Wechseln zu:Navigation, Suche
Wiki

Known Issue UTM V11-SMTP STARTTLS

Version vom 16. April 2014, 09:44 Uhr von Christian (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „ ==Betroffene Versionen== '''11.4.1.2''' <br> '''11.4.1.3''' ==Beschreibung== Mit der Version '''11.4.1.2''' wurde eine Aktualisierung der SSL Libary vorgen…“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Aus Securepoint Wiki

Betroffene Versionen

11.4.1.2
11.4.1.3

Beschreibung

Mit der Version 11.4.1.2 wurde eine Aktualisierung der SSL Libary vorgenommen. Als SSL Libary wird hier OpenSSL eingesetzt. Die Aktualisierung war notwendig damit die TLS-Version 1.2 für die Applikationen auf der UTM zur Verfügung steht.

Nach der Veröffentlichung der 11.4.1.2 sind vereinzelnd Probleme bei der Aushandlung der TLS-Verbindung für ausgehende SMTP-Verbindungen zu beobachten. Das Problem scheint an der SMTP/SSL-Implementierung der Gegenstelle liegen.

Verifizieren

Kommt beim ausführen folgendes Befehles keine TSL-Verbindung zustande besteht die Möglichkeit, dass das Ziel-System von dem Problem betroffen ist

openssl s_client -connect $ZIEL_MAIL_SYSTEM:25 -starttls smtp -state

Als Gegen-Test führen Sie den Befehl erneut aus und deaktivieren dabei die TLS-Version 1.2:

openssl s_client -connect $ZIEL_MAIL_SYSTEM:25 -starttls smtp -state -no_tls1_2

Kommt die Verbindung nun zustande ist das Ziel-System von dem Problem betroffen.

Log-Meldungen

Im Log der UTM ist dabei folgendes zu sehen: 

ruleset=tls_server, arg1=SOFTWARE, relay=ZIEL_MAIL_SERVER, reject=403 4.7.0 TLS handshake failed.

Workaround

Aktuell kann man das Problem umgehen indem die TLS-Verschlüsselung für ausgehende E-Mails nicht verwendet wird. Hierzu müssen Sie eine Änderung an dem Template /etc/mail/access vornehmen. Am Ende des Templates muss folgende Zeile hinzugefügt werden. 

Try_TLS: NO

Dadurch deaktivieren Sie die TLS-Verschlüsselung für alle ausgehenden E-Mails.

Das Template sollte im ganzen dann folgendermaßen aussehen: 

localhost Relay
127.0.0.1 Relay

{{if @ENABLE_GREET_PAUSE == 1 then}}
GreetPause:localhost	0
GreetPause:127.0.0.1	0
{{foreach $x in @GREET_PAUSE_LIST do print "GreetPause:" . $x . "\n" done}}
{{endif}}

{{if @ENABLE_CONN_RATE_THROTTLE == 1 then}}
ClientConn:localhost	0
ClientConn:127.0.0.1	0
{{foreach $x in @CLIENT_CONN_LIST do print "ClientConn:" . $x . "\n" done}}
{{endif}}

{{if @ENABLE_CONN_RATE_WINDOW == 1 then}}
ClientRate:localhost	0
ClientRate:127.0.0.1	0
{{foreach $x in @CLIENT_RATE_LIST do print "ClientRate:" . $x . "\n" done}}
ClientRate:		{{print @RATE_LIMIT}}
{{endif}}

{{foreach $x in @RELAYING_LIST do print "" . $x . "\n" done}}


Try_TLS: NO

Starten Sie anschließend das Mail-Relay neu.

Abgerufen von „https://wiki.securepoint.de/index.php?title=Known_Issue_UTM_V11-SMTP_STARTTLS&oldid=5717