This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[9.100-16] HOW TO: POP3S Initial Configuration

Hi All

I am trying to configure the pop3s server for a gmx.us account.  Initially I've noticed the following on my pop3 log

2013:05:14-15:36:15 ***** pop3proxy[28335]: SSL Error: 0x1408a0c1d (error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher)
2013:05:14-15:36:24 *****  pop3proxy[28348]: Accepted client connection from 10.242.5.1 for 212.227.17.171 (GMX Servers server_id 6)


This is because the relevant TLS certificate has not been uploaded to UTM. I have upload the certificate to the UTM but I am not able to select it as a valid certificate(I've export it via my browser as *.cer). My understanding is that the Certificate should include the private key as well in order to act as a MiM.

How do I get this from gmx.us domain?

Thanks


This thread was automatically locked due to age.
  • Hi Bob

    "Local X509 " is selected for me under TLS section (SMTP).However, I have never used this before. 

    I've changed my gmx.us account to use Local X509 and it seems that is working now but failing to shutdown SSL connection and there is a sslserver timeout?

    2013:05:22-19:05:33 ****** pop3proxy[31507]: Prefetch for account 5: Successfully logged in on POP3 server 212.227.17.187
    2013:05:22-19:06:33 ****** pop3proxy[31507]: SslServer timeout
    2013:05:22-19:06:33 ****** pop3proxy[31507]: Prefetcher exception occurred
    2013:05:22-19:06:33 ****** pop3proxy[31507]: Failed to shutdown SSL connection
    2013:05:22-19:07:34 ****** pop3proxy[31660]: Prefetch for account 5: Successfully logged in on POP3 server 212.227.17.187
    2013:05:22-19:08:34 ****** pop3proxy[31660]: SslServer timeout
    2013:05:22-19:08:34 ****** pop3proxy[31660]: Prefetcher exception occurred
    2013:05:22-19:08:34 ****** pop3proxy[31660]: Failed to shutdown SSL connection
    2013:05:22-19:09:34 ****** pop3proxy[31864]: Prefetch for account 5: Successfully logged in on POP3 server 212.227.17.187
  • Wait a minute - I thought you had the SMTP Proxy configured for your Greek domain!?!

    I guess there's a conflict between the host name of your UTM and the cert you're using.  Is the hostname an FQDN that resolves to your public IP in public DNS?  If the WebAdmin Certificate has that as an ID, then try selecting it for POP3SSL.

    Any luck?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Hey Bob

    Yes SMTP was configured for the Greek domain in order to be able to use the encryption feature and write the relevant guide [:)]. At the moment is not. All emails go out using the smtp proxy and my o2 provider as a smarthost

    Certificate is valid (***.home.dyndns.org) and pop3s seems to work apart the fact that I am getting the following error messages:

    013:05:23-11:13:43 **** pop3proxy[13229]: SslServer timeout
    2013:05:23-11:13:43 **** pop3proxy[13229]: Prefetcher exception occurred
    2013:05:23-11:13:43 **** pop3proxy[13229]: Failed to shutdown SSL connection
  • today the SSL issues re apperead [:)]

    2013:05:24-19:14:18 ****** pop3proxy[4222]: Accepted client connection from 192.168.2.6 for 192.168.2.100
    2013:05:24-19:14:18 ****** pop3proxy[4222]: Fatal: Failed to accept SSL client
    2013:05:24-19:14:18 ****** pop3proxy[4222]: SSL Error: 0x1408a0c1d (error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher)
    2013:05:24-19:14:18 ****** pop3proxy[4224]: Accepted client connection from 192.168.2.6 for 192.168.2.100
    2013:05:24-19:14:18 ****** pop3proxy[4224]: Fatal: Failed to accept SSL client
    2013:05:24-19:14:18 ****** pop3proxy[4224]: SSL Error: 0x1408a0c1d (error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher)
    2013:05:24-19:14:18 ****** pop3proxy[4226]: Accepted client connection from 192.168.2.6 for 192.168.2.100
  • Hi All

    I have just noticed that there is a bug ID for this issue (https://community.sophos.com/products/unified-threat-management/astaroorg/f/52/t/28917) .Please wait until version 9.109- Mantis ID #25070

    update.fix scheduled for 9.102
  • hi all,

    wingman I've been looking for a while for a solution for the pop3 proxy problem.
    But what I do not understand is what is the right certificate? Local? Webadmin? or one of the users? And why will this not be fixed via up2date?

    I only want the my clients can download their mails with port 995 through SSL Proxy..
  • hi all,

    wingman I've been looking for a while for a solution for the pop3 proxy problem.
    But what I do not understand is what is the right certificate? Local? Webadmin? or one of the users? And why will this not be fixed via up2date?

    I only want the my clients can download their mails with port 995 through SSL Proxy..

    Even the webadmin certificate should do (in fact any certificate for which you have both public and private key should do)

    The relevant bug should have been fixed with version 9.102 but my understanding is that it's not yet as there are various customers having this issues (as per forum posts). I have personally disabled the pop proxy until it's fixed (which I think is the workaround to the problem anw)