Problem mit SSL bei POP3 und SMTP

sandmann

Bei dem POP3 und SMTP Proxy habe ich das Problem, dass eine SSL Verbindung nicht aufgebaut werden kann.

Bei SMTP kann man SSL nicht einstellen - zumindest habe ich da nichts gefunden und bei POP3 wird kein Verbindungsaufbau nach 1und1 vorgenommen.

Ist der SSL Proxy noch nicht funktionsfähig, oder muss da irgendwo noch was zusätzlich eingestellt werden?

Danke im voraus.

aender

Das Thema gab es hier schon einmal: https://www.efw-forum.de/www/forum/view…f=75&t=1388

sandmann

Habe ich schon gesehen. Da geht es aber darum, dass das Zertifikat nicht akzeptiert wird.
Ich habe das Problem, dass lt. Logbuch zwar eine ausgehende Verbindung kommt, jedoch der Server auf der Gegenseite keine Antwort sendet. Mit einer anderen Internetverbindung ohne Endian funktioniert es. D.h. der Notebook kann dann eine Verbindung aufbauen.

Mal sehen, was im Logbuch vom Router eingetragen ist.

sandmann

Also, lt. Router wird eine SSL Verbindung aufgebaut, wenn der POP3 Proxy abgeschaltet ist.

Wir der POP3 Proxy eingeschaltet, erfolgt eine ausgehende Anfrage mit SSL, dann gibt es aber zwei Fehler, die sich abwechseln:
(a) Keine Antwort vom externen Emailserver
(b) Die Antwort vom externen Emailserver wird nicht von der Endian weitergeleitet. Der Router gibt die an die Endian weiter und dort bleibt es hängen.
Logbuch in der Endian zeigt nur die ausgehende Verbindung an, dann nichts mehr.

Der Emailclient bei uns im Büro meldet einen Timeout. Kein Zertifikatsfehler, nichts. Nur ein Timeout.

Irgendeine Ahnung, was es sein könnte?

Mit TLS habe ich es auch ausprobiert, dann geht auch keine Verbindung aus der Endian raus.

sandmann

Ergänzung:
In der Endian gibt es folgende Meldung im Log
BADTCP:DROP TCP (br0) - Meldung kommt von "Firewall"

aender

Naja. Da behauptet die Endian, dass ein Packet mit einem falschen Flag daherkommt.

Tausch mal dei Interfaces rot und grün gegenseitig in der Konfig aus. Ansonsten mal eine komplett andere NIC. Vielleicht hat ja die Hardware der GREEN NICs etwas. BR0 ist das Green-Interface

sandmann

Hat nicht wirklich was gebracht.

Der Fehler FORWARD:DROP kommt jetzt noch zusätzlich.

Firewall wurde neu gestartet, VMware wurde auf andere Hardware kopiert...

Kann man das Verhalten BADTCP:DROP generell versuchsweise abschalten?

aender

Du schreibst VMWare !?

Schau mal : https://www.efw-forum.de/www/forum/view…19&start=30

Promiciuos Mode am VSwitch abschalten!

sandmann

...mach ich immer, bevor ich eine Endian auf Hardware installieren. Hat bisher auch geklappt.

Kann man das nur am ESX ändern oder auch auf der Workstation?

sandmann

Habs gefunden. Bei der VMware Workstation ist in der jeweiligen .vmx der Wert
ethernet0.noPromisc = "true"
pro Netzwerkanschluss einzustellen.

Hat aber keine Veränderung gebracht.

Mittlerweile habe ich die Endian auf einer Hardware installiert.

Ergebnis:
Proxy aus und POP3 SSL funktioniert.
Mit Proxy funktioniert es nicht. Keine Fehlermeldung, nur Timeout. Im Logbuch steht nur
scan(28876)POP3S Connection from ---.----.----.---:-----
PROXIES:POP-PROXY:-TCP(br0)---.---.---.---:---- -> ---.---.---:995

Hat überhaupt jemand POP3 mit SSL am funktionieren?

flyinghuman

Hallo,

Wenn du SSL bei POP3 abrufen willst, musst du deinen Email-Clienten auf Port 995 aber Verschlüsselung DEAKTIVIEREN. Es wird dann ein nicht verschlüsselte Verbindung zwischen Client und Endian aufgebaut. Endian (besser: p3scan) weiß durch den Port 995, dass du SSL verschlüsseln willst und baut dann eine verschlüsselte Verbindung zum Provider auf.

Code

SSL Message parsing:


   We are able to perform limited checking of messages using SSL.
   To use this feature, you must tell your email client NOT to use SSL and just
   change the pop3 port from 110 to 995. If p3scan sees a destination port of 995
   (or whatever port "sslport" is set to) it will initiate an SSL conversation.


   NOTE: This is limited support as p3scan will not show you the SSL certificate
   and will just accept any certificate as sent by the actual server.

Alles anzeigen

Ich hatte heute das gleiche Problem. Weiß jemand wie man DAVID FX 12 beibringen kann auf Port 995 kein SSL zu nutzen?

schönes We.

sandmann

Super.
Wo steht die Information? Die habe ich irgendwie total überlesen.

Ich habe immer versucht, direkt vom Client per SSL auf 1und1 zu kommen...

Probier ich am Montag mal aus...

Bzgl. Tobit: Nicht wirklich eine Ahnung. Manche Programme haben ein Extra Feld für die Portauswahl, bei einigen heisst es mit :port erweitern. Z.B. "pop.server.xy:995" oder "123.456.789.012:995" (Möge man mir verzeihen, dass die angegebene IP V4 sinnfrei ist).

flyinghuman

Die Info findet man nicht bei endian (!!!) sondern bei der README von p3scan.

Sobald man bei David den Port auf 995 ändert macht er automatisch TLS. An sich gut, aber für p3scan schlecht
Da muss ich mal Tobit direkt kontaktieren.

aender

Findet man auch bei Endian: http://docs.endian.com/proxy.html#pop3

Hätte ich aber auch nicht dran gedacht.

Zitat

Encrypted e-mails.

The Endian UTM Appliance is unable to scan the e-mails sent through a POP3 SSL connection since it is an encrypted channel.

Therefore, to allow a client to use POP3 over SSL it is necessary to appropriately configuring it and to disable the encryption from the client to the Endian UTM Appliance. Encryption should be disabled (i.e., do not use SSL), but the port for POP3 traffic in plain text changed from the default 110 to 995.

After setting this configuration, the connection from the client to the Endian UTM Appliance will remain in plain text, but it will use port 995, making the Endian UTM Appliance setup an encrypted POP3 over SSL connection from it to the POP3 server.