Im Zuge dieser ganzen Zertifikate-Geschichte, ist immer die Frage aufgetaucht, wie teste ich es eigentlich.
Wenn man eine Homepage mit zB Let´s Encrypt gesichert hat, dann kann man einfach einen der zahlreichen Onlinedienste verwenden. Einen guten Dienst mit vielen Tests findet man hier:
Qualys SSL Server Test https://www.ssllabs.com/ssltest/
Als Ergebnis findet man hier ein Rating, mit dem man gleich sieht, wo man steht. Auch Verbesserungsvorschläge mit Links gibt es dann.
Wenn man allerdings keine Homepage sonders zB IMAP-S, SMTP-S oder POP3-S testen möchte, dann kann man sich mit openssl behelfen. Findet man unter Linux auf der Shell oder man installiert es sich.
Unter Linux einfach folgenden Befehl eingeben:
openssl s_client -showcerts -connect mail.staffel.at:465
(in diesem Beispiel der SMTP-S Dienst von meinem Server)
-connect <Server-URL>:<Portnummer> für jeden beliebigen Server und Dienst
Man kann als Port auch 80 (http) nehmen, da findet sich in der Regel keines. Oder auch 443 (https), damit man die Zertifikatsinformationen vom Webserver sieht.
Montag, 19. Juni 2017
Mailversand per Zertifikat
Da es immer wieder Probleme mit den alten Zertifikaten beim Mailempfang/-versand gab, habe ich die Mailzertifikate auf Let´s Encrypt umgestellt. Sollte daher jemand seine Mails verschlüsselt über meinen Server empfangen oder senden wollen, dann nimmt man folgende Einstellungen:
Posteingangsserver POP3:
Server: mail.staffel.at
SSL/TLS benutzen mit Port 995 (Standard)
Login (= Mailadresse) und Kennwort wie gehabt
Posteingangsserver IMAP:
Server: mail.staffel.at
SSL/TLS benutzen mit Port 993 (Standard)
Login (= Mailadresse) und Kennwort wie gehabt
Posteingangsserver POP3:
Server: mail.staffel.at
SSL/TLS benutzen mit Port 995 (Standard)
Login (= Mailadresse) und Kennwort wie gehabt
Posteingangsserver IMAP:
Server: mail.staffel.at
SSL/TLS benutzen mit Port 993 (Standard)
Login (= Mailadresse) und Kennwort wie gehabt
Postausgangsserver SMTP:
Server: mail.staffel.at
SSL/TLS benutzen mit Port 465 (Standard)
Beim Versand gleiche Logindaten (Mailadresse und Kennwort) verwenden - Senderauthentifizierung
Nun sollten die voll qualifizierten Zertifikate für den verschlüsselten Mailverkehr laufend (alle 3 Monate) von Let´s Encrypt aktualisiert werden. Es werden noch Anleitungen für das Einrichten für die diversen Mailclienten kommen.
Hier zwei Screenshots für das Einrichten bei Thunderbird mit diesen Parametern. In anderen Programmen funktioniert es recht ähnlich (auch am Handy):
Empfang per IMAP:
SSL/TLS benutzen mit Port 465 (Standard)
Beim Versand gleiche Logindaten (Mailadresse und Kennwort) verwenden - Senderauthentifizierung
Nun sollten die voll qualifizierten Zertifikate für den verschlüsselten Mailverkehr laufend (alle 3 Monate) von Let´s Encrypt aktualisiert werden. Es werden noch Anleitungen für das Einrichten für die diversen Mailclienten kommen.
Hier zwei Screenshots für das Einrichten bei Thunderbird mit diesen Parametern. In anderen Programmen funktioniert es recht ähnlich (auch am Handy):
Empfang per IMAP:
Senden per SMTP:
Dienstag, 10. Januar 2017
Sysinternals
Wer kennt nicht die praktischen Tools von Microsoft "Sysinternals". Kann man gesammelt unter https://technet.microsoft.com/en-us/sysinternals/bb842062.aspx auch runterladen.
Wenn man aber nur auf die Schnelle ein Tool braucht, zB procexp oder du, dann kann man diese auch unter https://live.sysinternals.com/ einzeln schnell runterladen.
Damit erspart man sich das Runterladen/Entpacken und hat auch immer die aktuelle Version zur Hand (wenn Internet vorhanden ist).
Sonst immer eine Ausgabe der aktuellen Suite auf einen USB-Stick gepackt, damit man sie zur Hand hat, wenn man sie braucht.
Interessant beim Tool Process Explorer (procexp.exe oder proexp64.exe) ist die Verbindung mit virustotal.com. Man kann aus seinen laufenden Prozessen die Hashes ausrechnen lassen und diese gleich gegen virustotal.com checken lassen. Menüpunkt: Options - VirusTotal.com - Check VirusTotal.com. Idealerweise sollte der Process Explorer als Administrator gestartet sein, da sonst die Berechnung bei Systemprozessen nicht funktioniert. Dann bekommt man zu jedem Prozess die Anzahl erkannter Treffer in der VirusTotal-Datenbank.
Man kann dann drauf klicken und sich mehr Infos zu diesem Prozess holen und warum er vielleicht als Malware gekennzeichnet wurde. Es kann auch immer wieder ein False/Positive geben, dh es muss nicht wirklich eine Schadsoftware sein. Das Tool kann aber einen guten Überblick geben, ob vielleicht doch was "Böses" am System sein Unwesen treibt.
Selbst der Process Explorer wird als Schadprogramm erkannt, obwohl es eigentlich keines ist:
Wenn man aber nur auf die Schnelle ein Tool braucht, zB procexp oder du, dann kann man diese auch unter https://live.sysinternals.com/ einzeln schnell runterladen.
Damit erspart man sich das Runterladen/Entpacken und hat auch immer die aktuelle Version zur Hand (wenn Internet vorhanden ist).
Sonst immer eine Ausgabe der aktuellen Suite auf einen USB-Stick gepackt, damit man sie zur Hand hat, wenn man sie braucht.
Interessant beim Tool Process Explorer (procexp.exe oder proexp64.exe) ist die Verbindung mit virustotal.com. Man kann aus seinen laufenden Prozessen die Hashes ausrechnen lassen und diese gleich gegen virustotal.com checken lassen. Menüpunkt: Options - VirusTotal.com - Check VirusTotal.com. Idealerweise sollte der Process Explorer als Administrator gestartet sein, da sonst die Berechnung bei Systemprozessen nicht funktioniert. Dann bekommt man zu jedem Prozess die Anzahl erkannter Treffer in der VirusTotal-Datenbank.
Man kann dann drauf klicken und sich mehr Infos zu diesem Prozess holen und warum er vielleicht als Malware gekennzeichnet wurde. Es kann auch immer wieder ein False/Positive geben, dh es muss nicht wirklich eine Schadsoftware sein. Das Tool kann aber einen guten Überblick geben, ob vielleicht doch was "Böses" am System sein Unwesen treibt.
Selbst der Process Explorer wird als Schadprogramm erkannt, obwohl es eigentlich keines ist:
Abonnieren
Posts (Atom)