Sophos UTM 9.508-10: Signierung von Mails mittels S/MIME problematisch

Kürzlich hat Sophos ein Update für UTM 9.5 veröffentlicht. Mit dem Update wurden auch die Algorithmen der E-Mail Protection hinsichtlich der Signierung von Mails mittels S/MIME angepasst:

S/MIME Encryption updates: This release brings changes to the S/MIME feature to fully conform with new GDPR regulatory requirements for encryption. Core to these changes are new algorithms to perform encryption and signatures within S/MIME. Due to the changes in the signature algorithms, older implementations of S/MIME – including previous Sophos UTM releases – can no longer verify signatures produced with the new algorithms. Encryption and decryption of emails is not affected by this change. For details, please read the following KBA at https://community.sophos.com/kb/en-us/131727.

Quelle: UTM Up2Date Release notes

Aktuell kommt es aber scheinbar häufiger zu Problemen, wenn die UTM Mail Protection E-Mails mittels S/MIME signiert. Hier findet sich schon ein Thread dazu:

Ich konnte ebenfalls bereits das Problem nachvollziehen, meine UTM signiert ausgehende Mails mittels gültigem SMIME Zertifikat:

Signierung von Mails mittels S/MIME problematisch

Bei bestimmten Empfängern, schlägt allerdings die Zustellung von signierten Mails fehl. Der Mailserver lieferte in meinem Fall diesen Fehlercode:

550 5.7.1 The digital signature of the mail is invalid

Sobald eine Ausnahme konfiguriert wird, geht die Mail sauber durch:

Signierung von Mails mittels S/MIME problematisch

Auch wenn die Mail vom Zielmailserver angenommen wird, die SMIME Signatur kann nicht geprüft werden, hier als Beispiel Outlook:

Signierung von Mails mittels S/MIME problematisch

Ein Update von Sophos gibt es bisher nicht. Bisher kann man also die Signierung von Mails an der UTM nur abschalten:

Signierung von Mails mittels S/MIME problematisch

Keine schöne Lösung, aber was soll man machen, wenn ständig die NDRs zurück kommen?!

Update 23.03.2018:

Mittlerweile wurde der KB Eintrag von Sophos aktualisiert und es gibt einen Workaround. Über die Shell können die vorherigen Algorithmen wieder aktiviert werden:

sudo su –

cc set smtp encryption_utility smime

Sophos UTM SMIME

Somit funktioniert auch wieder die Validierung der Signatur mit anderen Programmen und Gateways. Mit dem folgenden Befehl lassen sich die neuen Algorithmen wieder aktivieren:

cc set smtp encryption_utility cms

9 Replies to “Sophos UTM 9.508-10: Signierung von Mails mittels S/MIME problematisch”

  1. Moin,
    mir wurde das UTM 9.508-10 noch nicht über die Updatefunktion angeboten, bin noch auf 9.506-2. Aber seit der Verfügbarkeit des Updates werden bei mir 90% aller eingehenden Mails mit Spam (confirmed) markiert! Ein Neustart der UTM hat nichts gebracht.
    Ist das Problem bekannt ? Hat es noch jemand ?

    Danke

    Ingo

  2. Hallo Ingo,
    bin auch noch auf 9.506-2, noch läuft bei uns alles völlig normal.

    Das Update auf 9.508-10 gibt es momentan nur zum manuellen Download/Update, über die automatische Updatefunktion wird es erst in ein paar Tagen/Wochen verteilt.
    Ist momentan noch so eine Art Betaphase.

  3. Hallo zusammen,

    seit dem Update auf die aktuelle Version 9.508-10 tritt auch bei mir das beschriebe Problem auf. Die Ursache hat Frank schon verlinkt https://community.sophos.com/kb/en-us/131727 Eine Rückfrage beim Reseller meiner Zertifikate brachte mich leider nicht so recht weiter – laut ihm gibt es diese Zertifikate wohl noch gar nicht.

    Außerdem kann ich seit dem Update keine im Quarantäne-Report aufgeführten Mails mehr freigeben. Hier kommt es zum Fehler SSL_ERROR_RX_RECORD_TOO_LONG, obwohl der Zugriff eigentlich gar nicht über SSL erfolgen soll. (Über den WebAdmin geht es problemlos.)

    Allem Anschein nach also wieder ein Update, das eher mit Vorsicht zu genießen ist.

    Gruß, schönen Abend und schönes Wochenende
    Andreas

  4. Hallo,

    gibt es hier denn schon eine Aussage oder eine Lösung?
    Wie geht das jetzt konkret weiter?

    Vielen Dank für die Infos!
    Grüße,
    Christoph

  5. Hallo,
    selbes Problem hier: S/MIME in der 9.508 + GlobalSign Zertifikate -> FUBAR

    Ich habe unsere Sophos UTM wieder auf Version 9.506 zurück gerollt, bis GlobalSign und Sophos sich einig sind, wer schuld ist und wie eine Lösung aussehen könnte. Ist ja erst 13 Tage kaputt … AUA

    Das Schlimme ist, das ich nicht in der Lage war, die ISO für die Version 9.506 bei Sophos runter zu laden. Das hat früher auf dem Astaro FTP besser funktioniert. Selbst der 1st Level Support von Sophos war nicht in der Lage, mir die ISO zu geben. Ein Techniker unseres Vertragspartners hatte zum Glück noch die alte ISO auf seinem Notebook.

    Einmal mit Profis arbeiten ….

    Frank

  6. KBA with workaround is updated.
    In case a third-party certificate with the new algorithms could not be fetched the old behaviour needs to be restored by using the old algorithms.
    For that logon via ssh to the commandline ( cli) , get root and execute the following command: cc set smtp encryption_utility smime
    After that the old algorithms are used again.
    At any point in time later on its possible to switch to the new algorithms by
    logging on to the cli and entering: cc set smtp encryption_utility cms

    https://community.sophos.com/kb/en-us/131727

  7. Guten Morgen,

    danke für die Info, Alex. Funktioniert bei mir wie beschrieben.

    Gruß und schönes Wochenende
    Andreas

  8. Made my Day… Danke dir Franky :)
    Jetzt läufts wieder. Hat man zwischenzeitlich was von Sophos gehört, wann es generell wieder funktionieren soll?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.