Рейтинг:1

Использование stunnel в качестве прокси между версиями SSL для SMTP с STARTTLS

флаг in

У меня довольно старое программное обеспечение, которое не поддерживает TLS 1.2. Однако SMTP-сервер поддерживает только TLS 1.2.

Теперь я хотел использовать stunnel для подключения к SMTP-серверу, а также для прослушивания smtp-доступа. У меня уже есть действующий сертификат для этого сервера. Перед настройкой разных версий TLS я хотел только проверить, работает ли вообще этот «stunnel proxy». Я использую Thunderbird для подключения к: 587 В [TLS_proxy_connector] и [TLS_proxy_listener] у меня есть протокол = смтп. Я пытался прокомментировать их в одном или обоих разделах. Однако я получаю немедленную ошибку или какое-то время ожидания, и Thunderbird не может отправить электронное письмо.

Вот конфиг stunnel:

setuid = stunnel4
setgid = stunnel4

передний план = да
;не писать pid
идентификатор =


[TLS_proxy_connector]
клиент = да
принять = 127.0.0.1:53681
протокол = смтп
connect = <почтовый сервер>:587
проверить = 2
CApath = /etc/ssl/сертификаты/
checkHost = <почтовый сервер>
;OCSPaia = да

[TLS_proxy_listener]
принять = 587
протокол = смтп
ключ = /etc/ssl/private/key.pem
сертификат = /etc/ssl/certs/cert_.pem
CAfile = /etc/ssl/certs/chain_.pem
подключить = 53681

Что я делаю не так? Есть ли другой инструмент, который лучше подходит здесь? Я знаю, что мог бы настроить собственный почтовый сервер, который принимает TLS 1.0 и 1.1 и использует его в качестве смарт-хоста, но это было бы слишком, потому что тогда мне нужно было бы заботиться о безопасности. В настоящее время проверяет безопасность, поскольку вам разрешено отправлять только действительные учетные данные.Спасибо за вашу помощь.

Обновление: он работает с вышеуказанной конфигурацией, когда обе записи имеют протокол = смтп. Я добавлю больше информации, когда будут проведены дальнейшие тесты версий TLS.

Рейтинг:0
флаг in

Приведенная выше конфигурация верна для проксирования разных версий TLS.Нет необходимости настраивать что-либо специально для SSL/TLS в stunnel.

stunnel-версия
stunnel 5.30 на платформе x86_64-pc-linux-gnu

Эта версия используется по умолчанию в Debian 10 при установке через sudo apt установить stunnel.

Вывод testsl.sh исходного сервера


 Тестирование протоколов через сокеты

 SSLv2 не предлагается (ОК)
 SSLv3 не предлагается (ОК)
 TLS 1 не предлагается
 TLS 1.1 не предлагается
 Предлагается TLS 1.2 (ОК)
 SPDY/NPN (SPDY — это HTTP-протокол, поэтому здесь он не тестировался)
 HTTP2/ALPN (HTTP/2 — это HTTP-протокол, поэтому здесь он не тестировался)

Вывод testsl.sh проксируемого порта через stunnel

 Тестирование протоколов через сокеты

 SSLv2 не предлагается (ОК)
 SSLv3 не предлагается (ОК)
 Предлагается TLS 1
 TLS 1.1 предлагается
 Предлагается TLS 1.2 (ОК)
 SPDY/NPN (SPDY — это HTTP-протокол, поэтому здесь он не тестировался)
 HTTP2/ALPN (HTTP/2 — это HTTP-протокол, поэтому здесь он не тестировался)

Примечание. Использование TLS 1 и 1.1 обычно является плохой идеей, поскольку оба протокола имеют недостатки в безопасности, см., например, https://www.venafi.com/blog/why-its-dangerous-use-outdated-tls-security-protocols В этом случае этот проксируемый порт TLS будет доступен только во внутренней сети и никогда не будет доступен в Интернете, поэтому можно использовать этот хак до тех пор, пока это старое программное обеспечение без поддержки TLS 1.2 не будет заменено.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.