Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

TLS 1.2 Mandatory setzen

Hallo zusammen,

 

die neue Europäische Datenschutzverordnung stellt uns gerade vor die Herausforderung unseren gesamten Emailverkehr nach aussen mittels TLS 1.2 zu verschlüsseln. Also den Übertragungskanal. Für uns stellt sich nun die Frage ob wir diese Verbindung mittels der Sophos UTM realisiert bekommen. In unserem Falle sollen alle Übertragungen, die nicht mittels TLS 1.2 gesichert werden können, blockiert werden. Ich weiß das es andere Compliances gibt die dies unterstützen. Daher nehme ich an das die Sophos das auch kann. Jedoch muss ich hier wissen wie man das eingestellt bekommt und was passiert wenn die Übertragung nicht statt findet. 

Wir nutzen derzeit die UTM in der Version: 9.506-2

 



This thread was automatically locked due to age.
Parents
  • Hallo Marc,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment.  )

    Since you certainly have a paid subscription, don't do the following until it has been "blessed" by Sophos Support.

    There's probably a line (about 297) in /var/chroot-smtp/etc/exim.conf that contains

    openssl_options = +no_sslv3

    Change that to:

    openssl_options +no_sslv2 +no_sslv3 +no_tlsv1 +no_tlsv1_1

    And restart the Proxy:

    /var/mdw/scripts/smtp restart

    In my opinion Sophos should make a KnowledgeBase article for this fix for everyone in Europe.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Absolut korrekt, was Bob aufgeführt hat. Das Abschalten von TLS V1 und 1.1 funktioniert für SMTP einzig und alleine über eine manuelle Änderung der exim.conf mit den obigen Änderungen und anschließendem Neustart des Mail Proxys.

    Ich habe das schon vor 2 Jahren mit dem Support durchexerziert, wir müssen PCI Compliance beweisen und das funktioniert nur mit abgeschaltetem TLS V1. Diese Änderungen hat mir der Support ebenfalls mitgeteilt.

    Nach wie vor gibt es dazu keine KB und es ist, wie Bob schon schrieb, im Grunde genommen eine Verletzung der Supportbedingungen. Um also sicherzustellen, dass der Support sich nach dieser Änderung nicht querstellt, am besten einen Supportcase öffnen und die Lage schildern.

    Ebenfalls angeregt hatte ich eine Möglichkeit, diese Einstellung in der UI dauerhaft vornehmen zu können. Bislang Fehlanzeige.

    Beachtet werden muss auch, dass diese manuelle Änderung nach jedem Update wieder weg ist! Anscheinend setzen Updates, die den SMTP Server betreffen, die exim.conf wieder auf "Werkseinstellung" zurück. Es muss also nach jedem Update die exim.conf geprüft und falls no_TLSv1 entfernt wurde wieder eingetragen werden.

Reply
  • Absolut korrekt, was Bob aufgeführt hat. Das Abschalten von TLS V1 und 1.1 funktioniert für SMTP einzig und alleine über eine manuelle Änderung der exim.conf mit den obigen Änderungen und anschließendem Neustart des Mail Proxys.

    Ich habe das schon vor 2 Jahren mit dem Support durchexerziert, wir müssen PCI Compliance beweisen und das funktioniert nur mit abgeschaltetem TLS V1. Diese Änderungen hat mir der Support ebenfalls mitgeteilt.

    Nach wie vor gibt es dazu keine KB und es ist, wie Bob schon schrieb, im Grunde genommen eine Verletzung der Supportbedingungen. Um also sicherzustellen, dass der Support sich nach dieser Änderung nicht querstellt, am besten einen Supportcase öffnen und die Lage schildern.

    Ebenfalls angeregt hatte ich eine Möglichkeit, diese Einstellung in der UI dauerhaft vornehmen zu können. Bislang Fehlanzeige.

    Beachtet werden muss auch, dass diese manuelle Änderung nach jedem Update wieder weg ist! Anscheinend setzen Updates, die den SMTP Server betreffen, die exim.conf wieder auf "Werkseinstellung" zurück. Es muss also nach jedem Update die exim.conf geprüft und falls no_TLSv1 entfernt wurde wieder eingetragen werden.

Children
No Data