Nous avons un serveur Exchange 2007 sous Windows Server 2008. Notre client utilise le serveur de messagerie d'un autre fournisseur. Leurs politiques de sécurité nous obligent à utiliser le protocole TLS appliqué. Cela fonctionnait bien jusqu'à récemment.
Désormais, lorsque Exchange tente de remettre du courrier au serveur du client, il enregistre les éléments suivants:
Une connexion sécurisée au domaine sécurisé 'ourclient.com' sur le connecteur 'Courrier externe par défaut' n'a pas pu être établie car la validation du certificat TLS (Transport Layer Security) pour ourclient.com a échoué avec le statut 'UntrustedRoot. Contactez l'administrateur de ourclient.com pour résoudre le problème ou supprimez le domaine de la liste des domaines sécurisés.
La suppression de ourclient.com de TLSSendDomainSecureList entraîne la remise réussie des messages à l'aide de TLS opportuniste, mais il s'agit au mieux d'une solution de contournement temporaire.
Le client est une très grande entreprise internationale sensible à la sécurité. Notre contact informatique dans ce pays affirme ne pas être au courant de modifications apportées à son certificat TLS. Je lui ai demandé à plusieurs reprises de bien vouloir identifier l'autorité qui a généré le certificat afin que je puisse résoudre l'erreur de validation, mais jusqu'à présent, il n'a pas été en mesure de fournir une réponse. Pour autant que je sache, notre client aurait pu remplacer son certificat TLS valide par un autre d’une autorité de certification interne.
Est-ce que quelqu'un connaît un moyen d'inspecter manuellement le certificat TLS d'un serveur SMTP distant, comme on peut le faire pour un certificat de serveur HTTPS distant dans un navigateur Web? Il pourrait être très utile de déterminer qui a émis le certificat et de comparer ces informations à la liste des certificats racine approuvés sur notre serveur Exchange.
openssl
le magasin de certificats Windows n'est pas pris en charge. Par conséquent, la validation échouera toujours.openssl x509 -noout -dates
pour une sortie plus courte.Je sais que c’est une vieille question, mais elle est toujours pertinente, même aujourd’hui, pour les administrateurs souhaitant confirmer la validité du certificat SSL sur leurs serveurs de messagerie.
Vous pouvez visiter https://www.checktls.com et lancer le test gratuitement.
la source
Si vous n'avez pas OpenSSL, vous pouvez également utiliser cet extrait de code Python:
où [nom d'hôte] est le serveur.
Source: https://support.google.com/a/answer/6180220
Cela extrait la bibliothèque OpenSSL pour vous, ce qui facilite l’installation.
la source