This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL TLS on SMTP

Our MAIL Relay worked fine until the NEW SSL Bug fix was applied, any suggestions ??

We have upgraded to 9.210-20, we now are getting serious EMAIL rejection problems EXIM Log:

SMTP command timeout on connection from (iPhone) [85.255.233.181]:23650
2014:12:04-18:54:38 fw1 exim-in[15966]: 2014-12-04 18:54:38 SMTP command timeout on connection from ([10.4.96.113]) [212.183.132.60]:53489
2014:12:04-18:55:00 fw1 exim-out[16233]: 2014-12-04 18:55:00 Start queue run: pid=16233
2014:12:04-18:55:00 fw1 exim-out[16233]: 2014-12-04 18:55:00 End queue run: pid=16233
2014:12:04-18:55:33 fw1 exim-in[16038]: 2014-12-04 18:55:33 SMTP command timeout on connection from (iPhone) [85.255.233.181]:19775
2014:12:04-18:55:40 fw1 exim-in[16043]: 2014-12-04 18:55:40 TLS error on connection from [85.255.233.181]:43614 (SSL_accept): timed out
2014:12:04-18:55:40 fw1 exim-in[16043]: 2014-12-04 18:55:40 TLS client disconnected cleanly (rejected our certificate?)


This thread was automatically locked due to age.
Parents Reply
  • Just editing line 257 has done the trick for me and should stop my UTM customers shouting at me tomorrow morning.[:)]


    I just did some tests with various settings and https://ssl-tools.net/mailservers

    It seems that this setting (default on 9.210-20)

    tls_require_ciphers = RC4+RSA:HIGH:!MD5:!ADH:!SSLv2:!SSLv3

    disables SSLv3, but also TLS1.0 and TLS 1.1 - it's an obvious bug!

    So we can enable all protocols (SSLv3, TLS1.0 and TLS1.1) again with:

    tls_require_ciphers = RC4+RSA:HIGH:!MD5:!ADH:!SSLv2

    But we do not want SSLv3, so we need to disable it by adding:

    openssl_options = +no_sslv3

    Et voilà, we have Tls 1.0, 1.1, 1.2 in 9.210-20, we are getting eMails from googlemail, but we are secured from Poodle :-)

    Seems that Sophos QA had missed something here :-\
Children
No Data