Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 4535 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL Cipher Exchange Method when connecting to smtps

AndiB.
Hi,

I'm using a sophos utm 9 with smtp proxy. Things are working great so far. 

I checked the provided ciphers when connecting via port 465.

this was my command:
openssl s_client -cipher 'EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA256 EECDH+aRSA+RC4 EDH+aRSA EECDH RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS' -connect my.domain:465

This is the cipher, which is used.

>>>
SSL-Session:
    Protocol  : TLSv1
    Cipher    : RC4-SHA


This thread was automatically locked due to age.
  • 0
    Hi, Andi, and welcome to the User BB!

    I don't know what you might do at the command line.  On the 'Advanced' tab of 'SMTP', you can select the certificate used for TLS.  By default, that's the WebAdmin cert created when the UTM was first installed.  I presume that you could get your own cert+CA using a different cipher, upload them in Certificate Management and select the cert on the 'Advanced' tab.

    Just curious - why would you want to do that?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hi Bob,
    thanks for you fast reply and sorry for replying soo lately.

    In the meantime, I did some research and found out, that the used cipher is set directly when creating the certificate.
    This is, I guess, nothing new to you. [;)]

    This means I have to create a certificate by own, with the cipher I prefer and the upload it to UTM.

    The reason, why I want to do this is:
    EECDH and EDH are more secure than PSK-methods, because they don't transfer the SSL-Session password during session init. 

    Cheers Andi
  • 0
    Andi, I still don't understand WHY you want to do this.  Port 465 access only lets you talk to the SMTP Proxy and there's no PSK involved in an SMTP conversation that I know of.  After STARTTLS, a conversation on port 25 is encrypted.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hi Bob,

    you're absolutely right. There is no PSK involved.

    What I wanted to say is, that on other Key-Exchange Methods than EECDH and EDH the Session key is transferred (encrypted) between Client and Server. 

    EECDH and EDH don't transfer the complete session key, only parts of it. This makes it much harder to decrypt even if the private key of the Server is "lost". [1][2]

    RC4-SHA is the best available TLSv1 cipher, but it has some weaknesses. [3]

    I'm not really firm about the compatibility of smtp Servers to TLSv1.1 or even TLSv1.2. Do you think it might cause problems if I use another Certificated based on TLSv1.1 or TLSv1.2?


    [1] Diffie
    [2] Elliptic curve cryptography - Wikipedia, the free encyclopedia
    [3] Transport Layer Security - Wikipedia, the free encyclopedia
  • 0
    You can google on site:astaro.org/gateway-products/mail-protection-smtp-pop3-antispam-antivirus TLS cert and find that others have changed the certificate, but your question is beyond anything discussed here.  I haven't experimented with this to see if the UTM can deal with a TLSv1.2 cipher or how widespread is the acceptance of it, but my guess is that everything should work fine.  That's an interesting question to submit to Sophos Support if you're doing this for your business.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML