Bagaimana cara memeriksa sertifikat TLS server SMTP jarak jauh?

Kami memiliki server Exchange 2007 yang berjalan di Windows Server 2008. Klien kami menggunakan server email vendor lain. Kebijakan keamanan mereka mengharuskan kami untuk menggunakan TLS yang dipaksakan. Ini berfungsi dengan baik sampai saat ini.

Sekarang, ketika Exchange mencoba mengirim email ke server klien, ia mencatat berikut ini:

Koneksi aman ke domain aman domain 'ourclient.com' pada konektor 'Default external mail' tidak dapat dibuat karena validasi sertifikat Transport Layer Security (TLS) untuk ourclient.com gagal dengan status 'UntrustedRoot. Hubungi administrator dari ourclient.com untuk menyelesaikan masalah, atau hapus domain dari daftar yang diamankan oleh domain.

Menghapus ourclient.com dari TLSSendDomainSecureList menyebabkan pesan berhasil terkirim menggunakan TLS oportunistik, tetapi ini adalah solusi sementara yang terbaik.

Klien adalah perusahaan internasional yang sangat besar, peka terhadap keamanan. Kontak IT kami di sana mengklaim tidak mengetahui adanya perubahan pada sertifikat TLS mereka. Saya telah memintanya berulang kali untuk mengidentifikasi otoritas yang menghasilkan sertifikat sehingga saya dapat memecahkan masalah kesalahan validasi, tetapi sejauh ini dia tidak dapat memberikan jawaban. Sejauh yang saya tahu, klien kami dapat mengganti sertifikat TLS mereka yang valid dengan sertifikat dari otoritas sertifikat internal.

Adakah yang tahu cara untuk memeriksa secara manual sertifikat TLS server SMTP jarak jauh, seperti yang dapat dilakukan untuk sertifikat server HTTPS jarak jauh di peramban web? Akan sangat membantu untuk menentukan siapa yang mengeluarkan sertifikat dan membandingkan informasi itu dengan daftar sertifikat akar tepercaya di server Exchange kami.

Anda dapat menggunakan OpenSSL. Jika Anda harus memeriksa sertifikatnya STARTTLS, lakukan saja

openssl s_client -connect mail.example.com:25 -starttls smtp

atau untuk port smtp aman standar:

openssl s_client -connect mail.example.com:465

Saya tahu ini adalah pertanyaan lama, tetapi masih merupakan pertanyaan yang relevan bahkan hingga hari ini untuk admin yang ingin mengonfirmasi validitas Sertifikat SSL di server email mereka.

Anda dapat mengunjungi https://www.checktls.com dan menjalankan tes gratis.

Jika Anda tidak memiliki OpenSSL, Anda juga dapat menggunakan potongan Python ini:

import smtplib
import ssl

connection = smtplib.SMTP() 
connection.connect('[hostname].')
connection.starttls()
print ssl.DER_cert_to_PEM_cert(connection.sock.getpeercert(binary_form=True))

di mana [nama host] adalah server.

Sumber: https://support.google.com/a/answer/6180220

Ini menarik pustaka OpenSSL untuk Anda, yang membuat instalasi sedikit lebih mudah.