This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[9.100-16] HOW TO: POP3S Initial Configuration

Hi All

I am trying to configure the pop3s server for a gmx.us account.  Initially I've noticed the following on my pop3 log

2013:05:14-15:36:15 ***** pop3proxy[28335]: SSL Error: 0x1408a0c1d (error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher)
2013:05:14-15:36:24 *****  pop3proxy[28348]: Accepted client connection from 10.242.5.1 for 212.227.17.171 (GMX Servers server_id 6)


This is because the relevant TLS certificate has not been uploaded to UTM. I have upload the certificate to the UTM but I am not able to select it as a valid certificate(I've export it via my browser as *.cer). My understanding is that the Certificate should include the private key as well in order to act as a MiM.

How do I get this from gmx.us domain?

Thanks


This thread was automatically locked due to age.
  • No provider would give their certificate. I created an own one and have chosen ir in the configuration 
    I would Take a CA therefor that is known to the clients.
  • Thanks Cristian.  I am able to upload it but not selected as TLS certificate (it's a pem format. I would thought that you need the private key as it won't be able to act as a MIM otherwise)-i.e. need to upload PKCS#12?


    Also What happens if you have a self signed certificate though? 

    I am using a domain where it offers pop3s but I don't know what the certificate private would be and the certificate is a self signed one?
  • Wingman, maybe the following will help:

    OpenSSL commands to convert a .crt to a pkcs#12

    First, convert the certificate from .crt to PEM:
    # openssl x509 –in input.crt –inform CRT –out output.crt –outform PEM

    Next, use the openssl command to read the PEM encoded certificate(s) and key and export to a single PKCS#12 file as follows:
    # openssl pkcs12 -export -in input.crt -inkey input.key -out bundle.p12


    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Thanks bob but I don't have the passphrase or key. I just want to enable pop2s scan for gmx.us domain. Is there a guide for 9.1 for this?
  • Sounds like there will be one when you're done! [;)]

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • yes I will def write a guide once I figure it out. Hopefully Sophos would do it first [;)]
  • I'm having this issue as well. Only, after I selected a valid certificate, also used for my webserver/webmail, my pop client still isn't functioning the way it should...

    My smartpop2exchange pop client still says;
    2013-05-15 11:46:05   Error while opening POP3 connection to 'pop.gmail.com' (User:username@gmail.com): Error connecting with SSL.  Error connecting with SSL.  error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number

    And in the live log I see nothing regarding the Gmail accounts, but only information regarding the normal pop3 (110) accounts, saying;
    2013:05:15-11:42:55 fw01 pop3proxy[11902]: SSL Error: 0x14094410d (error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure)
    After that it seems to retrieve the mail. 

    But still not for the SSL accounts.


    I also have an SSL account configured on my iPhone. 

    The live log it says; ***** pop3proxy[28335]: SSL Error: 0x1408a0c1d (error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher

    After selecting my certificate, the live log says;
    2013:05:15-11:45:53 fw01 pop3proxy[13233]: Accepted client connection from 10.0.1.76 for 81.4.80.70
    2013:05:15-11:45:53 fw01 pop3proxy[13233]: SslClient 10.0.1.76 has closed the connection
    But my iPhone says that the server is not responding.

    So, even after selecting a TLS certificate it still isn't working the way it should.
    And it started after the UTM upgrade to 9.100-16...

    For the time being I shut down the pop3 proxy and enable a firewall rule...

    I hope somebody can help solve this!
    Thanks in advance!
    Regards,
    Erwin.
  • Guys, this has nothing to do with the email provider's cert.  My understanding is that you only need the SSL stuff from the mail server, combined into a PCKS#12 file that you can upload into the UTM.

    I think that this is a problem similar to WAF.  To have WAF do SSL for a site you're hosting, you need the same stuff as you need for this.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Guys, this has nothing to do with the email provider's cert.  My understanding is that you only need the SSL stuff from the mail server, combined into a PCKS#12 file that you can upload into the UTM.

    I think that this is a problem similar to WAF.  To have WAF do SSL for a site you're hosting, you need the same stuff as you need for this.

    Cheers - Bob


    If that's true then you can't use pop3s with gmail (for example) as you don't have the PCKS#12 certificate (private key with its X.509 certificate)?
  • I misspoke - I was thinking of a different thread where they had a mail server that was downloading from the mail service provider.  You don't need their stuff - I think you just need the same package from one of your client machines that you now download with directly.

    If that's not the case, then maybe you just need to import the HTTPS Proxy CA certificate into each client's certificate store in Trusted Root.  That doesn't seem like what the error messages are saying, but, remember, POP3 doesn't start working correcctly until after a client first connects to the mail server through the proxy.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA