Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 63 replies
  • Subscribers 4 subscribers
  • Views 106004 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL TLS on SMTP

RufusToofus
Our MAIL Relay worked fine until the NEW SSL Bug fix was applied, any suggestions ??

We have upgraded to 9.210-20, we now are getting serious EMAIL rejection problems EXIM Log:

SMTP command timeout on connection from (iPhone) [85.255.233.181]:23650
2014:12:04-18:54:38 fw1 exim-in[15966]: 2014-12-04 18:54:38 SMTP command timeout on connection from ([10.4.96.113]) [212.183.132.60]:53489
2014:12:04-18:55:00 fw1 exim-out[16233]: 2014-12-04 18:55:00 Start queue run: pid=16233
2014:12:04-18:55:00 fw1 exim-out[16233]: 2014-12-04 18:55:00 End queue run: pid=16233
2014:12:04-18:55:33 fw1 exim-in[16038]: 2014-12-04 18:55:33 SMTP command timeout on connection from (iPhone) [85.255.233.181]:19775
2014:12:04-18:55:40 fw1 exim-in[16043]: 2014-12-04 18:55:40 TLS error on connection from [85.255.233.181]:43614 (SSL_accept): timed out
2014:12:04-18:55:40 fw1 exim-in[16043]: 2014-12-04 18:55:40 TLS client disconnected cleanly (rejected our certificate?)


This thread was automatically locked due to age.
  • 0 in reply to ApathyInTheUK
    Just editing line 257 has done the trick for me and should stop my UTM customers shouting at me tomorrow morning.[:)]


    I just did some tests with various settings and https://ssl-tools.net/mailservers

    It seems that this setting (default on 9.210-20)

    tls_require_ciphers = RC4+RSA:HIGH:!MD5:!ADH:!SSLv2:!SSLv3

    disables SSLv3, but also TLS1.0 and TLS 1.1 - it's an obvious bug!

    So we can enable all protocols (SSLv3, TLS1.0 and TLS1.1) again with:

    tls_require_ciphers = RC4+RSA:HIGH:!MD5:!ADH:!SSLv2

    But we do not want SSLv3, so we need to disable it by adding:

    openssl_options = +no_sslv3

    Et voilà, we have Tls 1.0, 1.1, 1.2 in 9.210-20, we are getting eMails from googlemail, but we are secured from Poodle :-)

    Seems that Sophos QA had missed something here :-\
  • 0
    The previous post by alexander@impuls makes sense while reading the settings - I'm no exim guru and I didn't understand the sense of the +no_tls... things in the kb article.

    @Bob: I think you have to correct the grep check in post 4 - if one follows it he maybe thinks he has done something wrong (output should be 'openssl_options = +no_sslv3')

    Regards
    Manfred
  • 0
    The settings posted by alexander@impuls are working well for me.
  • 0 in reply to BAlfson
    If you have paid support, please ask Sophos Support to do the following:

    # edit /var/chroot-smtp/etc/exim.conf


    Press  to add line 297 (Ouch! I made a mistake when I posted this the first time.  It's correct now.)

    openssl_options = +no_sslv3


    although that change should be sufficient, change line 257 to

    tls_require_ciphers = RC4+RSA:HIGH:!MD5:!ADH:!SSLv2


    Press [escape]

    Type in

    :wq


    followed by [Enter], and that should have succeeded in adding the line they goofed on.  To check your work:

    # grep openssl /var/chroot-smtp/etc/exim.conf


    The output of that command should be

    openssl_options = +no_tlsv1_2


    Cheers - Bob
    If your box already has the 9.300, 9.301 and 9.302 Up2Dates available on it, just change the version at the command line and Up2Date to 9.302 instead.


    Hey Bob, followed your directions here.

    When I issue 'grep openssl /var/chroot-smtp/etc/exim.conf'

    I get 'openssl_options = +no_sslv3'

    which is different than your output.

    Tom
  • 0
    Line 257 looks a bit different here:
    tls_require_ciphers = HIGH:!RC4:!MD5:!ADH:!SSLV2
    instead of
    tls_require_ciphers = RC4+RSA:HIGH:!MD5:!ADH:!SSLv2
  • 0
    Hi Tom,
    you are perfectly fine. Bob did not yet correct his post fully - see my post #23 above.

    Regards
    Manfred
  • 0
    Works perfectly for me! Thank you!
  • 0 in reply to Nemo
    Works perfectly for me aswell!

    Thanks!
  • 0
    There have been a lot of replies here - can someone post the 'official unofficial' fix for the SSL/TLS bug?
  • 0
    the correct workaround is in post 4
Unfiltered HTML