Início / server / Perguntas / 131627
Accepted
Skyhawk
Asked: 2010-04-13 07:18:55 +0800 CST

Como inspecionar o certificado TLS do servidor SMTP remoto?

  • 772

Temos um servidor Exchange 2007 em execução no Windows Server 2008. Nosso cliente usa o servidor de email de outro fornecedor. Suas políticas de segurança exigem que usemos TLS imposto. Isso estava funcionando bem até recentemente.

Agora, quando o Exchange tenta entregar emails ao servidor do cliente, ele registra o seguinte:

Não foi possível estabelecer uma conexão segura com o domínio protegido por domínio 'ourclient.com' no conector 'E-mail externo padrão' porque a validação do certificado TLS (Transport Layer Security) para ourclient.com falhou com o status 'UntrustedRoot. Entre em contato com o administrador de ourclient.com para resolver o problema ou remova o domínio da lista de domínios protegidos.

A remoção de ourclient.com da TLSSendDomainSecureList faz com que as mensagens sejam entregues com sucesso usando TLS oportunista, mas esta é uma solução temporária na melhor das hipóteses.

O cliente é uma corporação internacional extremamente grande e sensível à segurança. Nosso contato de TI afirma não ter conhecimento de quaisquer alterações em seu certificado TLS. Pedi a ele repetidamente para identificar a autoridade que gerou o certificado para que eu possa solucionar o erro de validação, mas até agora ele não conseguiu fornecer uma resposta. Pelo que sei, nosso cliente poderia ter substituído seu certificado TLS válido por um de uma autoridade de certificação interna.

Alguém sabe uma maneira de inspecionar manualmente o certificado TLS de um servidor SMTP remoto, como se pode fazer para o certificado de um servidor HTTPS remoto em um navegador da web? Pode ser muito útil determinar quem emitiu o certificado e comparar essas informações com a lista de certificados raiz confiáveis ​​em nosso servidor Exchange.

windows-server-2008 exchange-2007 security certificate tls

3 respostas

  1. Best Answer

    Você pode usar o OpenSSL. Se você tiver que verificar o certificado com STARTTLS, basta fazer

    openssl s_client -connect mail.example.com:25 -starttls smtp

    ou para uma porta smtp segura padrão:

    openssl s_client -connect mail.example.com:465
    • 143

  2. Eu sei que esta é uma pergunta antiga, mas ainda hoje uma pergunta relevante para administradores que desejam confirmar a validade do Certificado SSL em seus servidores de e-mail.

    Você pode visitar https://www.checktls.com e executar o teste gratuitamente.

    • 9

  3. Se você não tiver o OpenSSL, também poderá usar este trecho do Python:

    import smtplib
import ssl

connection = smtplib.SMTP() 
connection.connect('[hostname].')
connection.starttls()
print ssl.DER_cert_to_PEM_cert(connection.sock.getpeercert(binary_form=True))

    onde [hostname] é o servidor.

    Fonte: https://support.google.com/a/answer/6180220

    Isso puxa a biblioteca OpenSSL para você, o que torna a instalação um pouco mais fácil.

    • 6

relate perguntas