SophosUTM9 Blocking Apple desktop iMessage

You should be able to see the activity in your log files.  In addition to Web Filtering, refer to #1 in Rulz.

Cheers - Bob

I am still experiencing this issue. It is also effecting iMessage on iOS. This is the entry from the web protection log:

2015:05:15-06:07:17 SophosUTM9 httpproxy[31325]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="CONNECT" srcip="192.168.1.2" dstip="" user="" ad_domain="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="0" request="0xe1d23000" url="courier.push.apple.com/.../A" category="105" reputation="trusted" categoryname="Business"

I attempted to create a rule but did not resolve. Any suggestions? Thanks!

i am having a similar issue.  I have already started a thread with support on it.  Let's just say the dns performance of the web proxy leaves a bit to be desired..[:)]

William, can you tell me what IP address courier.push.apple.com resolves to, and why you believe this is a dns performance issue?

William, can you tell me what IP address courier.push.apple.com resolves to, and why you believe this is a dns performance issue?

I cannot go into anymore detail in public sorry.  Using ip addys will not help as cdn usage is high.  If you have httos decrypt and scan in tey turning that off.  If not goiglr quickregex and have it build a regex exception for app kk e.com and all subdomains.  put that into webfilter excepti ok ns and check every box.  Let us know if that helps.

The issue appears to be that the UTM is unable to resolve courier.push.apple.com in DNS, through no fault of its own:

Request URL: http://courier.push.apple.com/
Request Time: 16 Jul, 14:08 (EDT)
Result: Blocked
Reason: Host not found
Policy name: Base Policy
Exceptions: Apple Update, Apple HTTPS

Our UTM is configured to forward DNS requests to our internal DNS servers, which also cannot resolve the name:

C:\>nslookup courier.push.apple.com
Server:  pghpitspwdmc001.-.com
Address:  172.16.-.-

DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
*** Request to pghpitspwdmc001.-.com timed-out

Our internal DNS servers are configured to forward requests to Google's public DNS servers, which result in a circular DNS reference:

C:\>nslookup courier.push.apple.com 8.8.8.8
Server:  google-public-dns-a.google.com
Address:  8.8.8.8

Non-authoritative answer:
Name:    courier.push.apple.com

Because the UTM is unable to resolve the URI to an IP, it blocks the traffic, even though I added an exception for the URL.

The traffic is permitted if I enable TCP 5223 traffic outbound, but that would permit all XMPP clients, which is something we don't want to do.

With TCP 5223 disabled outbound, iMessage continued to function, until we enabled URL filtering last week.  The iMessage log shows it failing back to HTTPS when TCP 5223 fails.

Is there a way to permit traffic through the URL filter (and respect configured exceptions) even if it can't resolve DNS for the destination?

Is there a way to permit traffic through the URL filter (and respect configured exceptions) even if it can't resolve DNS for the destination?

The only way would be to skip the proxy for that URL.  If the proxy is in transparent mode, you can try adding courier.push.apple.com to the Transparent proxy skiplist as a DNS Host.  If using  in standard mode, you can add a DIRECT startement to your Proxy.PAC file for the FQDN.  When doing either of these, make certain that you have a firewall rule to then allow the traffic.

Some googling found something interesting here:
https://imfreedom.org/wiki/IMessage
>>>
The applepushserviced first does a DNS TXT query for "push.apple.com" [ nslookup -query=txt push.apple.com] . This will return "count=50" or some number XX. The daemon then creates a name using a number between 1..XX and creates DNS name X-courier.push.apple.com. This DNS name is then handle by Akamai DNS to return an ipaddress in the 17.X netblock that belongs to Apple. 

Hi, and welcome to the User BB! (First post.)

What happens if you change your DNS configuration to one like DNS Best Practice?

Cheers - Bob