Tool- bzw. Linksammlung für DANE, DNSsec, TLS, Mailserver ect.

Daniel daniel at mail24.vip
Di Sep 26 22:10:50 CEST 2017


Huhu liebe Liste :-)

Ich schreib einfach mal ein paar Links zusammen, evt. ist ja eine oder andere auch für euch dabei.

Bei https://www.hardenize.com/ kann man schauen gut zusammengefasst ob DNSSEC, CAA, TLS, DANE, SPF, DMARC oder auf Webseite für XSS
anfällig ist ect.

Sollte man noch nicht festgelegt hat, welche CA nen Cert ausstellen darf kann man sich CAA Record hier https://sslmate.com/caa/
erstellen lassen.

DANE Check
https://dane.sys4.de/

Für schnellen SPF Übersicht wer Senden darf und wer nicht inkl. ganzer include´s gelistet
http://spf.myisp.ch/

Für Webserver gibt es ja Vorgabe (HSTS und HPKP) an den Browser dass nur bestimmte Hash vom Cert verwendet werden darf (sites
pinned), und wenn es nicht stimmt eine Warnung gibt. Dafür kann man sich auf https://report-uri.io/home/pkp_hash die notwendigen
HPKP Hash anzeigen lassen, so dass man sich diese direkt in Wordpress ect. einbinden kann oder direkt im nginx/apache. Sollte man
dieses in Worpress vorgeben wollen gibt es dort Plugins wie z.B. https://wordpress.org/plugins/security-headers/ oder auch andere.

Neben den HASH gibt es auch noch weitere Sicherheitsoptionen für Vorgaben in wie weit Frames aktiv sein können oder XSS. Dieses
lässt sich im genannten WP Plugin auch angeben, alternativ würde aber auch einfach ne .htaccess Datei gehen mit:
Header set X-XSS-Protection "1; mode=block"
Header always append X-Frame-Options SAMEORIGIN
Header set X-Content-Type-Options nosniff
Header set X-Content-Security-Policy "allow 'self';"

Sollten sich aber auch ggf. in nginx/apache setzen lassen bzw. im PHP Header.

Zum schnellen prüfen ob Mailserver & Webserver erreichbar ist von außen finde ich https://www.liveconfig.com/de/sslcheck ganz nett.

Ebenso würde neben liveconfig und genannten hardenize auch https://de.ssl-tools.net/mailservers/ gehen ob Mailserver erreichbar,
aber auch ob PFS unterstützt wird, DANE oder von Heartbleed Schwachstelle betroffen ist. Dort lässt sich auch ausgehende Email
prüfen ob die ankommt, von welcher IP und ob verschlüsselt wird mit TLS.

Webseite lässt sich auf https://www.ssllabs.com/ssltest/index.html prüfen zwecks Verschlüsselung.

Zum Cheken von DKIM kann man eine leere Email senden an check-auth at verifier.port25.com und bekommt eine Antwort wie z.B.
SPF check:          pass
DKIM check:         pass
SpamAssassin check: ham

Im Detail wird dort auch DNS Ausgabe genannt vom DKIM/SPF sowie der originale Mailheader, kann man also auch "missbrauchen" um
Mailheader zu checken ob Mailserver auch nur das ausgibt was er soll und nicht z.B. noch interne oder externe IP vom Client der
einliefert oder ähnliches.

Gruß Daniel

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 5586 bytes
Beschreibung: nicht verfügbar
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20170926/8023783e/attachment.p7s>


Mehr Informationen über die Mailingliste Postfixbuch-users