Sophos UTM 9.210 und SMTP Probleme

By Marc

Ich hatte diese Woche eine Kunden mit einem Problem beim Versenden und Empfangen von E-Mails. Mein erster Blick galt seiner Sophos UTM Appliance, die für den zentralen Ein- und Ausgang für E-Mails verantwortlich ist. Sowohl in der Mail Queue, als auch im Mailmanager Log war nichts außergewöhnliches zu finden (außer dass deutlich weniger E-Mails ankamen, als sonst). Erst das SMTP Protokoll zeigte die ersten Auffälligkeiten:

exim-in[13368]: TLS error on connection from mail.********.de [**.***.***.***]:55356 (SSL_accept): error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher
exim-in[13368]: TLS client disconnected cleanly (rejected our certificate?)

Hmm, also ein TLS Fehler bei der SMTP Aushandlung, weshalb die Verbindung abgebrochen wird. Da das Problem  nicht von Anfang an bestand, muss es wohl ein Update der UTM gewesen sein, das das Problem verursachte – eine kurze Suche nach dem Fehler ergab einige ähnliche Problemmeldungen.

Das Problem scheint ab der Version 9.3 behoben zu sein, nur war aktuell nicht Möglichkeit geben, ein Update zu installieren (Up2Date zeigt auch bis heute die 9.3 Versionen noch nicht an), also brauchte ich eine andere Lösung. Da ich mich aber so perfekt mit Linux auskenne (NOT 😉 ), konnte nur noch Google helfen … glücklicherweise habe ich bei Network Guy den passenden Workaround gefunden.

Wenn ich es richtig interpretiere, wird in der Exim Konfiguration SSL3 an zwei Stellen deaktiviert. Diese Änderung kann allerdings nur per SSH geschehen, also am Besten per Putty an der UTM anmelden (als loginuser), per “su -” die erforderlichen Rechte erlangen und mit folgendem Befehl die Konfigurationsdatei editieren:

vi /var/chroot-smtp/etc/exim.conf

Mit der Eingabe von “i” in den Insert-Modus wechseln (so kann man auch Änderungen in VI machen :-)), die folgenden Einstellungen anpassen und den Editor mit der Tastenfolge “[ESC]:wq” schließen.

Zum einen muss die Reihenfolge der Verschlüsselungsmechanismen unter “Misc static settings” geändert werden …

# Misc static settings
...
[-] tls_require_ciphers = HIGH:!RC4:!MD5:!ADH:!SSLv2:!SSLv3
[+] tls_require_ciphers = RC4+RSA:HIGH:!MD5:!ADH:!SSLv2

… zum anderen wir ein Eintrag unter “TLS” hinzugefügt:

# TLS
tls_certificate = ${if eq{TLS_NAME}{} {}{INCLUDE/TLS_NAME.cert}}
tls_privatekey = ${if eq{TLS_NAME}{} {}{INCLUDE/TLS_NAME.key}}
tls_advertise_hosts = ${if eq{TLS_NAME}{} {}{!+tls_avoid}}
[+] openssl_options = +no_sslv3

Nach den Änderungen einfach kurz warten, Exim erkennt die Änderung der Konfigurationsdatei und liest diese automatisch neu ein. Damit eist die Anpassung gemacht und ab diesem Zeitpunkt schlagen auch (zumindest aus diesem Grund) keine SMTP Verbindungen  mehr fehl.

Danke, Network Guy 🙂

Loading