Как проверить сертификат TLS удаленного SMTP-сервера?

У нас есть сервер Exchange 2007, работающий на Windows Server 2008. Наш клиент использует почтовый сервер другого поставщика. Их политики безопасности требуют от нас использования принудительного TLS. До недавнего времени это работало нормально.

Теперь, когда Exchange пытается доставить почту на сервер клиента, он регистрирует следующее:

Не удалось установить безопасное подключение к защищенному домену домену «ourclient.com» на соединителе «Внешняя почта по умолчанию», поскольку не удалось выполнить проверку сертификата безопасности транспортного уровня (TLS) для ourclient.com со статусом «UntrustedRoot». Обратитесь к администратору ourclient.com для решения проблемы или удалите домен из списка защищенных доменов.

Удаление ourclient.com из TLSSendDomainSecureList приводит к успешной доставке сообщений с использованием условного TLS, но в лучшем случае это временное решение.

Клиент - чрезвычайно крупная, чувствительная к безопасности международная корпорация. Наш ИТ-специалист утверждает, что не знает о каких-либо изменениях в их сертификате TLS. Я неоднократно просил его указать полномочия, сгенерировавшие сертификат, чтобы я мог устранить ошибку проверки, но пока он не смог дать ответ. Насколько я знаю, наш клиент мог бы заменить свой действующий сертификат TLS на сертификат внутреннего центра сертификации.

Кто-нибудь знает способ вручную проверить сертификат TLS удаленного SMTP-сервера, как это можно сделать для сертификата удаленного сервера HTTPS в веб-браузере? Было бы очень полезно определить, кто выпустил сертификат, и сравнить эту информацию со списком доверенных корневых сертификатов на нашем сервере Exchange.

Вы можете использовать OpenSSL. Если вам нужно проверить сертификат STARTTLS, а затем просто

openssl s_client -connect mail.example.com:25 -starttls smtp

или для стандартного безопасного порта SMTP:

openssl s_client -connect mail.example.com:465

Я знаю, что это старый вопрос, но все еще актуальный вопрос даже сегодня для администраторов, желающих подтвердить действительность SSL-сертификата на своих почтовых серверах.

Вы можете посетить https://www.checktls.com и запустить тест бесплатно.

Если у вас нет OpenSSL, вы также можете использовать этот фрагмент Python:

import smtplib
import ssl

connection = smtplib.SMTP() 
connection.connect('[hostname].')
connection.starttls()
print ssl.DER_cert_to_PEM_cert(connection.sock.getpeercert(binary_form=True))

где [имя хоста] является сервером.

Источник: https://support.google.com/a/answer/6180220.

Это тянет за собой библиотеку OpenSSL, что делает установку немного проще.