Ini ialah command posttls-finger yang boleh dijalankan dalam penyedia pengehosan percuma OnWorks menggunakan salah satu daripada berbilang stesen kerja dalam talian percuma kami seperti Ubuntu Online, Fedora Online, emulator dalam talian Windows atau emulator dalam talian MAC OS.
JADUAL:
NAMA
posttls-finger - Siasat sifat TLS pelayan ESMTP atau LMTP.
SINOPSIS
posttls-jari [pilihan] [inet:]domain[:pelabuhan] [sepadan dengan ...]
posttls-jari -S [pilihan] unix:nama jalan [sepadan dengan ...]
DESCRIPTION
posttls-jari(1) menyambung ke destinasi yang ditentukan dan melaporkan berkaitan TLS
maklumat tentang pelayan. Dengan SMTP, destinasi ialah nama domain; dengan LMTP ia adalah
sama ada nama domain yang diawali dengan inet: atau nama laluan yang diawali dengan unix:. Jika Postfix adalah
dibina tanpa sokongan TLS, program posttls-finger yang dihasilkan sangat terhad
fungsi, dan hanya -a, -c, -h, -o, -S, -t, -T and -v pilihan tersedia.
Nota: ini ialah program ujian yang tidak disokong. Tiada percubaan dibuat untuk mengekalkan keserasian
antara versi berturut-turut.
Untuk pelayan SMTP yang tidak menyokong ESMTP, hanya sepanduk ucapan dan EHLO negatif
maklum balas dilaporkan. Jika tidak, maklum balas EHLO yang dilaporkan memperincikan pelayan selanjutnya
kemampuan.
Jika sokongan TLS didayakan apabila posttls-jari(1) disusun, dan pelayan menyokong
BERMULA, jabat tangan TLS cuba.
Jika sokongan DNSSEC tersedia, tahap keselamatan TLS sambungan (-l pilihan) lalai kepada
dane; lihat TLS_README untuk butiran. Jika tidak, ia lalai kepada mendapatkan. Tetapan ini
menentukan dasar pemadanan sijil.
Jika rundingan TLS berjaya, protokol TLS dan butiran sifir akan dilaporkan. Pelayan
sijil kemudiannya disahkan mengikut dasar pada pilihan (atau lalai)
tahap keselamatan. Dengan kepercayaan berasaskan CA awam, apabila -L pilihan termasuk certmatch, (benar
secara lalai) padanan nama dilakukan walaupun rantai sijil tidak dipercayai. ini
log nama yang terdapat dalam sijil pelayan SMTP jauh dan jika ada yang sepadan,
adakah rantaian sijil dipercayai.
Catatan: posttls-jari(1) tidak melakukan sebarang carian jadual, jadi jadual dasar TLS dan
jadual per-tapak yang usang tidak dirujuk. Ia tidak berkomunikasi dengan tlsmgr(8)
daemon (atau mana-mana daemon Postfix lain); cache sesi TLSnya disimpan dalam memori peribadi,
dan hilang apabila proses keluar.
Dengan -r kelewatan pilihan, jika pelayan memberikan id sesi TLS, sesi TLS ialah
dicache. Sambungan kemudian ditutup dan dibuka semula selepas kelewatan yang ditentukan, dan
posttls-jari(1) kemudian melaporkan sama ada sesi TLS cache telah digunakan semula.
Apabila destinasi ialah pengimbang beban, ia mungkin mengagihkan beban antara berbilang
cache pelayan. Biasanya, setiap pelayan mengembalikan nama uniknya dalam respons EHLOnya. jika,
apabila menyambung semula dengan -r, nama pelayan baharu dikesan, sesi lain dicache untuk
pelayan baharu, dan penyambungan semula diulang sehingga bilangan kali maksimum (lalai 5)
yang boleh ditentukan melalui -m pilihan.
Pilihan SMTP atau LMTP (-S pilihan) menentukan sintaks hujah destinasi.
Dengan SMTP, seseorang boleh menentukan perkhidmatan pada port bukan lalai sebagai tuan rumah:perkhidmatan, dan lumpuhkan MX
(penukar mel) carian DNS dengan [tuan rumah] atau [tuan rumah]:pelabuhan. Borang [] diperlukan apabila anda
tentukan alamat IP dan bukannya nama hos. Alamat IPv6 mengambil borang
[ipv6:alamat]. Port lalai untuk SMTP diambil daripada smtp/tcp kemasukan di
/ etc / services, lalai kepada 25 jika entri tidak dijumpai.
Dengan LMTP, nyatakan unix:nama jalan untuk menyambung ke pelayan tempatan yang mendengar pada domain-unix
soket terikat kepada nama laluan yang ditentukan; jika tidak, nyatakan pilihan inet: awalan
diikuti oleh a domain dan port pilihan, dengan sintaks yang sama seperti untuk SMTP. lalai
Port TCP untuk LMTP ialah 24.
hujah:
-a keluarga (lalai: mana-mana)
Alamat keutamaan keluarga: ipv4, ipv6 or mana-mana. Semasa menggunakan mana-mana, posttls-finger akan
pilih secara rawak satu daripada dua sebagai yang lebih disukai, dan habiskan semua MX
keutamaan untuk keluarga alamat pertama sebelum mencuba mana-mana alamat untuk yang lain.
-A amanah-anchor.pem (lalai: tiada)
Senarai fail utama amanah PEM yang mengatasi rantaian amanah CAfile dan CApath
pengesahan. Tentukan pilihan berbilang kali untuk menentukan berbilang fail. Lihat
dokumentasi main.cf untuk smtp_tls_trust_anchor_file untuk butiran.
-c Lumpuhkan pengelogan sembang SMTP; hanya maklumat berkaitan TLS dilog.
-C Cetak rantai amanah sijil pelayan SMTP jauh dalam format PEM. DN penerbit,
subjek DN, sijil dan cap jari kunci awam (lihat -d mdalg pilihan di bawah) ialah
dicetak di atas setiap blok sijil PEM. Jika anda nyatakan -F CAfile or -P CApath,
perpustakaan OpenSSL boleh menambah rantaian dengan sijil pengeluar yang hilang. Untuk melihat
rantaian sebenar yang dihantar oleh cuti pelayan SMTP jauh CAfile and CApath tidak ditetapkan.
-d mdalg (lalai: sha1)
Algoritma ringkasan mesej untuk digunakan untuk melaporkan cap jari pelayan SMTP jauh
dan padanan dengan cap jari sijil yang disediakan pengguna (dengan rekod DANE TLSA
algoritma dinyatakan dalam DNS).
-f Cari set DANE TLSA RRset yang berkaitan walaupun nama hos bukan alias dan nama hosnya
rekod alamat terletak di zon yang tidak ditandatangani. Lihat
smtp_tls_force_insecure_host_tlsa_lookup untuk mendapatkan butiran.
-F CAfile.pem (lalai: tiada)
Fail CA yang diformatkan PEM untuk pengesahan sijil pelayan SMTP jauh. Oleh
lalai tiada fail CA digunakan dan tiada CA awam dipercayai.
-g gred (lalai: sederhana)
Gred sifir TLS minimum yang digunakan oleh posttls-finger. Lihat
smtp_tls_mandatory_ciphers untuk butiran.
-h host_lookup (lalai: dns)
Kaedah carian nama hos yang digunakan untuk sambungan. Lihat dokumentasi bagi
smtp_host_lookup untuk sintaks dan semantik.
-k fail perakuan (lalai: fail kunci)
Fail dengan rantaian sijil pelanggan TLS yang dikodkan PEM. Ini lalai kepada fail kunci jika ada
dinyatakan.
-K fail kunci (lalai: fail perakuan)
Fail dengan kunci peribadi pelanggan TLS yang dikodkan PEM. Ini lalai kepada fail perakuan jika ada
dinyatakan.
-l tahap (lalai: dane or mendapatkan)
Tahap keselamatan untuk sambungan, lalai dane or mendapatkan bergantung kepada sama ada
DNSSEC tersedia. Untuk sintaks dan semantik, lihat dokumentasi bagi
smtp_tls_security_level. Bila dane or dane sahaja disokong dan dipilih, jika tidak
Rekod TLSA ditemui, atau semua rekod yang ditemui tidak boleh digunakan, mendapatkan tahap
akan digunakan sebaliknya. The cap jari tahap keselamatan membolehkan anda menguji
padanan sijil atau cap jari kunci awam sebelum anda menggunakannya dalam dasar
meja.
Perhatikan, sejak posttls-jari sebenarnya tidak menghantar sebarang e-mel, the tiada, mungkin and
menyulitkan tahap keselamatan tidak begitu berguna. Sejak mungkin and menyulitkan tidak memerlukan
sijil rakan sebaya, mereka selalunya akan merundingkan sifir TLS tanpa nama, jadi anda
tidak akan mengetahui banyak tentang sijil pelayan SMTP jauh pada tahap ini jika ia
juga menyokong TLS tanpa nama (walaupun anda mungkin mengetahui bahawa pelayan menyokong
TLS tanpa nama).
-L logopts (lalai: rutin,certmatch)
Pilihan pengelogan TLS berbutir halus. Untuk menala ciri TLS yang dilog semasa TLS
jabat tangan, nyatakan satu atau lebih daripada:
0, tiada
Ini tidak menghasilkan pengelogan TLS; anda biasanya mahukan lebih banyak, tetapi ini berguna jika
anda hanya mahu rantai amanah:
$ posttls-finger -cC -L tiada destinasi
1, rutin, ringkasan
Nilai sinonim ini menghasilkan ringkasan satu baris biasa bagi TLS
sambungan.
2, debug
Nilai sinonim ini menggabungkan rutin, ssl-debug, cache dan verbose.
3, ssl-pakar
Nilai sinonim ini menggabungkan nyahpepijat dengan ssl-handshake-packet-dump. Untuk
pakar sahaja.
4, ssl-developer
Nilai sinonim ini menggabungkan ssl-expert dengan ssl-session-packet-dump.
Untuk pakar sahaja, dan dalam kebanyakan kes, gunakan wireshark.
ssl-debug
Hidupkan pengelogan OpenSSL bagi kemajuan jabat tangan SSL.
ssl-jabat tangan-packet-dump
Log pembuangan paket perenambelasan jabat tangan SSL; untuk pakar sahaja.
ssl-session-packet-dump
Log pembuangan paket heksadesimal bagi keseluruhan sesi SSL; hanya berguna kepada mereka
siapa yang boleh menyahpepijat masalah protokol SSL daripada pembuangan hex.
tidak dipercayai
Log masalah pengesahan rantaian amanah. Ini dihidupkan secara automatik pada
tahap keselamatan yang menggunakan nama rakan sebaya yang ditandatangani oleh Pihak Berkuasa Pensijilan untuk
mengesahkan sijil. Jadi semasa tetapan ini diiktiraf, anda harus
tidak perlu menetapkannya secara eksplisit.
peercert
Ini log ringkasan satu baris subjek sijil pelayan SMTP jauh,
pengeluar, dan cap jari.
certmatch
Ini log padanan sijil pelayan SMTP jauh, menunjukkan CN dan setiap satu
subjectAltName dan nama yang dipadankan. Dengan DANE, log padanan TLSA
merekodkan sijil amanah dan sijil entiti akhir.
cache Ini log operasi cache sesi, menunjukkan sama ada cache sesi adalah
berkesan dengan pelayan SMTP jauh. Digunakan secara automatik apabila menyambung semula
dengan -r pilihan; jarang perlu ditetapkan secara eksplisit.
kata kerja
Mendayakan pengelogan verbose dalam pemacu TLS Postfix; merangkumi semua
peercert..cache dan banyak lagi.
Lalai adalah rutin,certmatch. Selepas menyambung semula, peercert, certmatch and
kata kerja dilumpuhkan secara automatik semasa cache and ringkasan didayakan.
-m mengira (lalai: 5)
Apabila -r kelewatan pilihan ditentukan, iaitu -m pilihan menentukan bilangan maksimum
daripada cubaan menyambung semula untuk digunakan dengan pelayan di belakang pengimbang beban, untuk melihat sama ada
caching sambungan mungkin berkesan untuk destinasi ini. Sesetengah MTA tidak
mendedahkan identiti pelayan asas dalam respons EHLO mereka; dengan pelayan ini
tidak akan ada lebih daripada 1 percubaan penyambungan semula.
-M dasar_mx_tidak selamat (lalai: dane)
Dasar TLS untuk hos MX dengan TLSA "selamat" merekodkan apabila destinasi nexthop
tahap keselamatan adalah dane, tetapi rekod MX ditemui melalui carian MX yang "tidak selamat".
Lihat dokumentasi main.cf untuk smtp_tls_insecure_mx_policy untuk butiran.
-o nama=nilai
Tentukan sifar atau lebih masa untuk mengatasi nilai parameter main.cf nama bersama
nilai. Kes penggunaan yang mungkin termasuk mengatasi nilai parameter perpustakaan TLS,
atau "myhostname" untuk mengkonfigurasi nama SMTP EHLO yang dihantar ke pelayan jauh.
-p protokol (lalai: !SSLv2)
Senarai protokol TLS yang posttls-finger akan dikecualikan atau disertakan. Lihat
smtp_tls_mandatory_protocols untuk butiran.
-P CApath/ (lalai: tiada)
Direktori OpenSSL CApath/ (diindeks melalui c_rehash(1)) untuk pelayan SMTP jauh
pengesahan sijil. Secara lalai tiada CApath digunakan dan tiada CA awam digunakan
dipercayai.
-r kelewatan
Dengan sesi TLS boleh cache, putuskan sambungan dan sambung semula selepas itu kelewatan detik. Laporan
sama ada sesi itu digunakan semula. Cuba semula jika pelayan baharu ditemui, sehingga 5 kali
atau seperti yang dinyatakan dengan -m pilihan. Secara lalai penyambungan semula dilumpuhkan, nyatakan a
kelewatan positif untuk membolehkan tingkah laku ini.
-S Lumpuhkan SMTP; iaitu, sambung ke pelayan LMTP. Port lalai untuk LMTP berakhir
TCP ialah 24. Port alternatif boleh ditentukan dengan menambahkan ":nama perkhidmatan"atau
":nombor port" kepada hujah destinasi.
-t timeout (lalai: 30)
Tamat masa sambungan TCP untuk digunakan. Ini juga tamat masa untuk membaca alat kawalan jauh
sepanduk 220 pelayan.
-T timeout (lalai: 30)
Tamat masa arahan SMTP/LMTP untuk EHLO/LHLO, STARTTLS dan QUIT.
-v Dayakan pengelogan Postfix verbose. Tentukan lebih daripada sekali untuk meningkatkan tahap
pembalakan bertele-tele.
-w Dayakan mod pembungkus TLS keluar atau sokongan SMTPS. Ini biasanya disediakan pada
port 465 oleh pelayan yang serasi dengan SMTP ad-hoc dalam protokol SSL,
dan bukannya protokol STARTTLS standard. Destinasi domain:pelabuhan sepatutnya
kursus menyediakan perkhidmatan sedemikian.
[inet:]domain[:pelabuhan]
Sambung melalui TCP ke domain domain, pelabuhan pelabuhan. Port lalai ialah smtp (atau 24 dengan
LMTP). Dengan SMTP carian MX dilakukan untuk menyelesaikan domain kepada hos, melainkan
domain itu disertakan []. Jika anda ingin menyambung ke hos MX tertentu, untuk
contohnya mx1.example.com, nyatakan [mx1.example.com] sebagai destinasi dan
example.com sebagai sepadan dengan hujah. Apabila menggunakan DNS, domain destinasi diandaikan
berkelayakan sepenuhnya dan tiada domain lalai atau akhiran carian digunakan; anda mesti gunakan
nama yang layak sepenuhnya atau juga membolehkan asli carian hos (ini tidak menyokong dane
or dane sahaja kerana tiada maklumat pengesahan DNSSEC tersedia melalui asli carian).
unix:nama jalan
Sambung ke soket domain UNIX di nama jalan. LMTP sahaja.
sepadan dengan ...
Dengan tiada hujah padanan ditentukan, padanan nama rakan sijil menggunakan
strategi lalai tersusun untuk setiap tahap keselamatan. Jika anda menyatakan satu atau lebih
argumen, ini akan digunakan sebagai senarai sijil atau ringkasan kunci awam untuk
perlawanan untuk cap jari tahap, atau sebagai senarai nama DNS untuk dipadankan dalam
sijil di mengesahkan and mendapatkan peringkat. Jika tahap keselamatan adalah dane, Atau
dane sahaja nama padanan diabaikan, dan nama hos, nexthop strategi digunakan.
PERSEKITARAN
MAIL_CONFIG
Baca parameter konfigurasi dari lokasi bukan lalai.
MAIL_VERBOSE
Sama seperti -v pilihan.
Gunakan posttls-finger dalam talian menggunakan perkhidmatan onworks.net
