这是命令 posttls-finger,可以使用我们的多个免费在线工作站之一在 OnWorks 免费托管服务提供商中运行,例如 Ubuntu Online、Fedora Online、Windows 在线模拟器或 MAC OS 在线模拟器
程序:
您的姓名
posttls-finger - 探测 ESMTP 或 LMTP 服务器的 TLS 属性。
概要
后指 [选项[内网:]域[:端口[匹配 ...]
后指 -S [选项] Unix:路径名 [匹配 ...]
商品描述
后指(1) 连接到指定目的地并报告TLS相关
关于服务器的信息。 使用 SMTP,目标是域名; 使用 LMTP 是
要么是前缀为的域名 内网: 或前缀为的路径名 Unix:. 如果后缀是
在没有 TLS 支持的情况下构建,生成的 posttls-finger 程序非常有限
功能,并且只有 -a, -c, -h, -o, -S, -t, -T 和 -v 选项可用。
注意:这是一个不受支持的测试程序。 不尝试保持兼容性
在连续版本之间。
对于不支持 ESMTP 的 SMTP 服务器,只有问候横幅和否定 EHLO
响应被报告。 否则,报告的 EHLO 响应详细说明服务器
功能。
如果 TLS 支持在以下情况下启用 后指(1) 编译完成,服务器支持
开始TLS,尝试进行 TLS 握手。
如果 DNSSEC 支持可用,则连接 TLS 安全级别(-l 选项)默认为
戴恩; 有关详细信息,请参阅 TLS_README。 否则默认为 安全. 这个设置
确定证书匹配策略。
如果 TLS 协商成功,则报告 TLS 协议和密码详细信息。 服务器
然后根据所选(或默认)的策略验证证书
安全级别。 使用基于公共 CA 的信任,当 -L 选项包括 证书匹配, (真的
默认情况下)即使证书链不受信任,也会执行名称匹配。 这个
记录在远程 SMTP 服务器证书中找到的名称,如果有匹配的话,
证书链是否可信。
请注意: 后指(1) 不执行任何查表,所以 TLS 策略表和
不咨询过时的每站点表。 它不与 tsmgr(8)
守护进程(或任何其他 Postfix 守护进程); 它的 TLS 会话缓存保存在私有内存中,
并在进程退出时消失。
随着 -r 延迟 选项,如果服务器分配了 TLS 会话 id,则 TLS 会话是
缓存。 然后在指定的延迟后关闭并重新打开连接,并且
后指(1) 然后报告缓存的 TLS 会话是否被重用。
当目标是负载均衡器时,它可能会在多个负载之间分配负载
服务器缓存。 通常,每个服务器在其 EHLO 响应中返回其唯一名称。 如果,
重新连接时 -r,检测到一个新的服务器名称,另一个会话被缓存
新服务器,并且重新连接最多重复最多次数(默认为 5)
可以通过 -m 选项。
SMTP 或 LMTP 的选择(-S option) 确定目标参数的语法。
使用 SMTP,可以将非默认端口上的服务指定为 主持人:服务, 并禁用 MX
(邮件交换器)使用 [ 进行 DNS 查找主持人] 要么 [主持人]:端口. [] 表格是必需的,当您
指定 IP 地址而不是主机名。 IPv6 地址采用以下形式
[ipv6:地址]。 SMTP 的默认端口取自 传输协议/传输协议 进入
/ etc /服务, 如果未找到该条目,则默认为 25。
使用 LMTP,指定 Unix:路径名 连接到侦听 unix 域的本地服务器
绑定到指定路径名的套接字; 否则,指定一个可选的 内网: 字首
其次是 域 和一个可选的端口,与 SMTP 的语法相同。 默认的
LMTP 的 TCP 端口是 24。
参数:
-a 家庭 (默认: 任何)
地址家庭偏好: ipv4, ipv6 or 任何。 使用时 任何, 后指将
随机选择两者之一作为更优选的,并用尽所有MX
在尝试其他地址族的任何地址之前,先对第一个地址族进行首选项。
-A 信任锚.pem (默认:无)
覆盖 CAfile 和 CApath 信任链的 PEM 信任锚文件列表
确认。 多次指定该选项以指定多个文件。 看
有关详细信息,请参阅 smtp_tls_trust_anchor_file 的 main.cf 文档。
-c 禁用 SMTP 聊天记录; 仅记录与 TLS 相关的信息。
-C 以 PEM 格式打印远程 SMTP 服务器证书信任链。 发行人 DN,
主题 DN、证书和公钥指纹(请参阅 -d 达格 下面的选项)是
印在每个 PEM 证书块上方。 如果您指定 -F CA文件 or -P 路径,
OpenSSL 库可能会增加缺少颁发者证书的链。 查看
远程 SMTP 服务器发送的实际链离开 CA文件 和 路径 未设置。
-d 达格 (默认: sha1)
用于报告远程 SMTP 服务器指纹的消息摘要算法
并与用户提供的证书指纹匹配(使用 DANE TLSA 记录
该算法在 DNS 中指定)。
-f 查找关联的 DANE TLSA RRset,即使主机名不是别名及其
地址记录位于未签名区域。 看
smtp_tls_force_insecure_host_tlsa_lookup 了解详情。
-F 文件名 (默认:无)
用于远程 SMTP 服务器证书验证的 PEM 格式的 CAfile。 经过
默认不使用 CAfile 并且不信任公共 CA。
-g 经验 (默认:中等)
posttls-finger 使用的最低 TLS 密码等级。 看
smtp_tls_mandatory_ciphers 了解详情。
-h 主机查找 (默认: DNS)
用于连接的主机名查找方法。 参见文档
smtp_host_lookup 用于语法和语义。
-k 证书文件 (默认: 密钥文件)
带有 PEM 编码的 TLS 客户端证书链的文件。 这默认为 密钥文件 如果一个
已指定。
-K 密钥文件 (默认: 证书文件)
带有 PEM 编码的 TLS 客户端私钥的文件。 这默认为 证书文件 如果一个是
指定的。
-l 水平 (默认: 戴恩 or 安全)
连接的安全级别,默认 戴恩 or 安全 取决于是否
DNSSEC 可用。 有关语法和语义,请参阅文档
smtp_tls_security_level。 什么时候 戴恩 or 仅限丹麦人 支持和选择,如果没有
找到 TLSA 记录,或找到的所有记录都不可用, 安全 水平
将被使用。 这 指纹 安全级别允许您测试
在策略中部署证书或公钥指纹之前匹配
表。
注意,由于 后指 实际上并没有发送任何电子邮件, 没有, 五月 和
加密 安全级别不是很有用。 自从 五月 和 加密 不需要
对等证书,他们通常会协商匿名 TLS 密码套件,所以你
不会在这些级别上了解远程 SMTP 服务器的证书,如果它
还支持匿名 TLS(尽管您可能会了解到服务器支持
匿名 TLS)。
-L 登录 (默认: 常规,证书匹配)
细粒度的 TLS 日志记录选项。 调整 TLS 期间记录的 TLS 功能
握手,指定以下一项或多项:
0, 没有
这些不会产生 TLS 日志记录; 你通常会想要更多,但这很方便,如果
你只想要信任链:
$ posttls-finger -cC -L 无目的地
1, 常规, 摘要
这些同义值生成 TLS 的正常单行摘要
连接。
2, 调试
这些同义值结合了routine、ssl-debug、cache 和verbose。
3, ssl专家
这些同义值将 debug 与 ssl-handshake-packet-dump 结合起来。 为了
仅限专家。
4, ssl-开发人员
这些同义值结合了 ssl-expert 和 ssl-session-packet-dump。
仅供专家使用,在大多数情况下,请改用wireshark。
ssl-调试
打开 SSL 握手进程的 OpenSSL 日志记录。
ssl 握手包转储
记录 SSL 握手的十六进制数据包转储; 仅供专家使用。
ssl 会话数据包转储
记录整个 SSL 会话的十六进制数据包转储; 只对那些有用
谁能从十六进制转储中调试 SSL 协议问题。
不可信
记录信任链验证问题。 这是自动打开的
使用由证书颁发机构签名的对等名称的安全级别
验证证书。 因此,在识别此设置时,您应该
永远不需要明确设置它。
对等证书
这会记录远程 SMTP 服务器证书主题的一行摘要,
发行人,和指纹。
证书匹配
这会记录远程 SMTP 服务器证书匹配,显示 CN 和每个
subjectAltName 和匹配的名称。 使用 DANE,记录 TLSA 的匹配
记录信任锚和最终实体证书。
缓存 这会记录会话缓存操作,显示会话缓存是否为
对远程 SMTP 服务器有效。 重新连接时自动使用
与 -r 选项; 很少需要明确设置。
详细
在 Postfix TLS 驱动程序中启用详细日志记录; 包括所有的
peercert..cache 等等。
默认是 常规,证书匹配. 重新连接后, 对等证书, 证书匹配 和
详细 自动禁用,而 缓存 和 摘要 已启用。
-m 数 (默认: 5)
当。。。的时候 -r 延迟 选项被指定, -m 选项确定最大数量
的重新连接尝试与负载平衡器后面的服务器一起使用,以查看是否
连接缓存可能对这个目的地有效。 一些 MTA 没有
在 EHLO 响应中公开底层服务器身份; 使用这些服务器
永远不会有超过 1 次重新连接尝试。
-M 不安全_mx_策略 (默认: 戴恩)
具有“安全”TLSA 记录的 MX 主机的 TLS 策略,当下一跳目的地
安全级别是 戴恩,但 MX 记录是通过“不安全”的 MX 查找找到的。
有关详细信息,请参阅 smtp_tls_insecure_mx_policy 的 main.cf 文档。
-o 名称=值
指定零次或多次以覆盖 main.cf 参数的值 姓名 -
折扣值. 可能的用例包括覆盖 TLS 库参数的值,
或“myhostname”来配置发送到远程服务器的 SMTP EHLO 名称。
-p 协议 (默认:!SSLv2)
posttls-finger 将排除或包含的 TLS 协议列表。 看
smtp_tls_mandatory_protocols 了解详情。
-P 路径/ (默认:无)
OpenSSL CApath/ 目录(通过索引 c_rehash(1)) 用于远程 SMTP 服务器
证书验证。 默认情况下不使用 CApath 并且不使用公共 CA
值得信赖。
-r 延迟
使用可缓存的 TLS 会话,断开连接并重新连接 延迟 秒。 报告
会话是否被重用。 遇到新服务器时重试,最多5次
或按照规定 -m 选项。 默认情况下禁用重新连接,指定一个
启用此行为的正延迟。
-S 禁用 SMTP; 也就是说,连接到 LMTP 服务器。 LMTP over 的默认端口
TCP 是 24。可以通过附加“来指定替代端口”:服务名称“ 要么
":端口号" 到目标参数。
-t 超时 (默认: 30)
要使用的 TCP 连接超时。 这也是读取远程的超时时间
服务器的 220 横幅。
-T 超时 (默认: 30)
EHLO/LHLO、STARTTLS 和 QUIT 的 SMTP/LMTP 命令超时。
-v 启用详细的 Postfix 日志记录。 多次指定以提高级别
详细日志记录。
-w 启用传出 TLS 包装器模式或 SMTPS 支持。 这通常提供在
端口 465 由与 SSL 协议中的 ad-hoc SMTP 兼容的服务器提供,
而不是标准的 STARTTLS 协议。 目的地 域:端口 应该的
当然提供这样的服务。
[内网:]域[:端口]
通过 TCP 连接到域 域, 港口 端口. 默认端口是 SMTP (或 24 与
LMTP)。 使用 SMTP 执行 MX 查找以将域解析为主机,除非
域包含在 []. 如果要连接到特定的 MX 主机,对于
例 mx1.example.com, 指定 [mx1.example.com] 作为目的地和
example.com 作为一个 匹配 争论。 使用 DNS 时,假定目标域
完全限定并且不应用默认域或搜索后缀; 你必须使用
完全限定名称或也启用 本地人 主机查找(这些不支持 戴恩
or 仅限丹麦人 因为没有 DNSSEC 验证信息可通过 本地人 查找)。
Unix:路径名
连接到 UNIX 域套接字 路径名. 仅 LMTP。
匹配 ...
如果没有指定匹配参数,证书对等名称匹配使用
每个安全级别的编译默认策略。 如果您指定一个或多个
参数,这些将用作证书或公钥摘要列表
匹配 指纹 级别,或作为要匹配的 DNS 名称列表
证书在 确认 和 安全 水平。 如果安全级别为 戴恩或
仅限丹麦人 匹配名称将被忽略,并且 主机名, 下一跳 策略被使用。
环境
邮件配置
从非默认位置读取配置参数。
邮件详细
与...一样 -v 选项。
使用 onworks.net 服务在线使用 posttls-finger
