Abbiamo un server Exchange 2007 in esecuzione su Windows Server 2008. Il nostro client utilizza un server di posta di un altro fornitore. Le loro politiche di sicurezza ci impongono di utilizzare TLS forzato. Funzionava bene fino a poco tempo fa.
Ora, quando Exchange tenta di recapitare la posta al server del client, registra quanto segue:
Impossibile stabilire una connessione protetta al dominio protetto da dominio "ourclient.com" sul connettore "Posta esterna predefinita" poiché la convalida del certificato TLS (Transport Layer Security) per ourclient.com non è riuscita con lo stato "UntrustedRoot. Contattare l'amministratore di ourclient.com per risolvere il problema o rimuovere il dominio dall'elenco protetto da domini.
La rimozione di ourclient.com dall'elenco TLSSendDomainSecure consente di recapitare correttamente i messaggi utilizzando TLS opportunistico, ma questa è una soluzione temporanea nella migliore delle ipotesi.
Il cliente è una società internazionale estremamente grande e sensibile alla sicurezza. Il nostro referente IT afferma di non essere a conoscenza di eventuali modifiche al loro certificato TLS. Gli ho chiesto ripetutamente di identificare l'autorità che ha generato il certificato in modo da poter risolvere l'errore di convalida, ma finora non è stato in grado di fornire una risposta. Per quanto ne so, il nostro cliente avrebbe potuto sostituire il loro certificato TLS valido con uno di un'autorità di certificazione interna.
Qualcuno conosce un modo per ispezionare manualmente il certificato TLS di un server SMTP remoto, come si può fare per il certificato di un server HTTPS remoto in un browser Web? Potrebbe essere molto utile determinare chi ha emesso il certificato e confrontare tali informazioni con l'elenco dei certificati radice attendibili sul nostro server Exchange.