我正准备部署一个新的 SMTP 服务器,但不确定如何确保它使用强加密。服务器软件是仅运行 SMTP 的 Postfix。我已将以下内容添加到文件中main.cf(从这里):
smtpd_tls_mandatory_ciphers = high
smtpd_tls_mandatory_exclude_ciphers = aNULL, MD5
smtpd_tls_security_level = encrypt
smtpd_tls_mandatory_protocols = TLSv1
# Also available with Postfix ≥ 2.5:
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
重新启动守护进程后,一切似乎都按预期运行,但我不确定如何测试是否只启用了强密码。以下允许我连接,但我不确定要使用哪种标志组合(-no_ssl3、-no_tls1等)来确保只启用了强加密。
openssl s_client -starttls smtp -crlf -connect mail.mysite.com:25
答案1
您可以使用该选项测试单个密码-cipher <cipherspec>(有关此选项的更多信息以及如何编写密码规范,请参阅 OpenSSL 手册)。
在您的案例中,您可以指定一个密码规范,其中包含您不想使用的所有低级密码,您的服务器应该会拒绝该尝试。
您还应该测试您不想使用的密码想(单独)使用以确保它们能够正常工作。