Другое

Настройка сертификата для SMTP в Exchange 2019

Полное руководство по настройке SSL-сертификата для SMTP и IMAP в Microsoft Exchange 2019. Узнайте, как привязать сертификат к службам и решить проблемы с подключением.

Авторы: НейроАгент

Как настроить сертификат для SMTP в Microsoft Exchange 2019?

У меня развернут локальный сервер Microsoft Exchange 2019. Я успешно настроил ActiveSync, и он работает корректно с использованием сертификата. Однако возникли проблемы с подключением по протоколу IMAP. Я попытался привязать сертификат к IMAP через Exchange Management Shell, но подключение всё равно не устанавливается.

Я заметил, что в настройках почтового ящика не указан SMTP‑сервер. Подскажите, как правильно настроить сертификат для SMTP и указать SMTP‑сервер, чтобы корректно работать с IMAP и SMTP в Exchange 2019?

Microsoft Exchange 2019 требует корректной настройки сертификатов для SMTP и IMAP протоколов. Чтобы настроить сертификат для SMTP, необходимо создать доверенный сертификат, привязать его к службам SMTP через Exchange Management Shell и убедиться, что сертификат содержит правильные имена субъектов для вашего сервера. Для работы с IMAP и SMTP необходимо также настроить записи автодискаверии и указать правильные параметры подключения в клиентских почтовых приложениях.

Содержание

Подготовка сертификата для Exchange 2019

Перед настройкой сертификата для SMTP убедитесь, что у вас есть действующий SSL‑сертификат, соответствующий требованиям Exchange 2019. Согласно исследованиям миграции Exchange 2016 в 2019, сертификат должен содержать следующие имена:

  • Основное имя (Common Name) – полное доменное имя вашего сервера Exchange
  • Альтернативные имена (SAN) – все возможные доменные имена, через которые пользователи будут подключаться к серверу

Для создания самоподписанного сертификата можно использовать PowerShell‑команды, как описано в исследованиях:

powershell
$certPath = "C:\ProgramData\LimagitoX\Certificates\Sharepoint"
New-Item -ItemType Directory -Path $certPath -Force | Out-Null

$cert = New-SelfSignedCertificate -Subject "CN=mail.yourdomain.com" `
    -CertStoreLocation "Cert:\LocalMachine\My" `
    -KeyExportPolicy Exportable `
    -KeySpec Signature `
    -KeyLength 2048 `
    -KeyAlgorithm RSA `
    -HashAlgorithm SHA256 `
    -NotAfter (Get-Date).AddYears(2)

Важно: Для производственных сред рекомендуется использовать сертификаты, выданные доверенными центрами сертификации, а не самоподписанные.

Привязка сертификата к службе SMTP

После подготовки сертификата необходимо привязать его к службам SMTP через Exchange Management Shell. Для этого выполните следующие команды:

powershell
# Получите thumbprint вашего сертификата
$thumbprint = (Get-ChildItem -Path Cert:\LocalMachine\My | Where-Object {$_.Subject -like "*mail.yourdomain.com*"}).Thumbprint

# Привязка сертификата к службе SMTP
Get-ExchangeServer | Set-ExchangeCertificate -Thumbprint $thumbprint -Services SMTP

Для проверки привязки сертификата к службам используйте команду:

powershell
Get-ExchangeCertificate | Format-List Subject, Services, Thumbprint, NotAfter

Сертификат должен отображаться с указанием службы SMTP в параметре Services.

Настройка IMAP службы с сертификатом

При проблемах с подключением по IMAP, как вы упомянули, необходимо убедиться, что сертификат правильно привязан и к IMAP‑службе. Выполните следующие команды:

powershell
# Привязка сертификата к службе IMAP
Get-ExchangeServer | Set-ExchangeCertificate -Thumbprint $thumbprint -Services IMAP

Если у вас возникли ошибки при подключении по IMAP, как описано в исследованиях проблем с IMAP, проверьте следующие аспекты:

  1. Убедитесь, что служба IMAP запущена и работает
  2. Проверьте доступность порта 143 (незашифрованный IMAP) и 993 (IMAP over SSL)
  3. Проверьте, что брандмауэр не блокирует подключения к этим портам

Для проверки состояния службы IMAP используйте:

powershell
Get-Service -Name MSExchangeIMAP4

Указание SMTP сервера в настройках почтовых ящиков

Чтобы указать SMTP‑сервер для почтовых ящиков, необходимо настроить параметры автообнаружения и внешних подключений. Для этого выполните следующие действия:

  1. Настройте запись автообнаружения (Autodiscover) в DNS
  2. Укажите внешний URL для Exchange через консоль управления Exchange:
powershell
Set-ExchangeServer -Identity "YourServerName" -ExternalUrl "https://mail.yourdomain.com/owa"
  1. Для SMTP‑сервера в настройках почтовых ящиков Exchange автоматически использует полное доменное имя сервера. Вы можете проверить текущие настройки:
powershell
Get-Mailbox -Identity "user@yourdomain.com" | Format-List ExternalSMTPAddress, PrimarySmtpAddress

Если SMTP‑сервер не указан, вы можете вручную настроить внешний адрес:

powershell
Set-Mailbox -Identity "user@yourdomain.com" -ExternalEmailAddress "user@yourdomain.com"

Проверка и диагностика подключений

После настройки сертификатов для SMTP и IMAP необходимо протестировать подключение. Для этого можно использовать различные инструменты:

  1. Тестирование SMTP подключения:
powershell
Test-NetConnection -ComputerName mail.yourdomain.com -Port 25
  1. Тестирование IMAP подключения:
powershell
Test-NetConnection -ComputerName mail.yourdomain.com -Port 993
  1. Проверка сертификатов:
powershell
Invoke-WebRequest -Uri "https://mail.yourdomain.com/owa" -UseBasicParsing

Для более комплексной диагностики можно использовать специализированные инструменты, как упоминается в исследованиях проблем с IMAP‑подключениями.

Решение распространенных проблем

Если у вас по‑прежнему возникают проблемы с подключениями, рассмотрите следующие решения:

  1. Проблемы с сертификатами:

    • Убедитесь, что срок действия сертификата не истек
    • Проверьте, что сертификат содержит правильные имена субъекта и альтернативные имена
    • Убедитесь, что сертификат установлен в правильное хранилище (LocalMachine\My)

  2. Проблемы с подключением IMAP:

    • Как отмечается в исследованиях, проблемы с IMAP могут быть вызваны временными сбоями сервера
    • Проверьте журналы событий на предмет ошибок службы IMAP
    • Убедитесь, что служба MSExchangeIMAP4 запущена

  3. Проблемы с SMTP:

    • Проверьте настройки релея на сервере Exchange
    • Убедитесь, что SPF и DKIM записи настроены корректно
    • Проверьте блокировку портов 25 и 587 на уровне брандмауэра

Для более глубокого анализа проблем с Exchange API и аутентификацией, как упоминается в исследованиях, можно использовать специализированные инструменты управления Exchange Online.

Источники

  1. Migrate Exchange 2016 to 2019: Step By Step Explained Guide
  2. IMAP Broken Error Not Able to Connect to Mail Server - Tips
  3. All you need to know about Exchange Online Admin API
  4. How to create a certificate using powershell

Заключение

Настройка сертификатов для SMTP и IMAP в Exchange 2019 требует системного подхода и внимательности к деталям. Ключевые моменты, которые стоит запомнить:

  • Всегда используйте сертификаты с корректными именами субъекта и альтернативными именами
  • Регулярно проверяйте состояние привязки сертификатов к службам через PowerShell
  • При проблемах с IMAP‑подключениями проверяйте не только сертификаты, но и состояние служб и сетевые подключения
  • Для внешних подключений обязательно настройте автообнаружение и внешние URL‑адреса
  • Ведите логи изменений и диагностические данные для быстрого решения проблем

Если после выполнения всех настроек проблемы сохраняются, обратитесь к официальной документации Microsoft или используйте специализированные инструменты для диагностики Exchange серверов.

Авторы
НейроАгент
Автор
Проверено модерацией
НейроОтветы
Модерация
Настройка сертификата для SMTP в Exchange 2019