Probleme beim Austausch AES-verschlüsselter E-Mails mit Sophos UTM

In den letzten Wochen sind im NoSpamProxy Support vermehrt Probleme mit der Entschlüsselung von AES-verschlüsselten E-Mails gemeldet worden. Das Fehlerbild in allen Anfragen ist identisch: NoSpamProxy hat eine E-Mail mittels AES verschlüsselt und die Empfängerseite kann die E-Mail nicht entschlüsseln. Wird die E-Mail hingegen 3DES-verschlüsselt, erfolgt die Entschlüsselung wie erwartet.

Dieses Problem besteht derzeit nur dann, wenn auf der Empfängerseite das Produkt Sophos UTM zum Einsatz kommt. Auslöser für das Problem ist ebenfalls die Sophos UTM. Eine S/MIME Signatur der UTM enthält in den S/MIME Capabilities unter anderem die OID 2.16.840.1.101.3.4.1.42 und signalisiert damit, dass sie AES-256-CBC unterstützt. NoSpamProxy verschlüsselt dementsprechend die E-Mails, um die Sicherheit so hoch wie möglich zu halten.

Nachweislich sind die von NoSpamProxy verschlüsselten E-Mails ordnungsgemäß verschlüsselt und können beispielsweise von Outlook erfolgreich entschlüsselt werden.
Seit dem 13. Januar existiert ein Ticket direkt beim Sophos-Support und wir haben Sophos bei der Analyse des Problems unterstützt. Uns liegt keine Aussage vor, wann ein Fix verfügbar wird.

Die Lösung Z1 von Zertificon beinhaltete in bestimmten Versionen denselben Bug. Dieser wurde jedoch innerhalb von wenigen Tagen behoben.