Поступила задача - протестировать установку приложения: поднять SMTP-сервер, чтобы аутентификация была Negotiate, Anonymous, Basic. Последние два метода поддерживаются SMTP4Dev и hMailServer, проблем нет. А вот с Negotiate проблема.
Решение на Linux мне не подошло. Как на любую задачу, мне было отведено время на выполнение. Разбираться в деталях было некогда. Интеграция с AD, настройка Kerberos, keytab-файлов и SPN на Linux под требования Windows Server 2019 сложна в реализации и поддержке.
Популярные серверы hMailServer и smtp4dev не поддерживают протокол Negotiate (GSSAPI/Kerberos/NTLM), так как изначально создавались как легковесные инструменты для разработки, тестирования и малого бизнеса.
В статье представлена пошаговая инструкция, которая поможет вам настроить SMTP-сервер на Windows Server 2019 для работы с шифрованием TLS на порту 587 и аутентификацией по протоколу Negotiate.
Чтобы сервер мог принимать зашифрованные письма от вашего приложения, необходимо:
Установить и настроить IIS 6.0 SMTP.
Включить TLS для шифрования, предварительно выписав сертификат (подойдет самоподписанный).
Настроить аутентификацию Negotiate.
Указать корректный порт 587.
1. Предварительные требования
Операционная система: Windows Server 2019.
Права администратора: Вы должны иметь права локального администратора.
Доменное имя: Сервер введён в домен Active Directory (например, tst.domain.local).
Полное доменное имя (FQDN): Узнайте его, выполнив в PowerShell команду hostname
2. Установка компонента SMTP-сервера
Самый простой способ — использовать PowerShell от имени администратора. Выполните:
Install-WindowsFeature SMTP-Server -IncludeAllSubFeature -IncludeManagementTools
После установки нужно настроить автоматический запуск службы и запустить её:
Set-Service SMTPSVC -StartupType AutomaticStart-Service SMTPSVC
Убедиться, что всё в порядке, можно командой:Get-Service SMTPSvc | Select-Object Name,DisplayName,StartType,Status
Результат: Name: SMTPSvc, StartType: Automatic, Status: Running.
3. Настройка безопасности и прав доступа
Основная настройка производится в оснастке IIS 6.0 Manager.
Как открыть: нажмите Win + R, введите inetmgr6 и нажмите Enter.
В открывшейся консоли щёлкните правой кнопкой мыши по виртуальному серверу SMTP Virtual Server #1 и выберите Свойства. Перейдите на вкладку Доступ (Access).
3.1. Аутентификация (Authentication)
Нажмите кнопку Authentication. В открывшемся окне:
Включить опции:
Anonymous access (Анонимный доступ) — для базовой проверки связи.
Integrated Windows Authentication (Встроенная аутентификация Windows). Именно этот пункт отвечает за протокол Negotiate.
3.2. Подключения (Connection)
Нажмите кнопку Connection:
Выберите опцию Only the list below.
Нажмите Add, введите IP-адрес 127.0.0.1 (если проверка идёт с этого же сервера). Добавьте IP-адреса клиентов, с которых будут приходить подключения к этому SMTP-серверу. Пригодится, в случае, если SMTP-сервер будет установлен на отдельной машине.
3.3. Релей (Relay)
Нажмите кнопку Relay:
Выберите опцию Only the list below.
Добавьте IP-адрес 127.0.0.1, либо также как я адреса машины, с которой будет выполняться подключение к SMTP-серверу.
Для упрощения тестирования можно поставить галочку Allow all computers which successfully authenticate to relay, regardless of the list above. Это разрешит пересылку почты всем успешно прошедшим аутентификацию (должна быть включена по умолчанию).
4. Настройка шифрования TLS
Для тестовой среды можно создать самоподписанный сертификат. Его можно выписать так:
Win + R → ввести inetmgr → Выбрать Server → 2 раза ЛКМ по Server Certificates → придумать название, чтобы потом легко было найти в списках сертов. Сертификат будет создан как персональный.
Далее экспортируйте сертификат и добавьте его в хранилище доверенных корневых сертификатов.
После этих действий во вкладке Access в разделе Secure communication появилась информация о сертификате. Нужно поставить галку Require TLS encryption. (Если не появился, тогда сохранить предыдущие изменения и открыть заново настройки SMTP Virtual Server #1).
Перейти на вкладку Delivery в раздел Advanced и убедиться, что указан домен:
5. Настройка порта 587 для STARTTLS
Вернитесь на вкладку Общие (General) и нажмите кнопку Дополнительно (Advanced).
В поле TCP-порт (TCP Port) нужно сменить порт на 587.
IP-адрес можно оставить (All Unassigned) или выбрать конкретный.
Нажмите ОК.
Перезапустить сервер. В PowerShell выполнить команду:
Restart-Service SMTPSVC
6. Проверка работы SMTP-Server
В PowerShell:
Теst-NetConnection localhost -Port 587
Ожидаемый результат: TcpTestSucceeded : True
В CMD через openssl проверить коннект:
openssl s_client -connect Server2019.tst.domain.local:587 -starttls smtp
В результате терминал вернет информацию о том, что соединение защищено, серт действителен. TLS‑соединение по протоколу 1.2 установилось успешно.
Коды подтверждения будут приходить в C:\inetpub\mailroot. Если не установлен почтовый клиент, тогда смотреть нужно в папке Queue:
Обратите внимание: в этой настройке реализован только STARTTLS на порту 587; режим SslOnConnect (немедленное шифрование) не предусмотрен. Если у вас есть более простое решение для подобной задачи — буду рад увидеть ссылку или краткий гайд.
