posttls-finger - Online sa Cloud

PROGRAMA:

NAME

posttls-finger - Suriin ang mga katangian ng TLS ng isang ESMTP o LMTP server.

SINOPSIS

posttls-daliri [pagpipilian] [inet:]domain[:port] [tumugma ...]
posttls-daliri -S [pagpipilian] unix:pangalan ng landas [tumugma ...]

DESCRIPTION

posttls-daliri(1) kumokonekta sa tinukoy na destinasyon at nag-uulat na nauugnay sa TLS
impormasyon tungkol sa server. Sa SMTP, ang patutunguhan ay isang domainname; may LMTP ito
alinman sa isang domainname na may prefix na inet: o isang pathname na may prefix na unix:. Kung ang Postfix ay
na binuo nang walang suporta sa TLS, ang resultang posttls-finger program ay napakalimitado
functionality, at tanging ang -a, -c, -h, -o, -S, -t, -T at -v magagamit ang mga opsyon.

Tandaan: isa itong hindi sinusuportahang test program. Walang pagtatangka na ginawa upang mapanatili ang pagiging tugma
sa pagitan ng magkakasunod na bersyon.

Para sa mga SMTP server na hindi sumusuporta sa ESMTP, ang greeting banner lang at ang negatibong EHLO
iniulat ang tugon. Kung hindi, ang iniulat na tugon ng EHLO ay nagdedetalye ng karagdagang server
kakayahan.

Kung pinagana ang suporta sa TLS kapag posttls-daliri(1) ay pinagsama-sama, at sinusuportahan ng server
SIMULA, sinubukan ang isang TLS handshake.

Kung available ang suporta ng DNSSEC, ang antas ng seguridad ng TLS ng koneksyon (-l opsyon) ang default sa
dane; tingnan ang TLS_README para sa mga detalye. Kung hindi, ito ay default sa hindi makatatakas. Ang setting na ito
tinutukoy ang patakaran sa pagtutugma ng sertipiko.

Kung magtagumpay ang negosasyon sa TLS, iuulat ang protocol ng TLS at mga detalye ng cipher. Ang server
pagkatapos ay mabe-verify ang sertipiko alinsunod sa patakaran sa napili (o default)
antas ng seguridad. Sa pampublikong CA-based na tiwala, kapag ang -L kabilang ang opsyon certmatch, (totoo
bilang default) ginagawa ang pagtutugma ng pangalan kahit na hindi pinagkakatiwalaan ang chain ng certificate. Ito
Nila-log ang mga pangalan na makikita sa remote na SMTP server certificate at kung saan ay tumutugma,
pinagkakatiwalaan ba ang chain ng certificate.

tandaan: posttls-daliri(1) ay hindi nagsasagawa ng anumang mga paghahanap sa talahanayan, kaya ang talahanayan ng patakaran ng TLS at
hindi kinokonsulta ang mga hindi na ginagamit na talahanayan sa bawat site. Hindi ito nakikipag-ugnayan sa tlsmgr(8)
daemon (o anumang iba pang Postfix daemon); ang TLS session cache nito ay hawak sa pribadong memorya,
at nawawala kapag lumabas ang proseso.

Kasama ang -r antala opsyon, kung magtatalaga ang server ng TLS session id, ang TLS session ay
naka-cache. Ang koneksyon ay sarado at muling bubuksan pagkatapos ng tinukoy na pagkaantala, at
posttls-daliri(1) pagkatapos ay iuulat kung ang naka-cache na TLS session ay ginamit muli.

Kapag ang destinasyon ay isang load balancer, maaaring ito ay namamahagi ng load sa pagitan ng maramihan
mga cache ng server. Karaniwan, ibinabalik ng bawat server ang natatanging pangalan nito sa tugon nitong EHLO. kung,
sa muling pagkonekta sa -r, may nakitang bagong pangalan ng server, isa pang session ang naka-cache para sa
ang bagong server, at ang muling pagkonekta ay inuulit hanggang sa maximum na bilang ng beses (default 5)
na maaaring tukuyin sa pamamagitan ng -m pagpipilian.

Ang pagpili ng SMTP o LMTP (-S opsyon) ay tumutukoy sa syntax ng patutunguhang argumento.
Sa SMTP, maaaring tukuyin ng isa ang isang serbisyo sa isang hindi default na port bilang marami:serbisyo, at huwag paganahin ang MX
(mail exchanger) DNS lookup na may [marami] o [marami]:port. Ang [] form ay kinakailangan kapag ikaw
tukuyin ang isang IP address sa halip na isang hostname. Isang IPv6 address ang kumukuha ng form
[ipv6:tirahan]. Ang default na port para sa SMTP ay kinuha mula sa smtp/tcp pagpasok sa
/ etc / services, nagde-default sa 25 kung hindi nahanap ang entry.

Sa LMTP, tukuyin unix:pangalan ng landas upang kumonekta sa isang lokal na server na nakikinig sa isang unix-domain
socket na nakatali sa tinukoy na pathname; kung hindi, tukuyin ang isang opsyonal inet: unlapi
sinusundan ng isang domain at isang opsyonal na port, na may parehong syntax tulad ng para sa SMTP. Ang default
Ang TCP port para sa LMTP ay 24.

argumento:

-a pamilya (default: anumang)
Address ng kagustuhan ng pamilya: ipv4, ipv6 or anumang. Kapag gumagamit anumang, posttls-finger will
random na pumili ng isa sa dalawa bilang mas gusto, at ubusin ang lahat ng MX
mga kagustuhan para sa pamilya ng unang address bago subukan ang anumang mga address para sa isa pa.

-A trust-anchor.pem (default: wala)
Isang listahan ng mga PEM trust-anchor file na nag-o-override sa CAfile at CApath trust chain
pagpapatunay. Tukuyin ang opsyon nang maraming beses upang tukuyin ang maramihang mga file. Tingnan mo
ang pangunahing.cf na dokumentasyon para sa smtp_tls_trust_anchor_file para sa mga detalye.

-c Huwag paganahin ang pag-log sa SMTP chat; tanging impormasyong nauugnay sa TLS ang naka-log.

-C I-print ang remote na SMTP server certificate trust chain sa PEM format. Ang nagbigay ng DN,
subject DN, certificate at public key fingerprints (tingnan -d mdalg opsyon sa ibaba) ay
naka-print sa itaas ng bawat bloke ng certificate ng PEM. Kung tinukoy mo -F CAfile or -P CApath,
maaaring dagdagan ng OpenSSL library ang chain na may mga nawawalang certificate ng issuer. Upang makita
ang aktwal na chain na ipinadala ng remote SMTP server ay umalis CAfile at CApath hindi nakatakda.

-d mdalg (default: sha1)
Ang message digest algorithm na gagamitin para sa pag-uulat ng malalayong SMTP server fingerprints
at pagtutugma laban sa mga fingerprint ng certificate na ibinigay ng user (na may mga tala ng DANE TLSA
ang algorithm ay tinukoy sa DNS).

-f Hanapin ang nauugnay na DANE TLSA RRset kahit na ang isang hostname ay hindi isang alias at nito
ang mga talaan ng address ay nasa isang unsigned zone. Tingnan mo
smtp_tls_force_insecure_host_tlsa_lookup para sa mga detalye.

-F CAfile.pem (default: wala)
Ang PEM formatted CAfile para sa remote SMTP server certificate verification. Sa pamamagitan ng
default walang CAfile ang ginagamit at walang pampublikong CA ang pinagkakatiwalaan.

-g grado (default: medium)
Ang minimum na TLS cipher grade na ginagamit ng posttls-finger. Tingnan mo
smtp_tls_mandatory_ciphers para sa mga detalye.

-h host_lookup (default: dns)
Ang mga paraan ng paghahanap ng hostname na ginamit para sa koneksyon. Tingnan ang dokumentasyon ng
smtp_host_lookup para sa syntax at semantics.

-k certfile (default: keyfile)
Mag-file gamit ang PEM-encoded TLS client certificate chain. Nagde-default ito sa keyfile kung isa
ay tinukoy.

-K keyfile (default: certfile)
Mag-file gamit ang PEM-encoded TLS client private key. Nagde-default ito sa certfile kung ang isa ay
tinukoy.

-l antas (default: dane or hindi makatatakas)
Ang antas ng seguridad para sa koneksyon, default dane or hindi makatatakas depende kung
Available ang DNSSEC. Para sa syntax at semantics, tingnan ang dokumentasyon ng
smtp_tls_security_level. Kailan dane or dane-lamang ay sinusuportahan at pinili, kung hindi
Ang mga talaan ng TLSA ay matatagpuan, o ang lahat ng mga talaang natagpuan ay hindi magagamit, ang hindi makatatakas antas
sa halip ay gagamitin. Ang bakas ng daliri pinapayagan ka ng antas ng seguridad na subukan
certificate o public-key fingerprint na mga tugma bago mo i-deploy ang mga ito sa patakaran
table.

Tandaan, dahil posttls-daliri hindi talaga naghahatid ng anumang email, ang wala, maaari at
encrypt hindi masyadong kapaki-pakinabang ang mga antas ng seguridad. Since maaari at encrypt hindi nangangailangan
peer certificate, madalas silang makipag-ayos ng mga hindi kilalang TLS ciphersuite, kaya ikaw
ay hindi matututo ng marami tungkol sa mga certificate ng remote SMTP server sa mga antas na ito kung ito
Sinusuportahan din ng hindi kilalang TLS (bagaman maaari mong malaman na sinusuportahan ng server
hindi kilalang TLS).

-L logopts (default: routine,certmatch)
Pinong mga opsyon sa pag-log ng TLS. Upang ibagay ang mga feature ng TLS na naka-log sa panahon ng TLS
pagkakamay, tukuyin ang isa o higit pa sa:

0, wala
Ang mga ito ay hindi nagbubunga ng TLS logging; sa pangkalahatan ay gusto mo ng higit pa, ngunit ito ay madaling gamitin kung
gusto mo lang ng trust chain:
$ posttls-finger -cC -L walang patutunguhan

1, nakagawian, buod
Ang mga kasingkahulugang halaga na ito ay nagbubunga ng isang normal na isang linyang buod ng TLS
connection.

2, mag-alis ng mga insekto
Pinagsasama ng mga kasingkahulugang halaga na ito ang routine, ssl-debug, cache at verbose.

3, ssl-expert
Pinagsasama ng mga kasingkahulugang halaga ang debug sa ssl-handshake-packet-dump. Para sa
mga eksperto lamang.

4, ssl-developer
Pinagsasama ng mga kasingkahulugang halaga ang ssl-expert sa ssl-session-packet-dump.
Para sa mga eksperto lamang, at sa karamihan ng mga kaso, gamitin na lang ang wireshark.

ssl-debug
I-on ang OpenSSL logging ng progress ng SSL handshake.

ssl-handshake-packet-dump
Mag-log hexadecimal packet dumps ng SSL handshake; para sa mga eksperto lamang.

ssl-session-packet-dump
Mag-log hexadecimal packet dumps ng buong SSL session; kapaki-pakinabang lamang sa mga iyon
sino ang maaaring mag-debug ng mga problema sa SSL protocol mula sa mga hex dump.

hindi pinagkakatiwalaan
Nag-log ng mga problema sa pag-verify ng chain ng tiwala. Awtomatikong naka-on ito sa
mga antas ng seguridad na gumagamit ng mga pangalan ng peer na nilagdaan ng Mga Awtoridad sa Sertipikasyon upang
patunayan ang mga sertipiko. Kaya habang kinikilala ang setting na ito, dapat mo
hindi na kailangang itakda ito nang tahasan.

peercert
Nag-log ito ng isang linyang buod ng remote SMTP server certificate subject,
tagabigay, at mga fingerprint.

certmatch
Nagla-log ito ng malayuang SMTP server certificate na tumutugma, na ipinapakita ang CN at bawat isa
subjectAltName at kung aling pangalan ang tumugma. Sa DANE, mga log na tumutugma sa TLSA
magtala ng mga sertipiko ng trust-anchor at end-entity.

cache Nagla-log ito ng mga operasyon ng cache ng session, na nagpapakita kung ang pag-cache ng session ay
epektibo sa remote SMTP server. Awtomatikong ginagamit kapag muling kumonekta
sa -r opsyon; bihirang kailangang itakda nang tahasan.

pandiwang
Pinapagana ang verbose logging sa Postfix TLS driver; kasama ang lahat ng
peercert..cache at marami pa.

Ang default ay routine,certmatch. Pagkatapos ng muling pagkonekta, peercert, certmatch at
pandiwang ay awtomatikong hindi pinagana habang cache at buod ay pinagana.

-m bilangin (default: 5)
Kapag ang -r antala ang opsyon ay tinukoy, ang -m tinutukoy ng opsyon ang maximum na bilang
ng muling pagkonekta sa mga pagtatangkang gamitin sa isang server sa likod ng isang load balancer, upang makita kung
connection caching ay malamang na maging epektibo para sa destinasyong ito. Ang ilang mga MTA ay hindi
ilantad ang pinagbabatayan ng pagkakakilanlan ng server sa kanilang tugon sa EHLO; sa mga server na ito
hindi kailanman magkakaroon ng higit sa 1 pagtatangka sa muling pagkonekta.

-M insecure_mx_policy (default: dane)
Ang patakaran ng TLS para sa mga MX host na may "secure" na mga tala ng TLSA kapag ang nexthop na destinasyon
antas ng seguridad ay dane, ngunit ang MX record ay natagpuan sa pamamagitan ng isang "hindi secure" na MX lookup.
Tingnan ang main.cf na dokumentasyon para sa smtp_tls_insecure_mx_policy para sa mga detalye.

-o pangalan=halaga
Tukuyin ang zero o higit pang beses para i-override ang value ng main.cf parameter pangalan sa
halaga. Kabilang sa mga posibleng kaso ng paggamit ang pag-override sa mga halaga ng mga parameter ng TLS library,
o "myhostname" upang i-configure ang pangalan ng SMTP EHLO na ipinadala sa remote server.

-p protocol (default: !SSLv2)
Listahan ng mga TLS protocol na ibubukod o isasama ng posttls-finger. Tingnan mo
smtp_tls_mandatory_protocols para sa mga detalye.

-P CApath/ (default: wala)
Ang OpenSSL CApath/ direktoryo (na-index sa pamamagitan ng c_rehash(1)) para sa malayong SMTP server
pagpapatunay ng sertipiko. Bilang default, walang CApath ang ginagamit at walang pampublikong CA
pinagkakatiwalaan.

-r antala
Gamit ang isang naka-cache na session ng TLS, idiskonekta at muling kumonekta pagkatapos antala segundo. Ulat
kung ang sesyon ay muling ginagamit. Subukang muli kung may makaharap na bagong server, hanggang 5 beses
o gaya ng tinukoy sa -m opsyon. Bilang default, hindi pinagana ang muling pagkonekta, tukuyin ang a
positibong pagkaantala upang paganahin ang gawi na ito.

-S Huwag paganahin ang SMTP; ibig sabihin, kumonekta sa isang LMTP server. Tapos na ang default port para sa LMTP
Ang TCP ay 24. Maaaring tukuyin ang mga alternatibong port sa pamamagitan ng pagdaragdag ng ":servicename"o
":portnumber" sa patutunguhang argumento.

-t oras (default: 30)
Ang TCP connection timeout na gagamitin. Ito rin ang timeout para sa pagbabasa ng remote
220 banner ng server.

-T oras (default: 30)
Ang SMTP/LMTP command timeout para sa EHLO/LHLO, STARTTLS at QUIT.

-v Paganahin ang verbose Postfix logging. Tukuyin ang higit sa isang beses upang mapataas ang antas ng
verbose logging.

-w I-enable ang papalabas na TLS wrapper mode, o suporta sa SMTPS. Ito ay karaniwang ibinibigay sa
port 465 ng mga server na tugma sa ad-hoc SMTP sa SSL protocol,
kaysa sa karaniwang STARTTLS protocol. Ang destinasyon domain:port dapat ng
kursong magbigay ng ganitong serbisyo.

[inet:]domain[:port]
Kumonekta sa pamamagitan ng TCP sa domain domain, daungan port. Ang default na port ay SMTP (o 24 kasama ang
LMTP). Sa SMTP, ang isang MX lookup ay isinasagawa upang malutas ang domain sa isang host, maliban kung
ang domain ay nakapaloob sa []. Kung gusto mong kumonekta sa isang partikular na MX host, para sa
halimbawa mx1.example.com, tukuyin [mx1.example.com] bilang destinasyon at
example.com bilang isang tumugma argumento. Kapag gumagamit ng DNS, ipinapalagay ang patutunguhang domain
ganap na kwalipikado at walang default na domain o search suffix na inilapat; dapat mong gamitin
ganap na kwalipikadong mga pangalan o paganahin din katutubo host lookup (hindi sinusuportahan ng mga ito dane
or dane-lamang dahil walang impormasyon sa pagpapatunay ng DNSSEC na magagamit sa pamamagitan ng katutubo mga paghahanap).

unix:pangalan ng landas
Kumonekta sa UNIX-domain socket sa pangalan ng landas. LMTP lang.

tumugma ...
Nang walang tinukoy na mga argumento ng pagtutugma, ginagamit ng pagtutugma ng peername ng certificate ang
pinagsama-samang mga default na diskarte para sa bawat antas ng seguridad. Kung tinukoy mo ang isa o higit pa
argumento, ang mga ito ay gagamitin bilang listahan ng mga certificate o public-key digest sa
tugma para sa bakas ng daliri level, o bilang listahan ng mga pangalan ng DNS na itugma sa
sertipiko sa patunayan at hindi makatatakas mga antas. Kung ang antas ng seguridad ay dane, O
dane-lamang ang mga pangalan ng tugma ay hindi pinapansin, at hostname susunod na lundag ginagamit ang mga estratehiya.

Kapaligiran

MAIL_CONFIG
Basahin ang mga parameter ng configuration mula sa isang hindi default na lokasyon.

MAIL_VERBOSE
Katulad ng -v pagpipilian.

Gumamit ng posttls-finger online gamit ang mga serbisyo ng onworks.net