Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 21 replies
  • Subscribers 2 subscribers
  • Views 6071 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Current firmware version: 9.210-20

narna4ever
After installing the firmware version: 9.210-20 on my Sophos ASG 220 model,   my Exchange 2010 server suddenly desided not to receive any e-mails from Gmail for insted. 

There are som other domains as well, but some domain get throug. 

I was just woundering if that lates build did anything with the smtp, receiving etc for e-mails?


This thread was automatically locked due to age.
Parents
  • 0
    And Sophos replyed with this. And now am up and running again [:)] 

    This is a problem introduced with 9.210.
    The long and short of it is that the UTM needs the ssl v3 cipher but not the protocol.
    TLS 1.0 and TLS 1.1 uses the cipher from SSLv3
    TLS 1.2 has got his own cipher
    It seems that in 9.210, development accidentally blocked the SSL3 cipher when we should have just blocked the protocol.
    Google aren’t actually using SSLv3 protocol, just using the cipher.


    For version 9.210 of the UTM:

    Navigate to /var/chroot-smtp/etc/
    Open the exim.conf with vi: vi exim.conf
    Change the values for tls_require_ciphers looks as follows(remove the ":!SSLv3"):

    RC4+RSA:HIGH:!MD5:!ADH:!SSLv2

    Add the following line at the end of the section #TLS

    openssl_options = +no_sslv3

    Save your changes and close the editor: [esc] :wq

    Now restart the smtpd service by executing 
    /var/mdw/scripts/smtp restart
Reply
  • 0
    And Sophos replyed with this. And now am up and running again [:)] 

    This is a problem introduced with 9.210.
    The long and short of it is that the UTM needs the ssl v3 cipher but not the protocol.
    TLS 1.0 and TLS 1.1 uses the cipher from SSLv3
    TLS 1.2 has got his own cipher
    It seems that in 9.210, development accidentally blocked the SSL3 cipher when we should have just blocked the protocol.
    Google aren’t actually using SSLv3 protocol, just using the cipher.


    For version 9.210 of the UTM:

    Navigate to /var/chroot-smtp/etc/
    Open the exim.conf with vi: vi exim.conf
    Change the values for tls_require_ciphers looks as follows(remove the ":!SSLv3"):

    RC4+RSA:HIGH:!MD5:!ADH:!SSLv2

    Add the following line at the end of the section #TLS

    openssl_options = +no_sslv3

    Save your changes and close the editor: [esc] :wq

    Now restart the smtpd service by executing 
    /var/mdw/scripts/smtp restart
Children
  • 0 in reply to narna4ever
    And Sophos replyed with this. And now am up and running again [:)] 

    This is a problem introduced with 9.210.
    The long and short of it is that the UTM needs the ssl v3 cipher but not the protocol.
    TLS 1.0 and TLS 1.1 uses the cipher from SSLv3
    TLS 1.2 has got his own cipher
    It seems that in 9.210, development accidentally blocked the SSL3 cipher when we should have just blocked the protocol.
    Google aren’t actually using SSLv3 protocol, just using the cipher.


    For version 9.210 of the UTM:

    Navigate to /var/chroot-smtp/etc/
    Open the exim.conf with vi: vi exim.conf
    Change the values for tls_require_ciphers looks as follows(remove the ":!SSLv3"):

    RC4+RSA:HIGH:!MD5:!ADH:!SSLv2

    Add the following line at the end of the section #TLS

    openssl_options = +no_sslv3

    Save your changes and close the editor: [esc] :wq

    Now restart the smtpd service by executing 
    /var/mdw/scripts/smtp restart


    Thank you narna4ever that did it! It would have been nice if Sophos had sent out a notice about this error. Instead we had to scramble to find a fix due to unhappy customers complaining about bounced emails.
  • 0 in reply to narna4ever
    And Sophos replyed with this. And now am up and running again [[:)]] 

    This is a problem introduced with 9.210.
    The long and short of it is that the UTM needs the ssl v3 cipher but not the protocol.
    TLS 1.0 and TLS 1.1 uses the cipher from SSLv3
    TLS 1.2 has got his own cipher
    It seems that in 9.210, development accidentally blocked the SSL3 cipher when we should have just blocked the protocol.
    Google aren’t actually using SSLv3 protocol, just using the cipher.


    For version 9.210 of the UTM:

    Navigate to /var/chroot-smtp/etc/
    Open the exim.conf with vi: vi exim.conf
    Change the values for tls_require_ciphers looks as follows(remove the ":!SSLv3"):

    RC4+RSA:HIGH:!MD5:!ADH:!SSLv2

    Add the following line at the end of the section #TLS

    openssl_options = +no_sslv3

    Save your changes and close the editor: [esc] :wq

    Now restart the smtpd service by executing 
    /var/mdw/scripts/smtp restart


    Great explanation.

    I was confused by removing the cipher disable (!SSlv3 which effectively turned it back on) and then adding he openssl_option which then turns it off again [:D]

    [[:)]]
  • 0 in reply to MentalMickey
    my system is version 9.210-20. No new firmwares are being displayed in the Up2date overview. when adding a update file manually, u2d-sys-9.300005-301002.tgz.gpg. it also does not get displayed as an available update. Disabling TLS solves the issue with incoming gmail but what is the issue with not being able to update any more? Rebooting the system did not help
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?