Kürzlich hat Sophos ein Update für UTM 9.5 veröffentlicht. Mit dem Update wurden auch die Algorithmen der E-Mail Protection hinsichtlich der Signierung von Mails mittels S/MIME angepasst:
S/MIME Encryption updates: This release brings changes to the S/MIME feature to fully conform with new GDPR regulatory requirements for encryption. Core to these changes are new algorithms to perform encryption and signatures within S/MIME. Due to the changes in the signature algorithms, older implementations of S/MIME – including previous Sophos UTM releases – can no longer verify signatures produced with the new algorithms. Encryption and decryption of emails is not affected by this change. For details, please read the following KBA at https://community.sophos.com/kb/en-us/131727.
Quelle: UTM Up2Date Release notes
Aktuell kommt es aber scheinbar häufiger zu Problemen, wenn die UTM Mail Protection E-Mails mittels S/MIME signiert. Hier findet sich schon ein Thread dazu:
Ich konnte ebenfalls bereits das Problem nachvollziehen, meine UTM signiert ausgehende Mails mittels gültigem SMIME Zertifikat:
Bei bestimmten Empfängern, schlägt allerdings die Zustellung von signierten Mails fehl. Der Mailserver lieferte in meinem Fall diesen Fehlercode:
550 5.7.1 The digital signature of the mail is invalid
Sobald eine Ausnahme konfiguriert wird, geht die Mail sauber durch:
Auch wenn die Mail vom Zielmailserver angenommen wird, die SMIME Signatur kann nicht geprüft werden, hier als Beispiel Outlook:
Ein Update von Sophos gibt es bisher nicht. Bisher kann man also die Signierung von Mails an der UTM nur abschalten:
Keine schöne Lösung, aber was soll man machen, wenn ständig die NDRs zurück kommen?!
Update 23.03.2018:
Mittlerweile wurde der KB Eintrag von Sophos aktualisiert und es gibt einen Workaround. Über die Shell können die vorherigen Algorithmen wieder aktiviert werden:
sudo su –
cc set smtp encryption_utility smime
Somit funktioniert auch wieder die Validierung der Signatur mit anderen Programmen und Gateways. Mit dem folgenden Befehl lassen sich die neuen Algorithmen wieder aktivieren:
cc set smtp encryption_utility cms