ฉันมีซอฟต์แวร์ที่ค่อนข้างเก่าซึ่งไม่รองรับ TLS 1.2 อย่างไรก็ตาม เซิร์ฟเวอร์ SMTP รองรับเฉพาะ TLS 1.2
ตอนนี้ฉันต้องการใช้ Stunnel เพื่อเชื่อมต่อกับเซิร์ฟเวอร์ SMTP และรับฟังการเข้าถึง smtp ฉันมีใบรับรองที่ถูกต้องสำหรับเซิร์ฟเวอร์นี้แล้ว ก่อนกำหนดค่า TLS เวอร์ชันต่างๆ ฉันต้องการทดสอบว่า "stunnel proxy" นี้ใช้งานได้โดยทั่วไปหรือไม่ ฉันใช้ Thunderbird เพื่อเชื่อมต่อกับ :587
ใน [TLS_proxy_connector] และ [TLS_proxy_listener] ฉันมี โปรโตคอล = smtp. ฉันได้พยายามแสดงความคิดเห็นในส่วนใดส่วนหนึ่งหรือทั้งสองส่วน อย่างไรก็ตาม ฉันได้รับข้อผิดพลาดในทันทีหรือการหมดเวลาบางอย่าง และธันเดอร์เบิร์ดไม่สามารถส่งอีเมลได้
นี่คือการกำหนดค่า Stunnel:
เซทูอิด = สตันเนล4
setgid = stunnel4
เบื้องหน้า = ใช่
;อย่าเขียน pid
ปิด =
[TLS_proxy_connector]
ลูกค้า = ใช่
ยอมรับ = 127.0.0.1:53681
โปรโตคอล = smtp
เชื่อมต่อ = <เมลเซิร์ฟเวอร์>:587
ตรวจสอบ = 2
CApath = /etc/ssl/certs/
checkHost = <เมลเซิร์ฟเวอร์>
;OCSPaia = ใช่
[TLS_proxy_listener]
ยอมรับ = 587
โปรโตคอล = smtp
คีย์ = /etc/ssl/private/key.pem
ใบรับรอง = /etc/ssl/certs/cert_.pem
CAfile = /etc/ssl/certs/chain_.pem
เชื่อมต่อ = 53681
ผมทำอะไรผิดหรือเปล่า? มีเครื่องมืออื่นที่เหมาะกับที่นี่ไหม ฉันรู้ว่าฉันสามารถติดตั้งเมลเซิร์ฟเวอร์ของตัวเองซึ่งยอมรับ TLS 1.0 และ 1.1 และใช้เป็นสมาร์ทโฮสต์ได้ แต่นั่นอาจมากเกินไป เพราะฉันต้องดูแลเรื่องความปลอดภัย ขณะนี้ตรวจสอบความปลอดภัยเนื่องจากคุณได้รับอนุญาตให้ส่งด้วยข้อมูลรับรองที่ถูกต้องเท่านั้นขอบคุณสำหรับความช่วยเหลือของคุณ.
อัปเดต: ใช้งานได้กับการกำหนดค่าด้านบนเมื่อทั้งสองรายการมี โปรโตคอล = smtp. ฉันจะเพิ่มข้อมูลเพิ่มเติมเมื่อทำการทดสอบเพิ่มเติมเกี่ยวกับเวอร์ชัน TLS แล้ว
การกำหนดค่าข้างต้นถูกต้องสำหรับการพร็อกซี TLS เวอร์ชันต่างๆไม่จำเป็นต้องกำหนดค่าอะไรเป็นพิเศษสำหรับ SSL/TLS ภายใน Stunnel
stunnel - รุ่น
stunnel 5.30 บนแพลตฟอร์ม x86_64-pc-linux-gnu
รุ่นนี้เป็นค่าเริ่มต้นบนเดเบียน 10 เมื่อคุณติดตั้งผ่าน sudo apt ติดตั้ง stunnel.
เอาต์พุต testsl.sh ของเซิร์ฟเวอร์ดั้งเดิม
การทดสอบโปรโตคอลผ่านซ็อกเก็ต
ไม่เสนอ SSLv2 (ตกลง)
ไม่เสนอ SSLv3 (ตกลง)
ไม่ได้เสนอ TLS 1
TLS 1.1 ไม่ได้นำเสนอ
TLS 1.2 ที่นำเสนอ (ตกลง)
SPDY/NPN (SPDY เป็นโปรโตคอล HTTP ดังนั้นจึงไม่ได้ทดสอบที่นี่)
HTTP2/ALPN (HTTP/2 เป็นโปรโตคอล HTTP ดังนั้นจึงไม่ได้ทดสอบที่นี่)
เอาต์พุต testsl.sh ของพร็อกซีพอร์ตผ่าน stunnel
การทดสอบโปรโตคอลผ่านซ็อกเก็ต
ไม่เสนอ SSLv2 (ตกลง)
ไม่เสนอ SSLv3 (ตกลง)
ทล.1เสนอ
TLS 1.1 ที่นำเสนอ
TLS 1.2 ที่นำเสนอ (ตกลง)
SPDY/NPN (SPDY เป็นโปรโตคอล HTTP ดังนั้นจึงไม่ได้ทดสอบที่นี่)
HTTP2/ALPN (HTTP/2 เป็นโปรโตคอล HTTP ดังนั้นจึงไม่ได้ทดสอบที่นี่)
หมายเหตุ: โดยปกติแล้วการใช้ TLS 1 และ 1.1 เป็นความคิดที่ไม่ดี เนื่องจากโปรโตคอลทั้งสองมีข้อบกพร่องด้านความปลอดภัย ดูตัวอย่าง https://www.venafi.com/blog/why-its-dangerous-use-outdated-tls-security-protocols ในกรณีนี้ พอร์ตพร็อกซี TLS นี้จะใช้ได้เฉพาะในเครือข่ายภายในและจะไม่เปิดเผยต่ออินเทอร์เน็ต ดังนั้นจึงเป็นเรื่องปกติที่จะใช้การแฮ็กนี้จนกว่าซอฟต์แวร์เก่าที่ไม่รองรับ TLS 1.2 จะถูกแทนที่
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
