none
Povolení neověřeného TLS

    Dotaz

  • Dobrý den, potřeboval bych poradit, jak povolit TLS připojení k relay SMTP serveru poskytovatele připojení, který má self-signed certifikát a server mi ho neověří, protože má UntrustedRoot. A aby mi posílal poštu můj Exchange nemůžu, protože na mrak serverů nedojde a v nějaké nastavené době ho odmítne. :-(


    Miroslav Otta

    22. února 2015 12:05

Odpovědi

  • Tak jsem se podíval jaký certifikát je mi posílán a šlo o chybu v SSL chain u GTS, chybějící RapidSSL certifikát, poté se nelíbilo RevocationOffline, takže jsem přidal adresu crl, který patří pod GeoTrust Global SA.

    Poté se už ověřilo.

    Svůj server jsem pro odesílání nemohl dlouhodobě použít, nechodili mi maily na mrak menších domén ba i centrum.cz až po 24 hodinách. A pozvání na spamhaus whitelist bych nevěděl, kde splašit.

    Chybu přidávám jen proto, aby si to tu další komu se vyskytne mohl vyhledat.

    Unable to validate the TLS certificate of the smart host for the connector om.cz.net. The certificate validation error for the certificate is UntrustedRoot. If the problem persists, contact the administrator of the smart host to resolve the problem.


    Miroslav Otta





    1. března 2015 1:23

Všechny reakce

  • Jedná se o server om.cz.net

    u smtp.noveranet.cz je výsledek ověření zase SubjectMismatch :-(


    Miroslav Otta

    22. února 2015 13:04
  • Dobrý večer, o jakou verzi Exchange se jedná?

    Self-signed certifikát lze rozumně využít obecně jen k opportunistic TLS spojením, mutual TLS nejsou možná, neboť právě nedůvěryhodný certifikát zabrání ověření. Pokud nenastavíte ověřování domény, na samotné TLS by to vliv mít nemělo.

    Nicméně raději bych se i těmto cestám vyhnul, pokud chcete věřit autenticitě zabezpečení toho spojení. To by u poskytovatele neměli pro firemního zákazníka těch pár dolarů na správný certifikát a jeho implementaci?

    Nebo na whitelist pevné/veřejné IP adresy pro odeslání pošty přímo z Vašeho serveru? Obecně se tyto servery poskytovatele dostanou častěji na seznam spammerů, než server Váš.

    Na straně Office 365 například můžete určit rozsah v třech úrovních:

    • Self-signed certificate
    • Trusted certification authority (CA)
    • Recipient certificate matches domain
    23. února 2015 0:25
    Moderátor
  • Tak jsem se podíval jaký certifikát je mi posílán a šlo o chybu v SSL chain u GTS, chybějící RapidSSL certifikát, poté se nelíbilo RevocationOffline, takže jsem přidal adresu crl, který patří pod GeoTrust Global SA.

    Poté se už ověřilo.

    Svůj server jsem pro odesílání nemohl dlouhodobě použít, nechodili mi maily na mrak menších domén ba i centrum.cz až po 24 hodinách. A pozvání na spamhaus whitelist bych nevěděl, kde splašit.

    Chybu přidávám jen proto, aby si to tu další komu se vyskytne mohl vyhledat.

    Unable to validate the TLS certificate of the smart host for the connector om.cz.net. The certificate validation error for the certificate is UntrustedRoot. If the problem persists, contact the administrator of the smart host to resolve the problem.


    Miroslav Otta





    1. března 2015 1:23