Thread Info
  • State Not Answered
  • Replies 7 replies
  • Subscribers 0 subscribers
  • Views 1268 views
  • Users 0 members are here
Options
Suggested

[8.163][NOTABUG][CLOSED] Skip TLS hosts/net broken

Billybob
This might be related to wingmans report https://community.sophos.com/products/unified-threat-management/astaroorg/f/110/t/70665 where his smtp daemon is crashing but in any case here is the bug.

There is a box for skipping TLS negotiation for certain hosts however it doesn't work for the internal mail server. Couldn't test on external server but it might be broken for that too. 

Screenshot 1: TLS enabled for every host and skip TLS enabled for my exchange server postmaster (192.168.0.1)

Screenshot 2: Outbound connections from postmaster (192.168.0.1) are lost without any error in the logs. This is a secondary bug, there should be some kind of error in the logs instead of a dropped connection but maybe exim behaves this way.

Screenshot 3 : Inbound connections complain about TLS not being enabled.

Regards
Bill.
Parents
  • 0
    Hi Billybob,

    the described behavior regarding TLS required hosts is correct: If a host matches the Require TLS negotiation hosts/nets, it will require TLS negotiation. Only if it doesn't match the Require TLS negotiation hosts/nets and if it is listed in the Skip TLS negotiation hosts/nets TLS negotiation will be skipped. This is the intended behavior.

    Regarding the second issue ("Outbound connections from postmaster (192.168.0.1) are lost without any error in the logs") please send a little bit more details. Some lines with all the related context from smtp.log would be nice. Maybe we can indeed improve the logging.

    Regards,
    mlenk
  • 0 in reply to mle
    I believe I am doing the exception correctly, 

    Screenshot 1: Force TLS for ANY host and skip TLS for 192.168.1.101

    Screenshot 2: Send email to different senders and you will get the following in smtp logs

    2011:04:20-13:49:15 gatekeeper exim-in[6727]: 2011-04-20 13:49:15 SMTP connection from [192.168.1.101]:2457 (TCP/IP connection count = 1)
    2011:04:20-13:49:15 gatekeeper exim-in[6727]: 2011-04-20 13:49:15 SMTP connection from [192.168.1.101]:2458 (TCP/IP connection count = 2)
    2011:04:20-13:49:15 gatekeeper exim-in[6727]: 2011-04-20 13:49:15 SMTP connection from [192.168.1.101]:2459 (TCP/IP connection count = 3)
    2011:04:20-13:49:15 gatekeeper exim-in[31659]: 2011-04-20 13:49:15 SMTP connection from (mail.***.com) [192.168.1.101]:2457 lost
    2011:04:20-13:49:15 gatekeeper exim-in[31661]: 2011-04-20 13:49:15 SMTP connection from (mail.***.com) [192.168.1.101]:2459 lost
    2011:04:20-13:49:15 gatekeeper exim-in[31660]: 2011-04-20 13:49:15 SMTP connection from (mail.***.com) [192.168.1.101]:2458 lost


    Screenshot 3: Any incoming mail is again denied due to TLS but 192.168.1.101 is in skip TLS.
    2011:04:20-13:57:00 gatekeeper smtpd[31831]: SCANNER[31831]: 1QCcaC-0008HP-3P  work R=SCANNER T=SCANNER
    2011:04:20-13:57:00 gatekeeper smtpd[31831]: SCANNER[31831]: 1QCca5-0008HN-2U Completed
    2011:04:20-13:57:00 gatekeeper exim-out[31838]: 2011-04-20 13:57:00 1QCcaC-0008HP-3P == ***@***.com R=static_route_hostlist T=static_smtp defer (-53): retry time not reached for any host
    2011:04:20-13:57:00 gatekeeper exim-out[31839]: 2011-04-20 13:57:00 1QCcaC-0008HP-3V == bill@***.com R=static_route_hostlist T=static_smtp defer (-53): retry time not reached for any host
    2011:04:20-13:57:24 gatekeeper exim-in[31829]: 2011-04-20 13:57:24 SMTP connection from mail-gx0-f178.google.com [209.85.161.178]:63828 closed by QUIT
    2011:04:20-13:57:28 gatekeeper smtpd[31831]: SCANNER[31831]: Nothing to do, exiting.
    2011:04:20-13:58:00 gatekeeper exim-out[31851]: 2011-04-20 13:58:00 Start queue run: pid=31851
    2011:04:20-13:58:00 gatekeeper exim-out[31852]: 2011-04-20 13:58:00 1QCcaC-0008HP-3P == ***@***.com R=static_route_hostlist T=static_smtp defer (-53): retry time not reached for any host
    2011:04:20-13:58:00 gatekeeper exim-out[31854]: 2011-04-20 13:58:00 1QCcaC-0008HP-3V == bill@***.com R=static_route_hostlist T=static_smtp defer (-53): retry time not reached for any host
    2011:04:20-13:58:00 gatekeeper exim-out[31851]: 2011-04-20 13:58:00 End queue run: pid=31851
    2011:04:20-13:59:00 gatekeeper exim-out[31870]: 2011-04-20 13:59:00 Start queue run: pid=31870
    2011:04:20-13:59:00 gatekeeper exim-out[31872]: 2011-04-20 13:59:00 1QCcaC-0008HP-3P a TLS session is required for 192.168.1.101 [192.168.1.101], but the server did not offer TLS support
    2011:04:20-13:59:00 gatekeeper exim-out[31871]: 2011-04-20 13:59:00 1QCcaC-0008HP-3P == ***@***.com R=static_route_hostlist T=static_smtp defer (-38): a TLS session is required for 192.168.1.101 [192.168.1.101], but the server did not offer TLS support
    2011:04:20-13:59:00 gatekeeper exim-out[31873]: 2011-04-20 13:59:00 1QCcaC-0008HP-3V == bill@***.com R=static_route_hostlist T=static_smtp defer (-53): retry time not reached for any host
    2011:04:20-13:59:00 gatekeeper exim-out[31870]: 2011-04-20 13:59:00 End queue run: pid=31870
    2011:04:20-14:00:00 gatekeeper exim-out[32025]: 2011-04-20 14:00:00 Start queue run: pid=32025
    2011:04:20-14:00:00 gatekeeper exim-out[32026]: 2011-04-20 14:00:00 1QCcaC-0008HP-3P == ***@***.com R=static_route_hostlist T=static_smtp defer (-53): retry time not reached for any host
    2011:04:20-14:00:00 gatekeeper exim-out[32028]: 2011-04-20 14:00:00 1QCcaC-0008HP-3V == bill@***.com R=static_route_hostlist T=static_smtp defer (-53): retry time not reached for any host


    Regards 
    Bill
Reply
  • 0 in reply to mle
    I believe I am doing the exception correctly, 

    Screenshot 1: Force TLS for ANY host and skip TLS for 192.168.1.101

    Screenshot 2: Send email to different senders and you will get the following in smtp logs

    2011:04:20-13:49:15 gatekeeper exim-in[6727]: 2011-04-20 13:49:15 SMTP connection from [192.168.1.101]:2457 (TCP/IP connection count = 1)
    2011:04:20-13:49:15 gatekeeper exim-in[6727]: 2011-04-20 13:49:15 SMTP connection from [192.168.1.101]:2458 (TCP/IP connection count = 2)
    2011:04:20-13:49:15 gatekeeper exim-in[6727]: 2011-04-20 13:49:15 SMTP connection from [192.168.1.101]:2459 (TCP/IP connection count = 3)
    2011:04:20-13:49:15 gatekeeper exim-in[31659]: 2011-04-20 13:49:15 SMTP connection from (mail.***.com) [192.168.1.101]:2457 lost
    2011:04:20-13:49:15 gatekeeper exim-in[31661]: 2011-04-20 13:49:15 SMTP connection from (mail.***.com) [192.168.1.101]:2459 lost
    2011:04:20-13:49:15 gatekeeper exim-in[31660]: 2011-04-20 13:49:15 SMTP connection from (mail.***.com) [192.168.1.101]:2458 lost


    Screenshot 3: Any incoming mail is again denied due to TLS but 192.168.1.101 is in skip TLS.
    2011:04:20-13:57:00 gatekeeper smtpd[31831]: SCANNER[31831]: 1QCcaC-0008HP-3P  work R=SCANNER T=SCANNER
    2011:04:20-13:57:00 gatekeeper smtpd[31831]: SCANNER[31831]: 1QCca5-0008HN-2U Completed
    2011:04:20-13:57:00 gatekeeper exim-out[31838]: 2011-04-20 13:57:00 1QCcaC-0008HP-3P == ***@***.com R=static_route_hostlist T=static_smtp defer (-53): retry time not reached for any host
    2011:04:20-13:57:00 gatekeeper exim-out[31839]: 2011-04-20 13:57:00 1QCcaC-0008HP-3V == bill@***.com R=static_route_hostlist T=static_smtp defer (-53): retry time not reached for any host
    2011:04:20-13:57:24 gatekeeper exim-in[31829]: 2011-04-20 13:57:24 SMTP connection from mail-gx0-f178.google.com [209.85.161.178]:63828 closed by QUIT
    2011:04:20-13:57:28 gatekeeper smtpd[31831]: SCANNER[31831]: Nothing to do, exiting.
    2011:04:20-13:58:00 gatekeeper exim-out[31851]: 2011-04-20 13:58:00 Start queue run: pid=31851
    2011:04:20-13:58:00 gatekeeper exim-out[31852]: 2011-04-20 13:58:00 1QCcaC-0008HP-3P == ***@***.com R=static_route_hostlist T=static_smtp defer (-53): retry time not reached for any host
    2011:04:20-13:58:00 gatekeeper exim-out[31854]: 2011-04-20 13:58:00 1QCcaC-0008HP-3V == bill@***.com R=static_route_hostlist T=static_smtp defer (-53): retry time not reached for any host
    2011:04:20-13:58:00 gatekeeper exim-out[31851]: 2011-04-20 13:58:00 End queue run: pid=31851
    2011:04:20-13:59:00 gatekeeper exim-out[31870]: 2011-04-20 13:59:00 Start queue run: pid=31870
    2011:04:20-13:59:00 gatekeeper exim-out[31872]: 2011-04-20 13:59:00 1QCcaC-0008HP-3P a TLS session is required for 192.168.1.101 [192.168.1.101], but the server did not offer TLS support
    2011:04:20-13:59:00 gatekeeper exim-out[31871]: 2011-04-20 13:59:00 1QCcaC-0008HP-3P == ***@***.com R=static_route_hostlist T=static_smtp defer (-38): a TLS session is required for 192.168.1.101 [192.168.1.101], but the server did not offer TLS support
    2011:04:20-13:59:00 gatekeeper exim-out[31873]: 2011-04-20 13:59:00 1QCcaC-0008HP-3V == bill@***.com R=static_route_hostlist T=static_smtp defer (-53): retry time not reached for any host
    2011:04:20-13:59:00 gatekeeper exim-out[31870]: 2011-04-20 13:59:00 End queue run: pid=31870
    2011:04:20-14:00:00 gatekeeper exim-out[32025]: 2011-04-20 14:00:00 Start queue run: pid=32025
    2011:04:20-14:00:00 gatekeeper exim-out[32026]: 2011-04-20 14:00:00 1QCcaC-0008HP-3P == ***@***.com R=static_route_hostlist T=static_smtp defer (-53): retry time not reached for any host
    2011:04:20-14:00:00 gatekeeper exim-out[32028]: 2011-04-20 14:00:00 1QCcaC-0008HP-3V == bill@***.com R=static_route_hostlist T=static_smtp defer (-53): retry time not reached for any host


    Regards 
    Bill
Children
No Data
Cookie Information Banner