Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 3605 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[7.202] TLS Encryption

Bueti
Hi guys,

I was requested by our security officer to find out if a specific e-mail sent by him was encrypted by TLS or not.
I have a few questions, hope you can help me out. 

Somebody told me, Astaro Security Gateway checks automatically if another remote mail host supports TLS encryption. In this case, Astaro will send the e-mail encrypted to the recipient. 
Is this correct? 

Our License does not contain S/MIME / OpenPGP Encryption.
Does TLS encryption work anyway?

My know-how about the e-mail encryption is very weak, so I tried to find something about the TLS encryption in the Astaro Manual and in the knowledge base. The most helpful article I found was this one: 

Cause:In ASL V4 it was possible to use SMTP Encryption/Authentication without enabling SSL (encryption) in the mail client. As this is not the correct way, we changed that behavior in ASL V5 with the impact that using SSL (encryption) has become mandatory.

Resolution: Enable TLS encryption in the mail client. 

Does this mean I have to configure something like a X.509 server certificate on our Exchange server, so the Outlook clients may send encrypted e-mails to receipients? 

And finally: In the executive report is a secure mail statistic. I guess this diagram shows the mails encrypted with TLS? 
If yes, how can I check whether an e-mail was TLS encrypted or not? If I check the SMTP Proxy log theres an entry named encrypted="0" and it is always 0, I did not found any e-mail with encrypted="1".

Many questions... I hope somebody will answer them for me. [;)] 

Thank you in advance!


This thread was automatically locked due to age.
  • 0

    Somebody told me, Astaro Security Gateway checks automatically if another remote mail host supports TLS encryption. In this case, Astaro will send the e-mail encrypted to the recipient. 
    Is this correct? 


    Yes.


    Our License does not contain S/MIME / OpenPGP Encryption.
    Does TLS encryption work anyway?


    Yes.


    Does this mean I have to configure something like a X.509 server certificate on our Exchange server, so the Outlook clients may send encrypted e-mails to receipients? 


    No, ASG will has its own (self-signed) certificate which is sufficient for opportunistic TLS encryption. You can also set a different cert in SMTP->Advanced.



    If yes, how can I check whether an e-mail was TLS encrypted or not? If I check the SMTP Proxy log theres an entry named encrypted="0" and it is always 0, I did not found any e-mail with encrypted="1".


    Check /var/log/smtp.log - the delivery lines (Those that have a '=>' marker) will have an X= parameter that looks like:

    X=TLSv1:AES256-SHA:256

    This shows you that TLS was used on that connections, and the cipher negotiated with the remote host.

    The "encrypted" flag of the astaro-style log lines has been removed in 7.300.
  • 0 in reply to tom_01
    Hi Tom,

    thank you very much for this information! It helped me a lot.

    Except for the last part with the log file.
    I don't have an entry anything near like this x=TLSv1... since march 2008.

    Almost not possible. So, is there a problem with our TLS encryption or with the logfile? Do I have to upgrade to a newer Astaro Version? What do you recommend?
  • 0

    Our License does not contain S/MIME / OpenPGP Encryption.
    Does TLS encryption work anyway?


    I'll also add that with the release of 7.300, You no longer need a separate license for the email encryption feature; if you have the mail security subscription (anti-spam, etc.), email encyption is now available at no extra charge.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0 in reply to BrucekConvergent
    So, Bruce and Tom, it appears that enabling TLS simply requires selecting a certificate and clicking Apply.  It also seems like it's unlikely to cause any problems.  Is that correct?

    I thought there were TLS problems with Lotus Notes servers.  Is that no longer an issue?

    Thanks - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    So, Bruce and Tom, it appears that enabling TLS simply requires selecting a certificate and clicking Apply.  It also seems like it's unlikely to cause any problems.  Is that correct?



    Balfson, where did you find this option to apply the certificate?
    At the moment, I have no idea if this TLS encryption is functioning or not. Except for the Secure mail statistic on the executive report, which shows me a few traffic everyday. I still cannot find anything in the logfile.

    Do I have to upgrade the firmware?
  • 0 in reply to Bueti
    I'm on V7.301: Mail Security >> SMTP Advanced tab

    If you're running under V6, there's no choice of certificate.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Cookie Information Banner