Certificato SSL per un server di posta elettronica

Naviga le tue risposte
0

Sono completamente nuovo in SSL / TLS e apprezzerei qualsiasi aiuto che potreste darmi.

Per fornirti alcune informazioni di base, il nostro sito web aziendale è ospitato esternamente dal nostro ISP, tuttavia la nostra email viene reindirizzata dal nostro ISP a un server di posta che si trova presso i nostri uffici.

Usiamo communigate pro.

Abbiamo un cliente che fino a poco tempo fa non aveva avuto problemi nell'invio di e-mail, tuttavia ora abbiamo una situazione in cui il loro server di posta sta bloccando le e-mail che ci vengono inviate.

Credo che la causa principale del problema sia che quando SSL è abilitato, il server di posta del cliente lo riconosce e quindi tenta di inviare e-mail usando la crittografia TLS. Tuttavia, il certificato SSL utilizzato dal nostro server di posta è autofirmato e, di conseguenza, viene rifiutato dal server di posta del cliente.

Il messaggio di errore restituito ai nostri clienti è: 

    (Certificate rejected over TLS. (sslv3 alert unexpected message))

Se SSL è disabilitato sul nostro server di scambio di posta, possiamo ricevere e-mail dai nostri clienti.

Ho acquisito un certificato SSL di prova gratuito rilasciato da comodo, tuttavia, sembra che questo stia ancora causando un problema. Il certificato è stato generato per ourdomain.com.

Dovrebbe essere qualcosa come mail.ourdomain.com o dovremmo acquistare un certificato SSL con caratteri jolly? Mi scuso se non ho formulato questa frase molto bene, ma qualsiasi consiglio o altro suggerimento sarebbe molto apprezzato.

Grazie

    
posta Dan Gribble 24.03.2014 - 18:34
fonte

3 risposte

1

Deve essere il FQDN del tuo server di posta. Questo sarebbe ciò a cui i tuoi record MX DNS puntano, ad es. mx.mydomain.com.

Un client di posta troverà a quale sistema è necessario inviare un'e-mail in base al record mx associato al dominio di un indirizzo email, ad es.

[email protected]: qual è il record MX di test.com? mx.mailserver.com

Quindi e solo allora TLS inserirà l'immagine. Si connetterà a mx.mailserver.com e convaliderà che sta davvero parlando con mx.mailserver.com tramite un certificato TLS firmato.

    
risposta data 24.03.2014 - 18:58
fonte
0

C'era una domanda su questo su ServerFault . La risposta laggiù era approssimativamente "Dipende dal cliente ciò che scelgono di accettare".

Alcuni clienti non si preoccupano affatto del nome comune. Sembra che il cliente del tuo cliente abbia a cuore.

Dicono anche che il record MX è il valore più probabile per il nome comune sul certificato, tuttavia dal momento che è normale avere più di un record MX, è necessario uno dei seguenti:

  1. Un certificato per ogni server di posta.
  2. Un certificato UC (anche chiamato certificato SAN)
  3. Un certificato con caratteri jolly.
risposta data 24.03.2014 - 19:52
fonte
0

grazie per i suggerimenti. Il record MX puntava a mail.mydomain.com, aggiornando il certificato risolto. Abbiamo ancora un problema in quanto il nostro server di posta non è aggiornato e non supporta TLS 1.1 (o superiore), quindi sarà necessario aggiornarlo ora (oh gioia !!).

Grazie ancora per il tuo aiuto.

    
risposta data 26.03.2014 - 11:51
fonte

Leggi altre domande sui tag

Analizza / annota tutti i pacchetti da tutti i dispositivi collegati a un router È ragionevole memorizzare solo la chiave segreta HMAC in memoria?