Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 2 subscribers
  • Views 12239 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Relaying authentication Qs

jtv
My last post was pretty incomprehensible, so I regrouped my thoughts!

We've got a 2nd email domain that's been added behind our Astaro.  Our original environment is all local-subnets only for sending out mail, the new email domain is all external, users are all over the country with a combination of residential and business connections.

Further complicating the issue is that there is no central authentication method for these users - no AD or anything else.  So, as of right now I've had to bypass the SMTP proxy (using DNAT) for this email domain, which is not ideal.  

What I'm trying to figure out is what the simplest way to enable these users to relay.  I'd prefer to avoid having them authenticate through the Astaro, as the SMTP server already has a comprehensive relay policy in place.  I don't see any way to let only specific domains have lax relaying policies.

Any suggestions on what to pursue?  I know it's a big no-no, but I was considering setting the allowed relay to "all" - BUT only if the individual servers relaying restrictions remained in place.   Obviously that's not something I want to test in a production environment.


This thread was automatically locked due to age.
Parents
  • 0
    What I'm trying to do is figure out how to allow the SMTP proxy to scan incoming connections while still allowing outside clients to relay.

    If you'll reread my post, this is exactly what I said - hopefully, the following will be clearer.

    Presently, your NAT rule is: 'Any -> SMTP -> External (Address) : DNAT to {mail server}', and that captures the traffic, diverting it directly to the mail server before it ever gets to the SMTP Proxy.

    The recommended solution is to put an 'Additional Address' on the External interface that becomes the target of the mail users' clients; say "Mail_Ext" is what you name it, then your NAT rule would be:

    Any -> SMTP -> External [Mail_Ext] (Address) : DNAT to {mail server}


    You might want to add an A-record like 'mailserver.yourdomain.com -> {IP of Add'l Address}' to your public authoritative name server.

    The alternative is to have the clients use port 587 instead of 25, and then create a service "Alt-SMTP=587" and a DNAT that changes to port-25 like:

    Any -> Alt-SMTP -> External (Address) : DNAT SMTP to {mail server}



    Cheers - Bob
    PS As before, this is not using transparent mode.  The mail server must be in 'Host-based relay'.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    If you'll reread my post, this is exactly what I said - hopefully, the following will be clearer.

    Presently, your NAT rule is: 'Any -> SMTP -> External (Address) : DNAT to {mail server}', and that captures the traffic, diverting it directly to the mail server before it ever gets to the SMTP Proxy.

    The recommended solution is to put an 'Additional Address' on the External interface that becomes the target of the mail users' clients; say "Mail_Ext" is what you name it, then your NAT rule would be:

    Any -> SMTP -> External [Mail_Ext] (Address) : DNAT to {mail server}


    You might want to add an A-record like 'mailserver.yourdomain.com -> {IP of Add'l Address}' to your public authoritative name server.

    The alternative is to have the clients use port 587 instead of 25, and then create a service "Alt-SMTP=587" and a DNAT that changes to port-25 like:

    Any -> Alt-SMTP -> External (Address) : DNAT SMTP to {mail server}



    Cheers - Bob
    PS As before, this is not using transparent mode.  The mail server must be in 'Host-based relay'.


    My NAT/DNS is already as you described as the "solution".  I have an additional address on the firewall dedicated to the mail server.   The DNAT is configured for external SMTP to forward to the internal IP.  The proxy is still not scanning incoming SMTP traffic.

    Besides, I'm not sure why exactly why having an additional address would make any difference, they're both DNAT rules that take precedence over the proxy.
Reply
  • 0 in reply to BAlfson
    If you'll reread my post, this is exactly what I said - hopefully, the following will be clearer.

    Presently, your NAT rule is: 'Any -> SMTP -> External (Address) : DNAT to {mail server}', and that captures the traffic, diverting it directly to the mail server before it ever gets to the SMTP Proxy.

    The recommended solution is to put an 'Additional Address' on the External interface that becomes the target of the mail users' clients; say "Mail_Ext" is what you name it, then your NAT rule would be:

    Any -> SMTP -> External [Mail_Ext] (Address) : DNAT to {mail server}


    You might want to add an A-record like 'mailserver.yourdomain.com -> {IP of Add'l Address}' to your public authoritative name server.

    The alternative is to have the clients use port 587 instead of 25, and then create a service "Alt-SMTP=587" and a DNAT that changes to port-25 like:

    Any -> Alt-SMTP -> External (Address) : DNAT SMTP to {mail server}



    Cheers - Bob
    PS As before, this is not using transparent mode.  The mail server must be in 'Host-based relay'.


    My NAT/DNS is already as you described as the "solution".  I have an additional address on the firewall dedicated to the mail server.   The DNAT is configured for external SMTP to forward to the internal IP.  The proxy is still not scanning incoming SMTP traffic.

    Besides, I'm not sure why exactly why having an additional address would make any difference, they're both DNAT rules that take precedence over the proxy.
Children
No Data
Unfiltered HTML