Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 6217 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

POP3 SSL Encrypted Email Not Getting Scanned by UTM A/V

THXEngineer
Hi All,

I need some help.  I have an old POP3 email account that's hosted by Godaddy.  Yesterday I had a virus slip through the UTM on this account via a POP3 SSL encrypted connection and I'm trying to prevent it from happening again.

I access this email account from Outlook on my PC via an Incoming POP3 Server that requires SSL encryption on Port 995 and SSL encryption on an SMTP Outgoing Server on Port 465.

I also access this same email account from my iPhone using a different, unencrypted POP3 server using the default port 110.  The iPhone accesses this account via Wi-Fi that is filtered by the UTM.

I'm currently using UTM firmware 9.310-11 on bare metal and have POP3 email A/V scanning enabled using dual A/V scan engines with a max attachment size of 50 Mb.  I do NOT have "Scan TLS encrypted POP3 traffic" checked on the "Advanced" page.

I currently have no problems downloading email through the encrypted POP3 SSL connection, which I know was a bug / issue awhile back.

However, yesterday, the UTM intercepted the virus that came to the iPhone via the unencrypted server but missed the same virus in the same email when I downloaded it via the SSL encrypted server in Outlook.

I'm assuming that my issue is related to the "Scan TLS encrypted POP3 traffic" setting.  However, I've been under the assumption (possibly incorrectly) that SSL and TLS were similar, but different forms of encryption and that that was the reason you have choice between SSL and TLS encryption in Windows' "Mail" advanced settings.

I've searched various threads to find this particular issue, but haven't been able to find an answer, so if this has been previously answered, please point me in the right direction.  Otherwise, what would be the correct settings for me to use?

Any assistance will be greatly appreciated.

Thanks,

Ben


This thread was automatically locked due to age.
  • 0
    Well, I guess the old saying is true: "if you ain't learnin', you ain't livin' " [:)]

    I now know that TLS is the "new" SSL (sort of).

    So I enabled "Scan TLS encrypted POP3 traffic" and tried using the UTM's Local X509 certificate.

    When Outlook started, I got the "Internet Security Warning" from Windows / Outlook "The server you are connected to is using a security certificate that cannot be verified.  The target principal name is incorrect".  So I clicked, "View Certificate" to verify that it was my UTM's certificate that was trying to be installed, which it was.  Then I clicked "Install Certificate", which brought up Windows' "Certificate Import Wizard", which I ran through, letting Windows automatically select the certificate store.  The wizard completed with the "Import Successful" dialog box and everything seemed great.

    In Outlook, I clicked "Send/Receive All Folders" and everything connected properly and the SSL connection emails were all downloaded no problem.  Great, problem solved.  I even re-downloaded the infected email then forwarded it to myself and Sophos UTM caught it both times, incoming and outgoing (although the outgoing message was just plain text instead of the Sophos HTML message, so I'm assuming the UTM caught it and it wasn't a message from my ISP, etc).

    However, now every time I close Outlook, then re-open Outlook, I get the same "Internet Security Warning" asking me to trust the UTM's certificate.

    I tried re-installing the UTM's certificate using the WebAdmin certificate instead of the X509 and I also tried installing the certificate directly into the "Trusted Root Certificate Authorities" Store directly.  However, I still get the annoying "Internet Security Warning" pop-up each time I re-start Outlook.

    Any suggestions on how to properly install the certificate so that I don't get the "Internet Security Warning" message each time I start Outlook would be greatly appreciated.  Is there something I need to do in "MMC", similar to how the original proxy certificates were installed in Windows?

    Finally, a quick side note:

    When I originally downloaded the virus, Sophos reported it as "Mal/Upatre-R".  However, 2 days later when I re-downloaded the same virus, Sophos reported it as "TR/Yarwi.A.106".  Would the different name most likely be the result of Sophos updating / refining their database after a few days or something else?

    Thanks,

    Ben
  • 0
    Ben, instead of the default, select "Trusted Root Certification Authorities."

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Thanks Bob.

    I tried installing the Local X509 and WebAdmin certificates directly into the "Trusted Root Certificate Authorities".  I still get the "Internet Security Warning" popup each time I start Outlook.

    Also, these are the same certificates that I installed using "MMC" when I originally configured the proxy for the UTM's HTTPS Web Filtering "Decrypt and Scan", which works fine, so they should already be trusted by Windows.

    When I originally installed the HTTPS proxy certificates using "MMC", and went to the last step of "saving" the changes I had made, "MMC" asked for a name to save my changes to, which I used the default "Console1.msc".

    Could Outlook's Certificate Import Wizard be trying to save to a different store?  This seems like what is happening.

    Does it matter which certificate I use?

    Thanks,

    Ben
  • 0
    I did a little experimenting and research.

    Using the standard WebAdmin certificate specified as the TLS Certificate in the UTM, I get the warning shown in the "Using WebAdmin Certificate.jpg" attached below.

    From what I understand, Windows is basically looking for the hostname of the certificate to match the incoming/outgoing mail server name as specified in the email account setup.  For my setup, the incoming server from Godaddy has the form of "pop.server.net", so that's what Windows expects to see as the hostname of the certificate.

    So I generated a new "dummy" certificate within Sophos UTM and gave it the same hostname, in the form of "pop.server.net", as what is specified in the email incoming server name.  I then set this new "dummy" certificate as the TLS Certificate in the UTM.  Upon starting Outlook the next time, I got a different warning as shown in the attached "Using pop.server.net Certificate.jpg".  I also installed this "dummy" certificate into the "Trusted Root Certificate Authorities".  The email still works fine, but I keep getting these annoying warning messages.

    Something in the "transparency" aspect of the mail proxy doesn't seem to be 100% transparent or the chain of trust seems to be breaking down somewhere [:(]

    I feel like I'm close to solving this, but I'm stuck.  If anyone has any ideas, I'd greatly appreciate them.

    Thanks,

    Ben
  • 0 in reply to THXEngineer
    I've the same problem with a customer installation...
    Any ideas how to solve this?
  • 0
    You know, this is the first time I read the title of this thread. [:O]

    In fact, POP3 SSL is not supported.  I'm sure there's a Feature Suggestion for it, but I doubt it will be added.

    If you have your own domain with email hosted externally, you can AV and Anti-Spam scan incoming emails with the SMTP Proxy.  A description of that is included in a great post by Wingman in May 2012: [HOW TO] Email Encryption using External Mail Server .

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML