເມື່ອ posttls-ນິ້ວມື(1) ຖືກລວບລວມ, ແລະເຄື່ອງແມ່ຂ່າຍສະຫນັບສະຫນູນ
STARTTLS, ພະຍາຍາມຈັບມື TLS.
ຖ້າຮອງຮັບ DNSSEC, ການເຊື່ອມຕໍ່ TLS ລະດັບຄວາມປອດໄພ (-l ທາງເລືອກ) defaults ກັບ
dane; ເບິ່ງ TLS_README ສໍາລັບລາຍລະອຽດ. ຖ້າບໍ່ດັ່ງນັ້ນ, ມັນຈະເປັນຄ່າເລີ່ມຕົ້ນ ຮັບປະກັນ. ການຕັ້ງຄ່ານີ້
ກຳນົດນະໂຍບາຍການຈັບຄູ່ໃບຢັ້ງຢືນ.
ຖ້າການເຈລະຈາ TLS ປະສົບຜົນສໍາເລັດ, ພິທີການ TLS ແລະລາຍລະອຽດລະຫັດຈະຖືກລາຍງານ. ເຊີບເວີ
ຫຼັງຈາກນັ້ນໃບຢັ້ງຢືນໄດ້ຮັບການກວດສອບໂດຍສອດຄ່ອງກັບນະໂຍບາຍທີ່ເລືອກ (ຫຼືຄ່າເລີ່ມຕົ້ນ)
ລະດັບຄວາມປອດໄພ. ດ້ວຍຄວາມໄວ້ວາງໃຈສາທາລະນະ CA, ໃນເວລາທີ່ -L ທາງເລືອກປະກອບມີ ການແຂ່ງຂັນ, (ຄວາມຈິງ
ໂດຍຄ່າເລີ່ມຕົ້ນ) ການຈັບຄູ່ຊື່ແມ່ນດໍາເນີນການເຖິງແມ່ນວ່າລະບົບຕ່ອງໂສ້ໃບຢັ້ງຢືນບໍ່ເຊື່ອຖືໄດ້. ນີ້
ບັນທຶກຊື່ທີ່ພົບເຫັນຢູ່ໃນໃບຢັ້ງຢືນເຊີບເວີ SMTP ຫ່າງໄກສອກຫຼີກ ແລະຖ້າອັນໃດຈະກົງກັນ,
ແມ່ນລະບົບຕ່ອງໂສ້ໃບຢັ້ງຢືນທີ່ເຊື່ອຖືໄດ້.
ຫມາຍເຫດ: posttls-ນິ້ວມື(1) ບໍ່ໄດ້ດໍາເນີນການຊອກຫາຕາຕະລາງໃດໆ, ດັ່ງນັ້ນຕາຕະລາງນະໂຍບາຍ TLS ແລະ
ຕາຕະລາງຕໍ່ເວັບໄຊທ໌ທີ່ລ້າສະໄຫມບໍ່ໄດ້ປຶກສາຫາລື. ມັນບໍ່ຕິດຕໍ່ສື່ສານກັບ tlsmgr(8)
daemon (ຫຼື daemon Postfix ອື່ນໆ); cache ເຊດຊັນ TLS ຂອງມັນຖືກເກັບໄວ້ໃນຫນ່ວຍຄວາມຈໍາສ່ວນຕົວ,
ແລະຫາຍໄປເມື່ອຂະບວນການອອກ.
ມີ -r ຊັກຊ້າ ທາງເລືອກ, ຖ້າເຄື່ອງແມ່ຂ່າຍກໍານົດ id ເຊດຊັນ TLS, ເຊດຊັນ TLS ແມ່ນ
ເກັບໄວ້. ຫຼັງຈາກນັ້ນ, ການເຊື່ອມຕໍ່ໄດ້ຖືກປິດແລະເປີດຄືນໃຫມ່ຫຼັງຈາກການຊັກຊ້າທີ່ກໍານົດໄວ້, ແລະ
posttls-ນິ້ວມື(1) ຈາກນັ້ນໃຫ້ລາຍງານວ່າເຊສຊັນ TLS ທີ່ເກັບໄວ້ໃນບ່ອນເກັບມ້ຽນຖືກໃຊ້ຄືນຫຼືບໍ່.
ເມື່ອປາຍທາງແມ່ນຕົວດຸ່ນດ່ຽງການໂຫຼດ, ມັນອາດຈະເປັນການແຈກຢາຍການໂຫຼດລະຫວ່າງຫຼາຍ
ແຄສເຊີບເວີ. ໂດຍປົກກະຕິ, ແຕ່ລະເຊີບເວີຈະສົ່ງຄືນຊື່ທີ່ເປັນເອກະລັກໃນການຕອບສະໜອງ EHLO ຂອງມັນ. ຖ້າ,
ຫຼັງຈາກການເຊື່ອມຕໍ່ກັບ -r, ກວດພົບຊື່ເຊີບເວີໃຫມ່, ເຊດຊັນອື່ນຖືກເກັບໄວ້ສໍາລັບ
ເຊີບເວີໃຫມ່, ແລະການເຊື່ອມຕໍ່ຄືນແມ່ນຊ້ໍາກັນເຖິງຈໍານວນເວລາສູງສຸດ (ຄ່າເລີ່ມຕົ້ນ 5)
ທີ່ສາມາດລະບຸໄດ້ໂດຍຜ່ານ -m ທາງເລືອກ.
ທາງເລືອກຂອງ SMTP ຫຼື LMTP (-S option) ກໍານົດ syntax ຂອງ argument ຈຸດຫມາຍປາຍທາງ.
ດ້ວຍ SMTP, ຫນຶ່ງສາມາດກໍານົດການບໍລິການຢູ່ໃນພອດທີ່ບໍ່ແມ່ນຄ່າເລີ່ມຕົ້ນເປັນ ເຈົ້າພາບ:ການບໍລິການ, ແລະປິດການໃຊ້ງານ MX
(ຜູ້ແລກປ່ຽນອີເມວ) ການຊອກຫາ DNS ດ້ວຍ [ເຈົ້າພາບ] ຫຼື [ເຈົ້າພາບ]:port. ແບບຟອມ [] ແມ່ນຕ້ອງການເມື່ອທ່ານ
ລະບຸທີ່ຢູ່ IP ແທນຊື່ໂຮດ. ທີ່ຢູ່ IPv6 ໃຊ້ແບບຟອມ
[ipv6:ທີ່ຢູ່]. ພອດເລີ່ມຕົ້ນສໍາລັບ SMTP ແມ່ນເອົາມາຈາກ smtp/tcp ເຂົ້າໃນ
/ etc / ການບໍລິການ, ເລີ່ມຕົ້ນເປັນ 25 ຖ້າບໍ່ພົບການເຂົ້າ.
ດ້ວຍ LMTP, ໃຫ້ລະບຸ Unix:ຊື່ເສັ້ນທາງ ເພື່ອເຊື່ອມຕໍ່ກັບເຄື່ອງແມ່ຂ່າຍທ້ອງຖິ່ນທີ່ຟັງຢູ່ໃນ unix-domain
ເຕົ້າຮັບຜູກພັນກັບຊື່ເສັ້ນທາງທີ່ລະບຸ; ຖ້າບໍ່ດັ່ງນັ້ນ, ລະບຸທາງເລືອກ inet: ຄຳ ນຳ ໜ້າ
ຕາມດ້ວຍ ໂດເມນ ແລະພອດທາງເລືອກ, ມີ syntax ດຽວກັນກັບ SMTP. ຄ່າເລີ່ມຕົ້ນ
ພອດ TCP ສໍາລັບ LMTP ແມ່ນ 24.
ການໂຕ້ຖຽງ:
-a ຄອບຄົວ (ຄ່າເລີ່ມຕົ້ນ: ໃດ)
ທີ່ຢູ່ ການຕັ້ງຄ່າຄອບຄົວ: ipv4, ipv6 or ໃດ. ເມື່ອ ນຳ ໃຊ້ ໃດ, posttls-finger ຈະ
ສຸ່ມເລືອກອັນໃດອັນໜຶ່ງໃນສອງອັນຕາມທີ່ມັກ, ແລະໝົດ MX ທັງໝົດ
ຄວາມຕ້ອງການສໍາລັບຄອບຄົວທີ່ຢູ່ທໍາອິດກ່ອນທີ່ຈະພະຍາຍາມທີ່ຢູ່ໃດໆສໍາລັບຄົນອື່ນ.
-A trust-anchor.pem (ຄ່າເລີ່ມຕົ້ນ: ບໍ່ມີ)
ບັນຊີລາຍຊື່ຂອງໄຟລ໌ສະມໍຄວາມໄວ້ວາງໃຈ PEM ທີ່ overrides CAfile ແລະ CApath trust chain
ການຢັ້ງຢືນ. ລະບຸຕົວເລືອກຫຼາຍຄັ້ງເພື່ອລະບຸຫຼາຍໄຟລ໌. ເບິ່ງ
ເອກະສານ main.cf ສໍາລັບ smtp_tls_trust_anchor_file ສໍາລັບລາຍລະອຽດ.
-c ປິດການນຳໃຊ້ບັນທຶກການສົນທະນາ SMTP; ຂໍ້ມູນທີ່ກ່ຽວຂ້ອງກັບ TLS ເທົ່ານັ້ນທີ່ຖືກບັນທຶກ.
-C ພິມລະບົບຕ່ອງໂສ້ຄວາມເຊື່ອໝັ້ນຂອງເຊີບເວີ SMTP ໄລຍະໄກໃນຮູບແບບ PEM. ຜູ້ອອກ DN,
ຫົວຂໍ້ DN, ໃບຢັ້ງຢືນ ແລະລາຍນິ້ວມືສາທາລະນະ (ເບິ່ງ -d mdalg ທາງເລືອກຂ້າງລຸ່ມນີ້) ແມ່ນ
ພິມຢູ່ຂ້າງເທິງແຕ່ລະບລັອກໃບຢັ້ງຢືນ PEM. ຖ້າທ່ານລະບຸ -F ໄຟລ໌ CA or -P CApath,
ຫ້ອງສະໝຸດ OpenSSL ອາດຈະເພີ່ມລະບົບຕ່ອງໂສ້ດ້ວຍໃບຢັ້ງຢືນຜູ້ອອກໃບປະກາດທີ່ຂາດຫາຍໄປ. ເພື່ອເບິ່ງ
ລະບົບຕ່ອງໂສ້ຕົວຈິງທີ່ສົ່ງໂດຍເຄື່ອງແມ່ຂ່າຍ SMTP ຫ່າງໄກສອກຫຼີກ ໄຟລ໌ CA ແລະ CApath ບໍ່ໄດ້ຕັ້ງ.
-d mdalg (ຄ່າເລີ່ມຕົ້ນ: sha1)
ຂັ້ນຕອນການຍ່ອຍຂໍ້ຄວາມເພື່ອໃຊ້ສຳລັບການລາຍງານລາຍນິ້ວມືເຊີບເວີ SMTP ໄລຍະໄກ
ແລະການຈັບຄູ່ກັບລາຍນິ້ວມືໃບຢັ້ງຢືນທີ່ໃຫ້ໂດຍຜູ້ໃຊ້ (ດ້ວຍບັນທຶກ DANE TLSA
ສູດການຄິດໄລ່ແມ່ນລະບຸໄວ້ໃນ DNS).
-f ຊອກຫາ DANE TLSA RRset ທີ່ກ່ຽວຂ້ອງເຖິງແມ່ນໃນເວລາທີ່ຊື່ເຈົ້າພາບບໍ່ແມ່ນນາມແຝງແລະຂອງມັນ
ບັນທຶກທີ່ຢູ່ຢູ່ໃນເຂດທີ່ບໍ່ມີການລົງນາມ. ເບິ່ງ
smtp_tls_force_insecure_host_tlsa_lookup ສໍາລັບລາຍລະອຽດ.
-F CAfile.pem (ຄ່າເລີ່ມຕົ້ນ: ບໍ່ມີ)
PEM ຮູບແບບ CAfile ສໍາລັບການຢັ້ງຢືນໃບຢັ້ງຢືນເຊີບເວີ SMTP ໄລຍະໄກ. ໂດຍ
ຄ່າເລີ່ມຕົ້ນບໍ່ມີ CAfile ຖືກໃຊ້ ແລະບໍ່ມີ CA ສາທາລະນະທີ່ເຊື່ອຖືໄດ້.
-g ຮຽນ (ຄ່າເລີ່ມຕົ້ນ: ຂະຫນາດກາງ)
ເກຣດລະຫັດ TLS ຕ່ຳສຸດທີ່ໃຊ້ໂດຍ posttls-finger. ເບິ່ງ
smtp_tls_mandatory_ciphers ສໍາລັບລາຍລະອຽດ.
-h host_lookup (ຄ່າເລີ່ມຕົ້ນ: dns)
ວິທີການຊອກຫາ hostname ທີ່ໃຊ້ສໍາລັບການເຊື່ອມຕໍ່. ເບິ່ງເອກະສານຂອງ
smtp_host_lookup ສໍາລັບ syntax ແລະ semantics.
-k ເອກະສານຢັ້ງຢືນ (ຄ່າເລີ່ມຕົ້ນ: ໄຟລ໌ຄີ)
ໄຟລ໌ທີ່ມີລະບົບຕ່ອງໂສ້ໃບຢັ້ງຢືນລູກຄ້າ TLS ທີ່ເຂົ້າລະຫັດ PEM. ນີ້ເປັນຄ່າເລີ່ມຕົ້ນທີ່ຈະ ໄຟລ໌ຄີ ຖ້າຫາກວ່າຫນຶ່ງ
ຖືກກໍານົດ.
-K ໄຟລ໌ຄີ (ຄ່າເລີ່ມຕົ້ນ: ເອກະສານຢັ້ງຢືນ)
ໄຟລ໌ທີ່ມີລະຫັດສ່ວນຕົວຂອງລູກຄ້າ TLS ທີ່ເຂົ້າລະຫັດ PEM. ນີ້ເປັນຄ່າເລີ່ມຕົ້ນທີ່ຈະ ເອກະສານຢັ້ງຢືນ ຖ້າຫນຶ່ງແມ່ນ
ລະບຸ.
-l ລະດັບ (ຄ່າເລີ່ມຕົ້ນ: dane or ຮັບປະກັນ)
ລະດັບຄວາມປອດໄພສໍາລັບການເຊື່ອມຕໍ່, ຄ່າເລີ່ມຕົ້ນ dane or ຮັບປະກັນ ຂຶ້ນກັບວ່າ
DNSSEC ສາມາດໃຊ້ໄດ້. ສໍາລັບ syntax ແລະ semantics, ເບິ່ງເອກະສານຂອງ
smtp_tls_security_level. ເມື່ອໃດ dane or dane ເທົ່ານັ້ນ ໄດ້ຮັບການສະຫນັບສະຫນູນແລະເລືອກ, ຖ້າບໍ່ມີ
ບັນທຶກ TLSA ຖືກພົບເຫັນ, ຫຼືບັນທຶກທັງຫມົດທີ່ພົບເຫັນແມ່ນໃຊ້ບໍ່ໄດ້, ໄດ້ ຮັບປະກັນ ລະດັບ
ຈະຖືກໃຊ້ແທນ. ໄດ້ fingerprint ລະດັບຄວາມປອດໄພອະນຸຍາດໃຫ້ທ່ານເພື່ອທົດສອບ
ໃບຮັບຮອງ ຫຼືລາຍນິ້ວມືສາທາລະນະກົງກັນກ່ອນທີ່ທ່ານຈະນຳໃຊ້ພວກມັນໃນນະໂຍບາຍ
ຕາຕະລາງ.
ຫມາຍເຫດ, ນັບຕັ້ງແຕ່ posttls-ນິ້ວມື ຕົວຈິງແລ້ວບໍ່ໄດ້ສົ່ງອີເມວໃດໆ, ໄດ້ none, ອາດຈະ ແລະ
ການເຂົ້າລະຫັດ ລະດັບຄວາມປອດໄພແມ່ນບໍ່ມີປະໂຫຍດຫຼາຍ. ນັບຕັ້ງແຕ່ ອາດຈະ ແລະ ການເຂົ້າລະຫັດ ບໍ່ຕ້ອງການ
ໃບຢັ້ງຢືນມິດສະຫາຍ, ພວກເຂົາເຈົ້າມັກຈະເຈລະຈາຕໍ່ລອງລະຫັດລັບ TLS ທີ່ບໍ່ເປີດເຜີຍຊື່, ດັ່ງນັ້ນທ່ານ
ຈະບໍ່ຮຽນຮູ້ຫຼາຍກ່ຽວກັບໃບຢັ້ງຢືນຂອງເຄື່ອງແມ່ຂ່າຍ SMTP ຫ່າງໄກສອກຫຼີກໃນລະດັບເຫຼົ່ານີ້ຖ້າມັນ
ຍັງສະຫນັບສະຫນູນ TLS ທີ່ບໍ່ເປີດເຜີຍຊື່ (ເຖິງແມ່ນວ່າທ່ານອາດຈະຮຽນຮູ້ວ່າເຄື່ອງແມ່ຂ່າຍສະຫນັບສະຫນູນ
TLS ທີ່ບໍ່ເປີດເຜີຍຊື່).
-L ໂລໂກ້ (ຄ່າເລີ່ມຕົ້ນ: ປົກກະຕິ, ການແຂ່ງຂັນ)
ຕົວເລືອກການບັນທຶກ TLS ແບບລະອຽດ. ເພື່ອປັບແຕ່ງຄຸນສົມບັດ TLS ທີ່ບັນທຶກໄວ້ໃນລະຫວ່າງ TLS
ຈັບມື, ລະບຸໜຶ່ງ ຫຼືຫຼາຍກວ່ານັ້ນ:
0, none
ຜົນໄດ້ຮັບເຫຼົ່ານີ້ບໍ່ມີການບັນທຶກ TLS; ໂດຍທົ່ວໄປແລ້ວເຈົ້າຈະຕ້ອງການຫຼາຍ, ແຕ່ນີ້ແມ່ນມີປະໂຫຍດຖ້າ
ທ່ານພຽງແຕ່ຕ້ອງການຕ່ອງໂສ້ຄວາມໄວ້ວາງໃຈ:
$ posttls-finger -cC -L ບໍ່ມີປາຍທາງ
1, ປົກກະຕິ, ສະຫຼຸບສັງລວມ
ຄ່າທີ່ຄ້າຍກັນເຫຼົ່ານີ້ໃຫ້ຜົນສະຫຼຸບເປັນແຖວປົກກະຕິຂອງ TLS
ການເຊື່ອມຕໍ່.
2, debug
ຄ່າທີ່ຄ້າຍກັນເຫຼົ່ານີ້ລວມເຂົ້າກັນເປັນປະຈຳ, ssl-debug, cache ແລະ verbose.
3, ssl-ຊ່ຽວຊານ
ຄ່າທີ່ຄ້າຍກັນເຫຼົ່ານີ້ປະສົມປະສານການດີບັກກັບ ssl-handshake-packet-dump. ສໍາລັບ
ຜູ້ຊ່ຽວຊານເທົ່ານັ້ນ.
4, ssl-ນັກພັດທະນາ
ຄ່າທີ່ຄ້າຍກັນເຫຼົ່ານີ້ລວມ ssl-expert ກັບ ssl-session-packet-dump.
ສໍາລັບຜູ້ຊ່ຽວຊານເທົ່ານັ້ນ, ແລະໃນກໍລະນີຫຼາຍທີ່ສຸດ, ໃຊ້ wireshark ແທນ.
ssl-debug
ເປີດໃຊ້ OpenSSL ບັນທຶກຄວາມຄືບໜ້າຂອງການຈັບມື SSL.
ssl-handshake-packet-dump
ບັນທຶກການຖິ້ມແພັກເກັດເລກຖານສິບຫົກຂອງ SSL handshake; ສໍາລັບຜູ້ຊ່ຽວຊານເທົ່ານັ້ນ.
ssl-session-packet-dump
ບັນທຶກການຖິ້ມແພັກເກັດເລກຖານສິບຫົກຂອງເຊດຊັນ SSL ທັງໝົດ; ພຽງແຕ່ເປັນປະໂຫຍດກັບເຫຼົ່ານັ້ນ
ຜູ້ທີ່ສາມາດແກ້ໄຂບັນຫາ SSL protocol ຈາກ hex dumps.
ບໍ່ເຊື່ອຖື
ບັນທຶກບັນຫາການກວດສອບລະບົບຕ່ອງໂສ້ຄວາມໄວ້ວາງໃຈ. ນີ້ແມ່ນເປີດອັດຕະໂນມັດຢູ່ທີ່
ລະດັບຄວາມປອດໄພທີ່ນໍາໃຊ້ຊື່ເພື່ອນຮ່ວມງານລົງນາມໂດຍອົງການຢັ້ງຢືນເພື່ອ
ຢັ້ງຢືນໃບຢັ້ງຢືນ. ດັ່ງນັ້ນໃນຂະນະທີ່ການຕັ້ງຄ່ານີ້ຖືກຮັບຮູ້, ທ່ານຄວນ
ບໍ່ຈໍາເປັນຕ້ອງຕັ້ງມັນຢ່າງຈະແຈ້ງ.
peercert
ນີ້ບັນທຶກບົດສະຫຼຸບຫນຶ່ງແຖວຂອງຫົວຂໍ້ໃບຢັ້ງຢືນເຊີບເວີ SMTP ໄລຍະໄກ,
ຜູ້ອອກ, ແລະລາຍນິ້ວມື.
ການແຂ່ງຂັນ
ນີ້ບັນທຶກການຈັບຄູ່ໃບຢັ້ງຢືນເຊີບເວີ SMTP ໄລຍະໄກ, ສະແດງ CN ແລະແຕ່ລະອັນ
subjectAltName ແລະຊື່ໃດທີ່ກົງກັນ. ດ້ວຍ DANE, ບັນທຶກການຈັບຄູ່ຂອງ TLSA
ບັນທຶກ Trust-Anchor ແລະໃບຢັ້ງຢືນ End-entity.
ຖານຄວາມຈໍາ ນີ້ບັນທຶກການເຮັດວຽກຂອງເຊດຊັນເຊດຊັນ, ສະແດງໃຫ້ເຫັນວ່າເຊດຊັນແຄດແມ່ນຫຼືບໍ່
ມີປະສິດທິພາບກັບເຄື່ອງແມ່ຂ່າຍ SMTP ຫ່າງໄກສອກຫຼີກ. ໃຊ້ອັດຕະໂນມັດເມື່ອເຊື່ອມຕໍ່ຄືນໃໝ່
ກັບ -r ທາງເລືອກ; ບໍ່ຄ່ອຍຈະຕ້ອງໄດ້ກໍານົດຢ່າງຈະແຈ້ງ.
ຄຳເວົ້າ
ເປີດໃຊ້ການເຂົ້າສູ່ລະບົບ verbose ໃນໄດເວີ Postfix TLS; ລວມທັງຫມົດຂອງ
peercert..cache ແລະອື່ນໆອີກ.
ຄ່າເລີ່ມຕົ້ນແມ່ນ ປົກກະຕິ, ການແຂ່ງຂັນ. ຫຼັງຈາກການເຊື່ອມຕໍ່ຄືນໃຫມ່, peercert, ການແຂ່ງຂັນ ແລະ
ຄຳເວົ້າ ປິດການໃຊ້ງານອັດຕະໂນມັດໃນຂະນະທີ່ ຖານຄວາມຈໍາ ແລະ ສະຫຼຸບສັງລວມ ຖືກເປີດໃຊ້.
-m ນັບ (ຄ່າເລີ່ມຕົ້ນ: 5)
ໃນເວລາທີ່ -r ຊັກຊ້າ ທາງເລືອກແມ່ນໄດ້ລະບຸໄວ້, ໄດ້ -m ທາງເລືອກກໍານົດຈໍານວນສູງສຸດ
ຂອງ reconnect ຄວາມພະຍາຍາມທີ່ຈະໃຊ້ກັບເຄື່ອງແມ່ຂ່າຍທີ່ຢູ່ເບື້ອງຫຼັງ load balancer, ເພື່ອເບິ່ງວ່າ
ການເຊື່ອມຕໍ່ caching ມີແນວໂນ້ມທີ່ຈະມີປະສິດທິພາບສໍາລັບປາຍທາງນີ້. ບາງ MTAs ບໍ່
ເປີດເຜີຍຕົວຕົນຂອງເຊີບເວີທີ່ຕິດພັນກັບການຕອບສະໜອງຂອງ EHLO; ກັບເຄື່ອງແມ່ຂ່າຍເຫຼົ່ານີ້
ຈະບໍ່ເຄີຍມີຄວາມພະຍາຍາມເຊື່ອມຕໍ່ຄືນໃໝ່ຫຼາຍກວ່າ 1 ເທື່ອ.
-M insecure_mx_policy (ຄ່າເລີ່ມຕົ້ນ: dane)
ນະໂຍບາຍ TLS ສໍາລັບເຈົ້າພາບ MX ທີ່ມີບັນທຶກ TLSA "ປອດໄພ" ເມື່ອຈຸດຫມາຍປາຍທາງຕໍ່ໄປ
ລະດັບຄວາມປອດໄພແມ່ນ dane, ແຕ່ບັນທຶກ MX ໄດ້ຖືກພົບເຫັນຜ່ານການຊອກຫາ MX "ທີ່ບໍ່ປອດໄພ".
ເບິ່ງເອກະສານ main.cf ສໍາລັບ smtp_tls_insecure_mx_policy ສໍາລັບລາຍລະອຽດ.
-o name=value
ລະບຸສູນ ຫຼືຫຼາຍເທື່ອເພື່ອແທນທີ່ຄ່າຂອງພາຣາມິເຕີ main.cf ຊື່ ກັບ
ມູນຄ່າ. ກໍລະນີການນໍາໃຊ້ທີ່ເປັນໄປໄດ້ລວມມີການ overriding ຄ່າຂອງຕົວກໍານົດການຫ້ອງສະຫມຸດ TLS,
ຫຼື "myhostname" ເພື່ອກໍານົດຊື່ SMTP EHLO ທີ່ຖືກສົ່ງໄປຫາເຄື່ອງແມ່ຂ່າຍຫ່າງໄກສອກຫຼີກ.
-p protocols (ຄ່າເລີ່ມຕົ້ນ: !SSLv2)
ບັນຊີລາຍຊື່ຂອງໂປໂຕຄອນ TLS ທີ່ posttls-finger ຈະຍົກເວັ້ນຫຼືປະກອບມີ. ເບິ່ງ
smtp_tls_mandatory_protocols ສໍາລັບລາຍລະອຽດ.
-P CApath/ (ຄ່າເລີ່ມຕົ້ນ: ບໍ່ມີ)
OpenSSL CApath/ directory (ຖືກດັດສະນີຜ່ານ c_rehash(1)) ສໍາລັບເຄື່ອງແມ່ຂ່າຍ SMTP ຫ່າງໄກສອກຫຼີກ
ການຢັ້ງຢືນໃບຢັ້ງຢືນ. ໂດຍຄ່າເລີ່ມຕົ້ນຈະບໍ່ໃຊ້ CApath ແລະບໍ່ມີ CA ສາທາລະນະ
ເຊື່ອຖື.
-r ຊັກຊ້າ
ດ້ວຍເຊດຊັນ TLS ທີ່ສາມາດເກັບໄວ້ໄດ້, ຕັດການເຊື່ອມຕໍ່ ແລະເຊື່ອມຕໍ່ຄືນໃໝ່ຫຼັງຈາກ ຊັກຊ້າ ວິນາທີ. ລາຍງານ
ບໍ່ວ່າເຊດຊັນຈະຖືກນໍາໃຊ້ຄືນ. ລອງອີກຄັ້ງຖ້າພົບເຊີບເວີໃໝ່, ສູງສຸດ 5 ເທື່ອ
ຫຼືຕາມທີ່ລະບຸໄວ້ກັບ -m ທາງເລືອກ. ໂດຍເລີ່ມຕົ້ນການເຊື່ອມຕໍ່ຄືນໃຫມ່ຖືກປິດໃຊ້ງານ, ໃຫ້ລະບຸ a
ການຊັກຊ້າໃນທາງບວກເພື່ອເປີດໃຊ້ພຶດຕິກໍານີ້.
-S ປິດການໃຊ້ງານ SMTP; ນັ້ນແມ່ນ, ເຊື່ອມຕໍ່ກັບເຄື່ອງແມ່ຂ່າຍ LMTP. ພອດເລີ່ມຕົ້ນສໍາລັບ LMTP ເກີນ
TCP ແມ່ນ 24. ພອດທາງເລືອກສາມາດລະບຸໄດ້ໂດຍການຕື່ມ ":ຊື່ບໍລິການ"ຫຼື
":ໝາຍເລກບັນຊີ" ກັບການໂຕ້ຖຽງປາຍທາງ.
-t ຫມົດເວລາ (ຄ່າເລີ່ມຕົ້ນ: 30)
ການເຊື່ອມຕໍ່ TCP ໝົດເວລາທີ່ຈະໃຊ້. ນີ້ຍັງເປັນການຫມົດເວລາສໍາລັບການອ່ານທາງໄກ
ປ້າຍໂຄສະນາ 220 ຂອງເຊີບເວີ.
-T ຫມົດເວລາ (ຄ່າເລີ່ມຕົ້ນ: 30)
ໝົດເວລາຄຳສັ່ງ SMTP/LMTP ສຳລັບ EHLO/LHLO, STARTTLS ແລະ QUIT.
-v ເປີດໃຊ້ງານການບັນທຶກ Postfix verbose. ລະບຸຫຼາຍກວ່າຫນຶ່ງຄັ້ງເພື່ອເພີ່ມລະດັບຂອງ
ການຕັດໄມ້ verbose.
-w ເປີດໃຊ້ງານຮູບແບບການ wrapper TLS ລາຍຈ່າຍ, ຫຼືສະຫນັບສະຫນູນ SMTPS. ໂດຍທົ່ວໄປແລ້ວນີ້ແມ່ນໃຫ້ຢູ່ໃນ
ພອດ 465 ໂດຍເຊີບເວີທີ່ເຂົ້າກັນໄດ້ກັບ ad-hoc SMTP ໃນໂປໂຕຄອນ SSL,
ແທນທີ່ຈະເປັນໂປຣໂຕຄໍ STARTTLS ມາດຕະຖານ. ຈຸດຫມາຍປາຍທາງ ໂດເມນ:port ຄວນຂອງ
ຫຼັກສູດໃຫ້ບໍລິການດັ່ງກ່າວ.
[inet:]ໂດເມນ[:port]
ເຊື່ອມຕໍ່ຜ່ານ TCP ກັບໂດເມນ ໂດເມນ, ພອດ port. ພອດເລີ່ມຕົ້ນແມ່ນ smtp (ຫຼື 24 ກັບ
LMTP). ດ້ວຍ SMTP ການຊອກຫາ MX ແມ່ນປະຕິບັດເພື່ອແກ້ໄຂໂດເມນເປັນເຈົ້າພາບ, ເວັ້ນເສຍແຕ່
ໂດເມນແມ່ນຖືກປິດລ້ອມຢູ່ໃນ []. ຖ້າທ່ານຕ້ອງການເຊື່ອມຕໍ່ກັບເຈົ້າພາບ MX ສະເພາະ, ສໍາລັບ
ຕົວຢ່າງ mx1.example.com, ລະບຸ [mx1.example.com] ເປັນຈຸດຫມາຍປາຍທາງແລະ
example.com ເປັນຫນຶ່ງ ການແຂ່ງຂັນ ການໂຕ້ຖຽງ. ເມື່ອໃຊ້ DNS, ໂດເມນປາຍທາງແມ່ນສົມມຸດ
ມີຄຸນສົມບັດຄົບຖ້ວນ ແລະບໍ່ມີໂດເມນເລີ່ມຕົ້ນ ຫຼືຄຳຕໍ່ທ້າຍການຄົ້ນຫາຖືກນຳໃຊ້; ເຈົ້າຕ້ອງໃຊ້
ຊື່ທີ່ມີຄຸນສົມບັດຢ່າງເຕັມທີ່ຫຼືຍັງເປີດນໍາໃຊ້ native ການຊອກຫາເຈົ້າພາບ (ເຫຼົ່ານີ້ບໍ່ສະຫນັບສະຫນູນ dane
or dane ເທົ່ານັ້ນ ເນື່ອງຈາກວ່າບໍ່ມີຂໍ້ມູນການກວດສອບ DNSSEC ສາມາດໃຊ້ໄດ້ຜ່ານ native ຊອກຫາ).
Unix:ຊື່ເສັ້ນທາງ
ເຊື່ອມຕໍ່ກັບຊັອກເກັດໂດເມນ UNIX ຢູ່ ຊື່ເສັ້ນທາງ. LMTP ເທົ່ານັ້ນ.
ການແຂ່ງຂັນ ...
ໂດຍບໍ່ໄດ້ລະບຸຂໍ້ໂຕ້ແຍ້ງທີ່ກົງກັນ, ການຈັບຄູ່ຊື່ໃບຮັບຮອງໃຊ້
compiled-in ຍຸດທະສາດເລີ່ມຕົ້ນສໍາລັບແຕ່ລະລະດັບຄວາມປອດໄພ. ຖ້າທ່ານລະບຸຫນຶ່ງຫຼືຫຼາຍກວ່ານັ້ນ
arguments, ເຫຼົ່ານີ້ຈະຖືກນໍາໃຊ້ເປັນບັນຊີລາຍຊື່ຂອງໃບຢັ້ງຢືນຫຼື public-key digests ກັບ
ກົງກັບ fingerprint ລະດັບ, ຫຼືເປັນບັນຊີລາຍຊື່ຂອງຊື່ DNS ທີ່ຈະກົງກັນໃນ
ໃບຢັ້ງຢືນຢູ່ທີ່ ກວດສອບ ແລະ ຮັບປະກັນ ລະດັບ. ຖ້າລະດັບຄວາມປອດໄພແມ່ນ dane, ຫຼື
dane ເທົ່ານັ້ນ ຊື່ການແຂ່ງຂັນຖືກລະເລີຍ, ແລະ ຊື່ເຈົ້າພາບ, ຕໍ່ໄປ ຍຸດທະສາດຖືກນໍາໃຊ້.
ENVIRONMENT
MAIL_CONFIG
ອ່ານພາລາມິເຕີການຕັ້ງຄ່າຈາກສະຖານທີ່ທີ່ບໍ່ແມ່ນຄ່າເລີ່ມຕົ້ນ.
MAIL_VERBOSE
ຄືກັນກັບ -v ທາງເລືອກ.
ໃຊ້ posttls-finger ອອນໄລນ໌ໂດຍໃຊ້ບໍລິການ onworks.net