Tenemos un servidor Exchange 2007 que se ejecuta en Windows Server 2008. Nuestro cliente utiliza el servidor de correo de otro proveedor. Sus políticas de seguridad requieren que usemos TLS forzados. Esto funcionaba bien hasta hace poco.
Ahora, cuando Exchange intenta entregar el correo al servidor del cliente, registra lo siguiente:
No se pudo establecer una conexión segura al dominio protegido por dominio 'ourclient.com' en el conector 'Correo externo predeterminado' porque la validación del certificado de Seguridad de la capa de transporte (TLS) para ourclient.com falló con el estado 'UntrustedRoot. Póngase en contacto con el administrador de ourclient.com para resolver el problema o elimine el dominio de la lista protegida por dominio.
La eliminación de ourclient.com de TLSSendDomainSecureList hace que los mensajes se entreguen correctamente utilizando TLS oportunista, pero esta es una solución temporal en el mejor de los casos.
El cliente es una corporación internacional extremadamente grande y sensible a la seguridad. Nuestro contacto de TI afirma no tener conocimiento de ningún cambio en su certificado TLS. Le he pedido repetidamente que identifique la autoridad que generó el certificado para que pueda solucionar el error de validación, pero hasta ahora no ha podido dar una respuesta. Por lo que sé, nuestro cliente podría haber reemplazado su certificado TLS válido con uno de una autoridad de certificación interna.
¿Alguien sabe una manera de inspeccionar manualmente el certificado TLS de un servidor SMTP remoto, como se puede hacer para un certificado de servidor HTTPS remoto en un navegador web? Podría ser muy útil determinar quién emitió el certificado y comparar esa información con la lista de certificados raíz de confianza en nuestro servidor de Exchange.
openssl
no admite el uso del almacén de certificados de Windows, por lo que siempre fallará la validación.openssl x509 -noout -dates
obtener una salida más corta.Sé que esta es una pregunta antigua, pero aún hoy es una pregunta relevante para los administradores que desean confirmar la validez del Certificado SSL en sus servidores de correo electrónico.
Puede visitar https://www.checktls.com y ejecutar la prueba de forma gratuita.
fuente
Si no tiene OpenSSL, también puede usar este fragmento de Python:
donde [hostname] es el servidor.
Fuente: https://support.google.com/a/answer/6180220
Esto tira de la biblioteca OpenSSL para usted, lo que hace que la instalación sea un poco más fácil.
fuente