How can I use SSL/TLS with Perfect Forward Secrecy

There's no explicit on/off switch. I think that the current version uses OpenSSL for TLS, and that, if the other MTA supports it, the UTM will negotiate forward secrecy.  It would be nice to get that confirmed explicitly.

Cheers - Bob

Hi Bob,
I have a wildcard ssl certificate installed and setup in mailproxies advandced section.
A extern startssl check returns "perfecy forward secrecy" is unsupported.
Any ideas?

Thank you,
Juergen

What is the startssl check that shows that?

I've submitted a ticket to Sophos Support. - Does the UTM negotiate forward secrecy when using TLS over SMTP with an MTA that is capable of it?

Cheers - Bob

I tried openssl s_client command and this tool 
https://ssl-tools.net/mailservers/mediasoftusa.com
See result.
Sophos mail server sophos.com itself is fine..

Cool - Thanks!

Cheers - Bob

Hello all...

today we received a letter from the German (Bavarian) Data Protection Authorities
that we have been chosen amongst 2000 other companies in Bavaria for an automatic test of our mailgateways according to our mx-records if they comply the minium requirements of the German Data Protection law.

They tested 3 things:

- Heartbleed
- SSL/TLS
- PFS (Perfect Forward Secrecy)for TLS

With the first two we had no Problem, the third one ist not implemented.
Now we have to fix it in the next 4 weeks if we do not want to get fined with a max.
of 50k Euros.

And guess what? Our Mail Gateway is a UTM V9!

So i am really asking myself if PFS is implemented and how it could be used / activated on the UTM. From the discussion above i was not able to clarify if work sor not. Who knows what Sophos itself is using as a gateway...

If it is not implemented up to now we have to find a solution how to prvide TLS with PFS soon. And i am really scared to answer questions like this from our many UTM customers!


If you are intertested about the details of the test you can read here:
Bayerisches Landesamt für Datenschutzaufsicht

I have the same Problem, like Raggamax.

Unfortunately you can't tell the UTM which ciphers it should use (at least not in the GUI). That's  the reason i don't use it as WAF or Mail Gateway. Better you do your own proxies/gateways. Then you have full control what it supports.

we received same letter from the German (Bavarian) Data Protection Authorities like Raggamax [:O]

Sophos Support told me today this feature will be released with version 9.3, which is planned for early November.

Thanks, Marc.  I suggest that everyone in Germany that uses Email Protection have a ticket submitted to Support.  They really need to commit to fixing this in V9.2.  Maybe one of you Bayer could make a post in the German Forum about this issue.

Cheers - Bob