posttls-finger - Інтернет у хмарі

ПРОГРАМА:

ІМ'Я

posttls-finger - Перевірте властивості TLS сервера ESMTP або LMTP.

СИНТАКСИС

posttls-палець [опції] [інет:]домен[:порт] [матч ...]
posttls-палець -S [опції] unix:ім'я шляху [матч ...]

ОПИС

posttls-палець(1) підключається до вказаного місця призначення та повідомляє про TLS
інформація про сервер. У SMTP місце призначення — це ім’я домену; з LMTP це так
або доменне ім’я з префіксом інет: або ім’я шляху з префіксом unix:. Якщо Postfix є
створена без підтримки TLS, отримана програма posttls-finger дуже обмежена
функціональність, і тільки -a, -c, -h, -o, -S, -t, -T та -v доступні варіанти.

Примітка: це непідтримувана тестова програма. Не робиться жодних спроб зберегти сумісність
між послідовними версіями.

Для серверів SMTP, які не підтримують ESMTP, лише банер привітання та негативний EHLO
відповідь повідомляється. В іншому випадку в повідомленій відповіді EHLO деталі додаткового сервера
можливостей.

Якщо підтримка TLS увімкнена, коли posttls-палець(1) скомпільовано, і сервер підтримує
СТАРТЛИ, виконується спроба рукостискання TLS.

Якщо підтримка DNSSEC доступна, рівень безпеки підключення TLS (-l параметр) за замовчуванням
дані; див. TLS_README для отримання детальнішої інформації. В іншому випадку за замовчуванням безпечний. Цей параметр
визначає політику збігу сертифікатів.

Якщо узгодження TLS успішно, повідомляється протокол TLS і деталі шифру. Сервер
сертифікат потім перевіряється відповідно до політики за вибраним (або за замовчуванням)
рівень безпеки. З публічною довірою на основі ЦС, коли -L опція включає certmatch, (правда
за замовчуванням) збіг імен виконується, навіть якщо ланцюжок сертифікатів не є надійним. Це
реєструє імена, знайдені в сертифікаті віддаленого SMTP-сервера, і які, якщо такі будуть відповідати,
чи довіряли ланцюжку сертифікатів.

Примітка: posttls-палець(1) не виконує жодного пошуку таблиці, тому таблиця політики TLS і
застарілі таблиці для кожного сайту не звертаються. Воно не спілкується з tlsmgr(8)
демон (або будь-який інший демон Postfix); його кеш сесії TLS зберігається в приватній пам'яті,
і зникає після завершення процесу.

З -r затримка якщо сервер призначає ідентифікатор сеансу TLS, сеанс TLS є
кешується. Потім з’єднання закривається і знову відкривається після зазначеної затримки, і
posttls-палець(1) потім повідомляє, чи був повторно використаний кешований сеанс TLS.

Якщо місце призначення є балансувальником навантаження, воно може розподіляти навантаження між кількома
кеш сервера. Як правило, кожен сервер повертає своє унікальне ім’я у відповіді EHLO. якщо
при повторному з'єднанні з -r, виявлено нове ім’я сервера, для іншого сеансу кешується
новий сервер, і повторне підключення повторюється максимальну кількість разів (за замовчуванням 5)
які можна вказати через -m варіант.

Вибір SMTP або LMTP (-S option) визначає синтаксис аргументу призначення.
За допомогою SMTP можна вказати службу на порту, що не є стандартним, як господар:обслуговуванняі вимкніть MX
(поштовий обмінник) Пошук DNS за допомогою [господар] Або [господар]:порт. Форма [] потрібна, коли ви
вкажіть IP-адресу замість імені хоста. Адреса IPv6 приймає форму
[ipv6:адреса]. Порт за замовчуванням для SMTP береться з smtp/tcp вхід в
/ etc / services, за замовчуванням значення 25, якщо запис не знайдено.

За допомогою LMTP вкажіть unix:ім'я шляху для підключення до локального сервера, який прослуховує в домені unix
сокет, прив'язаний до вказаного шляху; інакше вкажіть необов’язковий інет: префікс
слідом за a домен і необов'язковий порт з тим же синтаксисом, що й для SMTP. За замовчуванням
TCP-порт для LMTP – 24.

аргументи:

-a сім'я (за замовчуванням: будь-який)
Зверніть увагу на сімейні переваги: ipv4, ipv6 or будь-який. При використанні будь-який, posttls-пальцем буде
випадковим чином виберіть один з двох як більш бажаний і вичерпайте всі MX
уподобання для першого сімейства адрес, перш ніж спробувати будь-які адреси для іншого.

-A trust-anchor.pem (за замовчуванням: немає)
Список файлів прив’язки довіри PEM, який замінює ланцюг довіри CAfile і CApath
перевірка. Укажіть параметр кілька разів, щоб указати кілька файлів. Побачити
документацію main.cf для smtp_tls_trust_anchor_file для отримання детальнішої інформації.

-c Вимкнути журналювання чату SMTP; реєструється лише інформація, що стосується TLS.

-C Роздрукуйте ланцюжок довіри сертифіката віддаленого сервера SMTP у форматі PEM. емітент Д.Н.,
DN предмета, сертифікат і відбитки пальців відкритого ключа (див -d мдалг варіант нижче).
надруковано над кожним блоком сертифікатів PEM. Якщо вказати -F файл CA or -P CApath,
бібліотека OpenSSL може доповнювати ланцюжок відсутніми сертифікатами емітента. Бачити
фактичний ланцюжок, надісланий віддаленим SMTP-сервером, залишиться файл CA та CApath вимкнено.

-d мдалг (за замовчуванням: sha1)
Алгоритм дайджесту повідомлень для звітування про відбитки віддаленого SMTP-сервера
і зіставлення з відбитками пальців сертифіката, наданими користувачем (із записами DANE TLSA
алгоритм вказаний в DNS).

-f Шукайте пов’язаний DANE TLSA RRset, навіть якщо ім’я хоста не є псевдонімом, а його
адресні записи лежать у непідписаній зоні. Побачити
smtp_tls_force_insecure_host_tlsa_lookup для отримання деталей.

-F CAfile.pem (за замовчуванням: немає)
CA-файл у форматі PEM для перевірки сертифіката віддаленого сервера SMTP. За
за замовчуванням не використовується CAfile і жодні загальнодоступні CA не є надійними.

-g клас (за замовчуванням: середній)
Мінімальний клас шифру TLS, який використовує posttls-finger. Побачити
smtp_tls_mandatory_ciphers для детальної інформації.

-h host_lookup (за замовчуванням: DNS)
Методи пошуку імені хоста, які використовуються для підключення. Дивіться документацію
smtp_host_lookup для синтаксису та семантики.

-k файл сертифіката (за замовчуванням: ключовий файл)
Файл із ланцюжком сертифікатів клієнта TLS із кодуванням PEM. Це значення за замовчуванням ключовий файл якщо один
вказано.

-K ключовий файл (за замовчуванням: файл сертифіката)
Файл із приватним ключем клієнта TLS, закодованим PEM. Це значення за замовчуванням файл сертифіката якщо один є
вказано.

-l рівень (за замовчуванням: дані or безпечний)
Рівень безпеки для з’єднання за замовчуванням дані or безпечний залежно від того, чи
DNSSEC доступний. Синтаксис і семантику див. у документації
smtp_tls_security_level. Коли дані or тільки датчани підтримується та вибирається, якщо ні
Знайдено записи TLSA, або всі знайдені записи непридатні для використання безпечний рівень
замість цього буде використано. The відбиток пальця рівень безпеки дозволяє тестувати
сертифікат або відповідність відбитку відкритого ключа перед тим, як ви розгорнете їх у політиці
таблиці.

Зауважте, оскільки posttls-палець фактично не доставляє жодної електронної пошти, ніхто, може та
шифрувати рівні безпеки не дуже корисні. Так як може та шифрувати не вимагають
однорангових сертифікатів, вони часто узгоджують анонімні набори шифрів TLS, тож ви
не дізнається багато про сертифікати віддаленого SMTP-сервера на цих рівнях
також підтримує анонімний TLS (хоча ви можете дізнатися, що сервер підтримує
анонімний TLS).

-L логотипи (за замовчуванням: рутина, сертифікат)
Точні параметри журналу TLS. Щоб налаштувати функції TLS, зареєстровані під час TLS
рукостискання, вкажіть один або кілька з:

0, ніхто
Вони не дають протоколювання TLS; зазвичай вам потрібно більше, але це зручно, якщо
вам просто потрібен ланцюг довіри:
$ posttls-finger -cC -L немає призначення

1, рутина, Підсумок
Ці синонімічні значення дають звичайний однорядковий підсумок TLS
підключення.

2, відлагоджувати
Ці синонімічні значення поєднують рутину, ssl-debug, кеш і детальну інформацію.

3, ssl-експерт
Ці синонімічні значення поєднують debug з ssl-handshake-packet-dump. Для
тільки експерти.

4, ssl-розробник
Ці синонімічні значення поєднують ssl-expert з ssl-session-packet-dump.
Тільки для експертів, і в більшості випадків замість цього використовуйте wireshark.

ssl-налагодження
Увімкніть протокол OpenSSL про хід рукостискання SSL.

ssl-handshake-packet-dump
Реєстрація шістнадцяткових дампів пакетів протоколу рукостискання SSL; тільки для експертів.

ssl-сесія-пакет-дамп
Реєструйте шістнадцяткові дампи пакетів усього сеансу SSL; корисний лише тим
хто може налагоджувати проблеми протоколу SSL із шістнадцяткових дампів.

ненадійний
Реєструє проблеми перевірки ланцюга довіри. Це автоматично вмикається о
рівні безпеки, які використовують імена однорангових партнерів, підписані центрами сертифікації
підтвердити сертифікати. Тому, поки це налаштування розпізнається, ви повинні
ніколи не потрібно вказувати це явно.

peercert
Це реєструє однорядковий підсумок теми сертифіката віддаленого сервера SMTP,
емітента та відбитків пальців.

certmatch
Це реєструє збіг сертифікатів віддаленого SMTP-сервера, показуючи CN і кожен
subjectAltName і яке ім’я відповідає. За допомогою DANE реєструє відповідність TLSA
записувати сертифікати прив’язки довіри та кінцевої сутності.

cache Це реєструє операції з кешуванням сеансів, показуючи, чи є кешування сеансів
ефективний з віддаленим SMTP-сервером. Автоматично використовується при повторному підключенні
з -r варіант; рідко потрібно встановлювати явно.

докладний
Дозволяє детальне ведення журналу в драйвері Postfix TLS; включає всі з
peercert..cache та багато іншого.

За замовчуванням - рутина, сертифікат. Після повторного підключення, peercert, certmatch та
докладний автоматично вимикаються під час cache та Підсумок включені.

-m вважати (за замовчуванням: 5)
Коли -r затримка вказано опцію, -m параметр визначає максимальну кількість
спроби повторного з’єднання використовувати з сервером за балансировщиком навантаження, щоб перевірити чи
кешування підключення, ймовірно, буде ефективним для цього місця призначення. Деякі MTA цього не роблять
розкривати базовий сервер у відповіді EHLO; з цими серверами
ніколи не буде більше 1 спроби повторного підключення.

-M insecure_mx_policy (за замовчуванням: дані)
Політика TLS для хостів MX із «захищеними» записами TLSA, коли наступний перехід
рівень безпеки є дані, але запис MX було знайдено за допомогою "небезпечного" пошуку MX.
Додаткову інформацію див. у документації main.cf щодо smtp_tls_insecure_mx_policy.

-o name = value
Вкажіть нуль або більше разів, щоб замінити значення параметра main.cf ім'я з
значення. Можливі варіанти використання включають перевизначення значень параметрів бібліотеки TLS,
або "myhostname", щоб налаштувати ім'я SMTP EHLO, надіслане на віддалений сервер.

-p протоколи (за замовчуванням: !SSLv2)
Список протоколів TLS, які posttls-finger буде виключати або включати. Побачити
smtp_tls_mandatory_protocols для деталей.

-P CApath/ (за замовчуванням: немає)
Каталог OpenSSL CApath/ (індексується через c_rehash(1)) для віддаленого SMTP-сервера
перевірка сертифіката. За замовчуванням не використовується ні CApath, ні загальнодоступні CA
довіряв.

-r затримка
За допомогою сеансу TLS з кешуванням відключіть і знову підключіться після цього затримка секунд. Звіт
чи використовується сеанс повторно. Повторіть спробу, якщо зустрічається новий сервер, до 5 разів
або як зазначено в -m варіант. За замовчуванням повторне підключення вимкнено, вкажіть a
позитивна затримка, щоб увімкнути цю поведінку.

-S Вимкнути SMTP; тобто підключитися до сервера LMTP. Порт за замовчуванням для LMTP over
TCP дорівнює 24. Альтернативні порти можна вказати, додавши ":назва служби"або
":номер порту" до аргументу призначення.

-t Тайм-аут (за замовчуванням: 30)
Час очікування підключення TCP для використання. Це також час очікування для читання пульта
банер сервера 220.

-T Тайм-аут (за замовчуванням: 30)
Час очікування команди SMTP/LMTP для EHLO/LHLO, STARTTLS та QUIT.

-v Увімкнути детальне ведення журналу Postfix. Вкажіть більше одного разу, щоб підвищити рівень
докладне ведення журналу.

-w Увімкнути вихідний режим обгортки TLS або підтримку SMTPS. Зазвичай це надається на
порт 465 серверами, які сумісні з тимчасовим SMTP у протоколі SSL,
а не стандартний протокол STARTTLS. Пункт призначення домен:порт повинен з
звичайно надати таку послугу.

[інет:]домен[:порт]
Підключення через TCP до домену домен, Порт порт. За замовчуванням є порт SMTP (або 24 с
LMTP). За допомогою SMTP виконується пошук MX, щоб розв’язати домен до хоста, якщо
домен укладено в []. Якщо ви хочете підключитися до певного хосту MX, для
екземпляр mx1.example.com, вкажіть [mx1.example.com] як пункт призначення та
example.com як матч аргумент. При використанні DNS передбачається домен призначення
повністю кваліфіковані і не застосовуються доменні або пошукові суфікси за замовчуванням; ви повинні використовувати
повні імена або також увімкнути рідний пошук хоста (вони не підтримуються дані
or тільки датчани оскільки інформація про підтвердження DNSSEC недоступна через рідний пошуки).

unix:ім'я шляху
Підключіться до роз'єму домену UNIX за адресою ім'я шляху. Тільки LMTP.

матч ...
Якщо аргументи відповідності не вказані, у відповідності однорангового імені сертифіката використовується параметр
скомпільовані стратегії за замовчуванням для кожного рівня безпеки. Якщо вказати один або кілька
аргументи, вони будуть використовуватися як список сертифікатів або дайджестів відкритих ключів
відповідати за відбиток пальця рівня або у вигляді списку імен DNS для відповідності в
сертифікат на перевірити та безпечний рівнів. Якщо рівень безпеки є даніабо
тільки датчани назви збігів ігноруються, і ім'я хоста, nexthop використовуються стратегії.

НАВКОЛИШНЄ СЕРЕДОВИЩЕ

MAIL_CONFIG
Зчитування параметрів конфігурації з розташування, відмінного від умовчання.

MAIL_VERBOSE
Такий же, як -v варіант.

Використовуйте posttls-finger онлайн за допомогою служб onworks.net