Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 49 replies
  • Subscribers 1 subscriber
  • Views 49096 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL on POP/SMTP

serpi
Hello,

I'm not completely sure how to configure our system(s).

We have our (external) email in a group account on our (external) provider 1&1 and we are using a tool (POPcon) to fetch these Mails and send them to our (internal) Exchange server.

Sophos version is 9.105-9 (virtual appliance).

We have pop proxy enabled and had no problems, until I changed the settings in POPcon not to use POP Port 110 but POPSSL on Port 995.
Now it is still fetching the Mails but Spam and Virus filtering is not working any more, also there's no activity in the POP Proxy log.
How can I re-enable scanning with using POP SSL?

The next question is about the smarthost settings.
We have configured to use the 1&1 SMTP host on port 587 as smarthost but we have to enable TLS encryption (or maybe use SSL).
How can I do this?
Or does the sophos automatically use TLS on smarthost if available?

So, any help for getting this configured would be welcome.

Thanks & bye,
Alfred


This thread was automatically locked due to age.
  • 0 in reply to Stelektro
    In Version 9.109 kommt noch immer die Fehlermeldung "failed to shutdown ssl connection" Gibt es etwas neuen von Sophos zu dem Thema?
  • 0
    Hallo Serpi,

    lies mal das:

    https://community.sophos.com/products/unified-threat-management/astaroorg/f/56/t/49434

    vor allem die letzten 4 Einträge. Wobei wir ja schon bei 9.109 sind...

    Die Astaro kann wohl kein POP3S und ich lasse daher seit heute meinen Postfix, resp.
    fetchmail an der Astaro vorbei die Mails abholen. Leider entfallen dann Spamquarantäne
    und AV-Scanning.

    Gruß
    martinelli

  • 0
    Hallo serpi, hippo und sekmo, 
    jetzt wird es wohl ernst mit Mail-SSl bei 1und1. Wir setzen auch die UTM 9.1 auf dem letzten Stand in Verbindung mit POPcon ein. Gibt es evtl. ein Hands-on; d.h. kurze Beschreibung was man für pop3ssl und smtp mit ssl auf der UTM wo anpassen muß ?

    Gruß Martin
  • 0 in reply to MaRas
    Hallo serpi, hippo und sekmo, 
    jetzt wird es wohl ernst mit Mail-SSl bei 1und1. Wir setzen auch die UTM 9.1 auf dem letzten Stand in Verbindung mit POPcon ein. Gibt es evtl. ein Hands-on; d.h. kurze Beschreibung was man für pop3ssl und smtp mit ssl auf der UTM wo anpassen muß ?

    Gruß Martin


    Hallo MaRas,

    für SMTP-Relaying brauchten wir nichts weiter einrichten, das hat gleich funktioniert.
    Für POP3 muss nur unter den erweiterten Einstellungen ganz unten "Scan TLS encrypted POP3 traffic" aktiviert sein und es müssen Zertifikate hinterlegt werden.
    Hier kann man direkt unter diesem Feld ein Standard-Zertifikat auswählen (das kann z.B. auch das WebAdmin-Zertifikat sein), das gilt dann für alle Server, für die man etwas weiter oben unter "POP3-Server und Vorabholen" in den Einstellungen der POP3-Server nicht ein eigenes Zertifikat hinterlegt hat.
    Vorabholen muss dafür übrigens nicht aktiviert sein.
    Wenn man unten kein Standard-Zertifikat hinterlegt, hat man so auch die Möglichkeit, bei einzelnen Servern kein SSL zu verwenden, denn dieses wird nur verwendet, wenn sowohl "Scan...traffic" aktiviert ist UND für den Server ein Zertifikat hinterlegt wurde.
    Wenn man grundsätzlich für alle POP3-Server SSL aktivieren will reicht es demnach, das Häkchen zu setzen und ein Standard-Zertifikat auszuwählen.

    Bei uns funktioniert soweit alles problemlos, Sophos Version 9.105-9, POPconPro Version 3.83 (bis auf die Meldung "failed to shutdown ssl connection" im Sophos-Log, die zwar unschön ist aber nicht zu schaden scheint).

    Ich hoffe, die kurze Erklärung hat geholfen.

    Ciao, Alfred
  • 0
    Hallo Serpi,

    für die super Beschreibung. Doch leider Funktioniert das so bei mir nicht. Unabhängig, dass ich keinen Exchange sonder Zarafa einsetze, habe ich auch, so wie beschrieben das Web-cert unter erweitert - tls ausgewählt und den pop-server von 1und1 "oben" eingetragen.

     Leider bekomme ich noch immer den Fehler: "Accepted client connection from Zarafa for ***.ccc.*** (SSL pop Servers server_id 3)
     FW1 pop3proxy[19899]: Fatal: Failed to accept SSL client
     FW1 pop3proxy[19899]: SSL Error: 0x1408f10bd (error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number).

    Also wo kann noch der Fehler sein?
  • 0
    Hallo mod11,

    das klingt so, als würdest du nicht die aktuelle PopCon Version 3.83 mit den neuen SSL-Bibliotheken benutzen.

    Lade bitte von der Homepage die aktuelle Version herunter, deinstalliere die alte Version, stelle sicher, dass in dem Verzeichnis alle Programm-Dateien und DLLs gelöscht sind, und installiere dann die neue Version.

    Ciao, Alfred
  • 0
    Hallo Serpi

    Hmm OK, aber ich nutze überhaupt garkeinen Exchange mehr. Zarafa ist ein Linuxbasierendes System !

    Also fehlt auf dem Mailserver (zarafa) welches Zertifikat ? das von 1und1 + ff., dass von der Sophos, etc. ????????

    Irgedwo habe ich hier eine Denkblockade

    Gruß Christian
  • 0
    Hallo Christian,

    dann benutzt du auch kein PopCon (die Software ist unabhängig von Exchange)?

    In dem Falle benutzt deine Zarafa Version offensichtlich eine alte OpenSSL Version (Version 
  • 0
    Hallo Alfred,

    ja werde ich mal schauen. Also werden welche schlüssel Aktualiesiert ? Provider oder generell ? 

    Wenn ich das alles so richtig verstanden habe, fungiert doch die Sophos als eine art "Men in the middle" also die email wird abgeholt, von der sophos enpackt (ggf. gescannt) eingepackt und an den Mailserver weitergeleitet. 

    Das würde ja dann heißen, dass eigendlich ein Zertifikat von der Sophos auf dem Mailserver sein muss und die vom Provider auf der Sophos oder habe ich hier im ganzen was falsch verstanden ?

    Gruß Christian
  • 0 in reply to mod11
    Hallo Christian,

    das Prinzip mit der Sophos hast du schon richtig verstanden, aber das ganze Problem hat wohl gar nichts mit den eigentlichen Zertifikaten zu tun, die werden automatisch ausgetauscht.

    Das Problem sind wohl viel eher die alten OpenSSL Versionen, also die Programme/Libraries, mit denen man die ganze verschlüsselte Kommunikation aufbaut.
    Ältere Versionen können wohl einfach nicht die korrekte Sprache sprechen, um mit der Sophos zu kommunizieren.
    Neuere Versionen haben das Problem nicht, allerdings muss (zumindest unter Windows) auch das Programm, das OpenSSL benutzt, an die neuen Libraries angepasst werden, so dass es dort nicht einfach genügt, OPenSSL zu aktualisieren.

    Unter Linux wird das vermutlich ähnlich sein, da OpenSSL ja denselben Quelltext auf allen Systemen verwendet.
    Auch dort wird man eine neuere Version von OpenSSL installieren und sein Programm aktualisieren müssen, damit die Kommunikation mit der Sophos funktioniert.

    Du solltest also mal überprüfen, ob es neuere Verisonen von Zarafa gibt, vielleicht steht da ja schon in den Changelogs was von einer neuen OpenSSL Version.

    Ciao, Alfred
Unfiltered HTML