Sophos recently launched a Update for UTM 9.5 released. With the update, the e-mail protection algorithms for signing e-mails using S/MIME have also been adapted:
S/MIME Encryption updates: This release brings changes to the S/MIME feature to fully conform with new GDPR regulatory requirements for encryption. Core to these changes are new algorithms to perform encryption and signatures within S/MIME. Due to the changes in the signature algorithms, older implementations of S/MIME - including previous Sophos UTM releases - can no longer verify signatures produced with the new algorithms. Encryption and decryption of emails is not affected by this change. For details, please read the following KBA at https://community.sophos.com/kb/en-us/131727.
Source: UTM Up2Date Release notes
Currently, however, there seem to be more frequent problems when UTM Mail Protection signs emails using S/MIME. There is already a thread about this here:
I have also been able to reproduce the problem, my UTM signs outgoing mails using a valid SMIME certificate:
For certain recipients, however, the delivery of signed mails fails. In my case, the mail server returned this error code:
550 5.7.1 The digital signature of the mail is invalid
As soon as an exception is configured, the mail goes through cleanly:
Even if the mail is accepted by the target mail server, the SMIME signature cannot be checked, here Outlook as an example:
There is no update from Sophos yet. So far, you can only disable the signing of mails on the UTM:
Not a nice solution, but what can you do when the NDRs keep coming back?
Update 23.03.2018:
In the meantime, the KB entry has been updated by Sophos and there is a workaround. The previous algorithms can be reactivated via the shell:
sudo su -
cc set smtp encryption_utility smime
This means that the validation of the signature with other programs and gateways works again. The new algorithms can be reactivated with the following command:
cc set smtp encryption_utility cms
Hallo Leon,
vor genau diesem Problem stand ich neulich auch. Hier das Ergebnis meines Supportfalls:
Steps taken:
As on call discussion I have guided you on possible resolution which is:
– we can not extend the validity of the current SMIME certificate as it is not editable.
– also we can not create a new certificate keeping the same email id as it is already used.
– we need to delete the old certificate and generate the new one on same email id and provide the public key to all the user.
Plan of Action:
Generate the new certificate and provide the public key to external senders.
Aus meiner Sicht ist das nicht wirklich schön. Andrerseits ist die Funktion in der Lizenz der SG enthalten. Eine mögliche Alternative, nach der ich mich erkundigt hatte, liegt preislich bei ruund 6.000,-€ für 70 User / 3 Jahre. Eine große Rolle spielt da eben die Zahl der externen Kommunikationspartner, die über den Wechsel des Zertifikats informiert werden müssen…
Gruß Andreas
Hallo Frank,
wie wäre denn das Vorgehen bei einem Tausch eines SMIM/E Benutzerzertifikats.
Wir wechseln dabei von SwissSign zu GlobalSign und da ändert sich ja private und public Key.
Wenn ich das neue Zertifikat bei dem Benutzer importiere, kann die Sophos noch die eingehenden Verschlüsselten E-Mails mit dem alten private Key Entschlüsseln, welcher dem Benutzer ja nicht mehr zugeordnet ist ?
Oder was wäre zu tun ?
VG
Nur um das Thema nochmal aufzugreifen, auch wenn es schon ewig her ist, ich habe das gleiche Problem bei zwei 9.705-3 SG210 vs. SG135 in eine Richtung. Trotz Reset beider Encryption Configs geht es in eine Richtung absolut nicht.
Auf beiden extra neue SMIME Zertifikate von Sectigo erstellen lassen und importiert. CMS auf beiden aktiviert aktuell.
Ich habe das selbe Problem wie Eike. Beim Empfänger kommt die Meldung:
Fehler: Der Nachrichteninhalt wurde möglicherweise verändert.
Signiert von name@domain.de unter Verwendung von RSA/SHA256 um 10:34:10 21.09.2018. Öffentliches Zertifikat von Comodo in die UTM eingespielt. Empfangen durch eine 2. UTM beim Empfänger.
Klingt für mich, als ob der empfangende Rechner einer CA nicht vertrauen würde. Aber wenn Du sagst, dass es beim direkten Versand aus Outlook funktioniert…Komisch…
Guten Morgen,
Ein öffentliches von Comodo.
Danke und schönen Sonntag
Eike
Hallo Eike,
handelt es sich um ein öffentliches oder ein selbsterstelltes Zertifikat?
Gruß Andreas
Hallo,
ich benutze die Version 9.510-5 und hatte beabsichtigt, zukünftig über das Gateway Mails zu verschlüsseln / entschlüsseln, um Probleme mit Outlook Web / Smartphones zu umschiffen (Exchange im Hintergrund).
Habe nun mal testweise ein S/MIME Zertifikat, dass bei Verwendung mit Outlook problemlos funktioniert, in das Gateway importiert. Die Email wird versandt und signiert, jedoch kann beim Empfänger die Signatur nicht validiert werden. O.g. Workaround führt zu keiner Veränderung. Leite ich die Mail wieder an mich weiter, kann ich das anhängende Zertifikat auf meinem Rechner problemlos öffnen und die Validierung funktioniert auch.
Hat jemand eine Idee, wo der Fehler noch liegen könnte?
Hier noch was von der Bundesnetzagentur:
Verpflichtung zur Unterstützung von RSASSA-PSS-signierter Zertifikate
https://www.bundesnetzagentur.de/DE/Service-Funktionen/Beschlusskammern/Beschlusskammer7/BK7_73_Messwesen_Energie/Mitteilungen_zu_BK6_16_200_BK7_16_142/Mitteilung_Nr_8/mitteilung_nr_8.html?nn=269626
Danke für den Blog Eintrag.
Muss man im Cluster die Änderung zwei mal (Master / Slave) tätigen, oder reicht es, dies nur auf dem master zu setzen.
Made my Day… Danke dir Franky :)
Jetzt läufts wieder. Hat man zwischenzeitlich was von Sophos gehört, wann es generell wieder funktionieren soll?
Guten Morgen,
danke für die Info, Alex. Funktioniert bei mir wie beschrieben.
Gruß und schönes Wochenende
Andreas
KBA with workaround is updated.
In case a third-party certificate with the new algorithms could not be fetched the old behaviour needs to be restored by using the old algorithms.
For that logon via ssh to the commandline ( cli) , get root and execute the following command: cc set smtp encryption_utility smime
After that the old algorithms are used again.
At any point in time later on its possible to switch to the new algorithms by
logging on to the cli and entering: cc set smtp encryption_utility cms
https://community.sophos.com/kb/en-us/131727
Hallo,
selbes Problem hier: S/MIME in der 9.508 + GlobalSign Zertifikate -> FUBAR
Ich habe unsere Sophos UTM wieder auf Version 9.506 zurück gerollt, bis GlobalSign und Sophos sich einig sind, wer schuld ist und wie eine Lösung aussehen könnte. Ist ja erst 13 Tage kaputt … AUA
Das Schlimme ist, das ich nicht in der Lage war, die ISO für die Version 9.506 bei Sophos runter zu laden. Das hat früher auf dem Astaro FTP besser funktioniert. Selbst der 1st Level Support von Sophos war nicht in der Lage, mir die ISO zu geben. Ein Techniker unseres Vertragspartners hatte zum Glück noch die alte ISO auf seinem Notebook.
Einmal mit Profis arbeiten ….
Frank
Hallo,
gibt es hier denn schon eine Aussage oder eine Lösung?
Wie geht das jetzt konkret weiter?
Vielen Dank für die Infos!
Grüße,
Christoph
Hallo zusammen,
seit dem Update auf die aktuelle Version 9.508-10 tritt auch bei mir das beschriebe Problem auf. Die Ursache hat Frank schon verlinkt https://community.sophos.com/kb/en-us/131727 Eine Rückfrage beim Reseller meiner Zertifikate brachte mich leider nicht so recht weiter – laut ihm gibt es diese Zertifikate wohl noch gar nicht.
Außerdem kann ich seit dem Update keine im Quarantäne-Report aufgeführten Mails mehr freigeben. Hier kommt es zum Fehler SSL_ERROR_RX_RECORD_TOO_LONG, obwohl der Zugriff eigentlich gar nicht über SSL erfolgen soll. (Über den WebAdmin geht es problemlos.)
Allem Anschein nach also wieder ein Update, das eher mit Vorsicht zu genießen ist.
Gruß, schönen Abend und schönes Wochenende
Andreas
Hallo Ingo,
bin auch noch auf 9.506-2, noch läuft bei uns alles völlig normal.
Das Update auf 9.508-10 gibt es momentan nur zum manuellen Download/Update, über die automatische Updatefunktion wird es erst in ein paar Tagen/Wochen verteilt.
Ist momentan noch so eine Art Betaphase.
Moin,
mir wurde das UTM 9.508-10 noch nicht über die Updatefunktion angeboten, bin noch auf 9.506-2. Aber seit der Verfügbarkeit des Updates werden bei mir 90% aller eingehenden Mails mit Spam (confirmed) markiert! Ein Neustart der UTM hat nichts gebracht.
Ist das Problem bekannt ? Hat es noch jemand ?
Danke
Ingo
Danke für den Artikel!