我们在
Windows Server 2008上运行Exchange 2007服务器.我们的客户端使用其他供应商的邮件服务器.他们的安全策略要求我们使用强制TLS.直到最近这个工作正常.
现在,当Exchange尝试将邮件传递到客户端的服务器时,它会记录以下内容:
A secure connection to domain-secured domain ‘ourclient.com’ on connector ‘Default external mail’ could not be established because the validation of the Transport Layer Security (TLS) certificate for ourclient.com Failed with status ‘UntrustedRoot. Contact the administrator of ourclient.com to resolve the problem,or remove the domain from the domain-secured list.
从TLSSendDomainSecureList中删除ourclient.com会导致使用机会性TLS成功传递消息,但这是一个临时解决方法.
客户是一个对安全敏感的极其庞大的国际公司.我们的IT联系人声称他们不知道他们的TLS证书有任何变化.我已多次请他确认生成证书的权限,以便我可以解决验证错误,但到目前为止他一直无法提供答案.据我所知,我们的客户可以用内部证书颁发机构的一个替换他们的有效TLS证书.
有没有人知道手动检查远程SMTP服务器的TLS证书的方法,因为可以在Web浏览器中为远程HTTPS服务器的证书做什么?确定谁颁发证书并将该信息与Exchange服务器上受信任的根证书列表进行比较可能非常有用.
您可以使用OpenSSL.如果您必须使用STARTTLS检查证书,那么就这样做
openssl s_client -connect mail.example.com:25 -starttls smtp
或者用于标准的安全smtp端口:
openssl s_client -connect mail.example.com:465