Есть ли способ проверить сертификат SSL для SMTP-сервера?
Пару месяцев назад моя компания купила сертификат Rapid SSL, который поддерживает до 256-битной криптографии и который используется как для связи между нашими мобильными приложениями и нашим сервером, так и для отправки электронных писем нашим SMTP-сервером, который также находится внутри нашего Windows Server. 2012 R2. Мне удалось правильно установить его с помощью IIS 6 на настраиваемый SMTP-сервер. Кажется, все работает нормально, но только наша компания сообщила нам, что наш SMTP-сервер не может подключиться к их серверу входящей электронной почты, потому что
используемый нами сертификат не может быть «совместим» с новыми стандартами криптографии SHA256.
Я не знаю точно, что это значит, но я позвонил нашему провайдеру сертификатов, и они заверили нас, что сертификат, который мы купили, правильный. Более того, я совершенно уверен, что компания ошибается, потому что наш SMTP-сертификат может подключаться не только к учетным записям Gmail, но и ко многим другим серверам входящей электронной почты, использующим этот сертификат. И сообщения всегда доставлялись правильно. Итак, я не знаю, где и как искать проблему.
Как правило, наш SMTP-сервер вызывается веб-приложениями .NET, развернутыми на нашем сервере Windows 2012 R2, как показано ниже:
IDMailer M = null;
M = (IDMailer)new IDMailer();
M.FromAddress = new IDVariant(v_VEMAILRESIDE).stringValue();
M.Subject = IDL.FormatMessage((new IDVariant("|1: manutenzione ODL |2")), v_VNOMERESIDEN, v_ODL).stringValue();
M.SetRelayServer((new IDVariant("www.ourserver.it")).stringValue(), (new IDVariant(25)).intValue(), (new IDVariant("username")).stringValue(), (new IDVariant("password")).stringValue(),(new IDVariant(-1)).booleanValue());
M.HTMLBody = new IDVariant(v_HTML_MESSAGE).stringValue();
Как видите, IDMailer (из framework System.Net.Mail) настроен как на использование нашего сервера в качестве реле, так и на использование криптографии для подключения к реле (последний параметр). Таким образом, я действительно не знаю, где искать проблему и даже существует ли проблема и является ли она нашей.
ОБНОВИТЬ
Как было предложено, я пытаюсь проанализировать почтовые серверы с помощью этот сайт используя электронную почту одного из наших клиентов, чтобы проверить безопасное соединение с их сервером входящей почты.
Это первый сводный отчет:
из которого я получил подтверждение, что их авторитетный сервер входящей почты - это первые два. Тогда это журнал первого сервера (второй идентичен)
из чего я понял, что проблема может быть их, так как
TLS не доступен на этом сервере
Я имею в виду, что это может быть их сервер, который не поддерживает TLS. Таким образом, поскольку наш SMTP-сервер работает исключительно с сертификатом SSL, он не может подключиться к их серверу входящей почты. Я прав или мне что-то еще не хватает?
вы пробовали сайт вроде http://checktls.com? Я использовал его, когда у нас было сообщение компании о том, что они получали случайные ошибки сертификатов при подключении к нашим почтовым серверам. Удалось определить, что к одному ящику применен неправильный сертификат.
Это сообщение об ошибке больше похоже на проблему с подписью на вашем сервере Windows. Это отдельный от сертификата SSL, который применяется к соединению, но не к идентичности вашего сервера. Windows любит подписывать вещи с помощью оболочки безопасности MD5, если вы специально не указали иное. MD5 был нарушен, поэтому сертификаты, обернутые с использованием MD5, больше не являются действительной проверкой идентификации. Вам нужно будет проверить и перевыпустить сертификат, который идентифицирует ваш почтовый сервер, на один, завернутый в SHA256.