Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 19 replies
  • Subscribers 38 subscribers
  • Views 9799 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

BUG 9.210-20 SMTP send / receive

fw115
SMTP Empfang und Versand nicht möglich

inbound:
014:12:05-14:47:31 matrix exim-in[14580]: 2014-12-05 14:47:31 TLS error on connection from spring-chicken-au.twitter.com [199.16.156.160]:19307 (SSL_accept): error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher
2014:12:05-14:47:31 matrix exim-in[14580]: 2014-12-05 14:47:31 TLS client 
Disconnected cleanly (rejected our certificate?

send:

2014:12:05-14:54:04 matrix exim-in[14955]: 2014-12-05 14:54:04 TLS error on connection from [192.168.0.31]:42962 (SSL_accept): error:140A1175:SSL routines:SSL_BYTES_TO_CIPHER_LIST:inappropriate fallback
2014:12:05-14:54:04 matrix exim-in[14955]: 2014-12-05 14:54:04 TLS client disconnected cleanly (rejected our certificate?)


This thread was automatically locked due to age.
Parents
  • 0
    Hallo,

    heute habe ich vom Sophos Support die Lösung für unser POP3 Problem nach dem Update auf Version 9.210 erhalten:

    Note: Once you have considered the workaround (or if you updated to 9.210) 
     a connection with a Mailserver which uses SSLv3 is not 
    possible anymore.In case you would like to reactive the 
    support for SSLv3(vulnerable in this case) proceed as 
    follows:

    Navigate 
    to /var/chroot-pop3/etc/ 

    Open 
    the exim.conf with vi: vi pop3proxy.conf 

    Remove 
    :!SSLv3 from the end of tls_ciphers_server 

    Save 
    your changes and close the editor: :wq 

    Repeat 
    this action for pop3proxy.conf-default 

    Now 
    restart the smtpd service by executing /var/mdw/scripts/pop3 
    restart 
    ...

    Zusätzlich mußte ich die Sophos UTM komplett neu starten, danach funktionierte der Zugriff auf unserer Email Postfächer per Pop3 wieder und die eingehenden Mails werden auch nach Viren etc. gescannt.

    Freundliche Grüße
Reply
  • 0
    Hallo,

    heute habe ich vom Sophos Support die Lösung für unser POP3 Problem nach dem Update auf Version 9.210 erhalten:

    Note: Once you have considered the workaround (or if you updated to 9.210) 
     a connection with a Mailserver which uses SSLv3 is not 
    possible anymore.In case you would like to reactive the 
    support for SSLv3(vulnerable in this case) proceed as 
    follows:

    Navigate 
    to /var/chroot-pop3/etc/ 

    Open 
    the exim.conf with vi: vi pop3proxy.conf 

    Remove 
    :!SSLv3 from the end of tls_ciphers_server 

    Save 
    your changes and close the editor: :wq 

    Repeat 
    this action for pop3proxy.conf-default 

    Now 
    restart the smtpd service by executing /var/mdw/scripts/pop3 
    restart 
    ...

    Zusätzlich mußte ich die Sophos UTM komplett neu starten, danach funktionierte der Zugriff auf unserer Email Postfächer per Pop3 wieder und die eingehenden Mails werden auch nach Viren etc. gescannt.

    Freundliche Grüße
Children
  • 0 in reply to fencer
    Ich habe das Problem SMTP "no shared cipher" Problem bei meinen Kunden auch.

    Update von 9.210 auf 9.3* funktioniert nicht, wie auch hier beschrieben
    How to update to Sophos UTM v9.3

    "As mentioned it is currently not possible to update to 9.3x from 9.210 because of the missing update path. We will release version 9.304 (expected for next week) with which it will be possible to update to 9.3x from 9.210."

    Die /etc/version möchte ich nicht editieren, da es bestimmt einen Grund gibt, warum Sopohs das Update nicht zulässt... Am Schluss schlägt das Update von irgendwelchen Komponenten fehl und man kann die Appliances neu installieren weil man haufenweise Folgefehler hat.

    Das ist eine Sauerei, ich musste nun den SMTP Proxy ausschalten und direkt zum Exchange NATen [:(]
  • 0 in reply to Apo
    Ich habe das Problem SMTP "no shared cipher" Problem bei meinen Kunden auch.


    Das Problem habe ich auch gehabt, ich habe mir aus diversen Teilen eine funktionierende Lösung zusammengebaut. Details dazu sind hier in meinem Post: https://community.sophos.com/products/unified-threat-management/astaroorg/f/52/t/29708

    Auf hier der Seite habe ich anschließend getestet ob TLS1.0-1.2 wieder durchkommen: https://de.ssl-tools.net/

    Edit: Ein weiterer einfacher Test ist zu schauen ob Mails von Google (Googlemail) empfangen werden. Dies ist nicht der Fall wenn nur TLS1.2 aktiviert ist.
  • 0 in reply to ZeusDionysos
    Durch das Upgrade auf die Version  9.303-2 ist das Problem bei mir behoben.
  • 0 in reply to Apo
    Ich habe das Problem SMTP "no shared cipher" Problem bei meinen Kunden auch.

    Update von 9.210 auf 9.3* funktioniert nicht, wie auch hier beschrieben
    How to update to Sophos UTM v9.3

    "As mentioned it is currently not possible to update to 9.3x from 9.210 because of the missing update path. We will release version 9.304 (expected for next week) with which it will be possible to update to 9.3x from 9.210."

    Die /etc/version möchte ich nicht editieren, da es bestimmt einen Grund gibt, warum Sopohs das Update nicht zulässt... Am Schluss schlägt das Update von irgendwelchen Komponenten fehl und man kann die Appliances neu installieren weil man haufenweise Folgefehler hat.

    Das ist eine Sauerei, ich musste nun den SMTP Proxy ausschalten und direkt zum Exchange NATen [:(]



    Seit heute verfügbar: 9.210020-9.304009 

     Fix [34004]: POP3 Vulnerability in SSL v3.0

     Fix [34005]: SMTP Vulnerability in SSL v3.0
Unfiltered HTML