Configurando TLS forçado / mútuo / necessário com checktls.com, enviando trabalhos, recebendo devoluções 530 5.7.1 (não autenticado)

2

Eu tenho o Exchange 2010 em uma VM do Windows Server 2008 R2 de 64 bits. Estou usando um certificado de vários domínios SSL de uma autoridade de certificação com os serviços IIS e SMTP habilitados. Meu objetivo é configurar TLS assegurada / forçada / obrigatória / tudo o que você chamar TLS (não oportunista) com o domínio checktls.com. Antes de configurar qualquer conector de envio / recebimento com eles, eu faço o seu TestReceiver ( link ) com todos os resultados ok e no verde.

  • Conectado ao servidor
  • Estamos autorizados a conectar
  • podemos usar este servidor
  • O TLS é uma opção neste servidor
  • O comando
  • STARTTLS funciona neste servidor
  • Conexão convertida para SSL
  • (dados de certificado)
  • Cert VALIDADO: ok
  • Certname do host VERIFIED
  • o TLS foi iniciado com sucesso neste servidor
  • O remetente está OK
  • Destinatário OK, endereço de e-mail corrigido
  • SAIR

Em seguida, faço seu TestSender ( link ) e o e-mail retorna "SUCCESSFUL" com o texto confiante de "Seu o email foi enviado com sucesso usando o TLS. "

Agora para os conectores. Em troca, eu crio um novo conector de envio chamado "CheckTLS" com o uso pretendido de "Parceiro". O espaço de endereço é "checktls.com" com "Incluir todos os subdomínios" marcado (Custo = 1). "Ativar segurança de domínio (TLS de autenticação mútua)" está marcada.

Eu criei um novo conector de recebimento chamado "CheckTLS" com o uso pretendido de "Partner", porta 25 e endereço IP remoto de 69.61.187.232 (endereço IP do CheckTLS). "Transport Layer Security (TLS)" e "Habilitar Segurança de Domínio (TLS de Autenticação Mútua)" são as únicas verificadas na guia Autenticação. Os grupos de permissões têm "Parceiros" e "Anônimos" marcados.

Eu emito os comandos do powershell ...

set-transportconfig -TLSReceiveDomainSecureList checktls.com

set-transportconfig -TLSSendDomainSecureList checktls.com

E aqui é onde tudo quebra ...

O teste TestReceiver do CheckTLS tem os seguintes detalhes ...

  • Conectado ao servidor
  • Estamos autorizados a conectar
  • podemos usar este servidor
  • O TLS é uma opção neste servidor
  • O comando
  • STARTTLS funciona neste servidor
  • Conexão convertida para SSL
  • (dados de certificado)
  • Cert VALIDADO: ok
  • Certname do host VERIFIED
  • o TLS foi iniciado com sucesso neste servidor
  • Falha na leitura (motivo: expirou)
  • Não é possível comprovar endereço de email (motivo: MAIL FROM rejeitado)
  • Nota: Isso não afeta o fator de confiança CheckTLS
  • SAIR
  • 530 5.7.1 Não autenticado

Meus logs do ReceiveSMTP no Exchange se parecem com isso ...

2014-09-17T18:57:43.290Z,MAIL\CheckTLS,08D1A0B838DEF207,0,10.10.30.9:25,69.61.187.232:56543,+,,
2014-09-17T18:57:43.290Z,MAIL\CheckTLS,08D1A0B838DEF207,1,10.10.30.9:25,69.61.187.232:56543,*,SMTPSubmit SMTPAcceptAnySender SMTPAcceptAuthoritativeDomainSender AcceptRoutingHeaders,Set Session Permissions
2014-09-17T18:57:43.290Z,MAIL\CheckTLS,08D1A0B838DEF207,2,10.10.30.9:25,69.61.187.232:56543,>,"220 MAIL.EXAMPLE.COM Microsoft ESMTP MAIL Service ready at Wed, 17 Sep 2014 13:57:42 -0500",
2014-09-17T18:57:43.337Z,MAIL\CheckTLS,08D1A0B838DEF207,3,10.10.30.9:25,69.61.187.232:56543,<,EHLO checktls.com,
2014-09-17T18:57:43.337Z,MAIL\CheckTLS,08D1A0B838DEF207,4,10.10.30.9:25,69.61.187.232:56543,>,250-MAIL.EXAMPLE.COM Hello [69.61.187.232],
2014-09-17T18:57:43.337Z,MAIL\CheckTLS,08D1A0B838DEF207,5,10.10.30.9:25,69.61.187.232:56543,>,250-SIZE 10485760,
2014-09-17T18:57:43.337Z,MAIL\CheckTLS,08D1A0B838DEF207,6,10.10.30.9:25,69.61.187.232:56543,>,250-PIPELINING,
2014-09-17T18:57:43.337Z,MAIL\CheckTLS,08D1A0B838DEF207,7,10.10.30.9:25,69.61.187.232:56543,>,250-DSN,
2014-09-17T18:57:43.337Z,MAIL\CheckTLS,08D1A0B838DEF207,8,10.10.30.9:25,69.61.187.232:56543,>,250-ENHANCEDSTATUSCODES,
2014-09-17T18:57:43.337Z,MAIL\CheckTLS,08D1A0B838DEF207,9,10.10.30.9:25,69.61.187.232:56543,>,250-STARTTLS,
2014-09-17T18:57:43.337Z,MAIL\CheckTLS,08D1A0B838DEF207,10,10.10.30.9:25,69.61.187.232:56543,>,250-AUTH,
2014-09-17T18:57:43.337Z,MAIL\CheckTLS,08D1A0B838DEF207,11,10.10.30.9:25,69.61.187.232:56543,>,250-8BITMIME,
2014-09-17T18:57:43.337Z,MAIL\CheckTLS,08D1A0B838DEF207,12,10.10.30.9:25,69.61.187.232:56543,>,250-BINARYMIME,
2014-09-17T18:57:43.337Z,MAIL\CheckTLS,08D1A0B838DEF207,13,10.10.30.9:25,69.61.187.232:56543,>,250 CHUNKING,
2014-09-17T18:57:43.384Z,MAIL\CheckTLS,08D1A0B838DEF207,14,10.10.30.9:25,69.61.187.232:56543,<,STARTTLS,
2014-09-17T18:57:43.384Z,MAIL\CheckTLS,08D1A0B838DEF207,15,10.10.30.9:25,69.61.187.232:56543,>,220 2.0.0 SMTP server ready,
2014-09-17T18:57:43.384Z,MAIL\CheckTLS,08D1A0B838DEF207,16,10.10.30.9:25,69.61.187.232:56543,*,,Sending certificate
2014-09-17T18:57:43.384Z,MAIL\CheckTLS,08D1A0B838DEF207,17,10.10.30.9:25,69.61.187.232:56543,*,"CN=MAIL.EXAMPLE.COM, OU=PositiveSSL Multi-Domain, OU=Domain Control Validated",Certificate subject
2014-09-17T18:57:43.384Z,MAIL\CheckTLS,08D1A0B838DEF207,18,10.10.30.9:25,69.61.187.232:56543,*,"CN=PositiveSSL CA 2, O=COMODO CA Limited, L=Salford, S=Greater Manchester, C=GB",Certificate issuer name
2014-09-17T18:57:43.384Z,MAIL\CheckTLS,08D1A0B838DEF207,19,10.10.30.9:25,69.61.187.232:56543,*,0011001001001001000100,Certificate serial number
2014-09-17T18:57:43.384Z,MAIL\CheckTLS,08D1A0B838DEF207,20,10.10.30.9:25,69.61.187.232:56543,*,000011100011100001110001100,Certificate thumbprint
2014-09-17T18:57:43.384Z,MAIL\CheckTLS,08D1A0B838DEF207,21,10.10.30.9:25,69.61.187.232:56543,*,MAIL.EXAMPLE.COM;AUTODISCOVER.EXAMPLE.COM;WEBMAIL.EXAMPLE.COM,Certificate alternate names
2014-09-17T18:57:43.883Z,MAIL\CheckTLS,08D1A0B838DEF207,22,10.10.30.9:25,69.61.187.232:56543,<,EHLO checktls.com,
2014-09-17T18:57:43.883Z,MAIL\CheckTLS,08D1A0B838DEF207,23,10.10.30.9:25,69.61.187.232:56543,*,,TlsDomainCapabilities='None'; Status='NoRemoteCertificate'
2014-09-17T18:57:43.883Z,MAIL\CheckTLS,08D1A0B838DEF207,24,10.10.30.9:25,69.61.187.232:56543,>,250-MAIL.EXAMPLE.COM Hello [69.61.187.232],
2014-09-17T18:57:43.883Z,MAIL\CheckTLS,08D1A0B838DEF207,25,10.10.30.9:25,69.61.187.232:56543,>,250-SIZE 10485760,
2014-09-17T18:57:43.883Z,MAIL\CheckTLS,08D1A0B838DEF207,26,10.10.30.9:25,69.61.187.232:56543,>,250-PIPELINING,
2014-09-17T18:57:43.883Z,MAIL\CheckTLS,08D1A0B838DEF207,27,10.10.30.9:25,69.61.187.232:56543,>,250-DSN,
2014-09-17T18:57:43.883Z,MAIL\CheckTLS,08D1A0B838DEF207,28,10.10.30.9:25,69.61.187.232:56543,>,250-ENHANCEDSTATUSCODES,
2014-09-17T18:57:43.883Z,MAIL\CheckTLS,08D1A0B838DEF207,29,10.10.30.9:25,69.61.187.232:56543,>,250-AUTH,
2014-09-17T18:57:43.883Z,MAIL\CheckTLS,08D1A0B838DEF207,30,10.10.30.9:25,69.61.187.232:56543,>,250-8BITMIME,
2014-09-17T18:57:43.883Z,MAIL\CheckTLS,08D1A0B838DEF207,31,10.10.30.9:25,69.61.187.232:56543,>,250-BINARYMIME,
2014-09-17T18:57:43.883Z,MAIL\CheckTLS,08D1A0B838DEF207,32,10.10.30.9:25,69.61.187.232:56543,>,250 CHUNKING,
2014-09-17T18:57:43.945Z,MAIL\CheckTLS,08D1A0B838DEF207,33,10.10.30.9:25,69.61.187.232:56543,<,MAIL FROM:<[email protected]>,
2014-09-17T18:57:43.945Z,MAIL\CheckTLS,08D1A0B838DEF207,34,10.10.30.9:25,69.61.187.232:56543,*,Tarpit for '0.00:00:30',
2014-09-17T18:58:13.959Z,MAIL\CheckTLS,08D1A0B838DEF207,35,10.10.30.9:25,69.61.187.232:56543,>,530 5.7.1 Not authenticated,
2014-09-17T18:58:13.959Z,MAIL\CheckTLS,08D1A0B838DEF207,36,10.10.30.9:25,69.61.187.232:56543,<,QUIT,
2014-09-17T18:58:13.959Z,MAIL\CheckTLS,08D1A0B838DEF207,37,10.10.30.9:25,69.61.187.232:56543,>,221 2.0.0 Service closing transmission channel,
2014-09-17T18:58:13.959Z,MAIL\CheckTLS,08D1A0B838DEF207,38,10.10.30.9:25,69.61.187.232:56543,-,,Local

Como agora não consigo receber nada do CheckTLS, não consigo ver os resultados do teste CheckSender, mas os logs SendSMTP do meu servidor de troca mostram o seguinte ...

2014-09-17T19:13:00.085Z,CheckTLS,08D1A0B838DEF26D,10,10.10.30.9:63267,69.61.187.246:25,<,220 Ready to start TLS,
2014-09-17T19:13:00.085Z,CheckTLS,08D1A0B838DEF26D,11,10.10.30.9:63267,69.61.187.246:25,*,,Sending certificate
2014-09-17T19:13:00.085Z,CheckTLS,08D1A0B838DEF26D,12,10.10.30.9:63267,69.61.187.246:25,*,"CN=mail.EXAMPLE.COM, OU=PositiveSSL Multi-Domain, OU=Domain Control Validated",Certificate subject
2014-09-17T19:13:00.085Z,CheckTLS,08D1A0B838DEF26D,13,10.10.30.9:63267,69.61.187.246:25,*,"CN=PositiveSSL CA 2, O=COMODO CA Limited, L=Salford, S=Greater Manchester, C=GB",Certificate issuer name
2014-09-17T19:13:00.085Z,CheckTLS,08D1A0B838DEF26D,14,10.10.30.9:63267,69.61.187.246:25,*,1110010101010101010101001111,Certificate serial number
2014-09-17T19:13:00.085Z,CheckTLS,08D1A0B838DEF26D,15,10.10.30.9:63267,69.61.187.246:25,*,1100101001001010010101001010101010101,Certificate thumbprint
2014-09-17T19:13:00.085Z,CheckTLS,08D1A0B838DEF26D,16,10.10.30.9:63267,69.61.187.246:25,*,MAIL.EXAMPLE.COM;AUTODISCOVER.EXAMPLE.COM;WEBMAIL.EXAMPLE.COM,Certificate alternate names
2014-09-17T19:13:00.194Z,CheckTLS,08D1A0B838DEF26D,17,10.10.30.9:63267,69.61.187.246:25,*,,Received certificate
2014-09-17T19:13:00.194Z,CheckTLS,08D1A0B838DEF26D,18,10.10.30.9:63267,69.61.187.246:25,*,11010010010010101010010101001001001,Certificate thumbprint
2014-09-17T19:13:00.194Z,CheckTLS,08D1A0B838DEF26D,19,10.10.30.9:63267,69.61.187.246:25,>,EHLO MAIL.EXAMPLE.COM,
2014-09-17T19:13:00.241Z,CheckTLS,08D1A0B838DEF26D,20,10.10.30.9:63267,69.61.187.246:25,<,"250-ts3.checktls.com Hello mail.EXAMPLE.COM [1.2.3.4], pleased to meet you",
2014-09-17T19:13:00.241Z,CheckTLS,08D1A0B838DEF26D,21,10.10.30.9:63267,69.61.187.246:25,<,250-ENHANCEDSTATUSCODES,
2014-09-17T19:13:00.241Z,CheckTLS,08D1A0B838DEF26D,22,10.10.30.9:63267,69.61.187.246:25,<,250-8BITMIME,
2014-09-17T19:13:00.241Z,CheckTLS,08D1A0B838DEF26D,23,10.10.30.9:63267,69.61.187.246:25,<,250 HELP,
2014-09-17T19:13:00.241Z,CheckTLS,08D1A0B838DEF26D,24,10.10.30.9:63267,69.61.187.246:25,*,2238593,sending message
2014-09-17T19:13:00.241Z,CheckTLS,08D1A0B838DEF26D,25,10.10.30.9:63267,69.61.187.246:25,>,MAIL FROM:<[email protected]>,
2014-09-17T19:13:00.288Z,CheckTLS,08D1A0B838DEF26D,26,10.10.30.9:63267,69.61.187.246:25,<,250 Ok - mail from [email protected],
2014-09-17T19:13:00.288Z,CheckTLS,08D1A0B838DEF26D,27,10.10.30.9:63267,69.61.187.246:25,>,RCPT TO:<[email protected]>,
2014-09-17T19:13:00.350Z,CheckTLS,08D1A0B838DEF26D,28,10.10.30.9:63267,69.61.187.246:25,<,250 Ok - recipient [email protected],
2014-09-17T19:13:00.350Z,CheckTLS,08D1A0B838DEF26D,29,10.10.30.9:63267,69.61.187.246:25,>,DATA,
2014-09-17T19:13:00.397Z,CheckTLS,08D1A0B838DEF26D,30,10.10.30.9:63267,69.61.187.246:25,<,354 Send data.  End with CRLF.CRLF,
2014-09-17T19:13:00.537Z,CheckTLS,08D1A0B838DEF26D,31,10.10.30.9:63267,69.61.187.246:25,<,250 Ok,
2014-09-17T19:13:00.553Z,CheckTLS,08D1A0B838DEF26D,32,10.10.30.9:63267,69.61.187.246:25,>,QUIT,
2014-09-17T19:13:00.600Z,CheckTLS,08D1A0B838DEF26D,33,10.10.30.9:63267,69.61.187.246:25,<,221 ts3.checktls.com closing connection,
2014-09-17T19:13:00.600Z,CheckTLS,08D1A0B838DEF26D,34,10.10.30.9:63267,69.61.187.246:25,-,,Local

O Visualizador de Eventos em troca mostra um ID de evento 11017 (MSExchangeTransport) com a mensagem "Uma mensagem do domínio protegido por domínio 'CheckTLS.com' no conector 'CheckTLS' falhou ao autenticar porque não havia nenhum certificado TLS (Transport Layer Security) Entre em contato com o administrador do CheckTLS.com para resolver o problema ou remova o domínio da lista de domínios protegidos. "

Eu tenho um firewall Sonicwall NSA 2400, pois li alguns problemas de TLS com firewalls da Cisco fazendo algo com o tráfego TLS. Nada do que vi nos logs do Sonicwall indicaria que esse é o problema.

Desculpe pelo bombardeio de informações, mas estou no meu juízo final tentando obter essa configuração corretamente. Quaisquer recomendações sobre onde eu posso ir em seguida seriam apreciadas. Uma vez que eu funcione corretamente com o CheckTLS, o plano é configurá-lo com parceiros de negócios reais, mas primeiro preciso de todos os meus patos seguidos.

Obrigado gentilmente.

    
por Dojo Mayne 17.09.2014 / 21:38

2 respostas

2

Eu tive esse mesmo problema e encontrei uma solução aqui (primeira resposta): link

Envolvia desmarcar o TLS de Autenticação Mútua e defini-lo apenas para criptografia; caso contrário, você precisaria dos certificados dos domínios parceiros. Espero que isso ajude.

    
por 08.10.2014 / 17:45
0

Eu tive esse mesmo problema ao configurar um conector de recebimento para TLS mútuo para teste contra checkTLS. Eu adicionei checktls.com à lista segura de domínio e ele falha após o email: da parte nos logs SMTP (530 5.7.59 SMTP; Falha na autenticação durante MAIL FROM).

A falha gerou um evento 11017 nos logs do servidor (uma mensagem do domínio protegido por domínio 'checktls.com' no conector 'Receive CheckTLS' falhou na autenticação porque nenhum certificado de TLS foi fornecido. Entre em contato com o administrador para checktls.com para resolver o problema ou remover o domínio da lista de domínios protegidos).

Revisando o certificado, parece que o nome do host no certificado é mail6.checktls.com. Quando mudei a entrada na lista segura de domínio para mail6.checktls.com, o erro desapareceu.

    
por 09.05.2018 / 22:51

Tags