This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[9.100-16] HOW TO: POP3S Initial Configuration

Hi All

I am trying to configure the pop3s server for a gmx.us account.  Initially I've noticed the following on my pop3 log

2013:05:14-15:36:15 ***** pop3proxy[28335]: SSL Error: 0x1408a0c1d (error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher)
2013:05:14-15:36:24 *****  pop3proxy[28348]: Accepted client connection from 10.242.5.1 for 212.227.17.171 (GMX Servers server_id 6)


This is because the relevant TLS certificate has not been uploaded to UTM. I have upload the certificate to the UTM but I am not able to select it as a valid certificate(I've export it via my browser as *.cer). My understanding is that the Certificate should include the private key as well in order to act as a MiM.

How do I get this from gmx.us domain?

Thanks


This thread was automatically locked due to age.
  • Thanks Bob

    I will give it a try tonight. The relevant pc have the UTM proxy CA as I have https scanning enabled . It's the certificate upload to the UTM for pop3s that is not correct (i.e. can't select it as TLS valid certificate for the gmx.us server).
  • This is just bad development, flat out. I should never have clients calling saying they haven't gotten email in two days, ever. Then the only real option to get both us and them back up and running quickly is to turn off the POP3 filter until a reasonable way to tackle this presents itself. come on. Have these guys ever worked with end users? A box popping up saying a cert isn't correct, end users loose their minds, that's simply too much stress for them to take...
  • I am similarly stuck, and have turned the POP3 proxy off until a solution is available. I have been a home user of Astaro/UTM for a year now and this is the first upgrade that has broken features that I use.
  • same Problem here....

    I've updatet from 9.0005 to 9.100-16. I wish I had read previously in the forum...
    POP3 SSl does not work. My users are going to kill me.. the only way is to disable the proxy!

    Error in Log:
    Fatal: Failed to accept SSL client
    2013:05:19-19:25:46 ******XX pop3proxy[11696]: SSL Error: 0x1408a0c1d (error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher) 

    Please Sophos fix this! FAST!
  • Folks,

    the solution of this problem is described at Sophos UTM fails to establish an SSL connection

    Since 9.1 enables SSL encryption for POP3, please make sure that a valid TLS certificates is conifgured.

    This is also mentioned at https://community.sophos.com/products/unified-threat-management/astaroorg/f/52/t/28917

    Regards
    Dominic
  • Hi Dominic

    Which is the certificate you need to upload? Is it just the public certificate of the server(for example Gmail POP3-over-SSL server presents a server certificate)? (If you upload the *.pem certificate you can't select it under pop3 proxy) and you can't upload PKCS#13 as you don't have the private key
     
    The knowledge base doesn't provide much info regarding the TLS certificate

    In WebAdmin | Email Protection | POP3  go to the 'Advanced' section.  
    Select an appropriate TLS certificate.
    Apply the certificate.


    It would be useful to state where to upload the certificate to as part of the knowledge base? (You should upload the certificate under: Webserver Protection>Certificate Management)

    Thanks
  • Thanks Wingman, we will update the KBA.

    You can simply create your own certificate, upload an official one or use the WebAdmin certificate.

    Regards
    Dominic
  • Can you elaborate a bit on the certificate that needs to be uploaded? 

    For example If I need to to have pop3s with gmx.us I would assume I would need to upload a certificate (with private key) that would work as a MiM. Is this valid assumption? 

    Can any certificate (either webadmin or any that we have the private key for) work as MiM for the connection or do you need to have a valid chain up to the CA?

    At the moment they only valid certificates under the TLS certificate list are the local X509 and the certificate for each users (with X509). Setting one of the servers to use "Local X509 Certificate" won't work. Isn't that the webadmin certificate? 


    Thanks
  • The WebAdmin certificate is different.  Look at the TLS section on the 'Advanced' tab of 'SMTP'.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • The WebAdmin certificate is different.  Look at the TLS section on the 'Advanced' tab of 'SMTP'.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA