Test di configurazione STARTTLS del server SMTP

26

Esiste un modo semplice per testare un server SMTP per verificare i problemi di configurazione associati alla crittografia STARTTLS e segnalare se è stato configurato correttamente in modo che la posta elettronica venga crittografata utilizzando STARTTLS?

Pensa al tester server SSL Qualys come analogia: è un ottimo strumento per controllare rapidamente un server web per vedere l'uso di SSL è stato configurato correttamente e identifica le opportunità per migliorare la configurazione per fornire una crittografia più potente. Sa riconoscere molti errori di configurazione comuni e fornisce un voto. C'è qualcosa del genere per STARTTLS sui server SMTP?

In particolare, dato un server SMTP, vorrei dire:

  1. se supporta STARTTLS,
  2. se la sua configurazione STARTTLS è stata impostata correttamente in modo che le email con altri importanti provider di posta elettronica finiscano per essere crittografate,
  3. se supporta la perfetta segretezza di inoltro e se è configurato in modo che le cifrarie corrette di inoltro di sicurezza saranno utilizzate nella pratica (ove possibile),
  4. se fornisce un certificato adatto che passerà controlli di convalida rigorosi,
  5. se ha altri errori di configurazione.

Come posso fare questo?

Facebook e < a href="https://www.google.com/transparencyreport/saferemail/?hl=it"> Google ha recentemente evidenziato lo stato dell'utilizzo di STARTTLS su Internet e chiesto agli operatori dei server di abilitare STARTTLS e configurare in modo appropriato in modo che l'email venga crittografata mentre è in transito. Ci sono strumenti facili da usare per supportare questo obiettivo?

    
posta D.W. 27.05.2014 - 22:36
fonte

3 risposte

28

Ecco alcuni siti Web che forniscono test a cui potresti essere interessato.

  • Strumenti SSL è uno strumento basato sul Web che verifica un server SMTP per ciascuno degli elementi menzionati; verifica il supporto STARTTLS, un certificato che supera severi controlli di convalida, supporto per la perfetta segretezza in avanti e altre cose:

    link

  • StartTLS è uno strumento basato sul Web che verifica un server SMTP e fornisce un voto semplice, insieme a molti dettagli sulla configurazione del server SMTP (anche se non viene verificato se sia stata utilizzata la segretezza perfetta ):

    link (vedi informazioni sulla pagina su il servizio o le statistiche sui siti controllati con il loro servizio)

  • CheckTLS è uno strumento basato sul Web che fornisce un modo per testare un server SMTP per il server STARTTLS e se il certificato è "ok" (cioè, passa una rigida validazione) e informazioni parziali su quale cifratura è stata negoziata quando si collegava a quel server SMTP (ma nessuna informazione sul perfetto supporto di inoltro segreto):

    link

  • I seguenti strumenti basati sul web controllano se un server SMTP supporta STARTTLS, ma non esegue nessuno degli altri controlli menzionati nella domanda:

Se devi controllare solo uno o due, prova SSL-Tools e StartTLS.

    
risposta data 01.06.2014 - 03:49
fonte
9

Puoi controllare il supporto per starttls con openssl s_client -starttls smtp ... .

  • Con le giuste impostazioni di -CAfile / -CApath puoi anche controllare la catena di certificati.
  • Ciò che non controlla è il nome host, ad es. devi controllarlo manualmente
  • Inoltre stamperà il codice utilizzato, in modo da poter verificare se è un codice ECDHE o DHE per vedere se viene utilizzata la segretezza in avanti.
  • Forse potresti voler specificare in modo esplicito un elenco di cifrature con l'opzione -cipher per sapere se il server preferisce i cifrari di FS anche se il client li mise al e della lista delle preferenze.

In alternativa potresti usare Perl con un IO :: Socket :: SSL abbastanza recente come questo:

use strict;
use warnings;
use IO::Socket::SSL 1.968;
use Net::SSLGlue::SMTP;

my $host = 'mx.example.com';
my $smtp = Net::SMTP->new($host, Debug => 1) or die "connect failed";
$smtp->starttls(
    # where your CA are, has usable defaults
    # SSL_ca_file => ...,
    # SSL_ca_path => ....,
    # to restrict ciphers and set preference
    # SSL_cipher_list => '...',
) or die "starttls failed: $@|$SSL_ERROR";
print "cipher=".$smtp->get_cipher."\n";
print "cipher=".$smtp->get_sslversion."\n";

Questo farà un controllo corretto del certificato, verifica hostname, ti dà il codice per scoprire se è la segretezza in avanti e ti dà anche la versione SSL. E con le ultime versioni IO :: Socket :: SSL puoi anche fare il controllo OCSP per vedere se il certificato è stato revocato (vedi documentazione in IO :: Socket :: SSL).

    
risposta data 28.05.2014 - 00:10
fonte
2

Ecco alcuni strumenti che offrono ai laboratori SSL Qualys i risultati e supportano STARTTLS

  • testssl.sh ( link )

    È uno strumento da riga di comando che controlla il servizio di un server su qualsiasi porta per il supporto di crittografie TLS / SSL, protocolli e recenti difetti crittografici e altro ancora. Il suo vantaggio abbastanza completo e importante è che puoi anche scansionare i tuoi server intranet.

    eg. ./testssl.sh -t smtp aspmx.l.google.com:25

  • Test SSL HTBridge

    Questo strumento basato sul web consente email e altre porte.

    https://www.htbridge.com/ssl/

  • Scoperta di Cryptosense

    Questo strumento consente la scansione su qualsiasi porta. Porte predefinite scansionate (21, 22, 25, 110, 143, 389, 443, 465, 587, 636, 993, 995, 5222, 5223, 5269)

    https://discovery.cryptosense.com/

risposta data 23.08.2017 - 09:03
fonte

Leggi altre domande sui tag