Auf Windows Server 2008 wird ein Exchange 2007-Server ausgeführt. Unser Client verwendet den Mailserver eines anderen Anbieters. Ihre Sicherheitsrichtlinien erfordern, dass wir erzwungenes TLS verwenden. Dies hat bis vor kurzem gut funktioniert.
Wenn Exchange nun versucht, E-Mails an den Server des Clients zuzustellen, wird Folgendes protokolliert:
Eine sichere Verbindung zur domänengesicherten Domäne 'ourclient.com' auf dem Connector 'Externe Standardmail' konnte nicht hergestellt werden, da die Überprüfung des TLS-Zertifikats (Transport Layer Security) für ourclient.com mit dem Status 'UntrustedRoot' fehlgeschlagen ist. Wenden Sie sich an den Administrator von ourclient.com, um das Problem zu beheben, oder entfernen Sie die Domäne aus der domänengesicherten Liste.
Durch das Entfernen von ourclient.com aus der TLSSendDomainSecureList werden Nachrichten mit opportunistischem TLS erfolgreich zugestellt. Dies ist jedoch bestenfalls eine vorübergehende Problemumgehung.
Der Kunde ist ein extrem großes, sicherheitsrelevantes internationales Unternehmen. Unser dortiger IT-Ansprechpartner gibt an, keine Änderungen an seinem TLS-Zertifikat zu kennen. Ich habe ihn wiederholt gebeten, die Behörde zu identifizieren, die das Zertifikat erstellt hat, damit ich den Validierungsfehler beheben kann. Bisher konnte er jedoch keine Antwort geben. Soweit ich weiß, hätte unser Kunde sein gültiges TLS-Zertifikat durch ein Zertifikat einer internen Zertifizierungsstelle ersetzen können.
Kennt jemand eine Möglichkeit, das TLS-Zertifikat eines Remote-SMTP-Servers manuell zu überprüfen, wie dies für das Zertifikat eines Remote-HTTPS-Servers in einem Webbrowser möglich ist? Es kann sehr hilfreich sein, festzustellen, wer das Zertifikat ausgestellt hat, und diese Informationen mit der Liste der vertrauenswürdigen Stammzertifikate auf unserem Exchange-Server zu vergleichen.
openssl
die Verwendung des Windows-Zertifikatspeichers nicht unterstützt wird, sodass die Überprüfung immer fehlschlägt.openssl x509 -noout -dates
für kürzere Ausgabe.Ich weiß, dass dies eine alte Frage ist, aber auch heute noch eine wichtige Frage für Administratoren, die die Gültigkeit des SSL-Zertifikats auf ihren E-Mail-Servern bestätigen möchten.
Sie können https://www.checktls.com besuchen und den Test kostenlos ausführen.
quelle
Wenn Sie nicht über OpenSSL verfügen, können Sie auch dieses Python-Snippet verwenden:
Dabei ist [Hostname] der Server.
Quelle: https://support.google.com/a/answer/6180220
Dadurch wird die OpenSSL-Bibliothek für Sie abgerufen, was die Installation etwas vereinfacht.
quelle