Sophos UTM 9.508-10: Signierung von Mails mittels S/MIME problematisch

Kürzlich hat Sophos ein Update für UTM 9.5 veröffentlicht. Mit dem Update wurden auch die Algorithmen der E-Mail Protection hinsichtlich der Signierung von Mails mittels S/MIME angepasst:

S/MIME Encryption updates: This release brings changes to the S/MIME feature to fully conform with new GDPR regulatory requirements for encryption. Core to these changes are new algorithms to perform encryption and signatures within S/MIME. Due to the changes in the signature algorithms, older implementations of S/MIME – including previous Sophos UTM releases – can no longer verify signatures produced with the new algorithms. Encryption and decryption of emails is not affected by this change. For details, please read the following KBA at https://community.sophos.com/kb/en-us/131727.

Quelle: UTM Up2Date Release notes

Aktuell kommt es aber scheinbar häufiger zu Problemen, wenn die UTM Mail Protection E-Mails mittels S/MIME signiert. Hier findet sich schon ein Thread dazu:

Ich konnte ebenfalls bereits das Problem nachvollziehen, meine UTM signiert ausgehende Mails mittels gültigem SMIME Zertifikat:

Signierung von Mails mittels S/MIME problematisch

Bei bestimmten Empfängern, schlägt allerdings die Zustellung von signierten Mails fehl. Der Mailserver lieferte in meinem Fall diesen Fehlercode:

550 5.7.1 The digital signature of the mail is invalid

Sobald eine Ausnahme konfiguriert wird, geht die Mail sauber durch:

Signierung von Mails mittels S/MIME problematisch

Auch wenn die Mail vom Zielmailserver angenommen wird, die SMIME Signatur kann nicht geprüft werden, hier als Beispiel Outlook:

Signierung von Mails mittels S/MIME problematisch

Ein Update von Sophos gibt es bisher nicht. Bisher kann man also die Signierung von Mails an der UTM nur abschalten:

Signierung von Mails mittels S/MIME problematisch

Keine schöne Lösung, aber was soll man machen, wenn ständig die NDRs zurück kommen?!

Update 23.03.2018:

Mittlerweile wurde der KB Eintrag von Sophos aktualisiert und es gibt einen Workaround. Über die Shell können die vorherigen Algorithmen wieder aktiviert werden:

sudo su –

cc set smtp encryption_utility smime

Sophos UTM SMIME

Somit funktioniert auch wieder die Validierung der Signatur mit anderen Programmen und Gateways. Mit dem folgenden Befehl lassen sich die neuen Algorithmen wieder aktivieren:

cc set smtp encryption_utility cms

19 Gedanken zu „Sophos UTM 9.508-10: Signierung von Mails mittels S/MIME problematisch“

  1. Hallo Leon,

    vor genau diesem Problem stand ich neulich auch. Hier das Ergebnis meines Supportfalls:

    Steps taken:
    As on call discussion I have guided you on possible resolution which is:
    – we can not extend the validity of the current SMIME certificate as it is not editable.
    – also we can not create a new certificate keeping the same email id as it is already used.
    – we need to delete the old certificate and generate the new one on same email id and provide the public key to all the user.

    Plan of Action:
    Generate the new certificate and provide the public key to external senders.

    Aus meiner Sicht ist das nicht wirklich schön. Andrerseits ist die Funktion in der Lizenz der SG enthalten. Eine mögliche Alternative, nach der ich mich erkundigt hatte, liegt preislich bei ruund 6.000,-€ für 70 User / 3 Jahre. Eine große Rolle spielt da eben die Zahl der externen Kommunikationspartner, die über den Wechsel des Zertifikats informiert werden müssen…

    Gruß Andreas

    Antworten
  2. Hallo Frank,
    wie wäre denn das Vorgehen bei einem Tausch eines SMIM/E Benutzerzertifikats.
    Wir wechseln dabei von SwissSign zu GlobalSign und da ändert sich ja private und public Key.

    Wenn ich das neue Zertifikat bei dem Benutzer importiere, kann die Sophos noch die eingehenden Verschlüsselten E-Mails mit dem alten private Key Entschlüsseln, welcher dem Benutzer ja nicht mehr zugeordnet ist ?
    Oder was wäre zu tun ?
    VG

    Antworten
  3. Nur um das Thema nochmal aufzugreifen, auch wenn es schon ewig her ist, ich habe das gleiche Problem bei zwei 9.705-3 SG210 vs. SG135 in eine Richtung. Trotz Reset beider Encryption Configs geht es in eine Richtung absolut nicht.

    Auf beiden extra neue SMIME Zertifikate von Sectigo erstellen lassen und importiert. CMS auf beiden aktiviert aktuell.

    Antworten
  4. Ich habe das selbe Problem wie Eike. Beim Empfänger kommt die Meldung:
    Fehler: Der Nachrichteninhalt wurde möglicherweise verändert.
    Signiert von name@domain.de unter Verwendung von RSA/SHA256 um 10:34:10 21.09.2018. Öffentliches Zertifikat von Comodo in die UTM eingespielt. Empfangen durch eine 2. UTM beim Empfänger.

    Antworten
  5. Klingt für mich, als ob der empfangende Rechner einer CA nicht vertrauen würde. Aber wenn Du sagst, dass es beim direkten Versand aus Outlook funktioniert…Komisch…

    Antworten
  6. Hallo,

    ich benutze die Version 9.510-5 und hatte beabsichtigt, zukünftig über das Gateway Mails zu verschlüsseln / entschlüsseln, um Probleme mit Outlook Web / Smartphones zu umschiffen (Exchange im Hintergrund).

    Habe nun mal testweise ein S/MIME Zertifikat, dass bei Verwendung mit Outlook problemlos funktioniert, in das Gateway importiert. Die Email wird versandt und signiert, jedoch kann beim Empfänger die Signatur nicht validiert werden. O.g. Workaround führt zu keiner Veränderung. Leite ich die Mail wieder an mich weiter, kann ich das anhängende Zertifikat auf meinem Rechner problemlos öffnen und die Validierung funktioniert auch.

    Hat jemand eine Idee, wo der Fehler noch liegen könnte?

    Antworten
  7. Made my Day… Danke dir Franky :)
    Jetzt läufts wieder. Hat man zwischenzeitlich was von Sophos gehört, wann es generell wieder funktionieren soll?

    Antworten
  8. KBA with workaround is updated.
    In case a third-party certificate with the new algorithms could not be fetched the old behaviour needs to be restored by using the old algorithms.
    For that logon via ssh to the commandline ( cli) , get root and execute the following command: cc set smtp encryption_utility smime
    After that the old algorithms are used again.
    At any point in time later on its possible to switch to the new algorithms by
    logging on to the cli and entering: cc set smtp encryption_utility cms

    https://community.sophos.com/kb/en-us/131727

    Antworten
  9. Hallo,
    selbes Problem hier: S/MIME in der 9.508 + GlobalSign Zertifikate -> FUBAR

    Ich habe unsere Sophos UTM wieder auf Version 9.506 zurück gerollt, bis GlobalSign und Sophos sich einig sind, wer schuld ist und wie eine Lösung aussehen könnte. Ist ja erst 13 Tage kaputt … AUA

    Das Schlimme ist, das ich nicht in der Lage war, die ISO für die Version 9.506 bei Sophos runter zu laden. Das hat früher auf dem Astaro FTP besser funktioniert. Selbst der 1st Level Support von Sophos war nicht in der Lage, mir die ISO zu geben. Ein Techniker unseres Vertragspartners hatte zum Glück noch die alte ISO auf seinem Notebook.

    Einmal mit Profis arbeiten ….

    Frank

    Antworten
  10. Hallo,

    gibt es hier denn schon eine Aussage oder eine Lösung?
    Wie geht das jetzt konkret weiter?

    Vielen Dank für die Infos!
    Grüße,
    Christoph

    Antworten
  11. Hallo zusammen,

    seit dem Update auf die aktuelle Version 9.508-10 tritt auch bei mir das beschriebe Problem auf. Die Ursache hat Frank schon verlinkt https://community.sophos.com/kb/en-us/131727 Eine Rückfrage beim Reseller meiner Zertifikate brachte mich leider nicht so recht weiter – laut ihm gibt es diese Zertifikate wohl noch gar nicht.

    Außerdem kann ich seit dem Update keine im Quarantäne-Report aufgeführten Mails mehr freigeben. Hier kommt es zum Fehler SSL_ERROR_RX_RECORD_TOO_LONG, obwohl der Zugriff eigentlich gar nicht über SSL erfolgen soll. (Über den WebAdmin geht es problemlos.)

    Allem Anschein nach also wieder ein Update, das eher mit Vorsicht zu genießen ist.

    Gruß, schönen Abend und schönes Wochenende
    Andreas

    Antworten
  12. Hallo Ingo,
    bin auch noch auf 9.506-2, noch läuft bei uns alles völlig normal.

    Das Update auf 9.508-10 gibt es momentan nur zum manuellen Download/Update, über die automatische Updatefunktion wird es erst in ein paar Tagen/Wochen verteilt.
    Ist momentan noch so eine Art Betaphase.

    Antworten
  13. Moin,
    mir wurde das UTM 9.508-10 noch nicht über die Updatefunktion angeboten, bin noch auf 9.506-2. Aber seit der Verfügbarkeit des Updates werden bei mir 90% aller eingehenden Mails mit Spam (confirmed) markiert! Ein Neustart der UTM hat nichts gebracht.
    Ist das Problem bekannt ? Hat es noch jemand ?

    Danke

    Ingo

    Antworten

Schreibe einen Kommentar