This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Outbound mail not being delivered since update to 9.100-16

I upgraded to 9.100-16 on May 15, 2013 at 12:21am and since then outbound emails originating from either the UTM box (home user license) or the internal network are being held up in SMTP Spool.

According the the SMTP Proxy log:

2013:05:17-11:18:02 myUTMhostname exim-out[2083]: 2013-05-17 11:18:02 1UcfXE-0001yu-4x Remote host smtp.hot.glbdns.microsoft.com [65.55.162.200] closed connection in response to AUTH PLAIN 

2013:05:17-11:18:02 myUTMhostname exim-out[2082]: 2013-05-17 11:18:02 1UcfXE-0001yu-4x == myemail@gmail.com R=smarthost_route T=smarthost_smtp defer (-18): Remote host smtp.hot.glbdns.microsoft.com [65.55.162.200] closed connection in response to AUTH PLAIN

I looked at the thread by Firestorm entitled "Inbound mail not being delivered since update to 9.100-16" created yesterday at 3:06am. The post by BALfson to add a host to skip TLS negotiation hosts/nets did not help me (it was a long shot since the errors noted by Firestorm was not the same).

My email on the UTM is setup so that all SMTP traffic is intercepted (Transparent mode) defined in Email Protection: SMTP: Advanced. I defined a smarthost to use smtp.live.com on port 587 set to require authentication with my username and password filled in. I do not have the Management: Notifications: Advanced: External SMTP server status enabled.

This setup has been working in version 9.006.005 and stopped working immediately after 9.100-16 so that not even the UTM could email me letting me know the firmware was applied successfully.

Is this a bug and is there a workaround?

Thank you.


This thread was automatically locked due to age.
Parents
  • Yeah, I think the only place you will be able to send without TLS is to your own mail server that you control and you disable TLS there.

    You're right about the WebAdmin Cert being the right one and that it isn't also updated - I didn't think about that.  The experiment with a new CA would have to include your step of renewing the WebAdmin cert.

    Then again - I wonder if it isn't the 'Signing CA' on the 'HTTPS CAs' tab of 'Web Filtering' that needs to be regenerated before the WebAdmin cert is regenerated?  If you aren't using 'Scan HTTPS (SSL) Traffic', then there would be no disruption caused by trying this first.  If you don't have a Web Protection subscription, ask your reseller to get you a one-week demo license that includes it.  Install that license, run the test, install your real license.

    Interesting problem.  Since you have a paid subscription, I think this is worth an "Urgent" ticket to Sophos Support.  My gut tells me that there's a bug in the upgrade process that's only experienced by a few sites.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • Yeah, I think the only place you will be able to send without TLS is to your own mail server that you control and you disable TLS there.

    You're right about the WebAdmin Cert being the right one and that it isn't also updated - I didn't think about that.  The experiment with a new CA would have to include your step of renewing the WebAdmin cert.

    Then again - I wonder if it isn't the 'Signing CA' on the 'HTTPS CAs' tab of 'Web Filtering' that needs to be regenerated before the WebAdmin cert is regenerated?  If you aren't using 'Scan HTTPS (SSL) Traffic', then there would be no disruption caused by trying this first.  If you don't have a Web Protection subscription, ask your reseller to get you a one-week demo license that includes it.  Install that license, run the test, install your real license.

    Interesting problem.  Since you have a paid subscription, I think this is worth an "Urgent" ticket to Sophos Support.  My gut tells me that there's a bug in the upgrade process that's only experienced by a few sites.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
No Data