Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 49 replies
  • Subscribers 1 subscriber
  • Views 49066 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL on POP/SMTP

serpi
Hello,

I'm not completely sure how to configure our system(s).

We have our (external) email in a group account on our (external) provider 1&1 and we are using a tool (POPcon) to fetch these Mails and send them to our (internal) Exchange server.

Sophos version is 9.105-9 (virtual appliance).

We have pop proxy enabled and had no problems, until I changed the settings in POPcon not to use POP Port 110 but POPSSL on Port 995.
Now it is still fetching the Mails but Spam and Virus filtering is not working any more, also there's no activity in the POP Proxy log.
How can I re-enable scanning with using POP SSL?

The next question is about the smarthost settings.
We have configured to use the 1&1 SMTP host on port 587 as smarthost but we have to enable TLS encryption (or maybe use SSL).
How can I do this?
Or does the sophos automatically use TLS on smarthost if available?

So, any help for getting this configured would be welcome.

Thanks & bye,
Alfred


This thread was automatically locked due to age.
  • 0
    Hallo hippo,

    eigentlich nur, dass man meint es sollte alles funktionieren, da muss ich nochmal nachhaken.

    Ich hatte dann noch weiter getestet, wenn ich die OpenSSL DLLs im POPcon-Verzeichnis (Version 0.9.8.0) durch die aktuelle Version (1.0.1.6) ersetze, dann bekomme ich eine erfolgreiche Verbindung im Sophos-Log angezeigt, allerdings bringt POPcon einen Fehler, dass der Abruf der Mails nicht möglich war (im Debug-Log ist die letzte Aktion das verifizieren des Zertifikats).
    Allerdings kommt auch der gleiche Fehler wenn POPcon sich direkt mit dem 1&1 Server verbindet, alles müsste man vermutlich was im Programm anpassen um eine aktuelle OpenSSL Version zu unterstützen.

    Ich habe das bei ServerSolutions auch angefragt aber bislang keine Antwort erhalten.

    Es sieht also so aus, als ob die alte OpenSSL-Version in Verbindung mit dem Sophos Proxy Probleme macht.
    Googelt man nach dem Fehler findet man ja einige ähnliche Probleme bei verschiedensten Gelegenheiten mit alten OpenSSL Versionen.

    Im Moment habe ich POP3SSL wieder abgeschaltet damit die Mails weiter gefiltert werden, befriedigend ist das nicht gerade :-(

    Ciao, Alfred
  • 0 in reply to serpi
    Hallo.
    Ich stehe vor dem gleichen Problem. Aussage vom Sophos Partner war: man benötigt das Zertifikat vom Mailserver. Diese ist aber bei 1&1 nirgends zu bekommen.
  • 0
    Hallo,

    von Servolutions habe ich gerade die Auskunft bekommen, dass jetzt an einer neuen Version mit einer aktuellen OpenSSL Version gearbeitet wird, um zu sehen, ob das Problem dann immer noch besteht.

    Allerdings rechnet man da mit 4-6 Wochen für die Umsetzung :-(

    Habe ich ja Verständnis für, ist ein kleiner Laden mit extrem fairen Preisen, also braucht sich keiner da beschweren.

    1&1 habe ich heute auch nochmal angeschrieben, ob es denn einen Stichtag gibt, zu dem das normale POP (ohne SSL) nicht mehr funktioniert.
    Bin mal gespannt ob ich diesmal eine sinnvolle Antwort bekomme, bei meiner Anfrage nach dem Zetifikat kam irgendwie nichts sinnvolles zurück.

    Ciao, Alfred
  • 0
    Hallo,

    Das Problem hat nichts mit Popcon zu tun. Der selbe Fehler tritt auch dann auf, wenn man Pullution oder Outlook direkt verwendet.

    Gruß
  • 0
    Hallo sekmo,

    Danke, das ist mal eine interessante Info.

    Tritt denn bei den anderen Lösungen genau derselbe Fehler im POP-Protokoll von der Sophos auf?

    Ich hatte ja das interessante Phänomen, dass mit POPcon und den neuen OpenSSL DLLs bei der Sophos nicht mehr der Fehler "wrong version number" auftritt sondern eine erfolgreiche Anmeldung des POP-Kontos gemeldet wird.
    Dafür meldet POPcon dann halt einen Fehler, allerdings auch denselben ohne Sophos und mit direkter Verbindung zu 1&1.

    Ciao, Alfred
  • 0
    Hallo Alfred,

    Habe derzeit den Popbeamer am Start. Der Log zeigt folgen Eintrag:

    2014:01:24-10:58:00 heimdall-1 pop3proxy[13352]: Accepted client connection from 172.17.1.8 for 212.227.15.178 (pop.1und1.de server_id 2)
    2014:01:24-10:58:00 heimdall-1 pop3proxy[13352]: Fatal: Failed to accept SSL client
    2014:01:24-10:58:00 heimdall-1 pop3proxy[13352]: SSL Error: 0x14094410d (error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure)
    2014:01:24-10:58:00 heimdall-1 pop3proxy[13354]: Accepted client connection from 172.17.1.8 for 212.227.15.178 (pop.1und1.de server_id 2)
    2014:01:24-10:58:02 heimdall-1 pop3proxy[13354]: mail@mail.test logged in (account 73)
    2014:01:24-10:58:02 heimdall-1 pop3proxy[13354]: Client 172.17.1.8 logged out (account=73, deleted=0) 

    Mails werden aber trotzdem abgerufen und ab und zu habe ich auch eine Mail als Spam oder Virus deklariert.
    Ob der Spamfilter aber wirklich korrekt funktioniert weiß ich nicht wirklich.

    Zertifikat fehler?

    Das Zertifikat von 1und1 bekammt man im Übrigen problemlos. Hilf mir aber auch nicht weiter.

    Gruß,
    Marco
  • 0
    Hallo Marco,

    das ist ja schon mal eine andere Fehlermeldung als bei POPcon.

    Ich sehe bei dem Changelog vom Popbeamer folgendes:
    "Chg: OpenSSL updated to v1.0.1c"

    Also benutzen die anscheinend eine aktuellere Version von OpenSSL, das lässt ja hoffen.
    Gibt es vom Popbeamer vielleicht auch ein Log, wo noch was zu dem Fehler drin steht?

    Und ihr benutzt jetzt ausschließlich POP3SSL?
    Nicht, dass der Popbeamer einen Fallback auf normales POP3 macht, wenn die SSL Verbindung nicht funktioniert.

    Welches Zertifikat hast du denn in der Sophos für den pop.1und1.de hinterlegt?

    Und woher hast du denn das (pop3) Zertifikat von 1und1?
    Das öffentliche zu bekommen ist natürlich kein Problem, aber das hilft nicht weiter, weil man das zwar in der Sophos einspielen, nicht aber als Zertifikat auswählen kann.

    Danke & Ciao,
    Alfred
  • 0
    Hallo,

    Das mit dem öffentlichen Zertifikat von 1und1 stimmt. Man kann es leider nicht auswählen...

    Popbeamer bringt folgende Meldung:
    14-01-24 11:37:40 0003: Ausgehender SMTP Verbindungsmanager gestartet
    14-01-24 11:37:40 0004: Eingehender POP3 Verbindungsmanager gestartet
    14-01-24 11:37:41 0005: Verbindung geöffnet mit pop.1und1.de:995 für mail@mail.test
    14-01-24 11:37:41 0005: TLS/SSL Problem: Die Verhandlungen über die TLS Verschlüsselung war nicht erfolgreich [162]
    14-01-24 11:37:42 0005:  USER mail@mail.test
    14-01-24 11:37:42 0005:  PASS *****
    14-01-24 11:37:43 0005:  STAT
    14-01-24 11:37:44 0005:  QUIT
    14-01-24 11:37:44 0005: mail@mail.test
    14-01-24 11:39:28 0000: Sende Protokolldatei an mail@mail.test

    Also noch ein Problem der Verschlüsselungsart?

    Habe bisher nur ein Postfach umgestellt zum testen.

    Gruß,
    Marco
  • 0
    Hallo Marco,

    wie hast du denn den POP Proxy konfiguriert?
    Das Häckchen "Scan TLS encrypted POP3 traffic" in den Einstellungen ist aktiviert und du hast für den Server ein Zertifikat ausgewählt?

    Das Popbeamer Log sieht für mich ja fast so aus als würde er die Verbindung auf Port 995 öffnen, die Verschlüsselung schlägt jedoch fehl und er holt die Mails dann halt ohne Verschlüsselung.

    Hast du Vorabholen aktiviert?

    Ciao,
    Alfred
  • 0
    So...

    Habe jetzt nochmal ein anderes Programm getestet. IGetMail
    Da steht dann folgendes im Sophos Log.

    2014:01:24-11:59:06 heimdall-1 pop3proxy[20348]: Accepted client connection from 172.17.1.8 for 212.227.15.131 (pop.onlinehome.de server_id 3)
    2014:01:24-11:59:06 heimdall-1 pop3proxy[20346]: mail@mail.test logged in (account 73)
    2014:01:24-11:59:07 heimdall-1 pop3proxy[20346]: id="1101" severity="info" sys="SecureMail" sub="pop3" name="email quarantined" from="test@gmx.de" to="mail@mail.test" subject="MUSIK" size="1691" srcip="172.0.0.1" dstip="212.227.15.162" uid="0LbMDO-1VQU1A1yqg-00lDOm" ident="1/20346-1-1390561147" reason="exp" extra="MUSIK"
    2014:01:24-11:59:08 heimdall-1 pop3proxy[20346]: Client 172.17.1.211 logged out (account=73, deleted=0)
    2014:01:24-11:59:08 heimdall-1 pop3proxy[20346]: Failed to shutdown SSL connection 

    Das gute ist, dass der Ausdruckfilter anschlägt. Ich denke mal das es so funktioniert, bis auf die Fehlermeldung: Failed to shutdown SSL connection 


    Was meint ihr?

    Gruß,
    Marco
Unfiltered HTML