Score:1

การใช้ Stunnel เป็นพร็อกซีระหว่างเวอร์ชัน SSL สำหรับ SMTP กับ STARTTLS

ธง in

ฉันมีซอฟต์แวร์ที่ค่อนข้างเก่าซึ่งไม่รองรับ TLS 1.2 อย่างไรก็ตาม เซิร์ฟเวอร์ SMTP รองรับเฉพาะ TLS 1.2

ตอนนี้ฉันต้องการใช้ Stunnel เพื่อเชื่อมต่อกับเซิร์ฟเวอร์ SMTP และรับฟังการเข้าถึง smtp ฉันมีใบรับรองที่ถูกต้องสำหรับเซิร์ฟเวอร์นี้แล้ว ก่อนกำหนดค่า TLS เวอร์ชันต่างๆ ฉันต้องการทดสอบว่า "stunnel proxy" นี้ใช้งานได้โดยทั่วไปหรือไม่ ฉันใช้ Thunderbird เพื่อเชื่อมต่อกับ :587 ใน [TLS_proxy_connector] และ [TLS_proxy_listener] ฉันมี โปรโตคอล = smtp. ฉันได้พยายามแสดงความคิดเห็นในส่วนใดส่วนหนึ่งหรือทั้งสองส่วน อย่างไรก็ตาม ฉันได้รับข้อผิดพลาดในทันทีหรือการหมดเวลาบางอย่าง และธันเดอร์เบิร์ดไม่สามารถส่งอีเมลได้

นี่คือการกำหนดค่า Stunnel:

เซทูอิด = สตันเนล4
setgid = stunnel4

เบื้องหน้า = ใช่
;อย่าเขียน pid
ปิด =


[TLS_proxy_connector]
ลูกค้า = ใช่
ยอมรับ = 127.0.0.1:53681
โปรโตคอล = smtp
เชื่อมต่อ = <เมลเซิร์ฟเวอร์>:587
ตรวจสอบ = 2
CApath = /etc/ssl/certs/
checkHost = <เมลเซิร์ฟเวอร์>
;OCSPaia = ใช่

[TLS_proxy_listener]
ยอมรับ = 587
โปรโตคอล = smtp
คีย์ = /etc/ssl/private/key.pem
ใบรับรอง = /etc/ssl/certs/cert_.pem
CAfile = /etc/ssl/certs/chain_.pem
เชื่อมต่อ = 53681

ผมทำอะไรผิดหรือเปล่า? มีเครื่องมืออื่นที่เหมาะกับที่นี่ไหม ฉันรู้ว่าฉันสามารถติดตั้งเมลเซิร์ฟเวอร์ของตัวเองซึ่งยอมรับ TLS 1.0 และ 1.1 และใช้เป็นสมาร์ทโฮสต์ได้ แต่นั่นอาจมากเกินไป เพราะฉันต้องดูแลเรื่องความปลอดภัย ขณะนี้ตรวจสอบความปลอดภัยเนื่องจากคุณได้รับอนุญาตให้ส่งด้วยข้อมูลรับรองที่ถูกต้องเท่านั้นขอบคุณสำหรับความช่วยเหลือของคุณ.

อัปเดต: ใช้งานได้กับการกำหนดค่าด้านบนเมื่อทั้งสองรายการมี โปรโตคอล = smtp. ฉันจะเพิ่มข้อมูลเพิ่มเติมเมื่อทำการทดสอบเพิ่มเติมเกี่ยวกับเวอร์ชัน TLS แล้ว

Score:0
ธง in

การกำหนดค่าข้างต้นถูกต้องสำหรับการพร็อกซี TLS เวอร์ชันต่างๆไม่จำเป็นต้องกำหนดค่าอะไรเป็นพิเศษสำหรับ SSL/TLS ภายใน Stunnel

stunnel - รุ่น
stunnel 5.30 บนแพลตฟอร์ม x86_64-pc-linux-gnu

รุ่นนี้เป็นค่าเริ่มต้นบนเดเบียน 10 เมื่อคุณติดตั้งผ่าน sudo apt ติดตั้ง stunnel.

เอาต์พุต testsl.sh ของเซิร์ฟเวอร์ดั้งเดิม


 การทดสอบโปรโตคอลผ่านซ็อกเก็ต

 ไม่เสนอ SSLv2 (ตกลง)
 ไม่เสนอ SSLv3 (ตกลง)
 ไม่ได้เสนอ TLS 1
 TLS 1.1 ไม่ได้นำเสนอ
 TLS 1.2 ที่นำเสนอ (ตกลง)
 SPDY/NPN (SPDY เป็นโปรโตคอล HTTP ดังนั้นจึงไม่ได้ทดสอบที่นี่)
 HTTP2/ALPN (HTTP/2 เป็นโปรโตคอล HTTP ดังนั้นจึงไม่ได้ทดสอบที่นี่)

เอาต์พุต testsl.sh ของพร็อกซีพอร์ตผ่าน stunnel

 การทดสอบโปรโตคอลผ่านซ็อกเก็ต

 ไม่เสนอ SSLv2 (ตกลง)
 ไม่เสนอ SSLv3 (ตกลง)
 ทล.1เสนอ
 TLS 1.1 ที่นำเสนอ
 TLS 1.2 ที่นำเสนอ (ตกลง)
 SPDY/NPN (SPDY เป็นโปรโตคอล HTTP ดังนั้นจึงไม่ได้ทดสอบที่นี่)
 HTTP2/ALPN (HTTP/2 เป็นโปรโตคอล HTTP ดังนั้นจึงไม่ได้ทดสอบที่นี่)

หมายเหตุ: โดยปกติแล้วการใช้ TLS 1 และ 1.1 เป็นความคิดที่ไม่ดี เนื่องจากโปรโตคอลทั้งสองมีข้อบกพร่องด้านความปลอดภัย ดูตัวอย่าง https://www.venafi.com/blog/why-its-dangerous-use-outdated-tls-security-protocols ในกรณีนี้ พอร์ตพร็อกซี TLS นี้จะใช้ได้เฉพาะในเครือข่ายภายในและจะไม่เปิดเผยต่ออินเทอร์เน็ต ดังนั้นจึงเป็นเรื่องปกติที่จะใช้การแฮ็กนี้จนกว่าซอฟต์แวร์เก่าที่ไม่รองรับ TLS 1.2 จะถูกแทนที่

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา