Đây là lệnh posttls-finger có thể chạy trong nhà cung cấp dịch vụ lưu trữ miễn phí OnWorks bằng cách sử dụng một trong nhiều máy trạm trực tuyến miễn phí của chúng tôi như Ubuntu Online, Fedora Online, trình mô phỏng trực tuyến Windows hoặc trình mô phỏng trực tuyến MAC OS
CHƯƠNG TRÌNH:
TÊN
posttls-finger - Thăm dò thuộc tính TLS của máy chủ ESMTP hoặc LMTP.
SYNOPSIS
ngón tay posttls [lựa chọn] [inet:]miền[:cổng] [phù hợp với ...]
ngón tay posttls -S [lựa chọn] unix:tên đường dẫn [phù hợp với ...]
MÔ TẢ
ngón tay posttls(1) kết nối đến đích đã chỉ định và báo cáo liên quan đến TLS
thông tin về máy chủ. Với SMTP, đích đến là một tên miền; với LMTP thì vậy
hoặc một tên miền có tiền tố inet: hoặc một tên đường dẫn có tiền tố unix:. Nếu Postfix là
được xây dựng mà không có sự hỗ trợ của TLS, kết quả là chương trình posttls-finger có rất nhiều hạn chế
chức năng và chỉ -a, -c, -h, -o, -S, -t, -T và -v các tùy chọn có sẵn.
Lưu ý: đây là một chương trình thử nghiệm không được hỗ trợ. Không có nỗ lực nào được thực hiện để duy trì khả năng tương thích
giữa các phiên bản kế tiếp nhau.
Đối với các máy chủ SMTP không hỗ trợ ESMTP, chỉ có biểu ngữ chào mừng và EHLO phủ định
phản hồi được báo cáo. Mặt khác, phản hồi EHLO được báo cáo sẽ cung cấp thêm thông tin chi tiết về máy chủ
khả năng.
Nếu hỗ trợ TLS được bật khi ngón tay posttls(1) được biên dịch và máy chủ hỗ trợ
BẮT ĐẦU, bắt tay TLS được thử.
Nếu có hỗ trợ DNSSEC, mức bảo mật TLS kết nối (-l tùy chọn) mặc định là
dane; xem TLS_README để biết chi tiết. Ngược lại, nó mặc định là an toàn. Cài đặt này
xác định chính sách đối sánh chứng chỉ.
Nếu đàm phán TLS thành công, chi tiết về giao thức và mật mã TLS sẽ được báo cáo. Máy chủ
chứng chỉ sau đó được xác minh theo chính sách đã chọn (hoặc mặc định)
mức độ an ninh. Với sự tin cậy dựa trên CA công khai, khi -L tùy chọn bao gồm chứng nhận phù hợp, (ĐÚNG VẬY
theo mặc định) việc khớp tên được thực hiện ngay cả khi chuỗi chứng chỉ không đáng tin cậy. Cái này
ghi lại các tên được tìm thấy trong chứng chỉ máy chủ SMTP từ xa và nếu có thì tên đó sẽ khớp,
chuỗi chứng chỉ có đáng tin cậy không.
Lưu ý: ngón tay posttls(1) không thực hiện bất kỳ tra cứu bảng nào, vì vậy bảng chính sách TLS và
bảng trên mỗi trang web lỗi thời không được tham khảo. Nó không giao tiếp với tlsmgr(8)
daemon (hoặc bất kỳ daemon Postfix nào khác); bộ đệm phiên TLS của nó được giữ trong bộ nhớ riêng,
và biến mất khi quá trình thoát ra.
Với -r chậm trễ tùy chọn, nếu máy chủ chỉ định id phiên TLS thì phiên TLS sẽ
được lưu vào bộ nhớ đệm. Sau đó, kết nối sẽ được đóng và mở lại sau độ trễ được chỉ định và
ngón tay posttls(1) sau đó báo cáo xem phiên TLS được lưu trong bộ nhớ đệm có được sử dụng lại hay không.
Khi đích là một bộ cân bằng tải, nó có thể phân phối tải giữa nhiều
bộ nhớ đệm của máy chủ. Thông thường, mỗi máy chủ trả về tên duy nhất trong phản hồi EHLO của nó. Nếu như,
khi kết nối lại với -r, tên máy chủ mới được phát hiện, phiên khác được lưu vào bộ đệm
máy chủ mới và việc kết nối lại được lặp lại với số lần tối đa (mặc định là 5)
có thể được chỉ định thông qua -m tùy chọn.
Sự lựa chọn của SMTP hoặc LMTP (-S option) xác định cú pháp của đối số đích.
Với SMTP, người ta có thể chỉ định một dịch vụ trên một cổng không mặc định như chủ nhà:dịch vụvà tắt MX
(trao đổi thư) Tra cứu DNS bằng [chủ nhà] Hoặc [chủ nhà]:cổng. Biểu mẫu [] được yêu cầu khi bạn
chỉ định một địa chỉ IP thay vì tên máy chủ. Địa chỉ IPv6 có dạng
[ipv6:địa chỉ]. Cổng mặc định cho SMTP được lấy từ smtp/tcp vào trong
/ etc / services, mặc định là 25 nếu không tìm thấy mục nhập.
Với LMTP, hãy chỉ định unix:tên đường dẫn để kết nối với máy chủ cục bộ đang nghe trên miền unix
socket được liên kết với tên đường dẫn đã chỉ định; mặt khác, chỉ định một tùy chọn inet: tiếp đầu ngữ
Theo sau là một miền và một cổng tùy chọn, có cùng cú pháp với SMTP. Mặc định
Cổng TCP cho LMTP là 24.
đối số:
-a gia đình (vỡ nợ: bất kì)
Địa chỉ ưu tiên của gia đình: ipv4, ipv6 or bất kì. Khi đang sử dụng bất kì, posttls-ngón tay sẽ
chọn ngẫu nhiên một trong hai cái được ưu tiên hơn và sử dụng hết tất cả MX
ưu tiên cho họ địa chỉ đầu tiên trước khi thử bất kỳ địa chỉ nào cho họ địa chỉ khác.
-A tin cậy-anchor.pem (mặc định: không có)
Danh sách các tệp neo tin cậy PEM ghi đè chuỗi tin cậy CAfile và CApath
xác minh. Chỉ định tùy chọn nhiều lần để chỉ định nhiều tệp. Nhìn thấy
tài liệu main.cf dành cho smtp_tls_trust_anchor_file để biết chi tiết.
-c Vô hiệu hóa ghi nhật ký trò chuyện SMTP; chỉ thông tin liên quan đến TLS mới được ghi lại.
-C In chuỗi tin cậy chứng chỉ máy chủ SMTP từ xa ở định dạng PEM. Nhà phát hành DN,
chủ đề DN, chứng chỉ và dấu vân tay khóa công khai (xem -d mdalg tùy chọn bên dưới) là
được in phía trên mỗi khối chứng chỉ PEM. Nếu bạn chỉ định -F tệp CA or -P capath,
thư viện OpenSSL có thể tăng cường chuỗi thiếu chứng chỉ của nhà phát hành. Nhìn
chuỗi thực tế được gửi bởi máy chủ SMTP từ xa rời khỏi tệp CA và capath không đặt.
-d mdalg (vỡ nợ: sha1)
Thuật toán phân loại thư được sử dụng để báo cáo dấu vân tay của máy chủ SMTP từ xa
và đối chiếu với dấu vân tay chứng chỉ do người dùng cung cấp (với bản ghi DANE TLSA
thuật toán được chỉ định trong DNS).
-f Tra cứu tập bản ghi DANE TLSA liên quan ngay cả khi tên máy chủ không phải là bí danh và
bản ghi địa chỉ nằm trong một vùng không dấu. Nhìn thấy
smtp_tls_force_insecure_host_tlsa_lookup để biết chi tiết.
-F CAfile.pem (mặc định: không có)
CAfile được định dạng PEM để xác minh chứng chỉ máy chủ SMTP từ xa. Qua
mặc định không có CAfile nào được sử dụng và không có CA công khai nào được tin cậy.
-g cấp (mặc định: trung bình)
Cấp độ mật mã TLS tối thiểu được sử dụng bởi posttls-finger. Nhìn thấy
smtp_tls_mandatory_ciphers để biết chi tiết.
-h máy chủ_lookup (vỡ nợ: dns)
Các phương pháp tra cứu tên máy chủ được sử dụng để kết nối. Xem tài liệu của
smtp_host_lookup để biết cú pháp và ngữ nghĩa.
-k tập tin chứng chỉ (vỡ nợ: tài liệu quan trọng)
Tệp có chuỗi chứng chỉ ứng dụng khách TLS được mã hóa PEM. Điều này mặc định là tài liệu quan trọng nếu một
được quy định.
-K tài liệu quan trọng (vỡ nợ: tập tin chứng chỉ)
Tệp có khóa riêng của máy khách TLS được mã hóa PEM. Điều này mặc định là tập tin chứng chỉ nếu một người là
được chỉ định.
-l cấp (vỡ nợ: dane or an toàn)
Mức độ bảo mật cho kết nối, mặc định dane or an toàn tuỳ thuộc vào việc
DNSSEC có sẵn. Để biết cú pháp và ngữ nghĩa, hãy xem tài liệu của
smtp_tls_security_level. Khi dane or chỉ có người Đan Mạch được hỗ trợ và lựa chọn, nếu không
Các bản ghi TLSA được tìm thấy hoặc tất cả các bản ghi được tìm thấy đều không thể sử dụng được, an toàn cấp
sẽ được sử dụng thay thế. Các dấu vân tay mức độ bảo mật cho phép bạn kiểm tra
chứng chỉ hoặc dấu vân tay khóa công khai khớp trước khi bạn triển khai chúng trong chính sách
bảng.
Lưu ý, vì ngón tay posttls không thực sự gửi bất kỳ email nào, không ai, có thể và
mã hóa mức độ bảo mật không hữu ích lắm. Từ có thể và mã hóa không yêu cầu
chứng chỉ ngang hàng, họ thường sẽ đàm phán các bộ mật mã TLS ẩn danh, vì vậy bạn
sẽ không tìm hiểu nhiều về chứng chỉ của máy chủ SMTP từ xa ở các cấp độ này nếu nó
cũng hỗ trợ TLS ẩn danh (mặc dù bạn có thể biết rằng máy chủ hỗ trợ
TLS ẩn danh).
-L đăng nhập (vỡ nợ: thường lệ, chứng nhận)
Tùy chọn ghi nhật ký TLS chi tiết. Để điều chỉnh các tính năng TLS được ghi trong TLS
bắt tay, chỉ định một hoặc nhiều:
0, không ai
Những điều này không mang lại ghi nhật ký TLS; nói chung bạn sẽ muốn nhiều hơn, nhưng điều này rất hữu ích nếu
bạn chỉ muốn chuỗi tin cậy:
$ posttls-finger -cC -L không có đích đến
1, công viêc hằng ngày, tóm tắt
Các giá trị đồng nghĩa này mang lại bản tóm tắt một dòng thông thường về TLS
kết nối.
2, gỡ lỗi
Các giá trị đồng nghĩa này kết hợp thói quen, gỡ lỗi ssl, bộ đệm và dài dòng.
3, chuyên gia ssl
Các giá trị đồng nghĩa này kết hợp gỡ lỗi với ssl-handshake-packet-dump. Vì
chỉ có các chuyên gia.
4, nhà phát triển ssl
Các giá trị đồng nghĩa này kết hợp ssl-expert với ssl-session-packet-dump.
Chỉ dành cho các chuyên gia và trong hầu hết các trường hợp, hãy sử dụng wireshark để thay thế.
gỡ lỗi ssl
Bật ghi nhật ký OpenSSL về tiến trình bắt tay SSL.
ssl-bắt tay-gói-dump
Ghi nhật ký kết xuất gói thập lục phân của quá trình bắt tay SSL; chỉ dành cho các chuyên gia.
ssl-session-gói-dump
Ghi lại các kết xuất gói thập lục phân của toàn bộ phiên SSL; chỉ hữu ích với những người
người có thể gỡ lỗi các vấn đề về giao thức SSL từ các kết xuất hex.
không tin cậy
Ghi nhật ký các vấn đề về xác minh chuỗi tin cậy. Tính năng này được bật tự động tại
mức độ bảo mật sử dụng tên ngang hàng được ký bởi Cơ quan cấp chứng chỉ để
xác nhận các chứng chỉ. Vì vậy, trong khi cài đặt này được nhận dạng, bạn nên
không bao giờ cần phải thiết lập nó một cách rõ ràng.
chứng nhận ngang hàng
Điều này ghi lại một bản tóm tắt một dòng về chủ đề chứng chỉ máy chủ SMTP từ xa,
nhà phát hành và dấu vân tay.
chứng nhận phù hợp
Điều này ghi lại việc khớp chứng chỉ máy chủ SMTP từ xa, hiển thị CN và từng
chủ đềAltName và tên nào phù hợp. Với DANE, nhật ký khớp của TLSA
ghi lại các chứng chỉ tin cậy và thực thể cuối.
bộ nhớ cache Điều này ghi lại các hoạt động của bộ nhớ đệm phiên, cho biết liệu bộ nhớ đệm phiên có được thực hiện hay không.
hiệu quả với máy chủ SMTP từ xa. Tự động sử dụng khi kết nối lại
với -r lựa chọn; hiếm khi cần phải được thiết lập một cách rõ ràng.
dài dòng
Cho phép ghi nhật ký chi tiết trong trình điều khiển Postfix TLS; bao gồm tất cả
peercert..cache và hơn thế nữa.
Mặc định là thường lệ, chứng nhận. Sau khi kết nối lại, chứng nhận ngang hàng, chứng nhận phù hợp và
dài dòng sẽ tự động bị vô hiệu hóa trong khi bộ nhớ cache và tóm tắt được kích hoạt.
-m tính (vỡ nợ: 5)
Khi -r chậm trễ tùy chọn được chỉ định, -m tùy chọn xác định số lượng tối đa
về các lần thử kết nối lại để sử dụng với máy chủ phía sau bộ cân bằng tải, để xem liệu
bộ nhớ đệm kết nối có thể sẽ có hiệu quả cho đích này. Một số MTA không
để lộ danh tính máy chủ cơ bản trong phản hồi EHLO của họ; với những máy chủ này
sẽ không bao giờ có nhiều hơn 1 lần thử kết nối lại.
-M không an toàn_mx_policy (vỡ nợ: dane)
Chính sách TLS dành cho máy chủ MX có bản ghi TLSA "bảo mật" khi đích đến bước kế tiếp
mức độ bảo mật là dane, nhưng bản ghi MX được tìm thấy thông qua tra cứu MX "không an toàn".
Xem tài liệu main.cf để biết smtp_tls_insecure_mx_policy để biết chi tiết.
-o tên = giá trị
Chỉ định 0 hoặc nhiều lần để ghi đè giá trị của tham số main.cf tên với
giá trị. Các trường hợp sử dụng có thể bao gồm ghi đè các giá trị của tham số thư viện TLS,
hoặc "myhostname" để định cấu hình tên SMTP EHLO được gửi đến máy chủ từ xa.
-p giao thức (mặc định: !SSLv2)
Danh sách các giao thức TLS mà posttls-finger sẽ loại trừ hoặc bao gồm. Nhìn thấy
smtp_tls_mandatory_protocols để biết chi tiết.
-P CApath/ (mặc định: không có)
Thư mục OpenSSL CApath/ (được lập chỉ mục thông qua c_rehash(1)) cho máy chủ SMTP từ xa
xác minh chứng chỉ. Theo mặc định không có CApath nào được sử dụng và không có CA công khai nào được sử dụng
đáng tin cậy.
-r chậm trễ
Với phiên TLS có thể lưu vào bộ nhớ đệm, hãy ngắt kết nối và kết nối lại sau chậm trễ giây. Báo cáo
liệu phiên này có được sử dụng lại hay không. Thử lại nếu gặp máy chủ mới, tối đa 5 lần
hoặc theo quy định với -m lựa chọn. Theo mặc định, việc kết nối lại bị tắt, hãy chỉ định một
độ trễ tích cực để kích hoạt hành vi này.
-S Vô hiệu hóa SMTP; nghĩa là kết nối với máy chủ LMTP. Cổng mặc định cho LMTP qua
TCP là 24. Các cổng thay thế có thể được chỉ định bằng cách thêm ":Tên dịch vụ" hoặc là
":số cổng" tới đối số đích.
-t thời gian chờ (vỡ nợ: 30)
Thời gian chờ kết nối TCP sẽ được sử dụng. Đây cũng là thời gian chờ để đọc từ xa
biểu ngữ 220 của máy chủ.
-T thời gian chờ (vỡ nợ: 30)
Đã hết thời gian chờ lệnh SMTP/LMTP cho EHLO/LHLO, STARTTLS và QUIT.
-v Cho phép ghi nhật ký Postfix chi tiết. Chỉ định nhiều lần để tăng mức độ
ghi nhật ký chi tiết.
-w Bật chế độ trình bao bọc TLS gửi đi hoặc hỗ trợ SMTPS. Điều này thường được cung cấp trên
cổng 465 của các máy chủ tương thích với SMTP đặc biệt trong giao thức SSL,
thay vì giao thức STARTTLS tiêu chuẩn. Đích đến miền:cổng Nên
khóa học cung cấp một dịch vụ như vậy.
[inet:]miền[:cổng]
Kết nối qua TCP với miền miền, Hải cảng cổng. Cổng mặc định là smtp (hoặc 24 với
LMTP). Với SMTP, việc tra cứu MX được thực hiện để phân giải miền thành máy chủ lưu trữ, trừ khi
miền được bao bọc trong []. Nếu bạn muốn kết nối với một máy chủ MX cụ thể, ví dụ:
ví dụ mx1.example.com, chỉ định [mx1.example.com] là điểm đến và
example.com như là một phù hợp với lý lẽ. Khi sử dụng DNS, tên miền đích được giả sử
đủ điều kiện và không áp dụng tên miền hoặc hậu tố tìm kiếm mặc định; bạn phải dùng
tên đủ điều kiện hoặc cũng cho phép tự nhiên tra cứu máy chủ (chúng không hỗ trợ dane
or chỉ có người Đan Mạch vì không có thông tin xác thực DNSSEC qua tự nhiên tra cứu).
unix:tên đường dẫn
Kết nối với ổ cắm miền UNIX tại tên đường dẫn. Chỉ LMTP.
phù hợp với ...
Không có đối số khớp nào được chỉ định, việc khớp tên ngang hàng của chứng chỉ sẽ sử dụng
các chiến lược mặc định được biên soạn sẵn cho từng cấp độ bảo mật. Nếu bạn chỉ định một hoặc nhiều
các đối số, chúng sẽ được sử dụng làm danh sách chứng chỉ hoặc bản tóm tắt khóa công khai để
phù hợp cho dấu vân tay cấp độ hoặc dưới dạng danh sách tên DNS phù hợp trong
giấy chứng nhận tại xác minh và an toàn cấp độ. Nếu mức độ bảo mật là dane, hoặc là
chỉ có người Đan Mạch tên trận đấu bị bỏ qua và tên máy chủ, tiếp theo các chiến lược được sử dụng.
MÔI TRƯỜNG
MAIL_CONFIG
Đọc các thông số cấu hình từ một vị trí không mặc định.
MAIL_VERBOSE
Giống như -v tùy chọn.
Sử dụng posttls-finger trực tuyến bằng dịch vụ onworks.net
