Sophos UTM Update 9.210.20, Nachrichtenempfang schlägt fehl.

Seit der Einspielung des Updates 9.210-20 unterstützt die Sophos UTM SSLv3 nicht mehr beim SMTP-Transport (E-Mail). Das ist aus sicherheitstechnischer Sicht erst einmal begrüßenswert, da SSLv3 „kaputt“ ist, wie wir alle wissen.

Dennoch kann es passieren, dass Ihr Sendepartner habt, die ältere Firewalls oder einen ungepatchten Exchange Server haben, die eine ältere schannel.dll benützen. Diese versuchen dann möglicherweise, das Protokoll SSLv3 zu verwenden, obwohl es unsicher ist. Eure Sophos UTM wird diesen Verschlüsselungsalgorithmus seit diesem Softwarestand ablehnen. Der Nachrichtentransport schlägt fehl und der Sendepartner erhält nach 8 Stunden (in der Regel) eine Fehlermeldung.

Wenn Ihr Anrufe von Kunden oder Partnern erhaltet, dass jene keine Emails an Euch senden können, so werdet Ihr im Mail-Manager nach eingehenden Nachrichten suchen. Dort werdet Ihr jedoch nicht fündig werden, da Sophos UTM bereits im Kommunikationsaufbau ablehnt. Hier werdet Ihr nur im SMTP Protokoll des Systems selbst fündig werden.

Zur Korrektur geht Ihr wie folgt vor:

Wechselt auf der Webadmin Oberfläche in //“Protokolle und Berichte“/“Archivierte Protokolle“ und öffnet ein SMTP Protokoll (Dropdown Liste) nach der Einspielung des Updates.
Sucht nach ähnlichen Einträgen wie folgt:

"SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher" ohne Anführungszeichen
FQDN des sendenden Mailservers (falls bekannt)

Findet die IP Adresse des sendenden Mailservers und erstellet ein neues Objekt für diese IP.
Das Objekt setzt Ihr bitte ein an der Stelle //“Email-Protection“/“SMTP“/“Kein TLS für diese Hosts/Netze“.

Damit ist der Nachrichtentransport von dem entsprechenden Mailserver an Euch wieder gewährleistet, er findet jedoch unverschlüsselt statt. Bittet deshalb den Sendepartner, SSLv3 (v2 oder v1) nicht mehr zu verwenden, sondern TLS. Sollte er anschließend TLS verwenden, könnt Ihr das Objekt wieder aus der Ausschlussliste entfernen.

Solltet Ihr einen Supportfall bei Sophos bereits geöffnet haben, und Hinweise bekommen haben, wie man SSLv3 wieder aktiviert, dieses womöglich schon umgesetzt haben: Ich rate eindringlich von einer Änderung in dieser Form ab. Macht sie wenn möglich rückgängig und befolgt dieses Howto.

Veröffentlicht in Allgemein