This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Relaying authentication Qs

My last post was pretty incomprehensible, so I regrouped my thoughts!

We've got a 2nd email domain that's been added behind our Astaro.  Our original environment is all local-subnets only for sending out mail, the new email domain is all external, users are all over the country with a combination of residential and business connections.

Further complicating the issue is that there is no central authentication method for these users - no AD or anything else.  So, as of right now I've had to bypass the SMTP proxy (using DNAT) for this email domain, which is not ideal.  

What I'm trying to figure out is what the simplest way to enable these users to relay.  I'd prefer to avoid having them authenticate through the Astaro, as the SMTP server already has a comprehensive relay policy in place.  I don't see any way to let only specific domains have lax relaying policies.

Any suggestions on what to pursue?  I know it's a big no-no, but I was considering setting the allowed relay to "all" - BUT only if the individual servers relaying restrictions remained in place.   Obviously that's not something I want to test in a production environment.


This thread was automatically locked due to age.
Parents
  • If I've understood correctly what you're saying, I think you've misunderstood the Astaro SMTP Proxy just a bit.

    Given your description, you have a classic email server - it's irrelevant to the configuration of the Astaro SMTP Proxy whether the clients are internal or external.  The only thing allowed to relay should be the host for the new domain.  The mail from inbound clients would indeed come in via DNAT, and they would authenticate on the SMTP server.

    What client will the email users have to access the new domain?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • If I've understood correctly what you're saying, I think you've misunderstood the Astaro SMTP Proxy just a bit.

    Given your description, you have a classic email server - it's irrelevant to the configuration of the Astaro SMTP Proxy whether the clients are internal or external.  The only thing allowed to relay should be the host for the new domain.  The mail from inbound clients would indeed come in via DNAT, and they would authenticate on the SMTP server.

    What client will the email users have to access the new domain?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • If I've understood correctly what you're saying, I think you've misunderstood the Astaro SMTP Proxy just a bit.

    Given your description, you have a classic email server - it's irrelevant to the configuration of the Astaro SMTP Proxy whether the clients are internal or external.  The only thing allowed to relay should be the host for the new domain.  The mail from inbound clients would indeed come in via DNAT, and they would authenticate on the SMTP server.

    What client will the email users have to access the new domain?

    Cheers - Bob


    Clients are using outlook for the most part.

    I'm not sure using DNAT to reach the server works - not if you actually want antispam/virus to work.   

    My original domain has no DNAT, just the static routing list in the SMTP proxy settings.  I can see spam in the mail manager for that domain, and when I telnet-25 in, I hit the Astaro rather than the actual server.

    The new domain, on the other hand, has a DNAT rule and a static route in SMTP proxy.  I see no spam in the mail manager, and telnet-25 hits the actual server instead of the astaro.

    Also, are you saying I should have the SMTP server in the "host-based relay" section of the "relay" tab?  I tried that - with transparent mode on (a quick way to make incoming traffic hit the Astaro instead of the actual mail server), all attempts to send mail outside of our local network bounces back with "relay not permitted".

    To approach this from a different view, I just want external clients to be able to send out mail while still having the SMTP proxy work.  Right now it seems like I can get one or the other.