înregistrare Logare
Puncte:1
avatar Server

Utilizarea stunnel ca proxy între versiunile SSL pentru SMTP cu STARTTLS

drapel in
Hannes

Am un software destul de vechi care nu acceptă TLS 1.2. Cu toate acestea, serverul SMTP acceptă doar TLS 1.2.

Acum am vrut să folosesc stunnel pentru a mă conecta la serverul SMTP și, de asemenea, să ascult pentru acces smtp. Am deja un certificat valabil pentru acest server. Înainte de a configura diferite versiuni TLS, am vrut doar să testez dacă acest „proxy stunnel” funcționează în general. Folosesc Thunderbird pentru a mă conecta la :587 În [TLS_proxy_connector] și [TLS_proxy_listener] am protocol = smtp. Am încercat să le comentez într-una sau ambele secțiuni. Totuși, primesc o eroare imediată sau un fel de timeout și Thunderbird nu poate trimite e-mailul.

Iată configurația stunnel:

setuid = stunnel4
setgid = stunnel4

prim plan = da
;nu scrie pid
pid =


[TLS_proxy_connector]
client = da
accept = 127.0.0.1:53681
protocol = smtp
connect = <server de mail>:587
verifica = 2
CApath = /etc/ssl/certs/
checkHost = <server de mail>
;OCSPaia = da

[TLS_proxy_listener]
accept = 587
protocol = smtp
cheie = /etc/ssl/private/key.pem
cert = /etc/ssl/certs/cert_.pem
CAfile = /etc/ssl/certs/chain_.pem
conectați = 53681

ce fac greșit? Există un alt instrument care se potrivește mai bine aici? Știu că aș putea configura un server de e-mail propriu care acceptă TLS 1.0 și 1.1 și folosește ca smarthost, dar ar fi prea mult, pentru că atunci trebuie să-mi pese de securitate. În prezent, verifică securitatea, deoarece ai voie să trimiți doar cu acreditări valide.Multumesc pentru ajutor.

Actualizare: Funcționează cu configurația de mai sus atunci când ambele intrări au protocol = smtp. Voi adăuga mai multe informații când au fost efectuate teste suplimentare cu privire la versiunile TLS.

840
1 + 0
Puncte:0
avatar Server
drapel in
Hannes

Configurația de mai sus este corectă pentru proxy diferite versiuni TLS.Nu este nevoie să configurați nimic special pentru SSL/TLS în stunnel.

stunnel -versiune
stunnel 5.30 pe platforma x86_64-pc-linux-gnu

Această versiune este implicită pe Debian 10 când instalați prin sudo apt install stunnel.

ieșirea testssl.sh a serverului original


 Testarea protocoalelor prin socket-uri

 SSLv2 nu este oferit (OK)
 SSLv3 nu este oferit (OK)
 TLS 1 nu este oferit
 TLS 1.1 nu este oferit
 TLS 1.2 oferit (OK)
 SPDY/NPN (SPDY este un protocol HTTP și, prin urmare, nu este testat aici)
 HTTP2/ALPN (HTTP/2 este un protocol HTTP și, prin urmare, nu este testat aici)

Ieșirea testssl.sh a portului proxy prin stunnel

 Testarea protocoalelor prin socket-uri

 SSLv2 nu este oferit (OK)
 SSLv3 nu este oferit (OK)
 TLS 1 oferit
 TLS 1.1 oferit
 TLS 1.2 oferit (OK)
 SPDY/NPN (SPDY este un protocol HTTP și, prin urmare, nu este testat aici)
 HTTP2/ALPN (HTTP/2 este un protocol HTTP și, prin urmare, nu este testat aici)

Notă: Utilizarea TLS 1 și 1.1 este de obicei o idee proastă, deoarece ambele protocoale au defecte de securitate, vezi de exemplu https://www.venafi.com/blog/why-its-dangerous-use-outdated-tls-security-protocols În acest caz, acest port proxy TLS va fi disponibil numai în rețeaua internă și nu va fi niciodată expus la internet, așa că este bine să utilizați acest hack până când acest software vechi fără suport TLS 1.2 este înlocuit.

0 + 0
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.