Testando um servidor SMTP com SSL?

2

Eu quero ter certeza de que uma conexão SSL / TLS está realmente sendo feita para o meu servidor SMTP na porta 465. (O servidor está rodando no Ubuntu 14.04)

Usando: -

openssl s_client -connect example.co.uk:465

Recebo as respostas mostradas abaixo ...

Observe que recebo a mensagem: -

"Verify return code: 20 (unable to get local issuer certificate)"

Ainda assim, posso continuar o diálogo com EHLO e AUTH LOGIN.

Isso significa que "não" estou em uma conexão segura e continuo sem criptografia?

Obrigado João

CONNECTED(00000003)
---
Certificate chain
 0 s:/CN=example.co.uk
   i:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
 1 s:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
   i:/O=Digital Signature Trust Co./CN=DST Root CA X3
---
Server certificate
-----BEGIN CERTIFICATE-----
<removed for clarity>
-----END CERTIFICATE-----
subject=/CN=example.co.uk
issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
---
No client certificate CA names sent
---
SSL handshake has read 3050 bytes and written 509 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-DES-CBC3-SHA
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-DES-CBC3-SHA
    Session-ID: 5728D30BFCCB912A3DEC177610B5CF260F35B9E0F2E6F8E51FC8B59B80E377FD
    Session-ID-ctx: 
    Master-Key: 2E2B2E3A9AD05E4F8DF346C3E0C017ED2E8203D8C8391391F8F0042065FE7688DA8D836B5C31E3A5F9C77E8353CFA10C
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1462293259
    Timeout   : 300 (sec)
    Verify return code: 20 (unable to get local issuer certificate)
---
220 example.co.uk - Xeams SMTP server; Version: 4.9 - build: 5819; 5/3/16 5:34 PM
250-april.example.co.uk. Please to meet you
250-SIZE 20971520
250-AUTH LOGIN
250-AUTH=LOGIN
250 OK
---
220 example.co.uk - Xeams SMTP server; Version: 4.9 - build: 5819; 5/3/16 5:37 PM
EHLO example.co.uk
250-april.example.co.uk. Please to meet you
250-SIZE 20971520
250-AUTH LOGIN
250-AUTH=LOGIN
250 OK
AUTH LOGIN
334 VXNlcm5hbWU6
    
por jradxl 03.05.2016 / 18:46

2 respostas

4

É criptografado, mas não autenticado.

Does that mean I am "not" on a secure connection, and continuing on unencrypted?

Não. Está criptografado bem. Mas não é autenticado. Portanto, embora saibamos que estamos tendo uma conversa ENCRYPTED, não sabemos com WHOM.

Isso mostra que a conexão é criptografada:

New, TLSv1/SSLv3, Cipher is ECDHE-RSA-DES-CBC3-SHA

Experimente o testssl.sh

Você está usando s_client sem fornecer o caminho para as CAs confiáveis. E o OpenSSL não confia mais em nenhuma CA por padrão. Eu acho que uma vez o fez, mas depois parou há mais de 5 anos. E desde então, esse erro de emissor local impossível de localizar é o que você obtém para quase todas as conexões.

Mas o que foi dito: basta ir direto para algo melhor e explicitamente projetado para testar e avaliar as conexões SSL / TLS: link .

É um bom wrapper em torno do OpenSSL.

Você também pode tentar testar o SMTP criptografado: link , link .

    
por 04.05.2016 / 07:12
2

saída da sua pergunta, sugira que você está usando SSL para essa conexão.

A saída não SSL seria assim:

$ openssl s_client -connect alexus.biz:80
CONNECTED(00000003)
139684765820832:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:769:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 7 bytes and written 247 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
---
$ 
    
por 03.05.2016 / 18:53

Tags