Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 18 replies
  • Subscribers 1 subscriber
  • Views 26651 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos SMTP Relay issues - Exchange

GZgidnick
Hi guys, 

Me, back with another thread.

My small lab is growing steadily recently with Sophos taking the lead.

I use the Sophos as SMTP Relay for Exchange 2010.

The Sophos is setup:
Routing > Allowed domain
Routing by static host > Exchange
Hostbased Relay > Exchange 
Authenticated relay > Username (defined in sophos)
SMTP hostname > Sophos FQDN
Dataprotection, Antispam and Antivirus tweaked as needed.

The Exchange:
Hub trunsport > Custom
Route Mail > *
Smart Host > IP.SO.PH.OS
Basic TLS Auth > Username (defined in sophos)

I've been able to route emails with the current setup until recently updated the certificate on the Exchange.

No from the Sophos SMTP live logs I am getting:
2014:08:09-01:10:15 remote exim-in[5175]: 2014-08-09 01:10:15 exim 4.76 daemon started: pid=5175, no queue runs, listening for SMTP on port 25 (IPv4) port 587 (IPv4) and for SMTPS on port 465 (IPv4)
2014:08:09-01:10:47 remote exim-in[5175]: 2014-08-09 01:10:47 SMTP connection from [192.168.0.30]:18030 (TCP/IP connection count = 1)
2014:08:09-01:10:47 remote exim-in[11483]: 2014-08-09 01:10:47 SMTP connection from [192.168.0.30]:18030 closed by QUIT

And from the Exchange logs, for the queued emails I am getting:
The last attempt to send the message was at 8/9/2014 12:57:29 AM (UTC+10:00) Canberra, Melbourne, Sydney and generated the error '451 4.4.0 Primary target IP address responded with: "454 4.7.5 Certificate validation failure." Attempted failover to alternate host, but that did not succeed. Either there are no alternate hosts, or delivery failed to all alternate hosts.'.

Reseting Sophos/Exchange didn't help. Exchange works fine without relay and/or without TLS authentication.

Why did the Sophos broke? I never installed/accepted SSL cert on the Sophos....


This thread was automatically locked due to age.
  • 0
    Used PEM format. No change.
    Used openSSL on the UTM to generate certificate request.
    Used the request to issue certificate from the Windows CA.
    Windows issues only in .CER format. UTM supports only PKCS#12 certs, so I could not import this to the UTM....
  • 0
    GZgidnick, if you want to use certificate generated from your local Windows CA on UTM, the best way is to complete generation process on a Windows client (Exchange), export certificate (with private key) in PKCS#12 and import it on UTM. 
    You will also have to import Windows CA root certificate into UTM CA store.

    p.s I've managed to get TLS working also with local UTM certificate, I will post later step-by-step procedure.
  • 0
    Well the Sophos doesn't likes the certs for some reason.

    Cannot import: certificate malformed (missing attribute)
  • 0
    I remember that message, it popups when you try to import certificate (*.CER) that was exported from Windows server in "DER encoded binary" instead "Base-64 encoded" or vice versa, can't remember now..[:)]

    Anyway, I have lost the track where are you now in trying to resolve that problem, but generally there are two solutions:
    1. Generate certificate on UTM, configure Exchange like mentioned in previous posts and import UTM CA into Trusted CA root computer store on Exchange server.
    2. Generate certificate on your local Windows CA, import it on the UTM along with CA certificate, and configure Exchange also.
  • 0
    Failed to get this working with a self-signed cert. I am sure it'll work with cert from a trusted authority though.
    I've tried importing the Host certificate along with the Sophos as trusted CA onto the Windows-Exchange Local Computer Trusted Root CA.

    Tried to extract some logs from the Sophos SMTP logs hoping for any clues, but Sophos SMTP logs are even worse than the Exchange ones.
    And all of that provided I used the "debug mode" into:
    remote:/root # grep -e '-debug' /var/mdw/scripts/smtp
        chroot $CHROOT /bin/smtpd.bin $WORKER -debug

    Will have to satisfy myself with a non encrypted relay until my knowledge grows sufficiently to produce viable solution for this scenario.

    Thanks for all your assistance Vilic!
  • 0
    GZgidnick, sometimes time is more worth then the money...[:)]

    You can obtain cheap SSL certificates for under 10$/per year, like the one I use in my labs.
  • 0
    Absolutely true. Where can I buy one for 10$ [:)]
Unfiltered HTML