This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Relaying authentication Qs

My last post was pretty incomprehensible, so I regrouped my thoughts!

We've got a 2nd email domain that's been added behind our Astaro.  Our original environment is all local-subnets only for sending out mail, the new email domain is all external, users are all over the country with a combination of residential and business connections.

Further complicating the issue is that there is no central authentication method for these users - no AD or anything else.  So, as of right now I've had to bypass the SMTP proxy (using DNAT) for this email domain, which is not ideal.  

What I'm trying to figure out is what the simplest way to enable these users to relay.  I'd prefer to avoid having them authenticate through the Astaro, as the SMTP server already has a comprehensive relay policy in place.  I don't see any way to let only specific domains have lax relaying policies.

Any suggestions on what to pursue?  I know it's a big no-no, but I was considering setting the allowed relay to "all" - BUT only if the individual servers relaying restrictions remained in place.   Obviously that's not something I want to test in a production environment.


This thread was automatically locked due to age.
Parents
  • Also, are you saying I should have the SMTP server in the "host-based relay" section of the "relay" tab? I tried that - with transparent mode on (a quick way to make incoming traffic hit the Astaro instead of the actual mail server), all attempts to send mail outside of our local network bounces back with "relay not permitted".

    Yes, in 'Host-based relay', but without 'Transparent mode' selected.

    I assume the Outlook clients are doing RPC over HTTP (or HTTPS) to connect with the email server, so you don't need an SMTP DNAT, just: 'Any -> HTTP -> External (Address) : DNAT to {internal IP of mail server}' with 'Auomatic packet filter' selected.

    The mail server should point at the IP of "Internal (Address)" as its smart host.

    I think that's all the steps.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Yes, in 'Host-based relay', but without 'Transparent mode' selected.

    I assume the Outlook clients are doing RPC over HTTP (or HTTPS) to connect with the email server, so you don't need an SMTP DNAT, just: 'Any -> HTTP -> External (Address) : DNAT to {internal IP of mail server}' with 'Auomatic packet filter' selected.

    The mail server should point at the IP of "Internal (Address)" as its smart host.

    I think that's all the steps.

    Cheers - Bob


    I appreciate the help Bob, but it seems like you're missing what I'm saying.

    The clients are not using RCP over HTTP, the backend server is not exchange - it's a vanilla 25/110 config.  

    I've configured the Astatro to be the smarthost for the mail server and outgoing SMTP is being picked up by the proxy.  The problem is incoming.

    Like I said before, both domains have static routing entries (different for their respective profiles).  The difference is that there is no DNAT for the "original" server, and when I telnet in I'm hitting the astaro.  The new environment does have a DNAT and when I telnet in it's hitting the actual server, not the Astaro.

    So it looks like the DNAT is overriding the static route in the SMTP proxy, and thus incoming SMTP to that server are not being scanned by the Astaro.  I can confirm this because no spam is being caught by the Astaro for this domain.


    So, the next logical step is to remove the DNAT so it functions like my original domain (ie telnetting in hits the Astaro rather than the server directly).  However, when I do that, external clients they get the  "relaying not permitted" error.  This  happens EVEN if I have the smtp server listed as an allowed relay.  

    This makes sense to me, as the it's the external clients that are trying to relay the mail, NOT the server.

    So this leads me back to how to allow these external clients to relay without allowing ALL connections to relay.   As I mentioned earlier, I would be fine with setting the allowed relays to "all" IF the servers behind the Astaro still enforced their individually configured restrictions.  But I suspect this is not the case.
Reply
  • Yes, in 'Host-based relay', but without 'Transparent mode' selected.

    I assume the Outlook clients are doing RPC over HTTP (or HTTPS) to connect with the email server, so you don't need an SMTP DNAT, just: 'Any -> HTTP -> External (Address) : DNAT to {internal IP of mail server}' with 'Auomatic packet filter' selected.

    The mail server should point at the IP of "Internal (Address)" as its smart host.

    I think that's all the steps.

    Cheers - Bob


    I appreciate the help Bob, but it seems like you're missing what I'm saying.

    The clients are not using RCP over HTTP, the backend server is not exchange - it's a vanilla 25/110 config.  

    I've configured the Astatro to be the smarthost for the mail server and outgoing SMTP is being picked up by the proxy.  The problem is incoming.

    Like I said before, both domains have static routing entries (different for their respective profiles).  The difference is that there is no DNAT for the "original" server, and when I telnet in I'm hitting the astaro.  The new environment does have a DNAT and when I telnet in it's hitting the actual server, not the Astaro.

    So it looks like the DNAT is overriding the static route in the SMTP proxy, and thus incoming SMTP to that server are not being scanned by the Astaro.  I can confirm this because no spam is being caught by the Astaro for this domain.


    So, the next logical step is to remove the DNAT so it functions like my original domain (ie telnetting in hits the Astaro rather than the server directly).  However, when I do that, external clients they get the  "relaying not permitted" error.  This  happens EVEN if I have the smtp server listed as an allowed relay.  

    This makes sense to me, as the it's the external clients that are trying to relay the mail, NOT the server.

    So this leads me back to how to allow these external clients to relay without allowing ALL connections to relay.   As I mentioned earlier, I would be fine with setting the allowed relays to "all" IF the servers behind the Astaro still enforced their individually configured restrictions.  But I suspect this is not the case.
Children
No Data