Jak sprawdzić certyfikat TLS zdalnego serwera SMTP?

Mamy serwer Exchange 2007 działający w systemie Windows Server 2008. Nasz klient korzysta z serwera pocztowego innego dostawcy. Ich zasady bezpieczeństwa wymagają od nas stosowania wymuszonego TLS. Do niedawna działało to dobrze.

Teraz, gdy Exchange próbuje dostarczyć pocztę na serwer klienta, rejestruje następujące informacje:

Nie można ustanowić bezpiecznego połączenia z domeną zabezpieczoną domeną „ourclient.com” na łączniku „Domyślna poczta zewnętrzna”, ponieważ sprawdzanie poprawności certyfikatu TLS (Transport Layer Security) dla ourclient.com nie powiodło się ze statusem „UntrustedRoot. Skontaktuj się z administratorem ourclient.com, aby rozwiązać problem, lub usuń domenę z listy zabezpieczonej domeny.

Usunięcie ourclient.com z TLSSendDomainSecureList powoduje, że wiadomości są dostarczane pomyślnie przy użyciu oportunistycznego TLS, ale jest to w najlepszym razie tymczasowe obejście.

Klient jest niezwykle dużą, wrażliwą na bezpieczeństwo międzynarodową korporacją. Nasz dział IT twierdzi, że nie wie o żadnych zmianach w certyfikacie TLS. Kilkakrotnie prosiłem go o wskazanie organu, który wygenerował certyfikat, abym mógł rozwiązać problem z błędem weryfikacji, ale jak dotąd nie był w stanie udzielić odpowiedzi. Z tego co wiem, nasz klient mógł zastąpić ważny certyfikat TLS certyfikatem wydanym przez wewnętrzny urząd certyfikacji.

Czy ktoś zna sposób ręcznego sprawdzania certyfikatu TLS zdalnego serwera SMTP, co można zrobić w przypadku certyfikatu zdalnego serwera HTTPS w przeglądarce internetowej? Bardzo pomocne może być ustalenie, kto wystawił certyfikat i porównanie tych informacji z listą zaufanych certyfikatów głównych na naszym serwerze Exchange.

Możesz użyć OpenSSL. Jeśli musisz sprawdzić certyfikat za pomocą STARTTLS, po prostu zrób

openssl s_client -connect mail.example.com:25 -starttls smtp

lub w przypadku standardowego bezpiecznego portu smtp:

openssl s_client -connect mail.example.com:465

Wiem, że to stare pytanie, ale wciąż aktualne pytanie nawet dzisiaj dla administratorów, którzy chcą potwierdzić ważność certyfikatu SSL na swoich serwerach e-mail.

Możesz odwiedzić https://www.checktls.com i uruchomić test za darmo.

Jeśli nie masz OpenSSL, możesz również użyć tego fragmentu kodu w języku Python:

import smtplib
import ssl

connection = smtplib.SMTP() 
connection.connect('[hostname].')
connection.starttls()
print ssl.DER_cert_to_PEM_cert(connection.sock.getpeercert(binary_form=True))

gdzie [nazwa hosta] to serwer.

Źródło: https://support.google.com/a/answer/6180220

To pociąga za sobą bibliotekę OpenSSL, co nieco ułatwia instalację.