美洲

  • 雷竞技比分
大众话题

题目类

关于

策略性

网络

多点

首页 网络化 万一没有TLS握手怎么办
网络管理员Paul Szymanski

万一没有TLS握手怎么办

新闻发布
2007年1月22日 13分钟
加密 网络化 安全性

六部分文章第六部分:仅仅因为你检查微软交换服务器上几箱并不意味着域名和运行TLS的另一SMTP服务器间有安全TLS加密指导IT专业行为金法则测试程序配置前必须测试没有良好的测试,你会为自身甚至是全公司制造灾难

TLS加密可能有几个问题 所以问题是如何调试这些问题

TLS协议握手协议表示启动TLS服务器在发送加密数据前交换问候和商谈通信握手失败时,加密电子邮件要么免加密发送,要么嵌入服务器队列,发件人接收下列消息:或两种情况中,你需要了解TLS握手过程

讓我們看看TLS会议是如何建构SMTP服务器之间的TLS协议寄存于OSI模型第七层,与SMTP协议和Telnet协议同层并用三大协议说明握手方式Telnet协议存放在OSI模型应用层上,是管理员可使用的最佳故障解析工具之一。成功验证调用网会话时,请求必须遍历OSI模式所有7层smTP端口25验证成功后,可消除硬件、网络路由、TCP和UDP问题遍历火圈 顶层网络连接SMTP服务器 并观察正在发生的事情

先在工作站启动命令解析SMTP标语应该像这个

SMTP服务准备就绪等待下一命令下一请求发布EHLO服务器响应

EHLO 10.45.16.32
EHLO 10.45.16.32250-Hello

发布后EHLO表扬服务器响应ESMTP关键字列表,这些关键字也称SMTP服务扩展如下:

这些命令可用并可在SMTP服务器上执行,你只需调用它到服务器记住并非所有SMTP服务器都广告SMTP服务扩展中位数仅列服务器域名DNS、SIZE和STATLS处理代理服务器或某种形式的安全邮件网关

读取RFC文档后,更多了解最常用SMTP服务扩展

8BITMIME 8位数据传输RFC1652

ATRN认证转转RFC2645

AUTH认证SMTPRFC255

回击RFC 3030

DSN交付状态通知RFC1891

ETRN扩展转转RFC 1985

Help提供帮助信息RFC 821

PIPELING命令管线 RFC 2920

SIZE消息大小声明RFC 1870

startTLS传输层安全RFC3207

startTLS服务启动TLS服务器启动TLS协议时,您应该输入 startTLS服务器交换 EHLO问候SMTP服务器准备smTP服务器IP地址并登录入微软服务器上smTP日志SMTP服务器准备启动TLS商谈请记住,这并不意味着这些谈判是成功的服务器的另一端可能因各种原因拒绝握手

举个例子,您在微软Exchange2003服务器上拥有两个或两个以上虚拟SMTP服务器时,会遇到TLS握手问题在此假想中,tLS握手会由默认虚拟SMTP服务器和SMTP服务器商谈,而SMTP服务器正试图发送TLS加密电子邮件。smTP服务器为TLS加密创建专用虚拟SmTP服务器时,它会发送STATLS请求,但答案可返回默认SmTP服务器,该服务器对发送请求一无所知,TLS握手会下降,消息会非加密发送

举个例子说明这种情况域测试.com有两个虚拟SMTP服务器一号称默认测试并有IP地址192.168.2.1二号称安全测试并有IP地址192.168.2.2尝试发送加密电子邮件到远程SMTP服务器-ts-server.comTLS消息将从安全测试虚拟SMTP服务器发送StartTLS远程服务器.com启动服务,转而将商谈请求发回基于MX记录预设虚拟服务器mX记录测试.com指向192.168.2.1,TLS商谈失败,因为确认寄错服务器发送到服务器IP地址,服务器未启动TLS商谈

最大误差源是邮箱服务器多SMTP虚拟服务器上SMTP虚拟服务器有一些内部机制通信选择路线事实并非如此机制SMTP简单通知Windows网络栈向SMTP提供套接字不提供源IP使用地址, 并因此通知Windows分配源IP地址将基于Windows路由表, 不计送消息的SMTP虚拟服务器IP

远程服务器.com将确认握手发送虚拟服务器,该服务器一开始就从未发送请求握手下降后TLS加密也下降,要么非加密发送或接收电子邮件网关完全不接受万一你手头有大问题

故障解析多时你可能会遇到电子邮件管理员的阻抗 域域内你试图发送TLS加密电子邮件因为他们没有时间、知识或组织内部政治,

记住,你应该知道如何使用微软Windows2003服务器上可用的工具日志文件解决TLS相关问题并使用调试协议调试TLSSMTP日志文件存储于微软交换服务器、网络监视器和消息跟踪中心

SMTP日志文件很容易阅读给熟悉如何使用IMET服务器发送邮件者使用SMTP服务器日志显示 :

  • 远程SMTP服务器或网关IP地址
  • FQDN电子邮件服务器
  • 时间日期
  • SMTP使用的所有确认服务
  • e-mail参与者地址
  • 加密协议使用
  • 队列状态

SMTP日志实例如下:

208.61.68.14-外部联通响应[18/Oct/2006:09:43:46-0600]
208.641.68.14-外部联通messand[18/Oct/2006:09:43:46-0600]
208.641.68.14-外部联通响应[18/Oct/2006:09:43:46-0600]
208.61.68.14-外部联通
2086.168.14-外部联通响应[18/Oct/2006:09:43:46-0600]
208.61.68.14-外围联通交换1.Chi测试.comSMTP04
208.641.68.14-外部联通响应[18/Oct/2006:09:43:46-0600]
208.61.68.14-外部联通
208.6.168.14-外联响应[18/Oct/2006:09:43:46-0600]
208.61.68.14-外部联通mectand[18/Oct/2006:09:43:46-0600]
208.61.68.14-外部联通响应[18/Oct/2006:09:43:46-0600]
208.61.68.14-外部联通messand[18/Oct/2006:09:43:46-0600]DATA-SMTP04
208.6.168.14-外部联通响应[18/Oct/2006:09:43:46-0600]
208.641.68.14-外部联通响应[18/Oct/2006:09:43:47-0600]-SMTP036
208.61.68.14-外部联通messand[18/Oct/2006:09:43:47-0600]
208.641.68.14-外部联通响应[18/Oct/2006:09:43:47-0600]

SMTP服务器/Gateway208.168.14收到命令请求启动TLS手摇:208.641.68.14-外部ConnectionCommand[18/Oct/2006:09:43:46-0600]SESTTLS-SMTP08但它不显示这项谈判是否成功smTP日志转发后,你可能得出电子邮件加密实实战失败,消息发送清晰文本日志基本表示电子邮件成功排队交付并尝试加密

现在让我们看一下你如何使用网络监控验证你发送的邮件确实加密网络监视器是一个打包嗅探器,应谨慎使用它,因为它能对服务器加重负载发试邮前必须开机 发信后立即关机开始抓包前,必须指定您感兴趣的接口将使用NIC卡连接虚拟SMTP服务器并设置适当的缓冲工具栏抓取下都能找到这两个设置缓冲大小定值300MB应足以测试

停止抓取后,你应找到远程SMTP服务器/门前地址并应用过滤器,只显示寄送服务器的包您应该看到下屏幕 :

应用过滤器后,你将能够轻松跟踪SMTP包并再次很好理解TellnetSMTP 会话如何用网络监控帮助调试TLS加密

下图显示本地Exchange-1服务器成功交换与远程服务器Test的问候远程服务器发送220确认它准备接收SMTP流量

Exchange-1服务器向测试服务器发送 EHLO命令

测试服务器向EHLO成功回复,发送信息SIZE支持并启动STATLS服务,因为请求来自已启动TLS加密服务器

Exchange-1服务器发布下一命令发自MAIL:这是第一个表示发送的电子邮件不加密和TLS握手失败,因为发送者电子邮件地址不加密

远程服务器通过发送250确认接受发送者电子邮件

接收命令RCPT:电子邮件接收地址由Exchange-1服务器发布

接收者电子邮件地址为测试服务器所接受

Exchange-1服务器发布DATA命令,测试服务器接受此命令,在此可见信头信息与电子邮件ID号,可插入微软Exchange2003服务器消息跟踪工具

滚动后,便能看到邮件内容,在此例中为:测试、测试、测试、测试

测试服务器确认它接收消息

从网络监控所提供的信息中可以看到 TLS交换机-1测试失败和消息发送清晰文本协议由两个服务器正确启动,但Exchange-1服务器未能响应测试服务器发送的确认

问题必由Exchange-1服务器解决Exchange-1服务器TLS加密可能配置错误Exchange-1服务器可有2个虚拟SMTP服务器,1个配置为默认SMTP服务器,2个可配置为专用安全TLS虚拟SMTP服务器,所有TLS启动连接器均使用它跟踪TLS加密电子邮件

在此假设中,测试服务器签发的TLS确认达默认SMTP服务器,而不是专用TLS虚拟服务器启动如前所述,多SMTP虚拟服务器没有内部机制通信选择路线SMTP简单通知Windows网络栈向SMTP提供套接字不提供源IP使用地址, 并因此通知Windows分配源IP地址将基于Windows路由表, 不计送消息的SMTP虚拟服务器IP

网络监控程序显示TLS加密电子邮件Exchange-1服务器启动STATLS测试服务器命令

测试服务器确认它准备接收TLS加密电子邮件

加密MAIL发文 命令全加密 无法见命令本身或发件人邮箱地址RCPT:命令还加密,网络监视器以相似方式显示

测试服务器在这里商谈加密并发送TLSSSL证书

网络监控程序显示加密消息

邮件交换完全加密安全拦截交换器者很难阅读加密电子邮件内容我必须强调,这将是困难的,但不是不可能实现的

电子通讯加密将变得越来越重要网络管理员应预测并准备加密带来的新挑战越快湿透TLS加密 越少吓阻它 处理加密相关问题

安全通信对任何组织都至关重要,健康偏执度对任何网络管理员都至关重要非常重要的是测试安全相关实现

微软Exchange 2003服务器整理故障解析交换服务器传输层安全协议

返回介绍:

多给我看

新闻发布

BackBox增强网络自动化平台

由DeniseDubie编写
2024年4月10日 4分
雷竞技电脑网站数据中心自动化 网络管理软件 网络安全
图像显示
新闻发布

Google云下2024年:AI网络提升

by Michael库尼
2024年4月10日 7分钟
Google云下一步 云计算 网络化
图像显示
新闻发布

主体框架转60无退休计划

Andy Patrizio制作
2024年4月10日 3分钟
主框架 雷竞技电脑网站
图像显示
播客

第1集:理解思科聚合SDN传输

2021年9月24日 20分钟
思科系统 互联网 网络化
图像显示
播客

第2集:插件光学和互联网面向未来

2021年9月23日 17分钟
光盘驱动器 思科系统 互联网
图像显示
播客

第3集:面向未来5G数字变换和未来网络

2021年9月22日 14分钟
5G 思科系统 互联网
图像显示
视频播放

未使用IPv4地址秘密金矿

5112024 35分钟
IPv6 网络管理软件 网络化
图像显示
视频播放

准备6G无线世界:无线产业令人振奋的改变

07年11月2023 30分钟
5G 短程无线
图像显示
视频播放

如何计算因子 inux

01022023 二分
inux系统
图像显示