Вопросы Теги

Использование stunnel в качестве прокси между версиями SSL для SMTP с STARTTLS

У меня довольно старое программное обеспечение, которое не поддерживает TLS 1.2. Однако SMTP-сервер поддерживает только TLS 1.2.

Теперь я хотел использовать stunnel для подключения к SMTP-серверу, а также для прослушивания доступа к SMTP. У меня уже есть действующий сертификат для этого сервера. Перед настройкой разных версий TLS я только хотел проверить, работает ли этот «прокси-сервер stunnel» в целом. Я использую Thunderbird для подключения к: 587 В [TLS_proxy_connector] и [TLS_proxy_listener] у меня есть protocol = smtp . Я пытался прокомментировать их в одном или обоих разделах.Однако я сразу получаю сообщение об ошибке или какое-то время ожидания, и Thunderbird не может отправить электронное письмо.

Вот конфигурация stunnel: 

setuid = stunnel4
setgid = stunnel4

foreground = yes
;don't write pid
pid =


[TLS_proxy_connector]
client = yes
accept = 127.0.0.1:53681
protocol = smtp
connect = <mailserver>:587
verify = 2
CApath = /etc/ssl/certs/
checkHost = <mailserver>
;OCSPaia = yes

[TLS_proxy_listener]
accept = 587
protocol = smtp
key = /etc/ssl/private/key.pem
cert = /etc/ssl/certs/cert_.pem
CAfile = /etc/ssl/certs/chain_.pem
connect = 53681

Что я делаю не так? Есть ли другой инструмент, который подошел бы здесь лучше? Я знаю, что могу настроить собственный почтовый сервер, который принимает TLS 1.0 и 1.1 и используется в качестве smarthost, но это было бы слишком много, потому что тогда мне нужно было заботиться о безопасности. В настоящее время проверяет безопасность, потому что вам разрешено отправлять только действительные учетные данные. Спасибо за вашу помощь.

Обновление: работает с приведенной выше конфигурацией, когда обе записи имеют protocol = smtp . Я добавлю дополнительную информацию, когда будут проведены дальнейшие тесты версий TLS.

1
задан 1 July 2021 в 13:19
1 ответ

Приведенная выше конфигурация подходит для проксирования разных версий TLS. Нет необходимости настраивать что-либо специальное для SSL / TLS в stunnel. 

stunnel -version
stunnel 5.30 on x86_64-pc-linux-gnu platform

Эта версия используется в debian 10 по умолчанию при установке через sudo apt install stunnel .

testssl.sh вывод исходного сервера 


 Testing protocols via sockets

 SSLv2      not offered (OK)
 SSLv3      not offered (OK)
 TLS 1      not offered
 TLS 1.1    not offered
 TLS 1.2    offered (OK)
 SPDY/NPN   (SPDY is an HTTP protocol and thus not tested here)
 HTTP2/ALPN (HTTP/2 is a HTTP protocol and thus not tested here)

testssl.sh вывод проксированного порта через stunnel 

 Testing protocols via sockets

 SSLv2      not offered (OK)
 SSLv3      not offered (OK)
 TLS 1      offered
 TLS 1.1    offered
 TLS 1.2    offered (OK)
 SPDY/NPN   (SPDY is an HTTP protocol and thus not tested here)
 HTTP2/ALPN (HTTP/2 is a HTTP protocol and thus not tested here)

Примечание: использование TLS 1 и 1.1 обычно является плохой идеей, поскольку оба протокола имеют недостатки безопасности, см., Например, https://www.venafi.com/blog/why-its-dangerous-use-outdated-tls-security-protocols В этом случае этот прокси-порт TLS будет доступен только во внутренней сети и никогда не будет доступен в Интернете, поэтому можно использовать этот хакерский прием, пока это старое программное обеспечение без поддержки TLS 1.2 не будет заменено.

0
ответ дан 28 July 2021 в 13:22

Теги

Похожие вопросы