Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 63 replies
  • Subscribers 4 subscribers
  • Views 105983 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL TLS on SMTP

RufusToofus
Our MAIL Relay worked fine until the NEW SSL Bug fix was applied, any suggestions ??

We have upgraded to 9.210-20, we now are getting serious EMAIL rejection problems EXIM Log:

SMTP command timeout on connection from (iPhone) [85.255.233.181]:23650
2014:12:04-18:54:38 fw1 exim-in[15966]: 2014-12-04 18:54:38 SMTP command timeout on connection from ([10.4.96.113]) [212.183.132.60]:53489
2014:12:04-18:55:00 fw1 exim-out[16233]: 2014-12-04 18:55:00 Start queue run: pid=16233
2014:12:04-18:55:00 fw1 exim-out[16233]: 2014-12-04 18:55:00 End queue run: pid=16233
2014:12:04-18:55:33 fw1 exim-in[16038]: 2014-12-04 18:55:33 SMTP command timeout on connection from (iPhone) [85.255.233.181]:19775
2014:12:04-18:55:40 fw1 exim-in[16043]: 2014-12-04 18:55:40 TLS error on connection from [85.255.233.181]:43614 (SSL_accept): timed out
2014:12:04-18:55:40 fw1 exim-in[16043]: 2014-12-04 18:55:40 TLS client disconnected cleanly (rejected our certificate?)


This thread was automatically locked due to age.
Parents
  • 0
    If you have paid support, please ask Sophos Support to do the following:

    # edit /var/chroot-smtp/etc/exim.conf


    Press  to add line 297 (Ouch! I made a mistake when I posted this the first time.  It's correct now.)

    openssl_options = +no_sslv3


    although that change should be sufficient, change line 257 to

    tls_require_ciphers = RC4+RSA:HIGH:!MD5:!ADH:!SSLv2


    Press [escape]

    Type in

    :wq


    followed by [Enter], and that should have succeeded in adding the line they goofed on.  To check your work:

    # grep openssl /var/chroot-smtp/etc/exim.conf


    The output of that command should be

    openssl_options = +no_sslv3


    Cheers - Bob
    If your box already has the 9.300, 9.301 and 9.302 Up2Dates available on it, just change the version at the command line and Up2Date to 9.302 instead.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    If you have paid support, please ask Sophos Support to do the following:

    # edit /var/chroot-smtp/etc/exim.conf


    Press  to add line 297 (Ouch! I made a mistake when I posted this the first time.  It's correct now.)

    openssl_options = +no_sslv3


    although that change should be sufficient, change line 257 to

    tls_require_ciphers = RC4+RSA:HIGH:!MD5:!ADH:!SSLv2


    Press [escape]

    Type in

    :wq


    followed by [Enter], and that should have succeeded in adding the line they goofed on.  To check your work:

    # grep openssl /var/chroot-smtp/etc/exim.conf


    The output of that command should be

    openssl_options = +no_sslv3


    Cheers - Bob
    If your box already has the 9.300, 9.301 and 9.302 Up2Dates available on it, just change the version at the command line and Up2Date to 9.302 instead.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • 0 in reply to BAlfson
    If you have paid support, please ask Sophos Support to do the following:

    # edit /var/chroot-smtp/etc/exim.conf


    Press  to add line 297 (Ouch! I made a mistake when I posted this the first time.  It's correct now.)

    openssl_options = +no_sslv3


    although that change should be sufficient, change line 257 to

    tls_require_ciphers = RC4+RSA:HIGH:!MD5:!ADH:!SSLv2


    Press [escape]

    Type in

    :wq


    followed by [Enter], and that should have succeeded in adding the line they goofed on.  To check your work:

    # grep openssl /var/chroot-smtp/etc/exim.conf


    The output of that command should be

    openssl_options = +no_tlsv1_2


    Cheers - Bob
    If your box already has the 9.300, 9.301 and 9.302 Up2Dates available on it, just change the version at the command line and Up2Date to 9.302 instead.


    Hey Bob, followed your directions here.

    When I issue 'grep openssl /var/chroot-smtp/etc/exim.conf'

    I get 'openssl_options = +no_sslv3'

    which is different than your output.

    Tom
  • 0 in reply to BAlfson
    Thank Bob, your answer worked for me.

    However I get a different result when I do the [grep openssl /var/chroot-smtp/etc/exim.conf] - I get "openssl_options = +no_sslv3" as the result. Again, it is working now. 

    -Jayson

    If you have paid support, please ask Sophos Support to do the following:

    # edit /var/chroot-smtp/etc/exim.conf


    Press  to add line 297 (Ouch! I made a mistake when I posted this the first time.  It's correct now.)

    openssl_options = +no_sslv3


    although that change should be sufficient, change line 257 to

    tls_require_ciphers = RC4+RSA:HIGH:!MD5:!ADH:!SSLv2


    Press [escape]

    Type in

    :wq


    followed by [Enter], and that should have succeeded in adding the line they goofed on.  To check your work:

    # grep openssl /var/chroot-smtp/etc/exim.conf


    The output of that command should be

    openssl_options = +no_tlsv1_2


    Cheers - Bob
    If your box already has the 9.300, 9.301 and 9.302 Up2Dates available on it, just change the version at the command line and Up2Date to 9.302 instead.
  • 0 in reply to Jayson
    Same for me. The grep command is openssl_options = +no_sslv3.

    Thanks

    Thank Bob, your answer worked for me.

    However I get a different result when I do the [grep openssl /var/chroot-smtp/etc/exim.conf] - I get "openssl_options = +no_sslv3" as the result. Again, it is working now. 

    -Jayson
Unfiltered HTML