Пару месяцев назад, моя компания купила сертификат Rapid SSL, который поддерживает до 256-битной криптографии и который используется как для связи между нашими мобильными приложениями и нашим сервером, так и для отправки электронной почты нашим SMTP-сервером, который также находится внутри нашего Windows Server 2012 R2. Мне правильно удалось установить его с помощью IIS 6 на настраиваемый SMTP-сервер. Кажется, все работает нормально, но только наша компания сообщила нам, что наш SMTP-сервер не может подключиться к их серверу входящей электронной почты, потому что
используемый нами сертификат не может быть «совместим» с новыми стандартами криптографии SHA256.
Я не знаю. Точно не знаю, что это значит, но я позвонил нашему поставщику сертификатов, и они заверили нас, что купленный нами сертификат правильный. Кроме того, Я совершенно уверен, что компания ошибается, потому что наш SMTP-сертификат может подключаться не только к учетным записям Gmail, но и ко многим другим серверам входящей электронной почты, использующим этот сертификат. И сообщения всегда доставлялись правильно. Итак, я не знаю, где и как искать проблему.
Как правило, наш SMTP-сервер вызывается веб-приложениями .NET, развернутыми на нашем сервере Windows 2012 R2, как показано ниже:
IDMailer M = null;
M = (IDMailer)new IDMailer();
M.FromAddress = new IDVariant(v_VEMAILRESIDE).stringValue();
M.Subject = IDL.FormatMessage((new IDVariant("|1: manutenzione ODL |2")), v_VNOMERESIDEN, v_ODL).stringValue();
M.SetRelayServer((new IDVariant("www.ourserver.it")).stringValue(), (new IDVariant(25)).intValue(), (new IDVariant("username")).stringValue(), (new IDVariant("password")).stringValue(),(new IDVariant(-1)).booleanValue());
M.HTMLBody = new IDVariant(v_HTML_MESSAGE).stringValue();
Как видите, IDMailer (из фреймворка System.Net.Mail
) настроен как на использование нашего сервера в качестве реле, так и на использование криптографии для подключения к реле (последний параметр).
Таким образом, я действительно не знаю, где искать проблему и даже существует ли проблема и является ли она нашей.
ОБНОВЛЕНИЕ
Как было предложено, я пытаюсь проанализировать почтовые серверы с этим сайтом , используя электронную почту одного из наших клиентов, чтобы проверить безопасное соединение с их сервером входящей почты.
Это первый сводный отчет:
, из которого я получил подтверждение, что их авторитетные серверы входящей почты являются первыми двумя. Тогда это журнал первого сервера (второй - идентично)
, из которого я понял, что проблема может быть их, поскольку
TLS не является вариантом на этом сервере
Я имею в виду, что это может быть их сервер, который не поддерживает TLS. Таким образом, поскольку наш SMTP-сервер работает исключительно с сертификатом SSL, он не может подключиться к их серверу входящей почты. Я прав или мне что-то еще не хватает?
пробовали ли вы такой сайт, как http://checktls.com ? Я использовал его, когда у нас был отчет компании, что они получали случайные ошибки сертификатов при подключении к нашим почтовым серверам. Удалось определить, что к одному ящику применен неправильный сертификат.
Это сообщение об ошибке больше похоже на то, что у них проблема с подписью на вашем сервере Windows. Это отдельный от SSL-сертификата, который применяется к соединению, но не к личности вашего сервера. Windows любит подписывать вещи с помощью оболочки безопасности MD5, если вы специально не указали иное. MD5 был нарушен, поэтому сертификаты, обернутые с использованием MD5, больше не являются действительной проверкой идентификации. Вам нужно будет проверить и перевыпустить сертификат, который идентифицирует ваш почтовый сервер, на сертификат, заключенный в SHA256.