Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 63 replies
  • Subscribers 4 subscribers
  • Views 106037 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL TLS on SMTP

RufusToofus
Our MAIL Relay worked fine until the NEW SSL Bug fix was applied, any suggestions ??

We have upgraded to 9.210-20, we now are getting serious EMAIL rejection problems EXIM Log:

SMTP command timeout on connection from (iPhone) [85.255.233.181]:23650
2014:12:04-18:54:38 fw1 exim-in[15966]: 2014-12-04 18:54:38 SMTP command timeout on connection from ([10.4.96.113]) [212.183.132.60]:53489
2014:12:04-18:55:00 fw1 exim-out[16233]: 2014-12-04 18:55:00 Start queue run: pid=16233
2014:12:04-18:55:00 fw1 exim-out[16233]: 2014-12-04 18:55:00 End queue run: pid=16233
2014:12:04-18:55:33 fw1 exim-in[16038]: 2014-12-04 18:55:33 SMTP command timeout on connection from (iPhone) [85.255.233.181]:19775
2014:12:04-18:55:40 fw1 exim-in[16043]: 2014-12-04 18:55:40 TLS error on connection from [85.255.233.181]:43614 (SSL_accept): timed out
2014:12:04-18:55:40 fw1 exim-in[16043]: 2014-12-04 18:55:40 TLS client disconnected cleanly (rejected our certificate?)


This thread was automatically locked due to age.
  • 0 in reply to Jayson
     If as in this case your business partners updated and you didn't, then you need to take the time to update as well. 


    Dear Jayson,
    You are right, users should always maintain their UTM up2date, but when we are dealing with a major release, I think it’s different: in this case you are often exposed at more risks than benefits. On December Sophos released 3 versions of 9.3 in 2 weeks, it probably indicates that it requires more time to be really reliable. In my case, if I upgraded to 9.305, I would have fixed the tls bug, but another one related to smtp would emerge (bug id 33995 of 9.3 known issue list: “SMTP proxy stops working when using the SMTP proxy in profile mode” – exactly my case and no workaround suggested). And… let’s talk about known issues, where is indicated tls bug? I did not found it in the known issue list of v9.x at all. 

    Concluding, I repeat what I wrote in my previous post: this bug can be fixed with 2 modified lines in a configuration file, very simple if you know that there is a problem and what you have to do, and very simple for Sophos to fix with the deploy of a 9.211 update, limiting the damages to all 9.2* users.

    In any case, Sophos UTM remains a good product. It needs only more accuracy in the deploy of up2date and an efficient communication about critical issues. For example I remember this (completed) feature request Notifications: SMS Alerting System from Astaro Support , but as far as I know it has never been started. 

    Eclipse79
  • 0
    It seams Sophos UTM SMTP is broken in 9.307-6. We get the error of TLS error ...SSL_accept ...closed by EOF.

    Can someone confirm, that TLS on the Sophos UTM ist still/new/again broken?

    Are other vendors also broken like the Sophos UTM?
  • 0
    Hi forum-astaro-org,

    same problem here, since install of 9.307-6.
    interesting: it were only outlook.com (*.protect.outlook.com) Mailservers that abort the connection without fallback to unencrypted connections here. But it was only 1 out of prob. 20 mails that produced an NDR after a queue wait of a couple of hours.

    Log: 
    TLS error on connection from *.outbound.protection.outlook.com _*.outbound.protection.outlook.com_ _157.55.234.143_:56899 _SSL_accept_: error:00000000:lib_0_:func_0_:reason_0_ 

    TLS client disconnected cleanly _rejected our certificate?_ 

    Seems like the problem was at least possible to show up by using the sophos self-signed certificate for the SMTP proxy. 
    Using a public cert does not trigger the outlook.com mailserver to break the connection.

    Ticket with Sophos is open for further investigation.
Unfiltered HTML