Frage:
Testen Sie die STARTTLS-Konfiguration des SMTP-Servers
D.W.
2014-05-28 01:36:17 UTC
view on stackexchange narkive permalink

Gibt es eine einfache Möglichkeit, einen SMTP-Server auf Konfigurationsprobleme im Zusammenhang mit der STARTTLS-Verschlüsselung zu testen und zu melden, ob er ordnungsgemäß konfiguriert wurde, damit E-Mails mit STARTTLS verschlüsselt werden?

Denken Sie daran Der Qualys SSL-Servertester als Analogie: Es ist ein großartiges Tool, um schnell einen Webserver zu überprüfen, um festzustellen, ob die Verwendung von SSL ordnungsgemäß konfiguriert wurde, und Möglichkeiten zur Verbesserung der Konfiguration zu identifizieren, um eine stärkere Verschlüsselung bereitzustellen. Es weiß, wie man viele häufige Konfigurationsfehler erkennt und gibt eine Note. Gibt es so etwas für STARTTLS auf SMTP-Servern?

Insbesondere bei einem SMTP-Server möchte ich sagen:

  1. ob es STARTTLS unterstützt,
  2. ob die STARTTLS-Konfiguration ordnungsgemäß eingerichtet wurde, damit E-Mails mit anderen großen E-Mail-Anbietern verschlüsselt werden,
  3. ob die perfekte Weiterleitungsgeheimnis unterstützt wird und ob sie so konfiguriert ist, dass die perfekte Weiterleitung erfolgt Geheimhaltungs-Chiffren werden in der Praxis verwendet (sofern möglich),
  4. ob sie ein geeignetes Zertifikat bereitstellen, das strenge Validierungsprüfungen besteht,
  5. ob andere Konfigurationsfehler vorliegen.
    6. ol>

    Wie kann ich das tun?

    Facebook und Google haben kürzlich den Status der STARTTLS-Nutzung am hervorgehoben das Internet und forderte die Serverbetreiber auf, STARTTLS zu aktivieren und entsprechend zu konfigurieren, damit E-Mails während der Übertragung verschlüsselt werden. Gibt es benutzerfreundliche Tools, um dieses Ziel zu unterstützen?

Fünf antworten:
MrBrian
2014-06-01 06:49:37 UTC
view on stackexchange narkive permalink

Hier sind einige Websites, die Tests anbieten, an denen Sie interessiert sein könnten.

  • SSL-Tools ist ein webbasiertes Tool, das a testet SMTP-Server für jedes der von Ihnen genannten Elemente; Es testet auf STARTTLS-Unterstützung, ein Zertifikat, das strenge Validierungsprüfungen besteht, Unterstützung für perfekte Weiterleitungsgeheimnis und andere Dinge:

    https://ssl-tools.net/mailservers

  • StartTLS ist ein webbasiertes Tool, das einen SMTP-Server testet und eine einfache Note sowie viele Details zur Konfiguration des SMTP-Servers bereitstellt ( Es wird jedoch nicht geprüft, ob ein perfektes Vorwärtsgeheimnis angewendet wird.):

    https://starttls.info/ (siehe Informationen zur Info-Seite zum Dienst , oder Statistiken über Websites, die mit ihrem Dienst überprüft wurden)

  • CheckTLS ist ein webbasiertes Tool, mit dem Sie testen können ein SMTP-Server für den STARTTLS-Server sowie die Frage, ob das Zertifikat "in Ordnung" ist (dh es besteht eine strikte Validierung) und teilweise Informationen darüber, welche Verschlüsselung ausgehandelt wurde, als sie mit diesem SMTP-Server verbunden waren (aber keine Informationen über die perfekte Unterstützung der Vorwärtsgeheimnis):

    https://www.checktls.com/

  • Folgendes Webbasierte Tools prüfen, ob ein SMTP-Server STARTTLS unterstützt, führen jedoch keine der anderen in der Frage genannten Prüfungen durch:

Wenn Sie nur ein oder zwei überprüfen müssen, versuchen Sie es mit SSL -Tools und StartTLS.

StartTLS scheint nicht in Betrieb zu sein.SSL-Tools und CheckTLS funktionieren weiterhin, obwohl beide Letsencrypt-Zertifikate nicht als legitim erkennen.
Sowohl SSL-Tools als auch CheckTLS erkennen meine Letsencrypt-Zertifikate.Ich dachte, sie hätten es nicht getan, aber es stellte sich heraus, dass ich den Server nicht richtig konfiguriert hatte (mit Postscript hatte ich die SMTPD-TLS-Einstellungen konfiguriert, aber nicht die SMTP-Einstellungen).
Steffen Ullrich
2014-05-28 03:10:55 UTC
view on stackexchange narkive permalink

Sie können die Unterstützung für Starttls mit openssl s_client -starttls smtp ... überprüfen.

  • Mit den richtigen Einstellungen von -CAfile / -CApath können Sie auch die Zertifikatkette überprüfen.
  • Was nicht überprüft wird, ist der Hostname, z. Sie müssen es manuell überprüfen.
  • Es wird auch die verwendete Verschlüsselung ausgedruckt, sodass Sie überprüfen können, ob es sich um eine ECDHE- oder DHE-Verschlüsselung handelt, um festzustellen, ob das Vorwärtsgeheimnis verwendet wird.
  • Vielleicht möchten Sie eine Verschlüsselungsliste mit der Option -cipher explizit angeben, um herauszufinden, ob der Server FS-Verschlüsselungen bevorzugt, auch wenn der Client sie in die und der Voreinstellungsliste einfügt.

Alternativ können Sie Perl mit einem ausreichend aktuellen IO :: Socket :: SSL wie folgt verwenden: 

  Verwenden Sie strict; verwenden Sie Warnungen; verwenden Sie IO :: Socket :: SSL 1.968 ; benutze Net :: SSLGlue :: SMTP; mein $ host = 'mx.example.com'; mein $ smtp = Net :: SMTP->new ($ host, Debug = > 1) oder die "Verbindung fehlgeschlagen"; $ smtp ->starttls (# wo sich Ihre Zertifizierungsstelle befindet, hat verwendbare Standardeinstellungen # SSL_ca_file = > ..., # SSL_ca_path = > ...., # um Chiffren einzuschränken und die Präferenz # SSL_cipher_list = > '...' festzulegen, oder sterben " Starttls fehlgeschlagen: $ @ | $ SSL_ERROR "; print" cipher = ". $ smtp->get_cipher." \ n "; print" cipher = ". $ smtp->get_sslversion." \ n ";

Dies führt eine ordnungsgemäße Zertifikatsprüfung durch, führt eine Überprüfung des Hostnamens durch und gibt Ihnen die Verschlüsselung, um herauszufinden, ob dies der Fall ist ist Vorwärtsgeheimnis und gibt Ihnen auch die SSL-Version. Mit den neuesten IO :: Socket :: SSL-Versionen können Sie auch OCSP-Überprüfungen durchführen, um festzustellen, ob das Zertifikat widerrufen wurde (siehe Dokumentation in IO :: Socket :: SSL).

Vielen Dank! Gibt es eine Beziehung zwischen der Verschlüsselung, die zwischen "openssl s_client" und dem SMTP-Server X ausgehandelt wird, und der Verschlüsselung, die zwischen einem zufälligen großen E-Mail-Anbieter und Server X ausgehandelt wird? Wenn sie unterschiedliche Vorlieben haben, könnten sie dann eine andere Chiffrensuite haben (was die Heuristik durcheinander bringt, um zu sagen, ob ECDHE / DHE verwendet wird)? Ich mag die Idee, eine Verschlüsselungsliste anzugeben; Können Sie eine Verschlüsselungsliste oder Listen vorschlagen, die repräsentativ für die Verwendung durch große E-Mail-Anbieter sind?
Die endgültige Verschlüsselung hängt von den vom Client angebotenen und vom Server unterstützten Chiffren ab und davon, ob der Server seine Verschlüsselungsreihenfolge oder die Clients bevorzugt. Aus meinen Tests entscheiden sich die meisten Server jetzt anhand ihrer eigenen Verschlüsselungseinstellungen. Unter https://github.com/noxxi/p5-io-socket-ssl/blob/master/util/analyze-ssl.pl können Sie herausfinden, welche Chiffren unterstützt werden und ob die Reihenfolge der Clients oder Server wichtig ist. Empfehlungen für Chiffren finden Sie auf sslabs.com oder in der Diskussion unter http://security.stackexchange.com/questions/51680/optimal-web-server-ssl-cipher-suite-configuration.
Dieses IO :: Socket :: SSL-Rezept testet, ob eine verwendbare und korrekte SSL-Verbindung ausgehandelt werden kann.Ich denke jedoch, dass Sie nicht benachrichtigt werden, wenn eine unsichere Verschlüsselung angeboten wird oder wenn die ausgehandelte SSL-Verbindung missbraucht werden kann.Es ist nützlich, berücksichtigt jedoch nicht die Anforderungen (3) und (5) in der Anforderung des OP.
bhushan5640
2017-08-23 12:03:25 UTC
view on stackexchange narkive permalink

Hier sind einige Tools, die Qualys SSL Labs ähnliche Ergebnisse liefern und STARTTLS

  • testssl.sh ( https: // testssl) unterstützen. sh /)

    Es handelt sich um ein Befehlszeilentool, das den Dienst eines Servers an einem beliebigen Port auf Unterstützung von TLS / SSL-Chiffren, Protokollen sowie aktuellen kryptografischen Fehlern und mehr überprüft. Der umfassende und große Vorteil besteht darin, dass Sie auch Ihre Intranetserver scannen können.

    z. ./testssl.sh -t smtp aspmx.l.google.com:25

  • HTBridge SSL-Test

    Dieses webbasierte Tool ermöglicht E-Mail- und andere Ports.

    https://www.htbridge.com/ssl/

Cryptosense Discovery

Dieses Tool ermöglicht das Scannen an jedem Port. Gescannte Standardports (21, 22, 25, 110, 143, 389, 443, 465, 587, 636, 993, 995, 5222, 5223, 5269)

https: / /discovery.cryptosense.com/

Ronald
2019-02-25 21:18:05 UTC
view on stackexchange narkive permalink

CryptCheck ist genau wie der SSL-Servertester von Qualys, nur dann mit SMTP-Unterstützung. CryptCheck überprüft Ihre Chiffresuiten mit der Bewertung C / B / A / A + ...

CryptCheck: https://tls.imirhil.fr

Die Website ist auf Französisch https://imirhil.fr

Danke, das ist nützlich!Es scheint jedoch etwas instabil zu sein: Ich erhalte häufig Fehler "Fehler während der Analyse: Zu lange Analyse (max. 2 Minuten)".
Szilárd Pfeiffer
2019-11-09 18:50:52 UTC
view on stackexchange narkive permalink

Für den TLS-Teil gibt es einige andere Online-Tools, die Sie verwenden können:

und auch einige Offline:



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...