Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 21 replies
  • Subscribers 2 subscribers
  • Views 6085 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Current firmware version: 9.210-20

narna4ever
After installing the firmware version: 9.210-20 on my Sophos ASG 220 model,   my Exchange 2010 server suddenly desided not to receive any e-mails from Gmail for insted. 

There are som other domains as well, but some domain get throug. 

I was just woundering if that lates build did anything with the smtp, receiving etc for e-mails?


This thread was automatically locked due to age.
  • 0
    Hi, I solved configuring "any" on email protection-> SMTP -> Advanced -> Skip TLS negotiation hosts/nets. In this way you'll skip any TLS negotiation.
  • 0 in reply to tcassano
    What does this do as far as security and recieving spam if you allow ANY?
  • 0 in reply to narna4ever
    And Sophos replyed with this. And now am up and running again [:)] 

    This is a problem introduced with 9.210.
    The long and short of it is that the UTM needs the ssl v3 cipher but not the protocol.
    TLS 1.0 and TLS 1.1 uses the cipher from SSLv3
    TLS 1.2 has got his own cipher
    It seems that in 9.210, development accidentally blocked the SSL3 cipher when we should have just blocked the protocol.
    Google aren’t actually using SSLv3 protocol, just using the cipher.


    For version 9.210 of the UTM:

    Navigate to /var/chroot-smtp/etc/
    Open the exim.conf with vi: vi exim.conf
    Change the values for tls_require_ciphers looks as follows(remove the ":!SSLv3"):

    RC4+RSA:HIGH:!MD5:!ADH:!SSLv2

    Add the following line at the end of the section #TLS

    openssl_options = +no_sslv3

    Save your changes and close the editor: [esc] :wq

    Now restart the smtpd service by executing 
    /var/mdw/scripts/smtp restart


    Thank you narna4ever that did it! It would have been nice if Sophos had sent out a notice about this error. Instead we had to scramble to find a fix due to unhappy customers complaining about bounced emails.
  • 0 in reply to danmwells
    What does this do as far as security and recieving spam if you allow ANY?

    In case you haven't configured TLS connections before: Nothing. 
    The ANY directive at this point tells the ASG to skip TLS negotiation for every host conneting to your box, but this does not change spam filtering or rejecting behaviour. On my box (9.210) it doesn't, spam gets filtered or rejected as usual.
  • 0
    TLS is required in some places, see Perfect Forward Secrecy (PFS) und das bayerische Landesamt für Datenschutzaufsicht.  If you have a military contract in the USA you must use it with military mail servers and with those of any other entity you email about your DoD contract.

    Rather than using Toscano's trick, you may be required to follow Repairing SMTP TLS for 9.209 and 9.210.

    Cheers - Bob
  • 0 in reply to BAlfson
    An update to version 9.304-9 should also solve the TLS problem with SMTP.

    ftp://ftp.astaro.de/UTM/v9/up2date/u2d-sys-9.210020-304009.tgz.gpg
  • 0
    Thanks for this thread. Finally I was working days on Exchange and DNS Settings to redesign all necessary configurations to find out what is the problem.

    I'd never expected that the UTM is the trouble maker.

    We just had the following error on senders side:
    451 4.4.0 primary target ip address responded with 421 4.4.1 connection timed out

    Two Customers were facing this issue with their UTM running FW 9.210-20.
    No new FW update yet... No mail from Sophos Support nor Reseller... 
    This is not nice. But anyway.. many thanks for the thread again and the solution.

    I think the next FW update will overwrite the manual Settings we've done to fix this, right?
  • 0 in reply to narna4ever
    And Sophos replyed with this. And now am up and running again [[:)]] 

    This is a problem introduced with 9.210.
    The long and short of it is that the UTM needs the ssl v3 cipher but not the protocol.
    TLS 1.0 and TLS 1.1 uses the cipher from SSLv3
    TLS 1.2 has got his own cipher
    It seems that in 9.210, development accidentally blocked the SSL3 cipher when we should have just blocked the protocol.
    Google aren’t actually using SSLv3 protocol, just using the cipher.


    For version 9.210 of the UTM:

    Navigate to /var/chroot-smtp/etc/
    Open the exim.conf with vi: vi exim.conf
    Change the values for tls_require_ciphers looks as follows(remove the ":!SSLv3"):

    RC4+RSA:HIGH:!MD5:!ADH:!SSLv2

    Add the following line at the end of the section #TLS

    openssl_options = +no_sslv3

    Save your changes and close the editor: [esc] :wq

    Now restart the smtpd service by executing 
    /var/mdw/scripts/smtp restart


    Great explanation.

    I was confused by removing the cipher disable (!SSlv3 which effectively turned it back on) and then adding he openssl_option which then turns it off again [:D]

    [[:)]]
  • 0 in reply to MentalMickey
    my system is version 9.210-20. No new firmwares are being displayed in the Up2date overview. when adding a update file manually, u2d-sys-9.300005-301002.tgz.gpg. it also does not get displayed as an available update. Disabling TLS solves the issue with incoming gmail but what is the issue with not being able to update any more? Rebooting the system did not help
  • 0
    The file you mention doesn't work because you are not on version 9.300-05 (u2d-sys-9.300005-301002.tgz.gpg).  Up2dates are always named with the version you are coming from first, then the version you are going to.  Try the right one:  ftp://ftp.astaro.de/UTM/v9/up2date/u2d-sys-9.210020-304009.tgz.gpg

    BTW, next time create a new thread for an unrelated issue please.  [:)]  Alternately, find another thread that covers your issue.  There are several about going from 9.2 --> 9.3  from the last week.