This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Still getting an TLS client disconnected cleanly (rejected our certificate?) Error

Hello!

To Clear Things up first, we have 2 UTM's in a HA (Hot Standby Mode).
We had some Trouble receiviong Emails from GMAIL, and as i was searching for a Solution, i found this Thread, with the workaround: 
Repairing SMTP TLS for 9.209 and 9.210

I did the Fix by myself via Putty and it worked. The Emails arrived in my Outlook.
So i read in the thread, that if you Update the UTM, the fix would be "officialy" done due the Up2Date process, so i did that.

I now have my UTM's on Version 9.306-6, but i have alot of angry Co-workers who are telling me that they dont receive all E-Mail (just some, not all).

So i was looking at the Log and i found alot of Entrys like that:

TLS error on connection from o38.email.pinterest.com [167.89.42.11]:34111 (SSL_accept): error:00000000:lib(0):func(0):reason(0)
TLS client disconnected cleanly (rejected our certificate?)

And from diffrent Hosters:

2015:01:27-11:37:00 mail1-1 exim-in[21119]: 2015-01-27 11:37:00 TLS error on connection from ns3265485.ovh.net [37.59.52.117]:33294 (SSL_accept): timed out
2015:01:27-11:37:00 mail1-1 exim-in[21119]: 2015-01-27 11:37:00 TLS client disconnected cleanly (rejected our certificate?)

2015:01:27-11:49:16 mail1-1 exim-in[23515]: 2015-01-27 11:49:16 TLS error on connection from a10-45.smtp-out.amazonses.com [54.240.10.45]:50336 (SSL_accept): error:00000000:lib(0):func(0):reason(0)
2015:01:27-11:49:16 mail1-1 exim-in[23515]: 2015-01-27 11:49:16 TLS client disconnected cleanly (rejected our certificate?)


So i restartet the UTM's, Changed the Certificate for TLS... 
But i dont know what to do next.

Im Sorry for my bad english, i try my best but it's not my native language.

Thank you very much, if you need more Information / Log's just ask for it. [:)]


This thread was automatically locked due to age.
Parents
  • Does your configuration violate the Zeroeth Rule in Rulz?  I don't think that should make a difference though.  While we're working here, please have your reseller get Sophos Support involved.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • Does your configuration violate the Zeroeth Rule in Rulz?  I don't think that should make a difference though.  While we're working here, please have your reseller get Sophos Support involved.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • Hi Bob,

    My ASG has FQDN, wich is correct.
    I already have contacet my support.

    If i can give you more Info, just let me know.
  • Hi,

    may be you should try this.

    The SSL v3.0 CBC (Poodle) vulnerability: affected versions, recommended steps and workarounds

    #####
    For all versions:

    Note: Some mailserver do not support TLS 1.2, in this case proceed as follows:

        Change the line openssl_options to: openssl_options = +no_sslv3 +no_tlsv1_2

    ATTENTION!: Once you have considered the workaround a connection with a Mailserver which uses SSLv3 is not possible anymore. In case you would like to reactive the support for SSLv3(vulnerable in this case) proceed as follows:

        Navigate to /var/chroot-smtp/etc/
        Open the exim.conf with vi: vi exim.conf
        Remove the line openssl_options = +no_sslv3
        Save your changes and close the editor: :wq
        Now restart the smtpd service by executing /var/mdw/scripts/smtp restart

    Astaro user since 2001 - Astaro/Sophos Partner since 2008