Tham gia Đăng nhập
Điểm:1
avatar Server

Sử dụng stunnel làm proxy giữa các phiên bản SSL cho SMTP với STARTTLS

lá cờ in
Hannes

Tôi có một phần mềm khá cũ không hỗ trợ TLS 1.2. Tuy nhiên, Máy chủ SMTP chỉ hỗ trợ TLS 1.2.

Bây giờ tôi muốn sử dụng stunnel để kết nối với máy chủ SMTP và đồng thời lắng nghe quyền truy cập smtp. Tôi đã có chứng chỉ hợp lệ cho máy chủ này. Trước khi định cấu hình các phiên bản TLS khác nhau, tôi chỉ muốn kiểm tra xem "proxy stunnel" này có hoạt động nói chung hay không. Tôi sử dụng Thunderbird để kết nối với: 587 Trong [TLS_proxy_connector] và [TLS_proxy_listener] tôi có giao thức = smtp. Tôi đã cố gắng bình luận chúng trong một hoặc cả hai phần. Tuy nhiên, tôi gặp lỗi ngay lập tức hoặc một số loại thời gian chờ và Thunderbird không thể gửi E-Mail.

Đây là cấu hình stunnel:

setuid = stunnel4
setgid = stunnel4

tiền cảnh = có
; đừng viết pid
pid =


[TLS_proxy_connector]
khách hàng = có
chấp nhận = 127.0.0.1:53681
giao thức = smtp
kết nối = <máy chủ thư>:587
xác minh = 2
CApath = /etc/ssl/certs/
checkHost = <máy chủ thư>
;OCSPaia = có

[TLS_proxy_listener]
chấp nhận = 587
giao thức = smtp
khóa = /etc/ssl/private/key.pem
chứng chỉ = /etc/ssl/certs/cert_.pem
CAfile = /etc/ssl/certs/chain_.pem
kết nối = 53681

Tôi đang làm gì sai? Có công cụ nào phù hợp hơn ở đây không? Tôi biết tôi có thể thiết lập một máy chủ thư riêng chấp nhận TLS 1.0 và 1.1 và sử dụng làm máy chủ lưu trữ thông minh, nhưng điều đó sẽ là quá nhiều, vì sau đó tôi phải quan tâm đến vấn đề bảo mật. Hiện đang kiểm tra bảo mật vì bạn chỉ được phép gửi bằng thông tin xác thực hợp lệ.Cảm ơn bạn đã giúp đỡ.

Cập nhật: Nó hoạt động với cấu hình trên khi cả hai mục có giao thức = smtp. Tôi sẽ bổ sung thêm thông tin khi các thử nghiệm tiếp theo được thực hiện đối với các phiên bản TLS.

840
1 + 0
Điểm:0
avatar Server
lá cờ in
Hannes

Cấu hình trên là chính xác để ủy quyền cho các phiên bản TLS khác nhau.Không cần cấu hình bất kỳ thứ gì đặc biệt cho SSL/TLS trong stunnel.

phiên bản stunnel
stunnel 5.30 trên nền tảng x86_64-pc-linux-gnu

Phiên bản này được mặc định trên debian 10 khi bạn cài đặt qua Sudo apt cài đặt stunnel.

đầu ra testssl.sh của máy chủ gốc


 Kiểm tra các giao thức thông qua ổ cắm

 SSLv2 không được cung cấp (OK)
 SSLv3 không được cung cấp (OK)
 TLS 1 không được cung cấp
 TLS 1.1 không được cung cấp
 TLS 1.2 được cung cấp (OK)
 SPDY/NPN (SPDY là một giao thức HTTP và do đó không được thử nghiệm ở đây)
 HTTP2/ALPN (HTTP/2 là một giao thức HTTP và do đó không được thử nghiệm ở đây)

đầu ra testssl.sh của cổng proxy qua stunnel

 Kiểm tra các giao thức thông qua ổ cắm

 SSLv2 không được cung cấp (OK)
 SSLv3 không được cung cấp (OK)
 TLS 1 cung cấp
 TLS 1.1 cung cấp
 TLS 1.2 được cung cấp (OK)
 SPDY/NPN (SPDY là một giao thức HTTP và do đó không được thử nghiệm ở đây)
 HTTP2/ALPN (HTTP/2 là một giao thức HTTP và do đó không được thử nghiệm ở đây)

Lưu ý: Sử dụng TLS 1 và 1.1 thường là một ý tưởng tồi vì cả hai giao thức đều có lỗi bảo mật, xem ví dụ https://www.venafi.com/blog/why-its-dangerous-use-outdated-tls-security-protocols Trong trường hợp này, cổng proxy TLS này sẽ chỉ khả dụng trong mạng nội bộ và sẽ không bao giờ được kết nối với internet, vì vậy bạn có thể sử dụng bản hack này cho đến khi phần mềm cũ không hỗ trợ TLS 1.2 này được thay thế.

0 + 0
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.