环境是Amazon EC2,使用sendmail 8.14.4和Cyrus sasl 2.1.23运行Amazon Linux(Centos-like)。 机器有一个弹性IP地址作为域名的目标,并为其设置反向DNS。 MXlogging点在外部服务器,所以本机不处理任何传入的互联网电子邮件,只有传出。 对于所有传出的离线节点邮件,我想使用经过TLSvalidation的连接到smtp.googlemail.com。 有很多关于这种设置的教程和文章(在这个网站和它的姊妹网站上有几个),因为它似乎是一个相当普遍的处理云中电子邮件的方式。 我一直在阅读每一个我能find的,尝试不同的东西,并学习/ var / log / maillog。 但是,对于我的生活,我很难过。 这并不是说我不能通过sendmail发送邮件,也不能通过经过validation的TLS连接发送到smtp.googlelemail.com:只是我不能让sendmail通过这样的连接发送它! 我承认我是一个sendmail新手,我知道它有一个难以configuration的声誉,所以我真的花了很多时间。 但是现在我已经没有线索和想法了。 我有一个使用Zend框架(1.11)的机器上的PHP应用程序,它使用Zend_Mail_Transport_Smtp。 在传输的构造函数中,我指定了smtp.googlemail.com,端口587,tls,[email protected]和密码。 来自该应用程序的电子邮件被发送舔分裂和到达与干净的标题(我还添加了TXTlogging,包括谷歌的SPF TXTlogging到域的区域文件)。 我有另一个应用程序直接使用PHP邮件,而PHP邮件依赖于sendmail。 该应用程序还能够发送邮件,在Amazon Linux AMI提供的默认sendmailconfiguration下(不通过googleemail进行中继)到达。 但是到达消息中的标题并不那么干净,至less有一点是,spf check有一个“中立”的投诉。 所以我没有被电子邮件卡住,只是我希望能够使用sendmail来更可靠地排队外发邮件,以防万一来自网站的多用户群的电子邮件(所有这些新用户Zend Framework应用程序注册帐户:-),我不希望用户查看标题和思考问题可能不太正确。 所以这里的目标只是修改现有的工作sendmailconfiguration,通过端口587连接到googlemail来转发外发邮件,就像Zend Framework应用程序没有问题一样。 然后我可以修改Zend Framework应用程序以使用sendmail来获得排队的过载保护。 我觉得有多难? 我发现的是,随着sendmailconfiguration中的变化,传出的消息总是在/ var / log / maillog中被阻塞: "timeout waiting for input from googlemail-smtp.l.google.com. during client greeting" 邮件然后进入邮件并停留在那里,每次失败都会被重新尝试。 这里是sendmail.cf之间的差异,通过直接发送工作和修改通过谷歌中继: # […]
我有一个服务器2008 R2服务器上托pipe的mvc3网站,我已经安装了安全证书,似乎都工作正常。 但是,如果我使用Google Chrome连接到网站,并点击安全图标,我会收到以下消息: 连接使用SSL 3.0。 连接使用RC4_128encryption,SHA1用于消息authentication,RSA作为密钥交换机制。 连接没有被压缩。 连接必须使用SSL 3.0重试。 这通常意味着服务器正在使用非常旧的软件,并可能有其他安全问题。 最后一个说法是困扰我的那个。 我知道这只是Chrome的一个问题,希望不是一个实际的安全问题,但我去了其他几个https网站,他们都说The connection uses TLS 1.0. 并没有其他的错误/警告信息。 所以我想我的网站使用TLS。 我的理解是,IIS 7协议服务器和客户端都具有相同的协议,并按照以下优先顺序进行协商: 1:PCT 1.0 2:SSL 3.0 3:SSL 2.0 我将如何去添加TLS 1.0,并成为第一个select? 我已经看到了微软关于禁用协议的简要内容,但是我想支持这些协议,以防客户端无法访问。 也许“SSL 3.0”不是这个原因,但是这个连接必须重试,如果是的话,为什么它被重试,我该如何解决呢? mvc3站点在所有(大多数)控制器类上使用[RequireHttps] ,这可能与它有什么关系吗?
感谢您阅读本文,感谢任何和所有的build议。 我有一些严重的问题使用Riseup.net的VPN重新连接到我的OpenVPN客户端。 我花了几天的时间把我的头靠在墙上试图在我的iOS设备上进行设置….但是这是另外一个问题。 然而,我却能够在我的Mac OS X上,在我的Windows Vista 32位BootCamp VM上专门设置,而且麻烦相对较小。 对于最初的连接,我只需稍微修改推荐的configuration文件(configuration文件包括在本文末尾) : – 我不得不直接input代码到我的configuration文件 – 改变“dev tap”到“dev tun” 所以我被连接了。 (注意 – 在我最初连接之后,我做了testing以确保VPN实际上工作正常,并validation了.pem文件(作为编码插入到我的configuration文件中)用于真实性)。 我离开了VPN运行。 我的电脑进入睡眠状态 今天,我去使用互联网期待(可能不正确 – 我现在不确定是否我错了离开它运行)仍然连接到VPN。 但是,我立即看到我不是。 我去重新连接。 而且是(上午)无法。 尝试连接(并获取连接失败对话框)后,我的日志显示所有工作,因为它应该(据我所知),直到结束,我得到以下几行: Mon Sep 23 21:07:49 2013 us=276809 Initialization Sequence Completed Mon Sep 23 21:07:49 2013 us=276809 MANAGEMENT: >STATE:1379995669,CONNECTED,SUCCESS, OMITTED Mon Sep 23 21:22:50 2013 us=390350 Authenticate/Decrypt […]
我有下面的问题,只是与Windows。 我试过用Linux,它工作正常。 当我运行: .\logstash-forwarder-master.exe -config .\logstash-forwarder2.conf 用logstash-forwarder2.conf: { "network": { "servers": [ "10.0.1.136:5034" ], "ssl key": "C:\\Program Files (x86)\\logstash-forwarder-master\\certs\\logstash-forwarder.key", "ssl certificate": "C:\\Program Files (x86)\\logstash-forwarder-master\\certs\\logstash-forwarder.crt", "ssl ca": "C:\\Program Files (x86)\\logstash-forwarder-master\\certs\\logstash-forwarder.crt", "timeout": 15 }, "files": [ { "paths": [ "C: \\logs\\example.log" ] } ] } 我收到以下错误: Failed to tls handshake with 10.0.1.136 tls: Server selected unsupported protocol […]
我的第一个想法是使用类似openssl s_client东西,但是这只支持TCP而不是UDP,看起来需要一些特殊的魔力才能使TLS通过UDP工作,我如何与之交互并获得所提供的证书链的转储? (我特别需要证书,而不是关于他们的信息)
我使用自己的CA为我的服务创buildSSL证书。 这些证书由我的CA直接签署。 在我看来,这可能是一个弱项策略,就好像证书被破坏一样,我需要从一个CA创build新的证书。 如果CA受到攻击,每个服务的游戏结束都需要更新。 所以我的理解是,“保护”自己和“稀释”关注的典型方式是创build一个证书链,并签署服务证书的链末,以便如果签名人受到攻击,下一个级别可以用来创build一个新的签名证书。 我能得到那个吗? 我想要做的是创build我自己的证书链。 整个TLS / SSL的东西对我来说还是有点朦胧,但是正如我所看到的,首先创build一个主密钥,然后用openssl genrsa然后用openssl req -x509 -new创build一个自签名证书来创buildCA. 然后我可以使用openssl req -new -key' and sign the request with my CA with -key创build新的密钥和证书签名请求, openssl req -new -key' and sign the request with my CA with openssl x509 -req -CA ca.pem openssl req -new -key' and sign the request with my CA […]
( 在dba中这个相同的问题是画一个空白) 背景 我们需要PCI-DSS合规性,因此必须禁用TLS1.0。 在我的testing环境中,我们将SQL Server 2014 SP1与CU 1(按照这篇文章 )和IIS 8都放在同一个盒子里。 我使用Nartac IIS Crypto工具来禁用TLS1.0并重新启动。 那时候我的麻烦开始了。 SQL Agent不能启动,SSMS无法连接到服务器,网站停止工作。 (幸运的是,我仍然可以与我的testing服务器build立远程桌面连接。) 然后我读了微软的文章 ,基本上说SQL Server只要有TLS1.0。 题 我能解决这个问题吗? (也许我需要在SQL Server的testing环境中有一个单独的框?) 编辑 我已经改变了我的testing环境,以便IIS和SQL Server在不同的盒子上。 TLS1.0在IIS框上被禁用。 我已经修改了registry设置,通过使用John Louros的PowerShell脚本(抱歉,没有足够的信誉来发布链接)拒绝来电(即来自网站用户)的传出呼叫(即到SQL框)通过TLS1.0。 仍然没有运气。
我想通过第三方服务器(outbound.mailhop.org)转发来自我的MTA的外发电子邮件,以便最终交付。 我想知道如何使机器之间的安全连接“值得信赖”。 这是我目前的Postfixconfiguration的相关部分: smtp_use_tls = yes smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt smtp_tls_security_level = may smtp_tls_loglevel = 1 smtp_sasl_auth_enable = yes smtp_sasl_security_options = noanonymous smtp_sasl_password_maps = hash:/etc/postfix/relay relayhost = [outbound.mailhop.org] 当我发送testing消息时,从邮件日志中, Untrusted TLS connection established to outbound.mailhop.org[54.186.218.12]:25: TLSv1.2 with cipher AECDH-AES256-SHA (256/256 bits) 我怎样才能使这个连接“可信”?
我注意到许多不同的Web和邮件服务器软件允许或要求您在一个.pem文件中提供TLS证书(包括服务器证书,CA中间证书和CA根证书)和私钥。 因此,服务器将证书发送给每个尝试连接的客户端,但是,当然,您希望保护您的私钥安全并保密。 那么,当它们全都在同一个文件中时,它是如何工作的呢? 软件是否知道只发送证书部分,而不发送私钥,即使它们在同一个文件中? 谢谢。
在这里完成noob。 请温柔:) 我有一个Windows 2008服务器,运行hMailServer。 现在我所有的通信都是未encryption的。 我想开始使用TLS。 所以现在我已经为自己的域名获得了一个SSL证书。 我通过在IIS中创build一个证书申请,我上传到CA(StartSSL,FWIW)。 然后我下载并将证书文件保存在IIS中。 然后,我跟着hMailServer的指示 ,这有助于告诉我创build一个新的SSL证书,但… 那么我从哪里得到这个私钥文件呢? 更新:事实certificate有两种方法来生成SSL证书: 在IIS中生成一个证书请求,并将其上传到CA,然后生成一个证书(这是我做的第一个); 要么 在CA网站上input密码,然后他们为您生成一个私钥和一个SSL证书。 所以现在我有一个私钥。 但是现在我已经填写了在hMailServer中设置我的SSL证书的所有必要信息,然后将端口绑定到证书…并且不起作用。 到外面的世界,这个以前工作的端口现在显示closures(在CanYouSeeMe.orgvalidation)。 我现在想念什么招?