Sophos UTM in Enterprise

I have to say that my experience with Sophos support more or less mirror lain's. Overall, it is of   very mediocre quality. As for partner support, I would advise *against* using it: I don't know how Sophos selects and support their partners but all the ones I had to deal with are of abysmal quality. They never can answer any question and you have to educate them on the product pretty much every time you try. In the end, all they do is open ticket with Sophos for you, badly describing your issue and adding several days of delay to an already very long support loop.

With platinum  support, you can actually call Sophos support line. Unfortunately, the result from that will vary greatly. First, if you end up with US support, you've lost: as fasr as I can tell, they are completely incompetent with the product and the best outcome you'll get is being redirected to the Germany team. That team, unfortunately, is so overworked that response times for urgent tickets can be weeks (unless your service is down, you'll get at the bottom of a very long queue).

The procuct itself is nice but it also have some very rough edges: no IMAP proxy support is a sore point and several module interfere together in a way that is both non-obvious and  quite dangerous (for instance, did you know that the SMTP service completely ignore your firewall rules ? That fail2ban isn't actually doing anything but sending you notification email ?).

It is not to say it is a bad product: it makes several tradeoff between usability and flexibility (and sometimes, security) that are still worth it because an average network admin can sucessfully setup and manage the system without having to spend a lot of time learning it. But you need to properly evaluate these tradeoff in light of your requirements, budget and resources to decide if they are worth it.

A quick point of correction, none of the proxies are affected by firewall rules, why do you expect smtp to be any different?

Ian

A quick point of correction, none of the proxies are affected by firewall rules, why do you expect smtp to be any different?

Ian

Have to agree with you there.

if you could turn on a proxy but have it blocked by the firewall what is the purpose of turning it on in the first place?  This isn't a mistake or security issue but common sense.

A quick point of correction, none of the proxies are affected by firewall rules, why do you expect smtp to be any different?

Ian

Have to agree with you there.

if you could turn on a proxy but have it blocked by the firewall what is the purpose of turning it on in the first place?  This isn't a mistake or security issue but common sense.

Have to agree with you there.

if you could turn on a proxy but have it blocked by the firewall what is the purpose of turning it on in the first place?  This isn't a mistake or security issue but common sense.

Because the layer 3 firewall is where you usually perform host blocking. If you're happy with a rule that doesn't discriminate between  addresses, it doesn't matter but, otherwise, you have to setup the block list on two different system (if at all possible): the layer 3 firewall and the layer 7 one. It's bad practice generally speaking and, n this specific case, completely opaque: the automatic firewall rules are not displayed anywhere in the UI.

(And just to be complete: I have a ticket open since the 08th because the SMTP block list and fail2ban aren't working either. I believe this to be a bug).