Wegen einer Sicherheitslücke mit dem Namen Poodle gilt SSL in Version 3 als nicht mehr sicher. Eine anschauliche Erklärung zum grundsätzlichen Problem findet sich hier.

Mit dem Update 9.210-20 hat Sophos die Unterstützung für SSLv3 in seinem Firewallprodukt Sophos UTM deaktiviert. Dies ist grundsätzlich ein richtiger Entscheid, da SSLv3 nicht mehr sicher ist.

Nun gibt es aber noch diverse Mailserver, die mit SSLv3 verschlüsseln wollen, statt mit dem neueren TLS 1.2. So wurde uns zurückgemeldet, dass Mails mit der Fehlermeldung “4.7.0 TLS handshake failed” nicht an uns zugestellt werden konnten.

Ein Test unter https://ssl-tools.net lieferte dann das Ergebnis, dass der eingesetzte Mailserver nur SSLv3 und TLSv1.0 unterstützt.

Unsere Firewall unterstützt seit dem Update zur Behebung des Poodle Bugs aber nur noch die sicherste Version TLSv1.2

Die betroffenen IP’s kann man im SMTP Protokoll finden. Vielen Dank für diesen Blogbeitrag, der mir weitergeholfen hat.

In der Version 9.303 sollte das Problem behoben sein (ich gehe davon aus, dass dann zumindest TLSv1.0 und TLSv1.1 auch unterstützt werden, aber nicht SSLv3). Leider kann ich nicht auf Version 9.303 updaten, da es noch keinen Updatepfad für die Version 9.210 gibt. Dieser sollte diese Woche verfügbar sein.

In der Zwischenzeit habe ich für die betroffenen Mailserver (bisher zwei) eine Ausnahme generiert, damit sie wenigstens unverschlüsselt senden können und melde deren Admins, dass sie trotzdem am besten TSLv1.2 unterstützen (und vor allem die Unterstützung von SSLv3 deaktivieren) sollten.

Um die Ausnahme einzutragen, kann man unter “Email Protection” –> “SMTP” –> Registerkarte “Advanced” bei “TLS settings” unter “Skip TLS negotiation hosts/nets” die betroffenen IP’s eintragen.