Probar la configuración de STARTTLS del servidor SMTP

26

¿Existe una manera fácil de probar un servidor SMTP para verificar problemas de configuración asociados con el cifrado STARTTLS e informar si se ha configurado correctamente para que el correo electrónico se cifre mediante STARTTLS?

Piense en el Qualys SSL server tester como una analogía: es una gran herramienta para revisar rápidamente un servidor web para ver su uso SSL se ha configurado correctamente e identifica oportunidades para mejorar la configuración para proporcionar un cifrado más sólido. Sabe cómo reconocer muchos errores de configuración comunes y le da una calificación. ¿Hay algo así para STARTTLS en los servidores SMTP?

En particular, dado un servidor SMTP, me gustaría decir:

  1. si admite STARTTLS,
  2. si su configuración STARTTLS se ha configurado correctamente para que el correo electrónico con otros proveedores importantes de correo electrónico termine encriptado,
  3. si admite el secreto hacia adelante perfecto y si está configurado de modo que se usen los conjuntos de cifrado de secreto hacia adelante en la práctica (donde sea posible),
  4. si proporciona un certificado adecuado que pasará verificaciones de validación estrictas,
  5. si tiene otros errores de configuración.

¿Cómo puedo hacer esto?

Facebook y < a href="https://www.google.com/transparencyreport/saferemail/?hl=es"> Google recientemente destacó el estado de uso de STARTTLS en Internet y solicitó a los operadores de servidores habilitar STARTTLS y configurar apropiadamente para que el correo electrónico se cifre mientras está en tránsito. ¿Existen herramientas fáciles de usar para apoyar este objetivo?

    
pregunta D.W. 27.05.2014 - 22:36
fuente

3 respuestas

28

Aquí hay varios sitios web que proporcionan pruebas en las que puede estar interesado.

  • SSL-Tools es una herramienta basada en web que prueba un servidor SMTP para cada uno de los elementos que mencionó; prueba el soporte STARTTLS, un certificado que pasa verificaciones estrictas de validación, soporte para el perfecto secreto hacia adelante y otras cosas:

    enlace

  • StartTLS es una herramienta basada en la web que prueba un servidor SMTP y proporciona una calificación simple, junto con muchos detalles sobre la configuración del servidor SMTP (aunque no se comprueba si se usa el secreto de envío perfecto) ):

    enlace (consulte la página de información sobre El servicio, o estadísticas sobre los sitios verificados con su servicio)

  • CheckTLS es una herramienta basada en web que proporciona una forma de probar un servidor SMTP para el servidor STARTTLS, así como si el certificado está "bien" (es decir, pasa la validación estricta) e información parcial sobre qué cifrado se negoció cuando se conectaron a ese servidor SMTP (pero no hay información sobre la compatibilidad perfecta con el secreto hacia adelante):

    enlace

  • Las siguientes herramientas basadas en la web comprueban si un servidor SMTP es compatible con STARTTLS, pero no realizan ninguna de las otras comprobaciones mencionadas en la pregunta:

Si solo tienes que marcar uno o dos, prueba SSL-Tools y StartTLS.

    
respondido por el MrBrian 01.06.2014 - 03:49
fuente
9

Puede verificar el soporte para starttls con openssl s_client -starttls smtp ... .

  • Con la configuración correcta de -CAfile / -CApath también puede verificar la cadena de certificados.
  • Lo que no comprueba es el nombre de host, por ejemplo, tienes que comprobarlo manualmente.
  • También imprimirá el cifrado utilizado, por lo que puede verificar si se trata de un cifrado ECDHE o DHE para ver si se usa el secreto de reenvío.
  • Es posible que desee especificar explícitamente una lista de cifrado con la opción -cipher para averiguar si el servidor prefiere cifrados FS, incluso si el cliente los colocó en la lista de preferencias y en la de.

Alternativamente, puedes usar Perl con un IO :: Socket :: SSL suficientemente reciente como este:

use strict;
use warnings;
use IO::Socket::SSL 1.968;
use Net::SSLGlue::SMTP;

my $host = 'mx.example.com';
my $smtp = Net::SMTP->new($host, Debug => 1) or die "connect failed";
$smtp->starttls(
    # where your CA are, has usable defaults
    # SSL_ca_file => ...,
    # SSL_ca_path => ....,
    # to restrict ciphers and set preference
    # SSL_cipher_list => '...',
) or die "starttls failed: $@|$SSL_ERROR";
print "cipher=".$smtp->get_cipher."\n";
print "cipher=".$smtp->get_sslversion."\n";

Esto hará una correcta verificación de certificados, verificará el nombre de host, le dará el cifrado para averiguar si está en secreto y también le dará la versión SSL. Y con las últimas versiones de IO :: Socket :: SSL, también puede realizar la comprobación de OCSP para ver si se revoca el certificado (consulte la documentación en IO :: Socket :: SSL).

    
respondido por el Steffen Ullrich 28.05.2014 - 00:10
fuente
2

Aquí hay varias herramientas que dan a Qualys SSL Labs resultados y soporte STARTTLS

  • testssl.sh ( enlace )

    Es una herramienta de línea de comandos que verifica el servicio de un servidor en cualquier puerto para el soporte de cifrados TLS / SSL, protocolos, así como fallas criptográficas recientes y más. Su gran ventaja es que también puede escanear sus servidores de intranet.

      

    por ejemplo. ./testssl.sh -t smtp aspmx.l.google.com:25

  • Prueba SSL HTBridge

    Esta es una herramienta basada en web que permite el correo electrónico y otros puertos.

      

    enlace

  • Cryptosense Discovery

    Esta herramienta permite escanear en cualquier puerto. Puertos escaneados predeterminados (21, 22, 25, 110, 143, 389, 443, 465, 587, 636, 993, 995, 5222, 5223, 5269)

      

    enlace

respondido por el bhushan5640 23.08.2017 - 09:03
fuente

Lea otras preguntas en las etiquetas