Thread Info
  • State Verified Answer
  • Locked Locked
  • Replies 15 replies
  • Answers 1 answer
  • Subscribers 6 subscribers
  • Views 5213 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

TLS erzwingen beim E-Mail Versand/Empfang

HJW

Hallo,

auf einem UTM-Cluster (v9.708-6) habe ich unter "Email Protection" ==> "SMTP" ==> "Advanced" ==> "TLS Settings" das Zertifikat (Commodo) hinterlegt und "TLS version" auf 1.2 gesetzt. Funktioniert alles ganz normal, E-Mails werden TLS-verschlüsselt, wenn es geht. CheckTLS ist für die Absenderdomain der UTM auch happy.

Jetzt habe ich unter "Require TLS Negotiation Hosts/Nets" ==> "Internet IPv4" (und v6) hinzugefügt, um Verbindungen ohne TLS zu verhindern. Gut, da bleiben einige ausgehende E-Mails im Spool liegen, also dachte ich mir, ich trage die "guten" Domains, also diejenigen die ausnahmsweise auch ohne TLS erreichbar sein müssen unter "Skip TLS Negotiation Hosts/Nets" ein. Also die MX-Records der Empfänger-Domain rausgesucht, die vier FQDNs als vier "DNS Group" angelegt und bei "Skip TLS ..." eingetragen.

Leider skipped da nichts, E-Mails an die Non-TLS-Domain bleiben im Spool liegen, bis ich "Internet IPv4" bei "Require TLS Negotiation Hosts/Nets" lösche, danach werden sie abgesendet.

Mit dem Sophos-Support mach ich jetzt seit dem 30.11. rum, ohne Aussicht auf Erfolg, ich bin noch keinen Schritt weiter. Außer einer schwammigen Aussage, dass "Require" immer vor "Skip" bewertet wird. Wenn dem so sein sollte, wozu gibt es dann "Skip"? Ich soll jetzt alle Domainen, die TLS unterstützen, bei "Require" eintragen. Haha! Im Ernst, so habe ich das indische Englisch am Telefon interpretiert. Das kann doch nicht sein, oder?

2021:11:30-13:22:07 gate-2 exim-out[17258]: 2021-11-30 13:22:07 1mrzw5-0004hu-SL H=mxb.expurgate.de [194.145.224.21]:25: a TLS session is required, but the server did not offer TLS support
2021:11:30-13:22:07 gate-2 exim-out[17258]: 2021-11-30 13:22:07 1mrzw5-0004hu-SL H=mxb.expurgate.de [194.145.224.15]:25: a TLS session is required, but the server did not offer TLS support
2021:11:30-13:22:07 gate-2 exim-out[17258]: 2021-11-30 13:22:07 1mrzw5-0004hu-SL H=mxb.expurgate.de [194.145.224.16]:25: a TLS session is required, but the server did not offer TLS support
2021:11:30-13:22:07 gate-2 exim-out[17258]: 2021-11-30 13:22:07 1mrzw5-0004hu-SL H=mxb.expurgate.de [195.190.135.23]:25: a TLS session is required, but the server did not offer TLS support
2021:11:30-13:22:07 gate-2 exim-out[17258]: 2021-11-30 13:22:07 1mrzw5-0004hu-SL H=mxb.expurgate.de [195.190.135.22]:25: a TLS session is required, but the server did not offer TLS support
2021:11:30-13:22:07 gate-2 exim-out[17257]: 2021-11-30 13:22:07 1mrzw5-0004hu-SL == aaa.bbb@xxx.de R=dnslookup T=remote_smtp defer (-38) H=mxb.expurgate.de [195.190.135.22]:25: a TLS session is required, but the server did not offer TLS support

mxb.expurgate.de ist einer der MX-Records der Empfängerdomain (hier als xxx.de "geschwärzt"), also irgendein vorgeschalteter Dienstleister. Alle MX-Records der Empfängerdomain fallen bei CheckTLS durch.

Frage: Habe ich alles richtig gemacht? Ist das ein Bug oder ein Feature, dass "Skip" ignoriert wird?

Danke für eure Unterstützung!



This thread was automatically locked due to age.
  • 0

    Hallo HJW,

    Herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. Frowning2)

    Please insert a picture of the 'TLS Settings' on the 'Advanced' tab.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson

    Hi Bob,

    Danke für Deine Hilfe. Bitte lass Dich von dem "porsche.de" nicht ablenken, das wurde bei der Installation der UTM vom Exchange-Server übernommen. Der hatte einen Receive-Connector extra für Porsche, der TLS erzwungen hat.

    Viele Grüße,
      HJW

  • 0 in reply to HJW

    Hallo HJW,

    Auszug aus dem Handbuch:

    TLS Settings

    Require TLS negotiation host/nets: Add or select hosts or nets here which always require TLS encryption for email communication. Sophos UTM will then hold back emails if TLS encryption is not available for those hosts/nets for some reason, that means messages will stay in the mail queue until TLS becomes available again. In case TLS is not available within a reasonable period of time, sending attempts will be stopped and users will get a notification that their email could not be sent.

    Er macht also genau das, was er soll. Wenn du diese Netzwerk-Einträge löscht, werden die restlichen Mails versendet. = Works as designed.

    Require TLS negotiation sender domains: If you want to enforce TLS encryption for incoming emails for certain domains, enter those domains here. Emails sent from those domains without TLS will be rejected immediately.

    Skip TLS negotiation host/nets: Skip TLS negotiation host/nets: If a particular host or network should encounter problems with TLS encryption, you can enter it in the box and select the appropriate TLS certificate from the drop-down menu. This will cause Sophos UTM to skip TLS negotiation for this host or network.

    Diesen letzten Abschnitt finde ich irreführend, da hier kein Zertifikat ausgewählt werden muss?!?

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to PhilippRusch

    Hallo Philipp,

    Danke!

    So, wie Du es zitierst, hatte ich es auch verstanden. Was halt komplett nicht funktioniert, ist das "Skip TLS".

    Wenn alle Felder leer sind, erfolgt die Zustellung über TLS, sofern der Empfänger das unterstützt. Wenn TLS nicht möglich ist, wird unverschlüsselt übertragen.

    Insofern sind die Einträge unter "Skip TLS" nutzlos, da sie keine Ausnahme für "Required" bilden - was für mich eigentlich logisch wäre: Ich zwinge die UTM, alles per TLS abzuwickeln, muss aber für ein paar Empfänger eine Ausnahme hinterlegen, weil die kein TLS können. Ohne diese Ausnahmen wird die E-Mail nicht versendet. Das wäre der Plan...

    Aber leider ignoriert die UTM die Einträge unter "Skip TLS"...

    Ja, wenn ich "Required" leer lasse, dann werden die E-Mails auch ohne TLS an den Empfänger zugestellt - Works as designed. Allerdings habe ich keine Kontrolle darüber. Es kann dann also jeder MITM einen Empfänger vortäuschen und mangels Zertifikat (weil kein TLS erzwungen wird) die E-Mails abfangen, weil die UTM nicht prüfen kann, mit wem sie redet.

    Der Abschnitt zu "Skip TLS ..." aus dem Handbuch ergibt IMHO keinen Sinn, weil ohne TLS ja gar kein Zertifikat erforderlich ist - also gibt es keinen Grund, im Fall "Skip TLS" eines auszuwählen.

  • 0 in reply to HJW

    Hallo HJW,

    das wäre jetzt der klassische Fall, einmal den Sophos Support einzuschalten.

    Viel Glück!

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to PhilippRusch

    Hallo Philipp,

    wie gesagt, das Support-Ticket ist seit dem 30.11.21 offen, aber es geht keinen Schritt weiter. Disappointed

  • 0 in reply to HJW

    RichBaldry, could you have a look at this or pass it on to the right people, please?

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • 0

    Hello HJW,

    Thank you for contacting the Sophos Community.

    Could you please share the Case ID you have open with us, so I can check this internally.

    Regards,

     
    Emmanuel (EmmoSophos)
    Technical Team Lead, Global Community Support
    Sophos Support VideosProduct Documentation  |  @SophosSupport  | Sign up for SMS Alerts
    If a post solves your question use the 'Verify Answer' link.
  • 0 in reply to emmosophos

    Hi Emmanuel,

    sure, the ID is: 04676748

    Thanks in advance,

      HJW

Unfiltered HTML