Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 1 subscriber
  • Views 9610 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

TLS certificate rejection / SMTP failure (unknown ca)

stoomaroo
Hello,

my ASG 8.311 is configured to perform a forced TLS negotiation with an external provider.  I have configured the 'Mail Security > SMTP > Advanced > TLS Settings' fields on my Astaro.

I have included his 4 publicly defined MX servers in the "Require TLS negotiation hosts/net" field, and added "*@otherdomain.com" to the "Require TLS negotiation sender domains".

When he tries to send to me, the following error occurs:

2014:01:20-07:13:20 mail2 exim-in[6631]: 2014-01-20 07:13:20 SMTP connection from [74.125.245.78]:45183 (TCP/IP connection count = 1)
2014:01:20-07:13:20 mail2 exim-in[27465]: 2014-01-20 07:13:20 TLS error on connection from na3sys010aog105.obsmtp.com [74.125.245.78]:45183 (SSL_accept): error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca
2014:01:20-07:13:20 mail2 exim-in[27465]: 2014-01-20 07:13:20 TLS client disconnected cleanly (rejected our certificate?)
2014:01:20-07:13:20 mail2 exim-in[27465]: 2014-01-20 07:13:20 SMTP connection from na3sys010aog105.obsmtp.com [74.125.245.78]:45183 closed by EOF

It appears they are rejecting my TLS certificate?  The one I am using in the "TLS certificate" field is the "WebAdmin certificate for {InternalIP}".  Do I need to create or purchase a 3rd-party certificate?  I think not, but am at a loss.

-stoomaroo


This thread was automatically locked due to age.
  • 0
    Found the issue.

    TLS v1 "unknown ca" is an RFC 2246 (section 7.2.2) defined error.  It means that the connecting party is requesting a certificate signed by a known, trusted 3rd-party Certificate Authority.  To quote the RFC, "This error is always Fatal".

    This would be common with customers using the Postini/Google solution, in conjunction with the "Check Domain" function.

    In case this helps any, the relevant paragraphs from the above-mentioned solution:

    Certificate Validation
    (see Certificate Validation Settings)


    -stoomaroo
  • 0
    Yes, this behaviour should be normal. We've noticed it also. As long we did'nt have commercial SSL certs, we could only receive but not send TLS SMTP.
    I wonder where you would import "untrusted" certs in ASG v8, because in Mailsecurity there is no option to do that. Would you import them in Websecurity/Advanced/HTTPS CA's? Does MailSec have access to the WebSec certs?
  • 0 in reply to Stelektro
    I was trying to relay email from one UTM to another and was getting the "rejected our certificate" message.  I installed the CA from the receiving UTM into the sending UTM under Web Protection - Filtering Options - HTTPS CAs and it worked.  I had to turn on Web Protection for the Tab to became accessible.  But after that I was able to sent SSL email.
Unfiltered HTML