Thread Info
  • State Not Answered
  • Replies 7 replies
  • Subscribers 0 subscribers
  • Views 1266 views
  • Users 0 members are here
Options
Suggested

[8.163][NOTABUG][CLOSED] Skip TLS hosts/net broken

Billybob
This might be related to wingmans report https://community.sophos.com/products/unified-threat-management/astaroorg/f/110/t/70665 where his smtp daemon is crashing but in any case here is the bug.

There is a box for skipping TLS negotiation for certain hosts however it doesn't work for the internal mail server. Couldn't test on external server but it might be broken for that too. 

Screenshot 1: TLS enabled for every host and skip TLS enabled for my exchange server postmaster (192.168.0.1)

Screenshot 2: Outbound connections from postmaster (192.168.0.1) are lost without any error in the logs. This is a secondary bug, there should be some kind of error in the logs instead of a dropped connection but maybe exim behaves this way.

Screenshot 3 : Inbound connections complain about TLS not being enabled.

Regards
Bill.
Parents
  • 0
    Hi Billybob,
    This is how it is designed to work. If the remote server does not offer TLS support but the configuration requires TLS for this specific host, the connection is dropped without delivering the outgoing mail. The mail is on hold in the queue until the host offers TLS support.

    Regards,
    mlenk
  • 0 in reply to mle
    This is how it is designed to work. If the remote server does not offer TLS support but the configuration requires TLS for this specific host, the connection is dropped without delivering the outgoing mail. 

    Agreed, the remote server is not offering TLS so the connection is dropped but the remote server is also in skip TLS list[:S]

    I understand the behavior but I am using exception for the host in question. Maybe I am not understanding something correctly. I will take your word for it that this is not a bug since I don't use TLS for incoming mail so not a problem.

    Regards
    Bill
  • 0 in reply to Billybob
    Hi Bill,

    I understand the behavior but I am using exception for the host in question. Maybe I am not understanding something correctly.


    There are no exceptions for TLS negotiations right now. The "Require TLS negotiation hosts/nets" box is not designed for use with the "Any" network object, but for single hosts or networks that you want to enforce TLS with.

    Regards,
    mlenk
  • 0 in reply to mle
    ..........There are no exceptions for TLS negotiations right now. 

    Aha.... now it is making sense. I looked at the setup again and the way it is laid out it seems that the force TLS and exempt TLS are somehow related but they are not. The skip TLS is only to be used if problems are being encountered for some host and does not have anything to do with force TLS field.

    Thanks for the explanation
    Regards
    Bill.
Reply
  • 0 in reply to mle
    ..........There are no exceptions for TLS negotiations right now. 

    Aha.... now it is making sense. I looked at the setup again and the way it is laid out it seems that the force TLS and exempt TLS are somehow related but they are not. The skip TLS is only to be used if problems are being encountered for some host and does not have anything to do with force TLS field.

    Thanks for the explanation
    Regards
    Bill.
Children
No Data
Cookie Information Banner