[9.100-16] HOW TO: POP3S Initial Configuration

No provider would give their certificate. I created an own one and have chosen ir in the configuration 
I would Take a CA therefor that is known to the clients.

Thanks Cristian.  I am able to upload it but not selected as TLS certificate (it's a pem format. I would thought that you need the private key as it won't be able to act as a MIM otherwise)-i.e. need to upload PKCS#12?


Also What happens if you have a self signed certificate though? 

I am using a domain where it offers pop3s but I don't know what the certificate private would be and the certificate is a self signed one?

Wingman, maybe the following will help:

OpenSSL commands to convert a .crt to a pkcs#12

First, convert the certificate from .crt to PEM:
# openssl x509 –in input.crt –inform CRT –out output.crt –outform PEM

Next, use the openssl command to read the PEM encoded certificate(s) and key and export to a single PKCS#12 file as follows:
# openssl pkcs12 -export -in input.crt -inkey input.key -out bundle.p12

Cheers - Bob

Thanks bob but I don't have the passphrase or key. I just want to enable pop2s scan for gmx.us domain. Is there a guide for 9.1 for this?

Sounds like there will be one when you're done! [;)]

Cheers - Bob

yes I will def write a guide once I figure it out. Hopefully Sophos would do it first [;)]

I'm having this issue as well. Only, after I selected a valid certificate, also used for my webserver/webmail, my pop client still isn't functioning the way it should...

My smartpop2exchange pop client still says;
2013-05-15 11:46:05   Error while opening POP3 connection to 'pop.gmail.com' (User:username@gmail.com): Error connecting with SSL.  Error connecting with SSL.  error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number

And in the live log I see nothing regarding the Gmail accounts, but only information regarding the normal pop3 (110) accounts, saying;
2013:05:15-11:42:55 fw01 pop3proxy[11902]: SSL Error: 0x14094410d (error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure)
After that it seems to retrieve the mail. 

But still not for the SSL accounts.


I also have an SSL account configured on my iPhone. 

The live log it says; ***** pop3proxy[28335]: SSL Error: 0x1408a0c1d (error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher

After selecting my certificate, the live log says;
2013:05:15-11:45:53 fw01 pop3proxy[13233]: Accepted client connection from 10.0.1.76 for 81.4.80.70
2013:05:15-11:45:53 fw01 pop3proxy[13233]: SslClient 10.0.1.76 has closed the connection
But my iPhone says that the server is not responding.

So, even after selecting a TLS certificate it still isn't working the way it should.
And it started after the UTM upgrade to 9.100-16...

For the time being I shut down the pop3 proxy and enable a firewall rule...

I hope somebody can help solve this!
Thanks in advance!
Regards,
Erwin.

Guys, this has nothing to do with the email provider's cert.  My understanding is that you only need the SSL stuff from the mail server, combined into a PCKS#12 file that you can upload into the UTM.

I think that this is a problem similar to WAF.  To have WAF do SSL for a site you're hosting, you need the same stuff as you need for this.

Cheers - Bob

Guys, this has nothing to do with the email provider's cert.  My understanding is that you only need the SSL stuff from the mail server, combined into a PCKS#12 file that you can upload into the UTM.

I think that this is a problem similar to WAF.  To have WAF do SSL for a site you're hosting, you need the same stuff as you need for this.

Cheers - Bob

If that's true then you can't use pop3s with gmail (for example) as you don't have the PCKS#12 certificate (private key with its X.509 certificate)?

I misspoke - I was thinking of a different thread where they had a mail server that was downloading from the mail service provider.  You don't need their stuff - I think you just need the same package from one of your client machines that you now download with directly.

If that's not the case, then maybe you just need to import the HTTPS Proxy CA certificate into each client's certificate store in Trusted Root.  That doesn't seem like what the error messages are saying, but, remember, POP3 doesn't start working correcctly until after a client first connects to the mail server through the proxy.

Cheers - Bob