Sophos UTM Firmware 9.508-10 S/MIME Problem, Lösung verfügbar…

Ich hatte ja schon davon berichtet, dass es Probleme beim signieren von Emails mit der neuen Firmware gibt. Beim Empfänger wird die digitale Signatur nach Update auf UTM 9.508-10 als ungültig eingestuft. Siehe hierzu diesen Artikel. Das Thema wurde bereits ausgiebig in der Sophos Community diskutiert. Seit heute gibt es einen Lösungsansatz für das Problem. Sophos hat den entsprechenden KB 131727 um einen Punkt erweitert. Darin heißt es bei Punkt 4:

In case a third-party certificate with the new algorithms could not be fetched the old
behaviour needs to be restored by using the old algorithms.
For that logon via ssh to the commandline ( cli) , get root and
execute the following command: cc set smtp encryption_utility smime

Gesagt, getan! Dazu im Webmin der UTM auf Verwaltung->Systemeinstellungen->Shell-Zugriff aktivieren und ein Kennwort für root und loginuser setzen. Dann mit putty via ssh auf die UTM verbinden und sich mit loginuser anmelden. Anschließend mit su – zur root werden und o.g. Zeile eintragen „cc set smtp encryption_utility smime“:

Eine darauf folgende Test E-Mail kommt dann wieder beim Empfänger mit gültiger Signatur an.

Nicht vergessen, den Shellzugriff auf der UTM anschließend wieder zu deaktivieren! Der neue Algorithmus kann später mit „cc set smtp encryption_utility cms“ umgestellt werden, sofern entsprechende Zertifikate von Eurer CA zur Verfügung gestellt werden.

Thorsten Sult

Autor

Keine gewerbliche Nutzung und keine Werbung! Kommentare können ohne Angabe von Name, E-Mail und Website abgegeben werden. Freischaltung erfolgt nach Prüfung!

Zeige alle Beiträge vonThorsten Sult

4 Gedanken zu „Sophos UTM Firmware 9.508-10 S/MIME Problem, Lösung verfügbar…

    1. Nun, ich bin keine Rechtsberatung aber gut, dass Du fragst. Ich habe nämlich grade noch eine Antwort vom Support erhalten:

      die mit der Version 9.508 verbundenen Änderungen in Bezug auf die SMIME-Algorithmen ergeben folgende Anforderungen an die CAs von Drittanbietern:
      Signature Algorithm :: RSASSA-PSS
      Key Encryption Algorithm :: RSAES-OAEP
      Content Encryption Algorithm :: AES-256-cbc
      Diese Änderungen wurden aufgrund der Konformität gegenüber der EU-Datenschutz-Grundverordnung umgesetzt.
      Auch wenn gemäß EDI die Frist für die Änderung den Algorithmus zum 01.01.2018 auf den 01.01.2019 verschoben wurde, so betrifft dies lediglich den Bereich der E-Mail Verschlüsselung.
      Für den Bereich der E-Mail Signierung bleibt die Frist zur Umsetzung zum 01.01.2018 weiterhin bestehen.
      Eine Änderung auf einen älteren Standard würde unweigerlich mit einem nicht konformen Verhalten gegenüber der EU-Datenschutz-Grundverordnung einhergehen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.