Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 19 replies
  • Subscribers 2 subscribers
  • Views 11948 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Frage zu SMTP Transparent Modus

ReneX01
Hallo zusammen

Ich habe eine Astaro Security Gateway Version 7.504 im Betrieb und muss erst mal ein dickes Lob an diese Applikation, aber auch an das Forum loswerden. Ich bin ein FAN dieser Software!

Immer noch Newbie (diese Software bietet gewaltig viele Möglichkeiten) habe ich offenbar noch ein weiteres Verständnisproblem und wieder mal bitte um Hilfe.

Zu meinem Problem:
Ich betreibe für meinen Verein eine einfache Webseite (IIS) und einen einfachen Mailserver (hMail) in meiner DMZ (eth2). Webseite und Mailserver laufen problemlos. Ich habe nun versucht die Möglichkeiten der ASGV7 dazu zu nutzen, den SMTP-Verkehr per "Mail Security - SMTP - Erweitert - Transparenzmodus" besser zu schützen, zu protokollieren und die weiteren Möglichkeiten von ASG zu nutzen und habe dazu den Transparentmodus aktiviert. Rufe ich den Mailserver mit dieser Einstellung von intern (eth0) ab, so funktioniert dies einwandfrei. Bei aktiviertem "Transparenzmodus" habe ich aber nun das Problem, dass die Benutzer eines aktiven E-Mail Accounts meines Mailservers sich nicht mehr am Mailserver authentifizieren können. Die Verbindung zum Mailserver wird beispielsweise bei  Outlook mit einer Fehlermeldung verweigert. Nach mehreren erfolglosen Versuchen habe musste ich den Transparentmodus wieder abschalten und alles lief wieder wie vorgesehen. Allerdings befriedigt mich dies nicht, da ich den SPAM Schutz und die Protokoliermöglichkeiten von ASGV7 gerne aktiviert und eingesetzt hätte. Ich muss irgendwas übersehen haben und bin froh um jeden Input welcher mir helfen könnte diese Herausforderung zu meisteren.

mfg, René


This thread was automatically locked due to age.
  • 0
    Vielleicht mus ich noch ergänzen, dass NAT und DNAT Regeln gesetzt sind. Von Internal eth0 nach DMZ eth2 funktioniert alles bestens, auch mit aktiviertem Transparentmodus. Nur wenn die Mailboxabfrage von external (eth1) kommt habe ich das Problem.
    Für den E-Mailverkehr zum Mailserver sind keine weiteren Paketfilter gesetzt. Könnte dies das Problem sein?

    René
  • 0
    Es ist vernünftiger, die Astaro als echten SMTP Proxy laufen zu lassen. Wozu man den transparenten Modus brauchen soll, ist mir nicht so recht klar, ich habe bis jetzt noch kein Beispiel gesehen, wo das wirklich Sinn gemacht hätte, und anscheinend gibt es da auch öfters mal Probleme.
  • 0
    Wo steht denn der Mailserver? In der DMZ?

    //barkas
    man braucht den transparenten Modus, wenn man aus irgendeinem Grud die internet Mailserver nicht umkonfigurieren will, d.h kein Smarthost eintragen.
  • 0
    Ja der Mailserver steht in der DMZ. 

    Ich habe inzwischen herausgefunden, dass das Problem offenbar mit der Authentifizierung zu tun hat. Im Transparentmodus entsteht beim Abrufen der Mails ein Problem mit der Authentifizierung (gesehen in Outlook). Mit Telnet mal durchgespielt, die Verbindung wird nach Eingabe rctp to: xy.@xy.zz mit Fehler 550 von RBL unterbrochen (Fehlerhafte authentifizierung verhält sich offenbar wie blacklistet). 

    Ich würde gerne die ASG im Transparentmodus laufen lassen um all die Protokollierungen zu nutzen.

    Es steht kein übergeordneter SMTP Server zur Verfügung, der Mailserver in der DMZ ist der mx der domäne. Daher kein Smarthost.

    René
  • 0 in reply to ReneX01
    Moin,

    folgende sollte deine Config aussehen. (Sofern Mail Subscription geordert ist)

    MX Eintrag ist die Externe IP der Astaro. 
    Der Astaro SMTP proxy nimmt die Mails an und leitet sie an den Mailserver weiter.

    Der interne Mailserver erhält als smarthost die Astaro, die Astaro stellt dann die Mails zu. 
    Sofern kein Smarthost eingestellt werden kann, wird der Transparent Modus aktiviert. Dann werden alle Mails die das interne Netz verlassen durch dem SMTP Proxy geleitet.

    Sofern es Probleme beim abholen der Mail gibt, hat das ja nichts mit smtp zu tun. Da die Abholung per POP/Mapi/Imap/rcpoverhttps läuft.

    Sven

    Astaro user since 2001 - Astaro/Sophos Partner since 2008

  • 0
    Hallo Sven

    Danke für deinen Konfigurationsanleitung. 

    Hier die Antwort wie die Konfiguration schon besteht und im ausgeschalteten Transparenzmodus läuft.

    >MX Eintrag ist die Externe IP der Astaro. 
    Genau genommen die externe, fixe IP welche an external eth1 weitergeleitet wird.

    >Der Astaro SMTP proxy nimmt die Mails an und leitet sie an den Mailserver weiter.
    Ist so 

    >Der interne Mailserver erhält als smarthost die Astaro, die Astaro stellt dann die Mails zu.
    Astaro ist bei internem Mailserver als smarthost (SMTP-Relayer) eingetragen. 

    >Dann werden alle Mails die das interne Netz verlassen durch dem SMTP Proxy geleitet.
    Funktioniert so.

    >Sofern es Probleme beim abholen der Mail gibt, hat das ja nichts mit smtp zu tun. Da die >Abholung per POP/Mapi/Imap/rcpoverhttps läuft.
    Da habe ich mich etwas undeutlich ausgedrückt, sollte heissen "beim versenden von Mails".

    Nun zum Transparenzmodus: Dieser hätte mir halt gefallen weil er als zusätzlichen Schutz vor dem Mailserver stand und viel schöner alles protokolliert was in Sachen Mailsecurity so geht, als dies mein Mailserver tut. Zudem muss nun mein Mailserver die Spammer wieder selber abfangen, da dies nun nicht mehr die Astaro für ihn erledigt.

    Gruss René
  • 0
    Zusatzfrage: Gibt es einen anderen Weg als den Transparenzmode die ASG dazu zu bringen die eingehenden SMTP zu protokollieren und auf SPAM und Viren zu überprüfen?
    Ich habe den leider noch nicht gefunden :-(

    René
  • 0 in reply to ReneX01
    ja gibt es. 

    keine packet filter regeln für smtp nach innen.

    smtp proxy astaro nimmt mail an, macht spam check und schickt an dmz mailserver.

    Astaro user since 2001 - Astaro/Sophos Partner since 2008

  • 0
    Hallo Maygyver

    Dein Tipp ist der Hammer, gleich sieht die Welt wieder anders aus ;-). Habe die DNAT Regel Email messaging gestoppt und kurz anprobiert. Scheint zu funktionieren. Nur um ganz sicher zu gehen;
     
    1. mit Paketfilter Regel meinst du DNAT und nicht Paketfilter (dort habe ich nämlich keine Regel für SMTP). 

    2. Ich habe in DNAT nicht einzelne Mail Dienste sondern das Gesamtpaket "Email messaging" eingesetzt. Kann ich das ganze Email messaging Paket abschalten oder muss ich die Dienste einzeln aufführen und SMTP durch weglassen ausschliessen?

    Anmerkung: Habe sicherheitshalber mal einzelne DNAT Regeln für IMAP und POP3 erstellt. Habe auch festgestellt, dass die SMTP Authentifizierung bei diesem Vorgehen durch die Astaro durchgeführt werden muss.

    Gruss René
  • 0 in reply to ReneX01
    moin,

    smtp auth durch astaro macht ja nichts, einfach den internen Authenticationserver anbinden und schon reicht ein Passwort.

    Dnat Rules. Du benötigst keine DNAT für SMTP oder email messaging, wenn du den SMTP Proxy benutzt. Das ist ja Sinn der Sache, die Spam/Viren Protection vor dem eigentlich Mailserver zu machen, dass der emailserver trotzdem einen Virenscanner haben sollte versteht sich von selbst. Wichtig ist auch, dass der interne Mailserver nur Mails für aktivierte emails annimmt, damit die Astaro in der Lage ist Mails an falsche Empfänger zu blocken.

    Sven

    Astaro user since 2001 - Astaro/Sophos Partner since 2008

Unfiltered HTML