Início / server / Perguntas / 1068270
Accepted
Hannes
Asked: 2021-07-01 07:38:15 +0800 CST

Usando stunnel como proxy entre versões SSL para SMTP com STARTTLS

  • 772

Eu tenho um software bastante antigo que não suporta TLS 1.2. No entanto, o servidor SMTP suporta apenas TLS 1.2.

Agora eu queria usar o stunnel para conectar ao servidor SMTP e também ouvir o acesso smtp. Já tenho um certificado válido para este servidor. Antes de configurar diferentes versões do TLS, eu só queria testar se esse "proxy stunnel" funciona em geral. Eu uso o Thunderbird para conectar a :587 Em [TLS_proxy_connector] e [TLS_proxy_listener] eu tenho protocol = smtp. Eu tentei comentá-los em uma ou ambas as seções. No entanto, recebo um erro imediato ou algum tipo de tempo limite e o Thunderbird não pode enviar o e-mail.

Aqui está a configuração do stunnel:

setuid = stunnel4
setgid = stunnel4

foreground = yes
;don't write pid
pid =


[TLS_proxy_connector]
client = yes
accept = 127.0.0.1:53681
protocol = smtp
connect = <mailserver>:587
verify = 2
CApath = /etc/ssl/certs/
checkHost = <mailserver>
;OCSPaia = yes

[TLS_proxy_listener]
accept = 587
protocol = smtp
key = /etc/ssl/private/key.pem
cert = /etc/ssl/certs/cert_.pem
CAfile = /etc/ssl/certs/chain_.pem
connect = 53681

O que estou fazendo errado? Existe outra ferramenta que se encaixa melhor aqui? Eu sei que poderia configurar um servidor de e-mail próprio que aceita TLS 1.0 e 1.1 e usa como smarthost, mas isso seria demais, porque aí eu tenho que me preocupar com segurança. Atualmente verifica a segurança porque você só tem permissão para enviar com credenciais válidas. Obrigado pela ajuda.

Atualização: Funciona com a configuração acima quando ambas as entradas possuem protocol = smtp. Adicionarei mais informações quando mais testes forem feitos em relação às versões do TLS.

proxy smtp ssl ssmtp starttls

1 respostas

  1. Best Answer

    A configuração acima está correta para fazer proxy de diferentes versões de TLS. Não há necessidade de configurar nada especial para SSL/TLS no stunnel.

    stunnel -version
stunnel 5.30 on x86_64-pc-linux-gnu platform

    Esta versão é padrão no debian 10 quando você instala via sudo apt install stunnel.

    saída testssl.sh do servidor original

    
 Testing protocols via sockets

 SSLv2      not offered (OK)
 SSLv3      not offered (OK)
 TLS 1      not offered
 TLS 1.1    not offered
 TLS 1.2    offered (OK)
 SPDY/NPN   (SPDY is an HTTP protocol and thus not tested here)
 HTTP2/ALPN (HTTP/2 is a HTTP protocol and thus not tested here)

    saída testssl.sh da porta proxy via stunnel

     Testing protocols via sockets

 SSLv2      not offered (OK)
 SSLv3      not offered (OK)
 TLS 1      offered
 TLS 1.1    offered
 TLS 1.2    offered (OK)
 SPDY/NPN   (SPDY is an HTTP protocol and thus not tested here)
 HTTP2/ALPN (HTTP/2 is a HTTP protocol and thus not tested here)

    Aviso: Usar TLS 1 e 1.1 geralmente é uma má ideia, pois ambos os protocolos têm falhas de segurança, veja por exemplo https://www.venafi.com/blog/why-its-dangerous-use-outdated-tls-security-protocols Nesse caso, essa porta proxy TLS estará disponível apenas na rede interna e nunca será exposta à Internet, portanto, não há problema em usar esse hack até que esse software antigo sem suporte a TLS 1.2 seja substituído.

    • 0

relate perguntas