Move ESMPT LIMITS extension from experimental to mainline
[exim.git] / test / scripts / 2000-GnuTLS / 2002
1 # TLS server: general ops and certificate extractions
2 gnutls
3 #
4 # Very early (unsure when) GnuTLS prefers RSA auth by default.  Later, but before 3.6.x, prefers
5 # ECDSA but the client can be given a priority order to override that.  We're running the server
6 # with no priority string given (tls_require_ciphers) hence default, and with both types of
7 # server cert loaded (RSA first, though we don't document that as relevant and in testing it
8 # does not appear to matter).
9 #
10 # GnuTLS 3.6.5 appears to ignore the client priority ordering, always choosing ECDSA if both
11 # are permitted, if TLS1.3 is permitted, so we limit to TLS1.2.
12 #
13 exim -DSERVER=server -bd -oX PORT_D
14 ****
15 # Have the client do RSA (but support ECDSA as well).  That should get us RSA on both older and newer GnuTLS.
16 client-gnutls -p NONE:+SIGN-RSA-SHA256:+SIGN-ECDSA-SHA512:+VERS-TLS1.2:+ECDHE-RSA:+DHE-RSA:+RSA:+CIPHER-ALL:+MAC-ALL:+COMP-NULL:+CURVE-ALL:+CTYPE-X509 127.0.0.1 PORT_D
17 ??? 220
18 ehlo rhu.barb
19 ??? 250-
20 ??? 250-
21 ??? 250-
22 ??? 250-
23 ??? 250-
24 ??? 250-
25 ??? 250
26 starttls
27 ??? 220
28 ehlo rhu.barb
29 ??? 250-
30 ??? 250-
31 ??? 250-
32 ??? 250-
33 ??? 250-
34 ??? 250
35 mail from:<CALLER@test.ex>
36 ??? 250
37 rcpt to:<CALLER@test.ex>
38 ??? 250
39 DATA
40 ??? 3
41 This is a test encrypted message.
42 .
43 ??? 250
44 quit
45 ??? 221
46 ****
47 client-gnutls -p NONE:+SIGN-RSA-SHA256:+SIGN-ECDSA-SHA512:+VERS-TLS1.2:+ECDHE-RSA:+DHE-RSA:+RSA:+CIPHER-ALL:+MAC-ALL:+COMP-NULL:+CURVE-ALL:+CTYPE-X509 127.0.0.1 PORT_D
48 ??? 220
49 ehlo rhu.barb
50 ??? 250-
51 ??? 250-
52 ??? 250-
53 ??? 250-
54 ??? 250-
55 ??? 250-
56 ??? 250
57 starttls
58 ??? 220
59 helo test
60 ??? 250
61 mail from:<"name with spaces"@test.ex>
62 ??? 250
63 rcpt to:<CALLER@test.ex>
64 ??? 250
65 DATA
66 ??? 3
67 This is a test encrypted message.
68 .
69 ??? 250
70 quit
71 ??? 221
72 ****
73 #
74 # Server asks for a client cert but client does not supply one
75 client-gnutls -p NONE:+SIGN-RSA-SHA256:+SIGN-ECDSA-SHA512:+VERS-TLS1.2:+ECDHE-RSA:+DHE-RSA:+RSA:+CIPHER-ALL:+MAC-ALL:+COMP-NULL:+CURVE-ALL:+CTYPE-X509 HOSTIPV4 PORT_D
76 ??? 220
77 ehlo rhu.barb
78 ??? 250-
79 ??? 250-SIZE
80 ??? 250-LIMITS
81 ??? 250-8BITMIME
82 ??? 250-PIPELINING
83 ??? 250-STARTTLS
84 ??? 250 HELP
85 starttls
86 ??? 220 TLS go ahead
87 nop
88 ???*
89 ****
90 # ensure sequence of log TLS error line
91 killdaemon
92 sleep 1
93 exim -DSERVER=server -bd -oX PORT_D
94 ****
95 #
96 #
97 # Server asks for a client cert, and one is given which is verifiable by the server
98 client-gnutls -p NONE:+SIGN-RSA-SHA256:+SIGN-ECDSA-SHA512:+VERS-TLS1.2:+ECDHE-RSA:+DHE-RSA:+RSA:+CIPHER-ALL:+MAC-ALL:+COMP-NULL:+CURVE-ALL:+CTYPE-X509 HOSTIPV4 PORT_D DIR/aux-fixed/exim-ca/example.com/server2.example.com/server2.example.com.pem DIR/aux-fixed/exim-ca/example.com/server2.example.com/server2.example.com.unlocked.key
99 ??? 220
100 ehlo rhu.barb
101 ??? 250-
102 ??? 250-
103 ??? 250-
104 ??? 250-
105 ??? 250-
106 ??? 250-
107 ??? 250
108 starttls
109 ??? 220
110 helo test
111 ??? 250
112 mail from:<CALLER@test.ex>
113 ??? 250
114 rcpt to:<CALLER@test.ex>
115 ??? 250
116 DATA
117 ??? 3
118 This is a test encrypted message from a verified host.
119 .
120 ??? 250
121 quit
122 ??? 221
123 ****
124 #
125 #
126 # A client that only talks RSA.
127 #
128 # We have to specify the key-exchange as well as the authentication, otherwise,
129 # the GnuTLS server side being foolish - it picks an ECDSA cipher-suite and then can't use it :(
130 # Possibly fixed in 3.6.x ? 
131 client-gnutls -p NONE:+SIGN-RSA-SHA256:+VERS-TLS1.2:+ECDHE-RSA:+DHE-RSA:+RSA:+CIPHER-ALL:+MAC-ALL:+COMP-NULL:+CURVE-ALL:+CTYPE-X509 127.0.0.1 PORT_D
132 ??? 220
133 ehlo rhu.barb
134 ??? 250-
135 ??? 250-
136 ??? 250-
137 ??? 250-
138 ??? 250-
139 ??? 250-
140 ??? 250
141 starttls
142 ??? 220
143 helo test
144 ??? 250
145 mail from:<CALLER@test.ex>
146 ??? 250
147 rcpt to:<CALLER@test.ex>
148 ??? 250
149 DATA
150 ??? 3
151 This is a test encrypted message.
152 It should be sent under the RSA server cert and with an RSA cipher.
153 .
154 ??? 250
155 quit
156 ??? 221
157 ****
158 #
159 #
160 # Make ECDSA authentication preferred (Older GnuTLS prefers RSA, it seems, Newer, ECDSA).
161 client-gnutls -p NONE:+SIGN-ECDSA-SHA512:+VERS-TLS1.2:+KX-ALL:+CIPHER-ALL:+MAC-ALL:+COMP-NULL:+CURVE-ALL:+CTYPE-X509 127.0.0.1 PORT_D
162 ??? 220
163 ehlo rhu.barb
164 ??? 250-
165 ??? 250-
166 ??? 250-
167 ??? 250-
168 ??? 250-
169 ??? 250-
170 ??? 250
171 starttls
172 ??? 220
173 helo test
174 ??? 250
175 mail from:<CALLER@test.ex>
176 ??? 250
177 rcpt to:<CALLER@test.ex>
178 ??? 250
179 DATA
180 ??? 3
181 This is a test encrypted message.
182 It should be sent under the EC server cert and with an ECDSA cipher.
183 .
184 ??? 250
185 quit
186 ??? 221
187 ****
188 killdaemon
189 sleep 1
190 # clear out the queue
191 exim -qf
192 ****
193 sleep 1
194 #
195 # STARTTLS used when not advertised
196 exim -bh 10.0.0.1
197 starttls
198 quit
199 ****