我们有一个在Windows Server 2008上运行的Exchange 2007服务器。我们的客户端使用其他供应商的邮件服务器。他们的安全政策要求我们使用强制TLS。直到最近,这一切都很好。
现在,当Exchange尝试将邮件传递到客户端的服务器时,它将记录以下内容:
无法建立连接器“默认外部邮件”上域安全的域“ ourclient.com”的安全连接,因为对ourclient.com的传输层安全性(TLS)证书的验证失败,状态为“ UntrustedRoot”。请与ourclient.com的管理员联系以解决该问题,或从受保护的域列表中删除该域。
从TLSSendDomainSecureList中删除ourclient.com会导致使用机会性TLS成功发送邮件,但这只是暂时的解决方法。
客户是一家规模庞大,对安全敏感的国际公司。我们的IT联系人声称没有意识到其TLS证书的任何更改。我已多次要求他确定生成证书的授权,以便我可以对验证错误进行故障排除,但到目前为止,他一直无法提供答案。据我所知,我们的客户可以用内部证书颁发机构的证书替换其有效的TLS证书。
有谁知道一种手动检查远程SMTP服务器的TLS证书的方法,就像在Web浏览器中处理远程HTTPS服务器的证书一样?确定谁颁发了证书并将该信息与我们的Exchange服务器上的受信任根证书列表进行比较可能非常有帮助。