TLS Zertifikat für IMAPS/POP3S

Hallo zusammen

Ich teste gerade die E-Mail Protection auf meiner xgs107 Firewall. Der Mailserver steht in der DMZ, daher arbeitet die Firewall als "Transparenter Proxy".

Wenige Tage nach der Einrichtung erhielt ich eine "DANE Survey Notice":
"The TLSA RRsets of some of your email servers do not match their actual certificate chains."

Ich habe dann vermutet, dass man wohl das Mailserverzertifikat auch auf der Firewall einspielen muss - also habe ich das Zertifikat hochgeladen und unter "SMTP-TLS-Konfiguration" ausgewählt. Anschliessend waren die DANE/TLSA Tests wieder erfolgreich.

Heute nun ausser Haus stelle ich fest, dass der E-Mail Client sich nicht mit dem IMAPS/POPS Server verbinden kann. Also habe ich in der WAN to DMZ Regel "IMAP scannen", "IMAPS scannen", "POP3 scannen" und "POP3S scannen" deaktiviert. Es wird nun dort nur noch SMTP und SMTPS gescannt. Generell reicht das ja...

Eine ander Möglichkeit sehe ich leider nicht, denn mein E-Mail Server TLS Zertifikat lässt sich bei SMTP/S hinterlegen, nicht aber bei POP3/S,IMAP/S - da sehe ich nur "SecurityApliance_SSL_CA" in der Auswahl - nicht aber mein Mailserverzertifikat.

Der Nutzen des E-Mail Protection wird immer kleiner Slight smile

Warum kann man bei POP3/IMAP kein normalen TLS Zertifikat hinterlegen? Oder kann es sein, dass das Problem wegen der Authentifizierung entsteht? Jedenfalls meldet der Mailclient, dass der Server nicht erreicht werden kann, solange ich die Protokolle scanne.

Viele Grüsse

Martin

  • Hallo Martin,

    das folgende sind nur Vermutungen, nichts selbst geprüftes...

    Die POP3/IMAP Funktionen der Mail-Protektion sind eher für die Nutzung/den Schutz des Mail Clients, als den Betrieb eines POP3 Servers.

    Daher muss die Firewall normalerweise MITM für die POP3s-Kommunikation des Clients zu einem der vielen öffentlichen POP3 Server spielen. Also das gleiche, wie beim SSL-Aufbrechen der HTTPS-Web-Verbindungen beim Surfen.

    Die Appliance muss mit dem Zertifikat die "Wiederverschlüsselten" Verbindungen signieren/für gültig erklären. Dabei ist ein CA-Zertifikat und kein einfaches Webserver-Zertifikat nötig. Diesem Zertifikat müssen dann noch alle Mailclients vertrauen, denn ein öffentliches-Sub-CA-Zertifikat ist sehr, sehr schwer zu bekommen.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.