Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 27 replies
  • Subscribers 1 subscriber
  • Views 25433 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[9.100-16] HOW TO: POP3S Initial Configuration

wingman
Hi All

I am trying to configure the pop3s server for a gmx.us account.  Initially I've noticed the following on my pop3 log

2013:05:14-15:36:15 ***** pop3proxy[28335]: SSL Error: 0x1408a0c1d (error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher)
2013:05:14-15:36:24 *****  pop3proxy[28348]: Accepted client connection from 10.242.5.1 for 212.227.17.171 (GMX Servers server_id 6)


This is because the relevant TLS certificate has not been uploaded to UTM. I have upload the certificate to the UTM but I am not able to select it as a valid certificate(I've export it via my browser as *.cer). My understanding is that the Certificate should include the private key as well in order to act as a MiM.

How do I get this from gmx.us domain?

Thanks


This thread was automatically locked due to age.
  • 0 in reply to wingman
    Thanks Wingman, we will update the KBA.

    You can simply create your own certificate, upload an official one or use the WebAdmin certificate.

    Regards
    Dominic
  • 0
    Hi Dominic

    Which is the certificate you need to upload? Is it just the public certificate of the server(for example Gmail POP3-over-SSL server presents a server certificate)? (If you upload the *.pem certificate you can't select it under pop3 proxy) and you can't upload PKCS#13 as you don't have the private key
     
    The knowledge base doesn't provide much info regarding the TLS certificate

    In WebAdmin | Email Protection | POP3  go to the 'Advanced' section.  
    Select an appropriate TLS certificate.
    Apply the certificate.


    It would be useful to state where to upload the certificate to as part of the knowledge base? (You should upload the certificate under: Webserver Protection>Certificate Management)

    Thanks
  • 0 in reply to xenon2008
    Folks,

    the solution of this problem is described at Sophos UTM fails to establish an SSL connection

    Since 9.1 enables SSL encryption for POP3, please make sure that a valid TLS certificates is conifgured.

    This is also mentioned at https://community.sophos.com/products/unified-threat-management/astaroorg/f/52/t/28917

    Regards
    Dominic
  • 0
    same Problem here....

    I've updatet from 9.0005 to 9.100-16. I wish I had read previously in the forum...
    POP3 SSl does not work. My users are going to kill me.. the only way is to disable the proxy!

    Error in Log:
    Fatal: Failed to accept SSL client
    2013:05:19-19:25:46 ******XX pop3proxy[11696]: SSL Error: 0x1408a0c1d (error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher) 

    Please Sophos fix this! FAST!
  • 0
    I am similarly stuck, and have turned the POP3 proxy off until a solution is available. I have been a home user of Astaro/UTM for a year now and this is the first upgrade that has broken features that I use.
  • 0
    This is just bad development, flat out. I should never have clients calling saying they haven't gotten email in two days, ever. Then the only real option to get both us and them back up and running quickly is to turn off the POP3 filter until a reasonable way to tackle this presents itself. come on. Have these guys ever worked with end users? A box popping up saying a cert isn't correct, end users loose their minds, that's simply too much stress for them to take...
  • 0
    Thanks Bob

    I will give it a try tonight. The relevant pc have the UTM proxy CA as I have https scanning enabled . It's the certificate upload to the UTM for pop3s that is not correct (i.e. can't select it as TLS valid certificate for the gmx.us server).
  • 0
    I misspoke - I was thinking of a different thread where they had a mail server that was downloading from the mail service provider.  You don't need their stuff - I think you just need the same package from one of your client machines that you now download with directly.

    If that's not the case, then maybe you just need to import the HTTPS Proxy CA certificate into each client's certificate store in Trusted Root.  That doesn't seem like what the error messages are saying, but, remember, POP3 doesn't start working correcctly until after a client first connects to the mail server through the proxy.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Guys, this has nothing to do with the email provider's cert.  My understanding is that you only need the SSL stuff from the mail server, combined into a PCKS#12 file that you can upload into the UTM.

    I think that this is a problem similar to WAF.  To have WAF do SSL for a site you're hosting, you need the same stuff as you need for this.

    Cheers - Bob


    If that's true then you can't use pop3s with gmail (for example) as you don't have the PCKS#12 certificate (private key with its X.509 certificate)?
  • 0
    Guys, this has nothing to do with the email provider's cert.  My understanding is that you only need the SSL stuff from the mail server, combined into a PCKS#12 file that you can upload into the UTM.

    I think that this is a problem similar to WAF.  To have WAF do SSL for a site you're hosting, you need the same stuff as you need for this.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML