Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 1 subscriber
  • Views 3786 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Astaro POP3S und SMTPS Probleme ...

mipo
Hallo zusammen,

vorab gesagt, ich habe hier natürlich schon im Forum geschaut, aber echt bisher keine
Lösung für das Problem gefunden. Ich scheine doch nicht der Einzigste zu sein, der es 
einfach nicht auf die Reihe bekommt. :-(

Bekanntlich scheinen ja alle großen Provider in Deutschland auf Secure POP3, IMAP und
SMTP umzustellen. Kunden bekommen ja schon von 1&1 direkte Anschreiben, dass sie
Ihre eMail Clients (Server) umstellen sollen.

Doch leider sind meine bisherigen Bemühungen und Recherchen, die aktuelle UTM 9.107-33
auf POP3 SSL/TLS umzustellen kläglich gescheitert. Sprich, sobald ich den POP3
Downloader, der den Exchange Server mit eingehenden Mails versorgt auf POP3 SSL/TLS
umstelle, wird ein Zugriff im "Firewall" Protokoll auf Port 995 gedroppt. Sprich der POP3
Proxy, der bisher aufrufe auf Port 110 abgefangen hat, hört scheinbar nicht auf Port 995.

Hat von euch schon jemand den Empfang über POP3S und Versand über SMTPS mit Hilfe
der Astaro Firewall gelöst? Müssen Zertifikate installiert werden? Gibt es irgendwo ein 
HowTo? 

Wenn ich die Ports 995 z.B. in der Firewall freischalte, ist das Kommunikationsproblem
ersteinmal gelöst, aber es wird natürlich keine eMail mehr auf Viren, Spam usw. geprüft,
was nicht Sinn und Zweck des Ganzen sein kann.

Gruß
Michael


This thread was automatically locked due to age.
  • 0
    Hi Michael,

    es ist korrekt, dass der POP3-Proxy standardmäßig nur unter Port 110 hört und wenn du es verschlüsselst, auf 995 umstellst, dann greifen die Firewallregeln.

    Bitte aktiviere dazu diesen Punkt:
    Email Protection - POP3 - Erweitert - TLS Einstellungen
    Scan TLS encrypted POP3 traffic

    Um die verschlüsselte Kommunikation zu entschlüsseln, benötigst du das passende Zertifikat. Dies kann man unter z.B. Fernzugriff - Zertifikatsverwaltung hinzufügen (in der 9.2 wird die Zertifikatsverwaltung schöner [;)] ).

    Dieses Zertifikat muss natürlich auch bei dem POP3 Programm (POP3 Downloader) hinterlegt werden.

    Jetzt was grundsätzliches:
    POP3 ist kein Protokoll für den professionellen Einsatz bei Firmen. Sondern der direkte Empfang via SMTP-Proxy!

    Nice greetings
  • 0 in reply to GuyFawkes

    Jetzt was grundsätzliches:
    POP3 ist kein Protokoll für den professionellen Einsatz bei Firmen. Sondern der direkte Empfang via SMTP-Proxy!

    Woher kommt diese Aussage? Ich finde es gewagt, den Einsatz von POP3 grundsätzlich als unprofessionell zu bezeichnen. [;)]

    Wobei Unternehmen sich durchaus darüber Gedanken machen dürfen, ob es aus "hoheitlichen" Gründen nicht Vorteile hätte, den MX z. B. auf die UTM zu "legen".
  • 0
    Hi K.N.
    mehrere Gründe die dagegen Sprechen.

    Wir haben ein weiteres Programm (ich nenne es mal Tools) zur Verwaltung, welches als Schnittstelle zwischen Provider und Exchange (Empfang/Verarbeitung/Übergabe) verwendet wird.
    Ein weiteres Tool/Hersteller den ich im Unternehmen habe - Support/Updates etc.
    Unverschlüsselt werden Daten im Klartext übertragen.
    Dateiübertragung wird direkt von einem Client initiiert, mit allen Folgen, die dies hat.
    Hochverfügbar?

    In Kombination mit der UTM und dessen Proxy Funktionen... SPAM Schutz etc. ist POP3 unbrauchbar. Und liegt nun einmal an diesem Protokoll.

    Selbst wenn der MX nicht auf der UTM liegt, lässt es sich dennoch deutlich besser umsetzten. Zumahl die Mail Protection der UTM wirklich gute Schutzfunktionen bietet.
    Also nein, POP3, auch wenn es verschlüsselt ist, sehe ich nicht als geeignet für ein Unternehmen. Ein Relikt aus alten Zeiten.

    Ich bin schon froh, dass man dies in Unternehmen kaum noch sieht, aber zugegeben, privat nutze ich es ja auch. [;)]

    Nice greetings
  • 0
    Vielleicht noch ein kleiner Nachtrag zum Thema selbst.

    @mporemski
    Vielleicht kann das auch noch für dich interessant sein:
    https://community.sophos.com/products/unified-threat-management/astaroorg/f/56/t/49539

    Nice greetigns
  • 0 in reply to GuyFawkes
    Hallo zusammen,

    ich möchte natürlich keine Diskussion über das Für-und-Wider POP3(S) Einsatz lostreten.

    Es gibt sehr sehr viele Klein- und Kleinstunternehmen, die dank der hohen Verbreitung
    einen Windows 2008/Exchange 2010 (oder aus früheren Jahren einen 20003 SBS) be-
    treiben. Mir ist durchaus bewusst, dass SMTP gewaltige Vorteile gegenüber POP3 hat,
    setzt aber eine sehr stabile Internet Verbindung voraus. ... 

    Nun zu meinem Problem. Klar ich habe "Scan TLS encrypted POP3 traffic" aktiviert, doch
    mit dem auszuwählenden Zertifikat bin ich mir unsicher. Hier im Forum habe ich gelesen,
    dass es ausreichend sei z.B. das Zertifikat des "Webadmin" (also der Firewall) zu verwen-
    den. Doch ich "sehe" trotz der Aktivierung der obigen Option, einen Drop in der "Firewall
    Log" von PORT 995 (der POP3 Downloader ist SSL/TLS Port 995, Implizit eingestellt). Das
    darf doch meines Erachtens nicht sein. Der POP3 Proxy der Firewall geht doch an den im
    Bereich "Network Protection/Firewall" vorbei. Oder?

    Gesetzt den Fall ich muss (kann) das Provider Serverzertifikat installieren. Wie wird das
    dann in der Firewall korrekt hinterlegt? Das muss doch sicherlich konvertiert werden. Oder
    geschieht das automatisch beim ersten Verbindungsversuch?

    Die Prefetch Funktion kann ja weiterhin aktiviert bleiben?

    viele Grüße
    Michael
  • 0
    Ein HowTo habe ich aktuell nicht, aber dazu der Ausschnitt aus der Online Hilfe der UTM.


    TLS-Einstellungen

    TLS-Zertifikat: Wählen Sie ein Zertifikat aus der Auswahlliste. Dieses wird verwendet für die TLS-Verschlüsselung mit allen POP3-Clients, die TLS unterstützen und versuchen, auf einen POP3-Server zuzugreifen, der entweder nicht im Feld POP3-Server oben enthalten ist oder kein passendes TLS-Zertifikat besitzt. Das gewählte Zertifikat wird dem POP3-Client angeboten. POP3-Clients verifizieren normalerweise, dass das vom POP3-Server angebotene TLS-Zertifikat mit dem konfigurierten POP3-Servernamen übereinstimmt. Aus diesem Grund werden die meisten POP3-Clients eine Warnung ausgeben, dass der Hostname des Zertifikats nicht mit dem erwarteten konfigurierten POP3-Servernamen übereinstimmt. Der Benutzer kann diese Warnung jedoch ignorieren und sich trotzdem verbinden. Um diese Warnung zu verhindern müssen Sie alle verwendeten POP3-Server in das Feld POP3-Server oben eingeben und für jeden der Server ein passendes TLS-Zertifikat konfigurieren.

    Wenn hier kein Zertifikat ausgewählt ist und ein POP3-Client versucht, über TLS einen POP3-Server zu erreichen, der nicht im Feld POP3-Server enthalten ist oder kein passendes TLS-Zertifikat besitzt, wird die Verbindung nicht aufgebaut.

    Tipp –Sie können Zertifikate auf der Registerkarte Site-to-Site VPN > Zertifikatverwaltung > Zertifikate hinzufügen und hochladen.


    Nice greetings
  • 0
    Ich werde es testen. :-) Bin aber skeptisch, da es am WE nicht funktioniert hat.
    POP3S läuft doch definitiv über Port 995 oder?
  • 0
    Ja, wenn die Funktion aktiviert ist, wird das hier eingetragen


    iptables -L | grep pop
    CONFIRMED  tcp  --  anywhere             anywhere             tcp spts:1024:65535 multiport dports pop3,pop3s


    pop3s = 995

    Nice greetings
  • 0
    Soweit die Theorie:

    14:12:38  Standard-VERWERFEN  TCP 
    192.168.1.1  :  41770
    → 
    212.227.15.162  :  995

    [RST]  len=40  ttl=127  tos=0x00  srcmac=0:c:29:c0:51:1  dstmac=0:30:18:ac:eb:97

    ---

    Was mache ich falsch? Eine Idee. Habe das Webadmin Zertifikat unter "TLS-Einstellungen"
    als auch im Bereich "POP3-Server und Vorabholen" (unter dem POP3 Server) eingetragen.
    Vorher war es aber leer, trotzdem der gleiche Fehler.

    Gruß
    Michael
  • 0 in reply to mipo
    Hallo Guy,

    boah, war das eine Geburt ... Scheint plötzlich zu funktionieren!

    Werde es mal beobachten.

    Frage:
    Wie erzeugst Du die Zeile "CONFIRMED ....". Kannst mir den Aufruf mal bitte nennen?

    Als nächster Schritt ist SMTPS dran ... Sind hier auch Probleme zu erwarten?

    Danke für die Hilfe!!

    Gruß
    Michael
Cookie Information Banner