Share via

도메인 보안을 위한 Mutual TLS를 구성하는 방법

  • 아티클

 

적용 대상: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

마지막으로 수정된 항목: 2009-04-20

이 항목에서는 Exchange 관리 셸을 사용하여 S/MIME 및 다른 메시지 수준 보안 솔루션을 대신하여 상대적으로 리소스 소모가 적은 Microsoft Office Outlook 2007 및 Microsoft Exchange Server 2007의 기능 집합인 도메인 보안을 위한 상호 TLS(전송 계층 보안)를 구성하는 방법에 대해 설명합니다.

쉽게 설명하기 위해 이 항목에서는 가상 회사인 Contoso의 Exchange 관리자가 파트너인 Woodgrove Bank와 도메인 보안 전자 메일을 교환할 수 있도록 Exchange 2007 환경을 구성하는 방법에 대해 설명합니다. 이 시나리오에서 Contoso는 Woodgrove Bank에서 보내고 받은 전자 메일이 상호 TLS를 통해 보호되고 있는지 확인하려고 합니다. 또한 Contoso는 도메인 보안 기능을 구성하여 상호 TLS를 사용할 수 없는 경우 Woodgrove Bank에서 보내고 받은 모든 메일을 거부하려고 합니다.

Contoso에는 인증서를 생성하는 내부 PKI(공개 키 인프라)가 있습니다. PKI의 루트 인증서는 주요 타사 CA(인증 기관)에서 서명했습니다. Woodgrove Bank는 동일한 타사 CA를 사용하여 인증서를 생성합니다. 따라서 Contoso와 Woodgrove Bank 모두 서로의 루트 CA를 신뢰합니다.

상호 TLS를 설정하려면 Contoso의 Exchange 관리자가 다음 절차를 수행합니다.

  1. TLS 인증서에 대한 인증서 요청을 생성합니다.

  2. Edge 전송 서버에 인증서를 가져옵니다.

  3. 아웃바운드 도메인 보안을 구성합니다.

  4. 인바운드 도메인 보안을 구성합니다.

  5. 메일 흐름을 테스트합니다.

시작하기 전에

상호 TLS를 구성하려면 다음을 수행합니다.

  • 송신 커넥터를 구성하지 않은 경우 Set-TransportConfig cmdlet와 New-SendConnector cmdlet를 사용하여 내부 Exchange 2007 서버에 액세스

  • ExchangeCertificate cmdlet를 실행하는 Edge 전송 서버 컴퓨터에 액세스

일반적으로 ExchangeCertificate cmdlet를 사용하지 않는 도메인 보안 기능 구성은 조직 내에서 변경되어야 하며 Microsoft Exchange EdgeSync 서비스를 사용하여 Edge 전송 서버로 동기화되어야 합니다.

ExchangeCertificate cmdlet를 사용하여 TLS 인증서를 가져와 구성하는 경우 구성 중인 Edge 전송 서버에서 cmdlet를 실행해야 합니다. Edge 전송 서버 역할이 설치된 컴퓨터에서 ExchangeCertificate cmdlet를 실행하려면 해당 컴퓨터의 로컬 관리자 그룹에 속한 계정을 사용하여 로그온해야 합니다.

Set-TransportConfig cmdlet를 실행하려면 사용하는 계정이 Exchange 조직 관리자 역할을 위임 받아야 합니다.

New-SendConnector cmdlet를 실행하려면 사용하는 계정이 컴퓨터에서 Exchange Server 관리자 역할과 로컬 관리자 그룹을 위임 받아야 합니다.

사용 권한, 역할 위임 및 Exchange 2007 관리에 필요한 권한에 대한 자세한 내용은 사용 권한 고려 사항을 참조하십시오.

이 항목에서는 사용자가 TLS에 대한 인증서 또는 인증서 요청 만들기을 읽고 이해했다고 가정합니다.

도메인 보안을 위해 Microsoft Exchange EdgeSync 서비스를 완전히 배포해야 합니다.

TLS on an Edge 전송 서버에서 상호 TLS를 실행하려면 인증서 유효성 검사 및 인증서 해지 목록 검사를 수행할 수 있도록 컴퓨터와 PKI 환경을 구성해야 합니다. 자세한 내용은 도메인 보안에 대해 Edge 전송 서버에서 PKI를 사용하도록 설정하는 방법을 참조하십시오.

TLS 인증서에 대한 인증서 요청 생성

이 항목의 앞에서 설명한 대로 Contoso에는 타사 CA를 따르는 내부 PKI가 있습니다. 이 시나리오에서 이것은 Contoso가 자사 인프라에 배포한 CA에는 공공 타사 CA에서 서명한 루트 인증서가 포함되어 있음을 의미합니다. 기본적으로 공공 타사 CA는 Microsoft Windows 인증서 저장소에 있는 신뢰할 수 있는 루트 인증서 중 하나입니다. 따라서 신뢰할 수 있는 루트 저장소에 동일한 타사 CA가 있고 Contoso에 연결된 모든 클라이언트는 Contoso에서 제시한 인증서를 인증할 수 있습니다.

Contoso에는 TLS 인증서를 요구하는 두 개의 Edge 전송 서버, mail1.contoso.com과 mail2.mail.contoso.com이 있습니다. 따라서 Contoso 전자 메일 관리자는 서버당 하나씩 총 두 개의 인증서 요청을 생성해야 합니다.

다음 절차에서는 관리자가 Base64 인코딩 PKCS#10 인증서 요청을 생성하는 데 사용하는 명령을 허브 전송 서버니다. Contoso 관리자는 이 명령을 두 번 실행하게 되는데 한 번은 CN=mail1.contoso.com에 대해, 또 한 번은 CN=mail2.mail.contoso.com에 대해 실행합니다.

참고

결과 인증서의 주체 이름에서 CN(일반 이름)은 각각 mail1.contoso.com과 mail2.mail.contoso.com입니다. 주체 대체 이름은 Contoso에 사용되도록 구성된 하나의 허용 도메인에 대한 FQDN(정규화된 도메인 이름)인 "mail.contoso.com"을 포함합니다.

TLS 인증서 요청을 만들려면 다음을 수행합니다.

  • 다음 명령을 실행합니다.

    New-ExchangeCertificate -GenerateRequest -FriendlyName "Internet certificate" -Path c:\certificates\request.p7c -SubjectName "DC=com,DC=Contoso,CN=mail1.contoso.com"  -DomainName mail.contoso.com

구문과 매개 변수에 대한 자세한 내용은 New-ExchangeCertificate를 참조하십시오.

중요

사용자가 만드는 인증서 또는 인증서 요청에 대한 세부 사항은 여러 변수의 의해 달라집니다. 요청을 생성하려면 인증서를 발급하는 CA 또는 PKI 관리자와 함께 작업을 수행해야 합니다. TLS에 대한 인증서 요청을 만드는 방법에 대한 자세한 내용은 TLS에 대한 인증서 또는 인증서 요청 만들기를 참조하십시오.

인증서 및 관련 키 전송

PKI 또는 CA 공급자로부터 인증서를 받으면 이를 재해 긴급 복구 계획의 일환으로 백업할 수 있도록 PFX (PKCS#12) 파일로 변환해야 합니다. PFX 파일에는 인증서와 관련 키가 포함됩니다. 또는 인증서와 키를 다른 컴퓨터로 전송해 이동시킬 수도 있습니다. 예를 들어 도메인 보안으로 표시되는 전자 메일을 보내고 받으려는 Edge 전송 서버를 여러 대 사용하는 경우, 모든 서버에 사용할 수 있는 단일 인증서를 만들 수 있습니다. 이러한 경우 인증서를 각 Edge 전송 서버로 가져와 TLS에 사용하게 됩니다.

PFX 파일의 복사본을 안전하게 보관하는 한 항상 해당 인증서를 가져와 사용할 수 있습니다. PFX 파일에는 개인 키가 있으므로 이를 안전한 위치의 저장소 미디어에 보관하여 실제로 보호하는 것이 중요합니다.

Import-ExchangeCertificate cmdlet는 항상 PFX에서 가져온 개인 키를 내보낼 수 없음으로 표시한다는 점을 알고 있어야 합니다. 이 기능은 의도적인 것입니다.

MMC(Microsoft 관리 콘솔)의 인증서 관리자 스냅인을 사용하여 PFX 파일을 가져올 때 개인 키 내보내기와 강력한 키 보호를 지정할 수 있습니다.

중요

TLS용 인증서에는 강력한 키 보호 기능을 사용하지 마십시오. 강력한 키 보호 기능을 사용하면 개인 키가 액세스될 때마다 메시지가 표시됩니다. 도메인 보안을 사용하면 "사용자"는 Edge 전송 서버의 SMTP 서비스입니다.

Edge 전송 서버에 인증서 가져오기

관리자는 인증서 요청을 생성한 다음 해당 요청을 사용하여 서버에 대한 인증서를 생성합니다. 결과 인증서를 단일 인증서 또는 인증서 체인으로 발급해야 하며 적절한 Edge 전송 서버로 복사해야 합니다.

중요

인증서를 가져오려면 Import-ExchangeCertificate cmdlet를 사용해야 합니다. 자세한 내용은 Import-ExchangeCertificate를 참조하십시오.

중요

Exchange 서버에 있는 TLS의 인증서를 가져오는 데 MMC의 인증서 관리자 스냅인을 사용하지 마십시오. Exchange 서버에 있는 인증서를 가져오는 데 인증서 관리자 스냅인을 사용하면 이 절차에서 만든 요청을 발급된 인증서로 바인딩하지 않으므로 TLS가 실패합니다. 인증서 관리자 스냅인은 PFX 파일로 저장된 인증서와 키를 로컬 컴퓨터 저장소로 가져오는 데 사용할 수있습니다. 인증서를 가져온 다음에는 Enable-ExchangeCertificate cmdlet를 실행하여 TLS 인증서를 사용할 수 있습니다.

Edge 전송 서버로 인증서를 가져오면 인증서를 SMTP(Simple Mail Transfer Protocol) 서비스에 사용할 수 있도록 설정해야 합니다. Contoso 관리자는 각각의 인증서에 대해 한 번씩 즉, 각 Edge 전송 서버에서 다음 명령을 실행합니다.

TLS 인증서를 가져와 Edge 전송 서버에서 도메인 보안에 사용하도록 설정하려면 다음을 수행합니다.

  • 다음 명령을 실행합니다.

    Import-ExchangeCertificate -Path c:\certificates\import.pfx | Enable-ExchangeCertificate -Services SMTP

이 명령은 Enable-ExchangeCertificate cmdlet를 파이프라이닝하여 TLS 인증서를 가져와 사용하도록 설정합니다.

또한 인증서를 가져온 다음 사용하도록 설정할 수도 있습니다. 인증서를 가져오려면 다음 명령을 실행합니다.

Import-ExchangeCertificate -Path c:\certificates\import.pfx

그런 다음 지문을 Windows 클립보드로 복사합니다. 방금 가져온 인증서의 지문을 표시하려면 다음 명령을 실행합니다.

Get-ExchangeCertificate |FL

지문 필드의 데이터를 Windows 클립보드로 복사합니다.

끝으로, 인증서를 사용하도록 설정하려면 다음 명령을 실행합니다.

Enable-ExchangeCertificate -Thumbprint AB493A0C9A6C0327162FE04EF74609CB8FB7FE24 -Services SMTP

아웃바운드 도메인 보안 구성

아웃바운드 도메인 보안을 구성하려면 다음 세 단계를 수행해야 합니다.

  1. Set-TransportConfig cmdlet를 실행하여 도메인 보안 전자 메일을 보내려는 도메인을 지정합니다.

  2. Set-SendConnector cmdlet를 실행하여 도메인 보안 전자 메일을 보내려는 도메인에 메일을 보낼 송신 커넥터의 DomainSecureEnabled 속성을 설정합니다.

  3. Set-SendConnector cmdlet를 실행하여 다음을 확인합니다.

    • 도메인 보안 전자 메일을 보내려는 도메인에 메일을 보낼 송신 커넥터에서 DNS(Domain Name System)를 사용하여 메일을 라우팅하는지 여부

    • 도메인 보안에 사용 중인 인증서의 주체 이름 또는 주체 대체 이름이 일치하도록 FQDN이 설정 되었는지 여부

위의 세 단계에서 변경하는 사항은 포괄적이기 때문에 내부 Exchange 서버에서도 변경해야 합니다. 구성 변경 내용은 Microsoft Exchange EdgeSync 서비스를 사용하여 Edge 전송 서버로 복제됩니다.

전송 구성에서 보낸 사람 도메인 지정

도메인 보안 전자 메일을 보내려는 도메인을 지정하는 것은 비교적 간단합니다. Contoso 관리자는 내부 Exchange 2007 서버에서 다음 명령을 실행합니다.

Set-TransportConfig -TLSSendDomainSecureList woodgrovebank.com

자세한 내용은 Set-TransportConfig를 참조하십시오.

참고

TLSSendDomainSecureList 매개 변수는 도메인 이름의 다중값 목록을 사용합니다. Set-TransportConfig 명령은 TLSSendDomainSecureList의 전체 값을 cmdlet에서 제공하는 새 값으로 바꿉니다. 따라서 새 도메인을 추가하려는 경우 입력한 값에 기존 목록 및 새 도메인이 포함되어 있어야 합니다.

송신 커넥터 구성

Contoso는 DNS 라우팅 송신 커넥터를 사용하여 파트너에게 도메인 보안 전자 메일을 보냅니다. 기본 DNS 라우팅 송신 커넥터가 기본 인터넷 송신 커넥터이므로 DNS를 사용하여 메일을 라우팅하고 스마트 호스트는 사용하지 않습니다. FQDN은 이미 mail.contoso.com으로 설정되어 있습니다. Contoso 관리자가 만든 인증서가 New-ExchangeCertificateDomainName 매개 변수를 mail.contoso.com으로 설정했으므로 추가 구성을 하지 않고 송신 커넥터에서 인증서를 사용할 수 있습니다.

테스트용 하위 도메인이 구성되어 있는 경우 송신 커넥터의 FQDN을 사용자가 만든 인증서에 맞게 업데이트해야 합니다(예: subdomain.mail.contoso.com). 하지만 주체 또는 주체 대체 이름 필드의 하위 도메인이 포함된 인증서를 만든 경우에는 송신 커넥터의 FQDN을 업데이트할 필요가 없습니다.

따라서 Contoso 관리자는 송신 커넥터를 구성에서 DomainSecureEnabled 매개 변수를 설정하기만 하면 됩니다. 이렇게 하려면 Contoso 관리자는 "인터넷" 송신 커넥터의 내부 Exchange 2007 서버에서 다음 명령을 실행합니다.

Set-SendConnector Internet -DomainSecureEnabled:$True

자세한 내용은 Set-SendConnector를 참조하십시오.

또한 Exchange 관리 콘솔을 사용하여 송신 커넥터에서 도메인 보안 전자 메일을 사용하도록 설정할 수 있습니다.

Exchange 관리 콘솔을 사용하여 도메인 보안에 대한 송신 커넥터를 구성하려면 다음을 수행합니다.

  1. 허브 전송 서버에서 Exchange 관리 콘솔을 열고 조직 구성, 허브 전송을 차례로 클릭한 다음 결과 창에서 송신 커넥터 탭을 클릭합니다.

  2. 도메인 보안 전자 메일을 보낼 도메인에 메일을 보낼 송신 커넥터를 선택한 다음 작업 창에서 속성을 클릭합니다.

  3. 네트워크 탭에서 **도메인 보안 사용(상호 인증 TLS)**을 선택하고 적용을 클릭한 다음 확인을 클릭합니다.

인바운드 도메인 보안 구성

인바운드 도메인 보안을 사용하도록 설정하려면 다음 두 단계를 수행해야 합니다.

  1. Set-TransportConfig cmdlet를 실행하여 도메인 보안 전자 메일을 받으려는 도메인을 지정합니다.

  2. Edge 전송 서버에서 Exchange 관리 셸 또는 Exchange 관리 콘솔을 사용하여 도메인 보안 전자 메일을 받으려는 수신 커넥터에서 도메인 보안을 사용하도록 설정합니다. 도메인 보안에 상호 TLS 인증이 필요하므로 수신 커넥터에서 TLS도 사용하도록 설정해야 합니다.

전송 구성에서 받는 사람 도메인 지정

도메인 보안 전자 메일을 받으려는 도메인을 지정하는 것은 비교적 간단합니다. 도메인을 지정하려면 Contoso 관리자는 내부 Exchange 2007 서버에서 다음 명령을 실행합니다.

Set-TransportConfig -TLSReceiveDomainSecureList woodgrovebank.com

자세한 내용은 Set-TransportConfig를 참조하십시오.

참고

TLSReceiveDomainSecureList 매개 변수는 도메인 이름의 다중값 목록을 사용합니다. Set-TransportConfig 명령은 TLSReceiveDomainSecureList 매개 변수의 전체 값을 Set-TransportConfig cmdlet에서 제공하는 새 값으로 바꿉니다. 따라서 새 도메인을 추가하려는 경우 입력한 값에 기존 목록 및 새 도메인이 포함되어 있어야 합니다.

수신 커넥터 구성

도메인 보안 전자 메일을 받으려는 도메인에서 보낸 메일을 수락하는 각 Edge 전송 서버에서 수신 커넥터를 구성해야 합니다. 두 Edge 전송 서버에서 ID가 Inet인 단일 인터넷 수신 커넥터를 사용하도록 Contoso 환경을 구성합니다. 따라서 Woodgrove Bank와 메일을 주고받는 동안 TLS를 사용하도록 설정하려면 Contoso 관리자는 두 Edge 전송 서버의 기본 인터넷 수신 커넥터에서 TLS를 사용하도록 설정해야 합니다.

Exchange 관리 셸을 사용하여 도메인 보안에 대한 수신 커넥터를 구성하려면 다음을 수행합니다.

  • Edge 전송 서버에서 다음 명령을 수행합니다.

    Set-ReceiveConnector Inet -DomainSecureEnabled:$True -AuthMechanism TLS

구문과 매개 변수에 대한 자세한 내용은 Set-ReceiveConnector를 참조하십시오.

Exchange 관리 콘솔을 사용하여 도메인 보안에 대한 수신 커넥터를 구성하려면 다음을 수행합니다.

  1. Edge 전송 서버에서 Exchange 관리 콘솔을 열고 Edge 전송을 클릭한 다음 결과 창에서 수신 커넥터 탭을 클릭합니다.

  2. 도메인 보안 전자 메일을 받을 도메인에서 메일을 수락할 수신 커넥터를 선택한 다음 작업 창에서 속성을 클릭합니다.

  3. 인증 탭에서 TLS(전송 계층 보안) 및 **도메인 보안 사용(상호 인증 TLS)**을 선택한 다음 확인을 클릭합니다.

인증 메커니즘을 TLS로 지정하면 모든 인바운드 연결에서 TLS를 사용해야 하는 것은 아닙니다.

다음과 같은 이유로 Woodgrove Bank에서 연결된 경우 TLS를 사용해야 합니다.

  • Woodgrove Bank가 TLSReceiveDomainSecureList 매개 변수의 Set-TransportConfig cmdlet에 지정됨

  • 수신 커넥터에서 DomainSecureEnabled 매개 변수가 $True로 설정됨

Set-TransportConfig cmdlet의 TLSReceiveDomainSecureList 매개 변수에 나열되지 않은 다른 보낸 사람은 보내는 시스템에서 TLS를 지원하는 경우 TLS만 사용합니다.

참고

수신 커넥터에서 도메인 보안을 사용하도록 설정하면 TLS 협상 중 클라이언트 인증서를 요청하는 부작용이 발생합니다. 클라이언트가 메일을 보내는 도메인이 보안 도메인 목록에 없을 경우 클라이언트는 인증서를 전송하지 않아도 됩니다.

도메인 보안 메일 흐름 테스트

도메인 보안 전자 메일을 구성한 다음 성능 로그와 프로토콜 로그를 검토하여 연결을 테스트할 수 있습니다. Outlook 2007에서 도메인 보안 메일 흐름 경로를 통해 인증된 메시지는 "도메인 보안" 메시지로 표시됩니다.

성능 카운터

도메인 보안 기능에는 MSExchange Secure Mail Transport 아래의 다음 성능 카운터 집합이 포함됩니다.

  • 받은 도메인 보안 메시지

  • 보낸 도메인 보안 메시지

  • 도메인 보안 아웃바운드 세션 오류

이러한 성능 카운터를 사용하여 도메인 보안 메일 흐름에 대한 새 카운터 로그 파일을 만들어 보내고 받은 메시지 수와 실패한 상호 TLS 세션을 모니터링할 수 있습니다. 카운터 로그를 만들고 구성하는 방법에 대한 자세한 내용은 성능 로그 및 경고 MMC 스냅인과 함께 제공되는 도움말 파일을 참조하십시오.

프로토콜 로그

송신 및 수신 프로토콜 로그를 검토하여 TLS 협상의 수행 여부를 확인할 수 있습니다. TLS 협상이 수행되면 다음 예와 유사한 로그가 생성됩니다.

자세한 프로토콜 로그를 보려면 조직에서 도메인 보안 전자 메일을 주고받는 데 사용되는 커넥터의 프로토콜 로깅 수준을 Verbose로 설정해야 합니다.

Exchange 관리 셸을 사용하여 수신 커넥터를 자세한 프로토콜 로깅으로 구성하려면 다음을 수행합니다.

  • Edge 전송 서버에서 다음 명령을 수행합니다.

    Set-ReceiveConnector Inet -ProtocolLoggingLevel Verbose

    여기서 Inet는 도메인 보안 전자 메일을 사용하는 수신 커넥터의 이름입니다.

Exchange 관리 셸을 사용하여 송신 커넥터를 자세한 프로토콜 로깅으로 구성하려면 다음을 수행합니다.

  • Edge 전송 서버에서 다음 명령을 수행합니다.

    Set-SendConnector Internet -ProtocolLoggingLevel Verbose

    여기서 Internet는 도메인 보안 전자 메일을 사용하는 송신 커넥터의 이름입니다.

송신 로그의 예

<220 edgedns3 ESMTP Microsoft ESMTP MAIL Service, Version: 8.0.647.0; Tue, 29 Aug 2006 04:22:00 -0700 (PDT)
>EHLO edgea36.dns.contoso.com
<250-edgedns3 Hello woodgrove.com [192.168.0.2], pleased to meet you
<250-ENHANCEDSTATUSCODES
<250-PIPELINING
<250-EXPN
<250-VERB
<250-8BITMIME
<250-SIZE
<250-DSN
<250-ETRN
<250-STARTTLS
<250-DELIVERBY
<250 HELP
>STARTTLS
<220 2.0.0 Ready to start TLS
*Sending certificate
*CN=edgea36, Certificate subject
*CN=edgea36, Certificate issuer name
*CA2EDF2487C6F09B4E413FD3812A7F89, Certificate serial number
*E8DA062786FD097DD8D79FF10C583CC23AD64F6C, Certificate thumbprint
*edgea36;edgea36.dns.contoso.com, Certificate alternate names
*Received certificate
*CN=smi.extest.contoso.com, OU=Contoso, O=Corp, L=Spokane, S=WA, C=US, Certificate subject
*CN=ExCertDom EntSub Issuing CA v1.0, DC=ExCertDom, DC=ExTest, DC=Contoso, DC=Com, Certificate issuer name
*446DD186000A00002819, Certificate serial number
*DC27B5F8657F84B15B5004BE63CE482721871582, Certificate thumbprint
*smi.extest.contoso.com, Certificate alternate names
>EHLO edgea36.dns.contoso.com
<250-edgedns3 Hello woodgrove.com [192.168.0.2], pleased to meet you
<250-ENHANCEDSTATUSCODES
<250-PIPELINING
<250-EXPN
<250-VERB
<250-8BITMIME
<250-SIZE
<250-DSN
<250-ETRN
<250-DELIVERBY
<250 HELP
*08C895F533E837EC;2006-08-28T22:37:53.323Z;1, sending message
>MAIL FROM:<user@example.com> SIZE=614
>RCPT TO:<root@smi.extest.contoso.com>
<250 2.1.0 <user@example.com>... Sender ok
<250 2.1.5 <root@smi.extest.contoso.com>... Recipient ok
>DATA
<354 Enter mail, end with "." on a line by itself
<250 2.0.0 k7TBM0BZ000043 Message accepted for delivery
>QUIT
<221 2.0.0 edgedns3 closing connection

수신 로그의 예

>220 edgea36 Microsoft ESMTP MAIL Service, Version: 8.0.647.0 ready at Mon, 28 Aug 2006 15:37:53 -0700
<EHLO edgedns3
>250-edgea36.dns.contoso.com Hello [192.168.0.1]
>250-SIZE 15728640
>250-PIPELINING
>250-DSN
>250-ENHANCEDSTATUSCODES
>250-STARTTLS
>250-AUTH
>250-8BITMIME
>250-BINARYMIME
>250 CHUNKING
<STARTTLS
>220 2.0.0 SMTP server ready
*Sending certificate
*CN=edgea36, Certificate subject
*CN=edgea36, Certificate issuer name
*CA2EDF2487C6F09B4E413FD3812A7F89, Certificate serial number
*E8DA062786FD097DD8D79FF10C583CC23AD64F6C, Certificate thumbprint
*edgea36;edgea36.dns.contoso.com, Certificate alternate names
*Received certificate
*CN=smi.extest.contoso.com, OU=Contoso, O=Corp, L=Spokane, S=WA, C=US, Certificate subject
*CN=ExCertDom EntSub Issuing CA v1.0, DC=ExCertDom, DC=ExTest, DC=Contoso, DC=Com, Certificate issuer name
*446DD186000A00002819, Certificate serial number
*DC27B5F8657F84B15B5004BE63CE482721871582, Certificate thumbprint
*smi.extest.contoso.com, Certificate alternate names
<EHLO edgedns3
>250-edgea36.dns.contoso.com Hello [192.168.0.1]
>250-SIZE 15728640
>250-PIPELINING
>250-DSN
>250-ENHANCEDSTATUSCODES
>250-AUTH
>250-8BITMIME
>250-BINARYMIME
>250 CHUNKING
<MAIL From:<user@smi.extest.contoso.com> SIZE=16
*08C895F533E837EC;2006-08-28T22:37:53.323Z;1, receiving message
>250 2.1.0 user@smi.extest.contoso.com Sender OK
<RCPT To:<user@woodgrove.com>
>250 2.1.5 user@woodgrove.com Recipient OK
<DATA
>354 Start mail input; end with <CRLF>.<CRLF>
>250 2.6.0 <200608281121.k7SBHYi0004586@edgedns3> Queued mail for delivery
<QUIT
>221 2.0.0 Service closing transmission channel

프로토콜 로그를 보는 방법에 대한 자세한 내용은 프로토콜 로깅을 구성하는 방법을 참조하십시오.

Exchange 2007에서 도메인 보안을 관리하는 방법에 대한 자세한 내용은 도메인 보안 관리를 참조하십시오.

공개 키 인프라를 구성하는 방법에 대한 자세한 내용은 Best Practices for Implementing a Microsoft Windows Server 2003 Public Key Infrastructure(영문)를 참조하십시오.