Re: Welche TLS-Ciphers unterstützt ein Mailserver?

Winfried Neessen wn at neessen.net
So Okt 11 12:10:07 CEST 2015


Hi Matthias,

Am 2015-10-11 11:15, schrieb Matthias Doering:

> Ein openssl s_client und Wrapper-skripts und Tools die gefunden
> haben nutzen wohl auch nur die Funktion.
> Ich habe bisher nichts gefunden das wirklich hilft. Alle Tools die man
> so findet zielen auf SSL/TLS hinaus die kein STARTTLS machen.
> 

OpenSSLs s_client hat 'ne STARTTLS Funktion. Du kannst also den 
manuellen
Weg gehen:

1.) Cipher List ausgeben
     openssl ciphers -v '<deine cipherlist>'
2.) Einzelne Cipher mit s_client testen
     openssl s_client -connect <dein server>:25 -starttls smtp -cipher 
<dein cipher>

Kannste auch automatisieren (ungetestet):
openssl ciphers -v '<deine cipherlist>' | awk '{print $1}' | while read 
cipher; do echo -n "Teste $cipher: "; echo -n | openssl s_client 
-connect <dein server>:25 -starttls smtp -cipher $cipher 2>/dev/null | 
grep '^SSL' >/dev/null 2>&1 && echo "Unterstuetzt" || echo "Nicht 
unterstuetzt"; done

Alternativ machst Du es Dir einfach und nutzt sowas wie SSLyze[1]. Das 
kann auch
von Haus aus STARTTLS.


Winni

[1] = https://github.com/nabla-c0d3/sslyze



Mehr Informationen über die Mailingliste Postfixbuch-users