Comment inspecter le certificat TLS du serveur SMTP distant?

Nous avons un serveur Exchange 2007 sous Windows Server 2008. Notre client utilise le serveur de messagerie d'un autre fournisseur. Leurs politiques de sécurité nous obligent à utiliser le protocole TLS appliqué. Cela fonctionnait bien jusqu'à récemment.

Désormais, lorsque Exchange tente de remettre du courrier au serveur du client, il enregistre les éléments suivants:

Une connexion sécurisée au domaine sécurisé 'ourclient.com' sur le connecteur 'Courrier externe par défaut' n'a pas pu être établie car la validation du certificat TLS (Transport Layer Security) pour ourclient.com a échoué avec le statut 'UntrustedRoot. Contactez l'administrateur de ourclient.com pour résoudre le problème ou supprimez le domaine de la liste des domaines sécurisés.

La suppression de ourclient.com de TLSSendDomainSecureList entraîne la remise réussie des messages à l'aide de TLS opportuniste, mais il s'agit au mieux d'une solution de contournement temporaire.

Le client est une très grande entreprise internationale sensible à la sécurité. Notre contact informatique dans ce pays affirme ne pas être au courant de modifications apportées à son certificat TLS. Je lui ai demandé à plusieurs reprises de bien vouloir identifier l'autorité qui a généré le certificat afin que je puisse résoudre l'erreur de validation, mais jusqu'à présent, il n'a pas été en mesure de fournir une réponse. Pour autant que je sache, notre client aurait pu remplacer son certificat TLS valide par un autre d’une autorité de certification interne.

Est-ce que quelqu'un connaît un moyen d'inspecter manuellement le certificat TLS d'un serveur SMTP distant, comme on peut le faire pour un certificat de serveur HTTPS distant dans un navigateur Web? Il pourrait être très utile de déterminer qui a émis le certificat et de comparer ces informations à la liste des certificats racine approuvés sur notre serveur Exchange.

Vous pouvez utiliser OpenSSL. Si vous devez vérifier le certificat avec STARTTLS, alors faites juste

openssl s_client -connect mail.example.com:25 -starttls smtp

ou pour un port smtp sécurisé standard:

openssl s_client -connect mail.example.com:465

Je sais que c’est une vieille question, mais elle est toujours pertinente, même aujourd’hui, pour les administrateurs souhaitant confirmer la validité du certificat SSL sur leurs serveurs de messagerie.

Vous pouvez visiter https://www.checktls.com et lancer le test gratuitement.

Si vous n'avez pas OpenSSL, vous pouvez également utiliser cet extrait de code Python:

import smtplib
import ssl

connection = smtplib.SMTP() 
connection.connect('[hostname].')
connection.starttls()
print ssl.DER_cert_to_PEM_cert(connection.sock.getpeercert(binary_form=True))

où [nom d'hôte] est le serveur.

Source: https://support.google.com/a/answer/6180220

Cela extrait la bibliothèque OpenSSL pour vous, ce qui facilite l’installation.