Kürzlich hat Sophos ein Update für UTM 9.5 veröffentlicht. Mit dem Update wurden auch die Algorithmen der E-Mail Protection hinsichtlich der Signierung von Mails mittels S/MIME angepasst:
S/MIME Encryption updates: This release brings changes to the S/MIME feature to fully conform with new GDPR regulatory requirements for encryption. Core to these changes are new algorithms to perform encryption and signatures within S/MIME. Due to the changes in the signature algorithms, older implementations of S/MIME – including previous Sophos UTM releases – can no longer verify signatures produced with the new algorithms. Encryption and decryption of emails is not affected by this change. For details, please read the following KBA at https://community.sophos.com/kb/en-us/131727.
Quelle: UTM Up2Date Release notes
Aktuell kommt es aber scheinbar häufiger zu Problemen, wenn die UTM Mail Protection E-Mails mittels S/MIME signiert. Hier findet sich schon ein Thread dazu:
Ich konnte ebenfalls bereits das Problem nachvollziehen, meine UTM signiert ausgehende Mails mittels gültigem SMIME Zertifikat:
Bei bestimmten Empfängern, schlägt allerdings die Zustellung von signierten Mails fehl. Der Mailserver lieferte in meinem Fall diesen Fehlercode:
550 5.7.1 The digital signature of the mail is invalid
Sobald eine Ausnahme konfiguriert wird, geht die Mail sauber durch:
Auch wenn die Mail vom Zielmailserver angenommen wird, die SMIME Signatur kann nicht geprüft werden, hier als Beispiel Outlook:
Ein Update von Sophos gibt es bisher nicht. Bisher kann man also die Signierung von Mails an der UTM nur abschalten:
Keine schöne Lösung, aber was soll man machen, wenn ständig die NDRs zurück kommen?!
Update 23.03.2018:
Mittlerweile wurde der KB Eintrag von Sophos aktualisiert und es gibt einen Workaround. Über die Shell können die vorherigen Algorithmen wieder aktiviert werden:
sudo su –
cc set smtp encryption_utility smime
Somit funktioniert auch wieder die Validierung der Signatur mit anderen Programmen und Gateways. Mit dem folgenden Befehl lassen sich die neuen Algorithmen wieder aktivieren:
cc set smtp encryption_utility cms
Hallo Leon,
vor genau diesem Problem stand ich neulich auch. Hier das Ergebnis meines Supportfalls:
Steps taken:
As on call discussion I have guided you on possible resolution which is:
– we can not extend the validity of the current SMIME certificate as it is not editable.
– also we can not create a new certificate keeping the same email id as it is already used.
– we need to delete the old certificate and generate the new one on same email id and provide the public key to all the user.
Plan of Action:
Generate the new certificate and provide the public key to external senders.
Aus meiner Sicht ist das nicht wirklich schön. Andrerseits ist die Funktion in der Lizenz der SG enthalten. Eine mögliche Alternative, nach der ich mich erkundigt hatte, liegt preislich bei ruund 6.000,-€ für 70 User / 3 Jahre. Eine große Rolle spielt da eben die Zahl der externen Kommunikationspartner, die über den Wechsel des Zertifikats informiert werden müssen…
Gruß Andreas
Hallo Frank,
wie wäre denn das Vorgehen bei einem Tausch eines SMIM/E Benutzerzertifikats.
Wir wechseln dabei von SwissSign zu GlobalSign und da ändert sich ja private und public Key.
Wenn ich das neue Zertifikat bei dem Benutzer importiere, kann die Sophos noch die eingehenden Verschlüsselten E-Mails mit dem alten private Key Entschlüsseln, welcher dem Benutzer ja nicht mehr zugeordnet ist ?
Oder was wäre zu tun ?
VG
Nur um das Thema nochmal aufzugreifen, auch wenn es schon ewig her ist, ich habe das gleiche Problem bei zwei 9.705-3 SG210 vs. SG135 in eine Richtung. Trotz Reset beider Encryption Configs geht es in eine Richtung absolut nicht.
Auf beiden extra neue SMIME Zertifikate von Sectigo erstellen lassen und importiert. CMS auf beiden aktiviert aktuell.
Ich habe das selbe Problem wie Eike. Beim Empfänger kommt die Meldung:
Fehler: Der Nachrichteninhalt wurde möglicherweise verändert.
Signiert von name@domain.de unter Verwendung von RSA/SHA256 um 10:34:10 21.09.2018. Öffentliches Zertifikat von Comodo in die UTM eingespielt. Empfangen durch eine 2. UTM beim Empfänger.
Klingt für mich, als ob der empfangende Rechner einer CA nicht vertrauen würde. Aber wenn Du sagst, dass es beim direkten Versand aus Outlook funktioniert…Komisch…
Guten Morgen,
Ein öffentliches von Comodo.
Danke und schönen Sonntag
Eike
Hallo Eike,
handelt es sich um ein öffentliches oder ein selbsterstelltes Zertifikat?
Gruß Andreas
Hallo,
ich benutze die Version 9.510-5 und hatte beabsichtigt, zukünftig über das Gateway Mails zu verschlüsseln / entschlüsseln, um Probleme mit Outlook Web / Smartphones zu umschiffen (Exchange im Hintergrund).
Habe nun mal testweise ein S/MIME Zertifikat, dass bei Verwendung mit Outlook problemlos funktioniert, in das Gateway importiert. Die Email wird versandt und signiert, jedoch kann beim Empfänger die Signatur nicht validiert werden. O.g. Workaround führt zu keiner Veränderung. Leite ich die Mail wieder an mich weiter, kann ich das anhängende Zertifikat auf meinem Rechner problemlos öffnen und die Validierung funktioniert auch.
Hat jemand eine Idee, wo der Fehler noch liegen könnte?
Hier noch was von der Bundesnetzagentur:
Verpflichtung zur Unterstützung von RSASSA-PSS-signierter Zertifikate
https://www.bundesnetzagentur.de/DE/Service-Funktionen/Beschlusskammern/Beschlusskammer7/BK7_73_Messwesen_Energie/Mitteilungen_zu_BK6_16_200_BK7_16_142/Mitteilung_Nr_8/mitteilung_nr_8.html?nn=269626
Danke für den Blog Eintrag.
Muss man im Cluster die Änderung zwei mal (Master / Slave) tätigen, oder reicht es, dies nur auf dem master zu setzen.
Made my Day… Danke dir Franky :)
Jetzt läufts wieder. Hat man zwischenzeitlich was von Sophos gehört, wann es generell wieder funktionieren soll?
Guten Morgen,
danke für die Info, Alex. Funktioniert bei mir wie beschrieben.
Gruß und schönes Wochenende
Andreas
KBA with workaround is updated.
In case a third-party certificate with the new algorithms could not be fetched the old behaviour needs to be restored by using the old algorithms.
For that logon via ssh to the commandline ( cli) , get root and execute the following command: cc set smtp encryption_utility smime
After that the old algorithms are used again.
At any point in time later on its possible to switch to the new algorithms by
logging on to the cli and entering: cc set smtp encryption_utility cms
https://community.sophos.com/kb/en-us/131727
Hallo,
selbes Problem hier: S/MIME in der 9.508 + GlobalSign Zertifikate -> FUBAR
Ich habe unsere Sophos UTM wieder auf Version 9.506 zurück gerollt, bis GlobalSign und Sophos sich einig sind, wer schuld ist und wie eine Lösung aussehen könnte. Ist ja erst 13 Tage kaputt … AUA
Das Schlimme ist, das ich nicht in der Lage war, die ISO für die Version 9.506 bei Sophos runter zu laden. Das hat früher auf dem Astaro FTP besser funktioniert. Selbst der 1st Level Support von Sophos war nicht in der Lage, mir die ISO zu geben. Ein Techniker unseres Vertragspartners hatte zum Glück noch die alte ISO auf seinem Notebook.
Einmal mit Profis arbeiten ….
Frank
Hallo,
gibt es hier denn schon eine Aussage oder eine Lösung?
Wie geht das jetzt konkret weiter?
Vielen Dank für die Infos!
Grüße,
Christoph
Hallo zusammen,
seit dem Update auf die aktuelle Version 9.508-10 tritt auch bei mir das beschriebe Problem auf. Die Ursache hat Frank schon verlinkt https://community.sophos.com/kb/en-us/131727 Eine Rückfrage beim Reseller meiner Zertifikate brachte mich leider nicht so recht weiter – laut ihm gibt es diese Zertifikate wohl noch gar nicht.
Außerdem kann ich seit dem Update keine im Quarantäne-Report aufgeführten Mails mehr freigeben. Hier kommt es zum Fehler SSL_ERROR_RX_RECORD_TOO_LONG, obwohl der Zugriff eigentlich gar nicht über SSL erfolgen soll. (Über den WebAdmin geht es problemlos.)
Allem Anschein nach also wieder ein Update, das eher mit Vorsicht zu genießen ist.
Gruß, schönen Abend und schönes Wochenende
Andreas
Hallo Ingo,
bin auch noch auf 9.506-2, noch läuft bei uns alles völlig normal.
Das Update auf 9.508-10 gibt es momentan nur zum manuellen Download/Update, über die automatische Updatefunktion wird es erst in ein paar Tagen/Wochen verteilt.
Ist momentan noch so eine Art Betaphase.
Moin,
mir wurde das UTM 9.508-10 noch nicht über die Updatefunktion angeboten, bin noch auf 9.506-2. Aber seit der Verfügbarkeit des Updates werden bei mir 90% aller eingehenden Mails mit Spam (confirmed) markiert! Ein Neustart der UTM hat nichts gebracht.
Ist das Problem bekannt ? Hat es noch jemand ?
Danke
Ingo
Danke für den Artikel!