Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 63 replies
  • Subscribers 4 subscribers
  • Views 105991 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL TLS on SMTP

RufusToofus
Our MAIL Relay worked fine until the NEW SSL Bug fix was applied, any suggestions ??

We have upgraded to 9.210-20, we now are getting serious EMAIL rejection problems EXIM Log:

SMTP command timeout on connection from (iPhone) [85.255.233.181]:23650
2014:12:04-18:54:38 fw1 exim-in[15966]: 2014-12-04 18:54:38 SMTP command timeout on connection from ([10.4.96.113]) [212.183.132.60]:53489
2014:12:04-18:55:00 fw1 exim-out[16233]: 2014-12-04 18:55:00 Start queue run: pid=16233
2014:12:04-18:55:00 fw1 exim-out[16233]: 2014-12-04 18:55:00 End queue run: pid=16233
2014:12:04-18:55:33 fw1 exim-in[16038]: 2014-12-04 18:55:33 SMTP command timeout on connection from (iPhone) [85.255.233.181]:19775
2014:12:04-18:55:40 fw1 exim-in[16043]: 2014-12-04 18:55:40 TLS error on connection from [85.255.233.181]:43614 (SSL_accept): timed out
2014:12:04-18:55:40 fw1 exim-in[16043]: 2014-12-04 18:55:40 TLS client disconnected cleanly (rejected our certificate?)


This thread was automatically locked due to age.
  • 0 in reply to andval
    I followed the steps in the this article as well but I am still getting the error.

    error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher

    At this point I have TLS off but that will be work come monday.  I have a support ticket open but have not heard back yet.

    Anyone have any other suggestions?
  • 0
    So I figured it out on my own.  This article had the solutions.

    https://community.sophos.com/products/unified-threat-management/astaroorg/f/51/t/22448

    In addition to adding,

    openssl_options = +no_tlsv1_2

    I also had to modify line 257 and change.

    tls_require_ciphers = RC4+RSA:HIGH:!MD5:!ADH:!SSLv2:!SSLv3

    to

    tls_require_ciphers = RC4+RSA:HIGH:!MD5:!ADH:!SSLv2

    bingo
  • 0
    One last update, I removed the option completely as it was before after the upgrade and left the tls_require_ciphers change and it still works.

    [removed]
    openssl_options = +no_tlsv1_2
  • 0
    Hi TABINATION

    Is everything working now on your side after all the changes you have made?
  • 0 in reply to tabination
    So I figured it out on my own.  This article had the solutions.

    https://www.astaro.org/gateway-products/general-discussion/54160-some-alternative-poodle-workarounds-utm.html

    In addition to adding,

    openssl_options = +no_tlsv1_2

    I also had to modify line 257 and change.

    tls_require_ciphers = RC4+RSA:HIGH:!MD5:!ADH:!SSLv2:!SSLv3

    to

    tls_require_ciphers = RC4+RSA:HIGH:!MD5:!ADH:!SSLv2

    bingo


    Thank you for this. I have been waiting all day for my escalated case to be answered by support with no reply.
    Just editing line 257 has done the trick for me and should stop my UTM customers shouting at me tomorrow morning.[:)]
  • 0
    Hi,

    Thanks for the fix as it was driving me crazy! Adding the option and modifying line 257 worked well for me too.  Before doing all this I had to reset the root password as I forgot it.
    Recover access to your Sophos UTM in the event of password loss

    Oh, I'm on the home license.
  • 0
    The workaround did not work for me completely.
    Instead of no shared cipher i get those messages in my log:


    2014:12:08-13:57:44 utm-1 exim-in[10213]: 2014-12-08 13:57:44 SMTP connection from [193.79.1.3]:35729 (TCP/IP connection count = 1)
    2014:12:08-13:57:44 utm-1 exim-in[10213]: 2014-12-08 13:57:44 SMTP connection from [193.79.1.3]:35392 (TCP/IP connection count = 2)
    2014:12:08-13:57:44 utm-1 exim-in[10213]: 2014-12-08 13:57:44 SMTP connection from [193.79.1.3]:60268 (TCP/IP connection count = 3)
    2014:12:08-13:57:44 utm-1 exim-in[10213]: 2014-12-08 13:57:44 SMTP connection from [193.79.1.3]:4873 (TCP/IP connection count = 4)
    2014:12:08-13:57:44 utm-1 exim-in[10213]: 2014-12-08 13:57:44 SMTP connection from [193.79.1.53]:6244 (TCP/IP connection count = 5)
    2014:12:08-13:57:44 utm-1 exim-in[10213]: 2014-12-08 13:57:44 SMTP connection from [193.79.1.53]:10325 (TCP/IP connection count = 6)
    2014:12:08-13:57:44 utm-1 exim-in[10213]: 2014-12-08 13:57:44 SMTP connection from [193.79.1.53]:6845 (TCP/IP connection count = 7)
    2014:12:08-13:57:44 utm-1 exim-in[10213]: 2014-12-08 13:57:44 SMTP connection from [193.79.1.53]:1946 (TCP/IP connection count = 8)
    2014:12:08-13:57:44 utm-1 exim-in[10984]: 2014-12-08 13:57:44 SMTP connection from xyfire.xy.com [193.79.1.53]:6244 closed by QUIT
    2014:12:08-13:57:44 utm-1 exim-in[10983]: 2014-12-08 13:57:44 SMTP connection from mail.xy.com [193.79.1.3]:4873 closed by QUIT
    2014:12:08-13:57:44 utm-1 exim-in[10980]: 2014-12-08 13:57:44 SMTP connection from mail.xy.com [193.79.1.3]:35729 closed by QUIT
    2014:12:08-13:57:44 utm-1 exim-in[10982]: 2014-12-08 13:57:44 SMTP connection from mail.xy.com [193.79.1.3]:60268 closed by QUIT
    2014:12:08-13:57:44 utm-1 exim-in[10985]: 2014-12-08 13:57:44 SMTP connection from xyfire.xy.com [193.79.1.53]:10325 closed by QUIT
    2014:12:08-13:57:44 utm-1 exim-in[10981]: 2014-12-08 13:57:44 SMTP connection from mail.xy.com [193.79.1.3]:35392 closed by QUIT
    2014:12:08-13:57:44 utm-1 exim-in[10986]: 2014-12-08 13:57:44 SMTP connection from xyfire.xy.com [193.79.1.53]:6845 closed by QUIT


    Mails were still not be delivered.
  • 0
    solution here (after a long phone call with sophos support) :
    The SSL v3.0 CBC (Poodle) vulnerability: affected versions, recommended steps and workarounds

    go in the Workaround part:
    Sophos UTM | SMTP Proxy
  • 0 in reply to djac
    It works for me . Thank you.[:)]
    No 'no shared cipher' messages in smtp.log
  • 0
    That article is incorrect as were my instructions in post #4 above until I corrected them.  Tabination's correction to line 257 is probably sufficient as would be simply adding openssl_options = +no_sslv3 at line 297.  Either should solve the problem.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML