Eu tenho o Exchange 2010 em uma VM do Windows Server 2008 R2 de 64 bits. Estou usando um certificado de vários domínios SSL de uma autoridade de certificação com os serviços IIS e SMTP habilitados. Meu objetivo é configurar TLS assegurada / forçada / obrigatória / tudo o que você chamar TLS (não oportunista) com o domínio checktls.com. Antes de configurar qualquer conector de envio / recebimento com eles, eu faço o seu TestReceiver ( link ) com todos os resultados ok e no verde.
- Conectado ao servidor
- Estamos autorizados a conectar
- podemos usar este servidor
- O TLS é uma opção neste servidor
O comando - STARTTLS funciona neste servidor
- Conexão convertida para SSL
- (dados de certificado)
- Cert VALIDADO: ok
- Certname do host VERIFIED
- o TLS foi iniciado com sucesso neste servidor
- O remetente está OK
- Destinatário OK, endereço de e-mail corrigido
- SAIR
Em seguida, faço seu TestSender ( link ) e o e-mail retorna "SUCCESSFUL" com o texto confiante de "Seu o email foi enviado com sucesso usando o TLS. "
Agora para os conectores. Em troca, eu crio um novo conector de envio chamado "CheckTLS" com o uso pretendido de "Parceiro". O espaço de endereço é "checktls.com" com "Incluir todos os subdomínios" marcado (Custo = 1). "Ativar segurança de domínio (TLS de autenticação mútua)" está marcada.
Eu criei um novo conector de recebimento chamado "CheckTLS" com o uso pretendido de "Partner", porta 25 e endereço IP remoto de 69.61.187.232 (endereço IP do CheckTLS). "Transport Layer Security (TLS)" e "Habilitar Segurança de Domínio (TLS de Autenticação Mútua)" são as únicas verificadas na guia Autenticação. Os grupos de permissões têm "Parceiros" e "Anônimos" marcados.
Eu emito os comandos do powershell ...
set-transportconfig -TLSReceiveDomainSecureList checktls.com
set-transportconfig -TLSSendDomainSecureList checktls.com
E aqui é onde tudo quebra ...
O teste TestReceiver do CheckTLS tem os seguintes detalhes ...
- Conectado ao servidor
- Estamos autorizados a conectar
- podemos usar este servidor
- O TLS é uma opção neste servidor
O comando - STARTTLS funciona neste servidor
- Conexão convertida para SSL
- (dados de certificado)
- Cert VALIDADO: ok
- Certname do host VERIFIED
- o TLS foi iniciado com sucesso neste servidor
- Falha na leitura (motivo: expirou)
- Não é possível comprovar endereço de email (motivo: MAIL FROM rejeitado)
- Nota: Isso não afeta o fator de confiança CheckTLS
- SAIR
- 530 5.7.1 Não autenticado
Meus logs do ReceiveSMTP no Exchange se parecem com isso ...
2014-09-17T18:57:43.290Z,MAIL\CheckTLS,08D1A0B838DEF207,0,10.10.30.9:25,69.61.187.232:56543,+,,
2014-09-17T18:57:43.290Z,MAIL\CheckTLS,08D1A0B838DEF207,1,10.10.30.9:25,69.61.187.232:56543,*,SMTPSubmit SMTPAcceptAnySender SMTPAcceptAuthoritativeDomainSender AcceptRoutingHeaders,Set Session Permissions
2014-09-17T18:57:43.290Z,MAIL\CheckTLS,08D1A0B838DEF207,2,10.10.30.9:25,69.61.187.232:56543,>,"220 MAIL.EXAMPLE.COM Microsoft ESMTP MAIL Service ready at Wed, 17 Sep 2014 13:57:42 -0500",
2014-09-17T18:57:43.337Z,MAIL\CheckTLS,08D1A0B838DEF207,3,10.10.30.9:25,69.61.187.232:56543,<,EHLO checktls.com,
2014-09-17T18:57:43.337Z,MAIL\CheckTLS,08D1A0B838DEF207,4,10.10.30.9:25,69.61.187.232:56543,>,250-MAIL.EXAMPLE.COM Hello [69.61.187.232],
2014-09-17T18:57:43.337Z,MAIL\CheckTLS,08D1A0B838DEF207,5,10.10.30.9:25,69.61.187.232:56543,>,250-SIZE 10485760,
2014-09-17T18:57:43.337Z,MAIL\CheckTLS,08D1A0B838DEF207,6,10.10.30.9:25,69.61.187.232:56543,>,250-PIPELINING,
2014-09-17T18:57:43.337Z,MAIL\CheckTLS,08D1A0B838DEF207,7,10.10.30.9:25,69.61.187.232:56543,>,250-DSN,
2014-09-17T18:57:43.337Z,MAIL\CheckTLS,08D1A0B838DEF207,8,10.10.30.9:25,69.61.187.232:56543,>,250-ENHANCEDSTATUSCODES,
2014-09-17T18:57:43.337Z,MAIL\CheckTLS,08D1A0B838DEF207,9,10.10.30.9:25,69.61.187.232:56543,>,250-STARTTLS,
2014-09-17T18:57:43.337Z,MAIL\CheckTLS,08D1A0B838DEF207,10,10.10.30.9:25,69.61.187.232:56543,>,250-AUTH,
2014-09-17T18:57:43.337Z,MAIL\CheckTLS,08D1A0B838DEF207,11,10.10.30.9:25,69.61.187.232:56543,>,250-8BITMIME,
2014-09-17T18:57:43.337Z,MAIL\CheckTLS,08D1A0B838DEF207,12,10.10.30.9:25,69.61.187.232:56543,>,250-BINARYMIME,
2014-09-17T18:57:43.337Z,MAIL\CheckTLS,08D1A0B838DEF207,13,10.10.30.9:25,69.61.187.232:56543,>,250 CHUNKING,
2014-09-17T18:57:43.384Z,MAIL\CheckTLS,08D1A0B838DEF207,14,10.10.30.9:25,69.61.187.232:56543,<,STARTTLS,
2014-09-17T18:57:43.384Z,MAIL\CheckTLS,08D1A0B838DEF207,15,10.10.30.9:25,69.61.187.232:56543,>,220 2.0.0 SMTP server ready,
2014-09-17T18:57:43.384Z,MAIL\CheckTLS,08D1A0B838DEF207,16,10.10.30.9:25,69.61.187.232:56543,*,,Sending certificate
2014-09-17T18:57:43.384Z,MAIL\CheckTLS,08D1A0B838DEF207,17,10.10.30.9:25,69.61.187.232:56543,*,"CN=MAIL.EXAMPLE.COM, OU=PositiveSSL Multi-Domain, OU=Domain Control Validated",Certificate subject
2014-09-17T18:57:43.384Z,MAIL\CheckTLS,08D1A0B838DEF207,18,10.10.30.9:25,69.61.187.232:56543,*,"CN=PositiveSSL CA 2, O=COMODO CA Limited, L=Salford, S=Greater Manchester, C=GB",Certificate issuer name
2014-09-17T18:57:43.384Z,MAIL\CheckTLS,08D1A0B838DEF207,19,10.10.30.9:25,69.61.187.232:56543,*,0011001001001001000100,Certificate serial number
2014-09-17T18:57:43.384Z,MAIL\CheckTLS,08D1A0B838DEF207,20,10.10.30.9:25,69.61.187.232:56543,*,000011100011100001110001100,Certificate thumbprint
2014-09-17T18:57:43.384Z,MAIL\CheckTLS,08D1A0B838DEF207,21,10.10.30.9:25,69.61.187.232:56543,*,MAIL.EXAMPLE.COM;AUTODISCOVER.EXAMPLE.COM;WEBMAIL.EXAMPLE.COM,Certificate alternate names
2014-09-17T18:57:43.883Z,MAIL\CheckTLS,08D1A0B838DEF207,22,10.10.30.9:25,69.61.187.232:56543,<,EHLO checktls.com,
2014-09-17T18:57:43.883Z,MAIL\CheckTLS,08D1A0B838DEF207,23,10.10.30.9:25,69.61.187.232:56543,*,,TlsDomainCapabilities='None'; Status='NoRemoteCertificate'
2014-09-17T18:57:43.883Z,MAIL\CheckTLS,08D1A0B838DEF207,24,10.10.30.9:25,69.61.187.232:56543,>,250-MAIL.EXAMPLE.COM Hello [69.61.187.232],
2014-09-17T18:57:43.883Z,MAIL\CheckTLS,08D1A0B838DEF207,25,10.10.30.9:25,69.61.187.232:56543,>,250-SIZE 10485760,
2014-09-17T18:57:43.883Z,MAIL\CheckTLS,08D1A0B838DEF207,26,10.10.30.9:25,69.61.187.232:56543,>,250-PIPELINING,
2014-09-17T18:57:43.883Z,MAIL\CheckTLS,08D1A0B838DEF207,27,10.10.30.9:25,69.61.187.232:56543,>,250-DSN,
2014-09-17T18:57:43.883Z,MAIL\CheckTLS,08D1A0B838DEF207,28,10.10.30.9:25,69.61.187.232:56543,>,250-ENHANCEDSTATUSCODES,
2014-09-17T18:57:43.883Z,MAIL\CheckTLS,08D1A0B838DEF207,29,10.10.30.9:25,69.61.187.232:56543,>,250-AUTH,
2014-09-17T18:57:43.883Z,MAIL\CheckTLS,08D1A0B838DEF207,30,10.10.30.9:25,69.61.187.232:56543,>,250-8BITMIME,
2014-09-17T18:57:43.883Z,MAIL\CheckTLS,08D1A0B838DEF207,31,10.10.30.9:25,69.61.187.232:56543,>,250-BINARYMIME,
2014-09-17T18:57:43.883Z,MAIL\CheckTLS,08D1A0B838DEF207,32,10.10.30.9:25,69.61.187.232:56543,>,250 CHUNKING,
2014-09-17T18:57:43.945Z,MAIL\CheckTLS,08D1A0B838DEF207,33,10.10.30.9:25,69.61.187.232:56543,<,MAIL FROM:<[email protected]>,
2014-09-17T18:57:43.945Z,MAIL\CheckTLS,08D1A0B838DEF207,34,10.10.30.9:25,69.61.187.232:56543,*,Tarpit for '0.00:00:30',
2014-09-17T18:58:13.959Z,MAIL\CheckTLS,08D1A0B838DEF207,35,10.10.30.9:25,69.61.187.232:56543,>,530 5.7.1 Not authenticated,
2014-09-17T18:58:13.959Z,MAIL\CheckTLS,08D1A0B838DEF207,36,10.10.30.9:25,69.61.187.232:56543,<,QUIT,
2014-09-17T18:58:13.959Z,MAIL\CheckTLS,08D1A0B838DEF207,37,10.10.30.9:25,69.61.187.232:56543,>,221 2.0.0 Service closing transmission channel,
2014-09-17T18:58:13.959Z,MAIL\CheckTLS,08D1A0B838DEF207,38,10.10.30.9:25,69.61.187.232:56543,-,,Local
Como agora não consigo receber nada do CheckTLS, não consigo ver os resultados do teste CheckSender, mas os logs SendSMTP do meu servidor de troca mostram o seguinte ...
2014-09-17T19:13:00.085Z,CheckTLS,08D1A0B838DEF26D,10,10.10.30.9:63267,69.61.187.246:25,<,220 Ready to start TLS,
2014-09-17T19:13:00.085Z,CheckTLS,08D1A0B838DEF26D,11,10.10.30.9:63267,69.61.187.246:25,*,,Sending certificate
2014-09-17T19:13:00.085Z,CheckTLS,08D1A0B838DEF26D,12,10.10.30.9:63267,69.61.187.246:25,*,"CN=mail.EXAMPLE.COM, OU=PositiveSSL Multi-Domain, OU=Domain Control Validated",Certificate subject
2014-09-17T19:13:00.085Z,CheckTLS,08D1A0B838DEF26D,13,10.10.30.9:63267,69.61.187.246:25,*,"CN=PositiveSSL CA 2, O=COMODO CA Limited, L=Salford, S=Greater Manchester, C=GB",Certificate issuer name
2014-09-17T19:13:00.085Z,CheckTLS,08D1A0B838DEF26D,14,10.10.30.9:63267,69.61.187.246:25,*,1110010101010101010101001111,Certificate serial number
2014-09-17T19:13:00.085Z,CheckTLS,08D1A0B838DEF26D,15,10.10.30.9:63267,69.61.187.246:25,*,1100101001001010010101001010101010101,Certificate thumbprint
2014-09-17T19:13:00.085Z,CheckTLS,08D1A0B838DEF26D,16,10.10.30.9:63267,69.61.187.246:25,*,MAIL.EXAMPLE.COM;AUTODISCOVER.EXAMPLE.COM;WEBMAIL.EXAMPLE.COM,Certificate alternate names
2014-09-17T19:13:00.194Z,CheckTLS,08D1A0B838DEF26D,17,10.10.30.9:63267,69.61.187.246:25,*,,Received certificate
2014-09-17T19:13:00.194Z,CheckTLS,08D1A0B838DEF26D,18,10.10.30.9:63267,69.61.187.246:25,*,11010010010010101010010101001001001,Certificate thumbprint
2014-09-17T19:13:00.194Z,CheckTLS,08D1A0B838DEF26D,19,10.10.30.9:63267,69.61.187.246:25,>,EHLO MAIL.EXAMPLE.COM,
2014-09-17T19:13:00.241Z,CheckTLS,08D1A0B838DEF26D,20,10.10.30.9:63267,69.61.187.246:25,<,"250-ts3.checktls.com Hello mail.EXAMPLE.COM [1.2.3.4], pleased to meet you",
2014-09-17T19:13:00.241Z,CheckTLS,08D1A0B838DEF26D,21,10.10.30.9:63267,69.61.187.246:25,<,250-ENHANCEDSTATUSCODES,
2014-09-17T19:13:00.241Z,CheckTLS,08D1A0B838DEF26D,22,10.10.30.9:63267,69.61.187.246:25,<,250-8BITMIME,
2014-09-17T19:13:00.241Z,CheckTLS,08D1A0B838DEF26D,23,10.10.30.9:63267,69.61.187.246:25,<,250 HELP,
2014-09-17T19:13:00.241Z,CheckTLS,08D1A0B838DEF26D,24,10.10.30.9:63267,69.61.187.246:25,*,2238593,sending message
2014-09-17T19:13:00.241Z,CheckTLS,08D1A0B838DEF26D,25,10.10.30.9:63267,69.61.187.246:25,>,MAIL FROM:<[email protected]>,
2014-09-17T19:13:00.288Z,CheckTLS,08D1A0B838DEF26D,26,10.10.30.9:63267,69.61.187.246:25,<,250 Ok - mail from [email protected],
2014-09-17T19:13:00.288Z,CheckTLS,08D1A0B838DEF26D,27,10.10.30.9:63267,69.61.187.246:25,>,RCPT TO:<[email protected]>,
2014-09-17T19:13:00.350Z,CheckTLS,08D1A0B838DEF26D,28,10.10.30.9:63267,69.61.187.246:25,<,250 Ok - recipient [email protected],
2014-09-17T19:13:00.350Z,CheckTLS,08D1A0B838DEF26D,29,10.10.30.9:63267,69.61.187.246:25,>,DATA,
2014-09-17T19:13:00.397Z,CheckTLS,08D1A0B838DEF26D,30,10.10.30.9:63267,69.61.187.246:25,<,354 Send data. End with CRLF.CRLF,
2014-09-17T19:13:00.537Z,CheckTLS,08D1A0B838DEF26D,31,10.10.30.9:63267,69.61.187.246:25,<,250 Ok,
2014-09-17T19:13:00.553Z,CheckTLS,08D1A0B838DEF26D,32,10.10.30.9:63267,69.61.187.246:25,>,QUIT,
2014-09-17T19:13:00.600Z,CheckTLS,08D1A0B838DEF26D,33,10.10.30.9:63267,69.61.187.246:25,<,221 ts3.checktls.com closing connection,
2014-09-17T19:13:00.600Z,CheckTLS,08D1A0B838DEF26D,34,10.10.30.9:63267,69.61.187.246:25,-,,Local
O Visualizador de Eventos em troca mostra um ID de evento 11017 (MSExchangeTransport) com a mensagem "Uma mensagem do domínio protegido por domínio 'CheckTLS.com' no conector 'CheckTLS' falhou ao autenticar porque não havia nenhum certificado TLS (Transport Layer Security) Entre em contato com o administrador do CheckTLS.com para resolver o problema ou remova o domínio da lista de domínios protegidos. "
Eu tenho um firewall Sonicwall NSA 2400, pois li alguns problemas de TLS com firewalls da Cisco fazendo algo com o tráfego TLS. Nada do que vi nos logs do Sonicwall indicaria que esse é o problema.
Desculpe pelo bombardeio de informações, mas estou no meu juízo final tentando obter essa configuração corretamente. Quaisquer recomendações sobre onde eu posso ir em seguida seriam apreciadas. Uma vez que eu funcione corretamente com o CheckTLS, o plano é configurá-lo com parceiros de negócios reais, mas primeiro preciso de todos os meus patos seguidos.
Obrigado gentilmente.