Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 49 replies
  • Subscribers 1 subscriber
  • Views 49078 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL on POP/SMTP

serpi
Hello,

I'm not completely sure how to configure our system(s).

We have our (external) email in a group account on our (external) provider 1&1 and we are using a tool (POPcon) to fetch these Mails and send them to our (internal) Exchange server.

Sophos version is 9.105-9 (virtual appliance).

We have pop proxy enabled and had no problems, until I changed the settings in POPcon not to use POP Port 110 but POPSSL on Port 995.
Now it is still fetching the Mails but Spam and Virus filtering is not working any more, also there's no activity in the POP Proxy log.
How can I re-enable scanning with using POP SSL?

The next question is about the smarthost settings.
We have configured to use the 1&1 SMTP host on port 587 as smarthost but we have to enable TLS encryption (or maybe use SSL).
How can I do this?
Or does the sophos automatically use TLS on smarthost if available?

So, any help for getting this configured would be welcome.

Thanks & bye,
Alfred


This thread was automatically locked due to age.
  • 0
    Hallo Alfred,

    konntest du das Problem lösen?
    Wir stehen vor genau dem gleiche Problem (Popcon + 1und1 als Provider)

    Gruß
  • 0
    Hallo hippo,

    leider habe ich da noch keine wirklich neuen Erkenntnisse.
    So wie es im SMTP Log aussieht benutzt die Sophos wohl schon automatisch TLS für den Smarthost, aber die POPSSL Mails laufen immer noch am Proxy vorbei.

    Ich weiß noch nicht ob ein Update auf Version 9.107-33 eventuell Besserung bringen würde, auf welcher Version bist du denn?

    Ich habe nur festgestellt, wenn ich im POP-Proxy in den erweiterten Einstellungen "Scan TLS encrypted POP3 traffic" aktiviere und ein Zertifikat auswähle (z.B. das vom WebAdmin) sehe ich im POP-Protokoll dass immerhin etwas passiert, allerdings kommt dann nur ein Fehler der irgendwas besagt mit falscher Versionsnummer des Zertifikats oder so.

    Ciao, Alfred
  • 0 in reply to serpi
    Hallo,

    wir sind auf der Version 9.106-17. 
    Hast du alle Postfächer im Popcon schon auf POP3-SSL umgestellt?
    Vielleicht stellt ja 1und1 ein Zertifikat zur Verfügung, hast du da mal nachgefragt?
  • 0
    Hallo hippo,

    bei uns laufen schon alle Postfächer auf SSL, 1&1 hat ja kein echtes Datum genannt, ab wann es nicht mehr geht.

    Bei denen habe ich auch schon deswegen und wegen des Zertifikats vor Weihnachten nachgefragt, aber bislang keine Antwort erhalten.

    Aus einem anderen Thread habe ich aber entnommen, dass man das wohl gar nicht braucht.
    Es ist anscheinend nicht so, dass man dem Client (POPcon) vorgaukelt, man sei der 1&1 Server, sondern man stellt ein eigenes Zertifikat zur Verfügung (eben z.B. das vom WebAdmin).

    Kannst du mal bei dir testen was passiert, wenn bei deiner Version das scannen von TLS encrypted traffic aktivierst und das WebAdmin (oder ein anderes) Zertifikat auswählst?
    Ob bei dir dann auch ein Fehler im Pop-Proxy-Protokoll erscheint (und wenn ja, welcher)?

    Bei uns erscheint dann die folgende Meldung:

    Fatal: Failed to accept SSL client
    SSL Error: 0x1408f10bd (error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number)


    Danke & Ciao,
    Alfred
  • 0
    Hallo Alfred,

    ich bekomme die gleiche Fehlermeldung wie du:

    Fatal: Failed to accept SSL client 
    SSL Error: 0x1408f10bd (error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number)

    Ich habe jetzt auch nach mal bei 1und1 nachgefragt, mal sehen ob die sich melden.
  • 0
    Hallo hippo,

    eine Frage noch, auf welcher Windows Version läuft bei dir der POPcon Dienst?
    Bei uns ist das ein Windows 2003 R2 Server x64.

    Danke & Ciao,
    Alfred
  • 0
    Auf einem Windows Server 2008 x64.
    Hast du schon mal einen externen Sophos Dienstleister zu dem Problem befragt?
  • 0
    Hallo hippo,

    bisher noch nicht.

    Im Moment tendiere ich fast dazu das Problem eher bei POPcon bzw. den dort mit installieren OpenSSL DLLs zu suchen, da werde ich noch nachfragen.

    Mit einen OpenSSL-Client (Version 1.01f) konnte ich mich mit der Sophos problemlos verbinden.

    Ciao, Alfred
  • 0
    Hallo,

    OK, jetzt habe ich was neues.

    Wenn ich die beiden OpenSSL-DLLs (ssleay32.dll, libeay32.dll) im POPcon-Verzeichnis durch die von OpenSSL 1.0.1f ersetze, bekomme ich im Sophos-Log jetzt die folgende Meldung:

    pop3proxy[1850]: Accepted client connection from [localip] for 212.227.15.178 (pop.1und1.de Servers server_id 1)
    pop3proxy[1850]: SslClient [localip] has closed the connection
    pop3proxy[1850]: Failed to shutdown SSL connection

    Im Log von POPcon steht dafür jetzt:

    Keine Verbindung zu POP3/IMAP Host pop.1und1.de auf Port 995 möglich!

    Also scheint das Problem wohl in der Ecke zu liegen, ich werde mal bei serversolutions anfragen.

    Ciao, Alfred
  • 0
    Hallo Alfred,

    hast du schon etwas von serversolution gehört? 
    Da POPcon mit POP3 SSl ohne Sophos UTM funktioniert, kann es ja eigentlich nur an Sophos liegen!?!
Unfiltered HTML