Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 3 subscribers
  • Views 1503 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

weird behaviours on mail server after utm upgrade

MadCat78
Hi,
I upgraded few days ago from an Astaro ASG 8 to a Sophos UTM 9 (Software version on my own hardware) and my mail server suddenly stopped working.
IMAP is painfully slow and I can't send any mail (SMTP auth errors).
When I upgraded to 9.205 I've found a workaround putting all the DNS queries, from my mail server to my two Active Directory servers, in the IPS whitelist (even if I had nothing, not a single line, on the IPS and firewall logs!!!).
Now that I upgraded to 9.206 nothing works, even if I disable the IPS completely.
My mail server has a typical Postfix / Dovecot setup on a linux machine with LDAP authentication (no LDAP-TLS at the moment).
I only have the "Base Functionality" and "Network Protection" subscription, so I don't do any mail proxying or filtering.
Can anyone point me in the right direction?
Thanks


This thread was automatically locked due to age.
  • 0
    Hi, Cat, and welcome to the User BB!

    even if I disable the IPS completely.

    Check #1 in Rulz - the Intrusion Prevention log contains more than just IPS.

    Cheers - Bob
  • 0
    Also, instead of whitelisting (I assume you mean via exceptions) for IPS, go to the Advanced Tab and populate the boxes in the Performance Tuning section.  For example, add your internal DNS servers to the DNS box.  This turns off rules for those systems that WILL cause false positives with those services.
  • 0
    Hi guys, thank you for your replies.
    I've looked at the various rulez and I think I am following all of them (I'm an ASG user since version 5).
    By the way I've found the culprit: the advanced threat protection.
    Even if it was in alert mode it was dropping something.
    I had to disable it completely: putting my mail server and the AD servers in the exceptions did not worked.
    Weird is the fact that its log wasn't showing anything.
    I had to keep the previous eception rule I made: skip intrusion protection for DNS traffic from my mail server to the AD servers.
    Using the perfomance tuning section didn't solve my problem.
    Looking at the firewall and IPS logs I still can't see anything, not a single line of alert or drop involving my mail or AD servers.
    Anyway thank you!
    Regards
  • 0
    If it was ATP causing the issue, ATP has it's own log.  It also has it's own exception rules and hosts list, so you may be able to be granular with exceptions, instead of turning off ATP completely.
  • 0
    The ATP log is empty and its exception rules didn't worked....
  • 0
    My Bad.  Apparently ATP rarely logs anything in the ATP log.  It can log nto the IPS and Web Filtering logs.  Possibly others as well.  You can get some visibility at Network Protection and at Logging & Reporting > Network Protection > Advanced Threat Protection