用OpenSSL测试SMTP安全性？

Question

我正在准备部署一个新的SMTP服务器，我不知道如何确保它使用强加密。服务器软件是后缀，只运行SMTP。我在main.cf文件中添加了以下内容(从这里中窃取)：

smtpd_tls_mandatory_ciphers = high
smtpd_tls_mandatory_exclude_ciphers = aNULL, MD5
smtpd_tls_security_level = encrypt
smtpd_tls_mandatory_protocols = TLSv1
# Also available with Postfix ≥ 2.5:
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3

重新启动守护进程，一切似乎都如愿以偿，但我不知道如何测试是否只启用强密码器。下面允许我连接，但我不确定要使用哪个标志组合(-no_ssl3、-no_tls1等)来确保只启用强加密。

openssl s_client -starttls smtp -crlf -connect mail.mysite.com:25

Answer 1

您可以使用-cipher <cipherspec>选项测试单个密码(有关此选项和如何编写密码规范的更多信息，请参见OpenSSL手册)。

在您的情况下，您可以指定所有不想使用的低级密码的密码规范，并且您的服务器应该拒绝此尝试。

您还应该测试您希望(单独)使用的密码，以确保它们正常工作。