Certificado SSL para un servidor de correo electrónico

Navega tus respuestas
0

Soy completamente nuevo en SSL / TLS y agradecería cualquier ayuda que me puedan brindar.

Para brindarle información de antecedentes, el sitio web de nuestra compañía está alojado externamente por nuestro ISP, sin embargo nuestro correo electrónico es redirigido por nuestro ISP a un servidor de correo ubicado en nuestras oficinas.

Utilizamos communigate pro.

Tenemos un cliente que hasta hace poco no tenía problemas para enviarnos correos electrónicos, sin embargo, ahora tenemos una situación en la que su servidor de correo impide que se nos envíen correos electrónicos.

Creo que la causa raíz del problema es que cuando SSL está habilitado, el servidor de correo del cliente lo reconoce y, por lo tanto, intenta enviar correo electrónico utilizando el cifrado TLS. Sin embargo, el certificado SSL utilizado por nuestro servidor de correo es autofirmado y, como consecuencia, es rechazado por el servidor de correo del cliente.

El mensaje de error devuelto a nuestros clientes es: 

    (Certificate rejected over TLS. (sslv3 alert unexpected message))

Si SSL está deshabilitado en nuestro servidor de intercambio de correo, podemos recibir correos electrónicos de nuestros clientes.

He adquirido un certificado de prueba gratuito SSL emitido por comodo, sin embargo, parece que esto todavía está causando un problema. El certificado se genera para nuestrodominio.com.

¿Debería ser algo así como mail.ourdomain.com o deberíamos comprar un certificado SSL comodín? Pido disculpas si no lo he redactado muy bien, pero cualquier consejo u otra sugerencia sería muy apreciada.

Gracias

    
pregunta Dan Gribble 24.03.2014 - 18:34
fuente

3 respuestas

1

Tiene que ser el FQDN de su servidor de correo. Esto es a lo que apuntan sus registros DNS MX, por ejemplo. mx.mydomain.com.

Un cliente de correo encontrará el sistema al que necesita enviar un correo electrónico según el registro mx asociado al dominio de una dirección de correo electrónico, por ejemplo.

[email protected]: ¿cuál es el registro MX de test.com? mx.mailserver.com

Entonces y solo entonces TLS ingresará a la imagen. Se conectará a mx.mailserver.com y validará que realmente está hablando con mx.mailserver.com a través de un certificado TLS firmado.

    
respondido por el northox 24.03.2014 - 18:58
fuente
0

Hubo una pregunta sobre esto en ServerFault . La respuesta fue más o menos "Depende del cliente lo que elijan aceptar".

A algunos clientes no les importa el nombre común en absoluto. Parece que al cliente de su cliente le importa.

También dicen que el registro MX es el valor más probable para el nombre común en el certificado, sin embargo, dado que es normal tener más de un registro MX, necesitará uno de estos:

  1. Un certificado para cada servidor de correo.
  2. Un certificado UC (también llamado certificado SAN)
  3. Un certificado comodín.
respondido por el Ladadadada 24.03.2014 - 19:52
fuente
0

gracias por los consejos. El registro MX estaba apuntando a mail.mydomain.com, actualizando el certificado resuelto. Todavía tenemos un problema, ya que nuestro servidor de correo está desactualizado y no es compatible con TLS 1.1 (o superior), por lo que necesitaremos actualizarlo ahora (¡vaya!).

Gracias de nuevo por tu ayuda.

    
respondido por el Dan Gribble 26.03.2014 - 11:51
fuente

Lea otras preguntas en las etiquetas

Firmar el kernel de Windows con un autofirmado ca ¿Se puede usar un certificado x.509 solo para la autenticación de usuarios?