Pregunta:
Tenemos un servidor Exchange 2007 que se ejecuta en Windows Server 2008. Nuestro cliente utiliza el servidor de correo de otro proveedor. Sus políticas de seguridad requieren que usemos TLS reforzado. Esto estaba funcionando bien hasta hace poco.
Ahora, cuando Exchange intenta entregar correo al servidor del cliente, registra lo siguiente:
No se pudo establecer una conexión segura al dominio protegido por dominio 'ourclient.com' en el conector 'Correo externo predeterminado' porque la validación del certificado de Seguridad de la capa de transporte (TLS) para ourclient.com falló con el estado 'UntrustedRoot. Comuníquese con el administrador de ourclient.com para resolver el problema o elimine el dominio de la lista de dominios protegidos.
Eliminar ourclient.com de TLSSendDomainSecureList hace que los mensajes se entreguen correctamente utilizando TLS oportunista, pero esta es una solución temporal en el mejor de los casos.
El cliente es una corporación internacional extremadamente grande y sensible a la seguridad. Nuestro contacto de TI afirma no tener conocimiento de ningún cambio en su certificado TLS. Le he pedido repetidamente que identifique la autoridad que generó el certificado para poder solucionar el error de validación, pero hasta ahora no ha podido dar una respuesta. Por lo que sé, nuestro cliente podría haber reemplazado su certificado TLS válido por uno de una autoridad certificadora interna.
¿Alguien conoce una forma de inspeccionar manualmente el certificado TLS de un servidor SMTP remoto, como se puede hacer con el certificado de un servidor HTTPS remoto en un navegador web? Podría ser muy útil determinar quién emitió el certificado y comparar esa información con la lista de certificados raíz de confianza en nuestro servidor Exchange.
Respuesta:
Puede utilizar OpenSSL. Si tiene que verificar el certificado con STARTTLS , simplemente hágalo
openssl s_client -connect mail.example.com:25 -starttls smtp
o para un puerto smtp seguro estándar:
openssl s_client -connect mail.example.com:465