Tenemos un servidor Exchange 2007 que se ejecuta en Windows Server 2008. Nuestro cliente utiliza un servidor de correo de otro proveedor. Sus políticas de seguridad nos exigen que utilicemos TLS forzado. Esto funcionaba bien hasta hace poco.
Ahora, cuando Exchange intenta entregar el correo al servidor del cliente, registra lo siguiente:
No se ha podido establecer una conexión segura con el dominio protegido "ourclient.com" en el conector "Correo externo predeterminado" porque la validación del certificado de seguridad de la capa de transporte (TLS) para ourclient.com ha fallado con el estado "UntrustedRoot". Ponte en contacto con el administrador de ourclient.com para resolver el problema o elimina el dominio de la lista de dominios seguros.
Eliminar ourclient.com de la TLSSendDomainSecureList hace que los mensajes se entreguen con éxito utilizando TLS oportunista, pero esto es una solución temporal en el mejor de los casos.
El cliente es una empresa internacional extremadamente grande y sensible a la seguridad. Nuestro contacto informático afirma no estar al tanto de ningún cambio en su certificado TLS. Le he pedido repetidamente que identifique la autoridad que generó el certificado para poder solucionar el error de validación, pero hasta ahora no ha podido dar una respuesta. Por lo que sé, nuestro cliente podría haber sustituido su certificado TLS válido por uno de una autoridad de certificación interna.
¿Alguien conoce una forma de inspeccionar manualmente el certificado TLS de un servidor SMTP remoto, como se puede hacer con el certificado de un servidor HTTPS remoto en un navegador web? Podría ser muy útil para determinar quién emitió el certificado y comparar esa información con la lista de certificados root de confianza de nuestro servidor Exchange.