Relaying authentication Qs

If I've understood correctly what you're saying, I think you've misunderstood the Astaro SMTP Proxy just a bit.

Given your description, you have a classic email server - it's irrelevant to the configuration of the Astaro SMTP Proxy whether the clients are internal or external.  The only thing allowed to relay should be the host for the new domain.  The mail from inbound clients would indeed come in via DNAT, and they would authenticate on the SMTP server.

What client will the email users have to access the new domain?

Cheers - Bob

If I've understood correctly what you're saying, I think you've misunderstood the Astaro SMTP Proxy just a bit.

Given your description, you have a classic email server - it's irrelevant to the configuration of the Astaro SMTP Proxy whether the clients are internal or external.  The only thing allowed to relay should be the host for the new domain.  The mail from inbound clients would indeed come in via DNAT, and they would authenticate on the SMTP server.

What client will the email users have to access the new domain?

Cheers - Bob

Clients are using outlook for the most part.

I'm not sure using DNAT to reach the server works - not if you actually want antispam/virus to work.   

My original domain has no DNAT, just the static routing list in the SMTP proxy settings.  I can see spam in the mail manager for that domain, and when I telnet-25 in, I hit the Astaro rather than the actual server.

The new domain, on the other hand, has a DNAT rule and a static route in SMTP proxy.  I see no spam in the mail manager, and telnet-25 hits the actual server instead of the astaro.

Also, are you saying I should have the SMTP server in the "host-based relay" section of the "relay" tab?  I tried that - with transparent mode on (a quick way to make incoming traffic hit the Astaro instead of the actual mail server), all attempts to send mail outside of our local network bounces back with "relay not permitted".

To approach this from a different view, I just want external clients to be able to send out mail while still having the SMTP proxy work.  Right now it seems like I can get one or the other.

Also, are you saying I should have the SMTP server in the "host-based relay" section of the "relay" tab? I tried that - with transparent mode on (a quick way to make incoming traffic hit the Astaro instead of the actual mail server), all attempts to send mail outside of our local network bounces back with "relay not permitted".

Yes, in 'Host-based relay', but without 'Transparent mode' selected.

I assume the Outlook clients are doing RPC over HTTP (or HTTPS) to connect with the email server, so you don't need an SMTP DNAT, just: 'Any -> HTTP -> External (Address) : DNAT to {internal IP of mail server}' with 'Auomatic packet filter' selected.

The mail server should point at the IP of "Internal (Address)" as its smart host.

I think that's all the steps.

Cheers - Bob

Yes, in 'Host-based relay', but without 'Transparent mode' selected.

I assume the Outlook clients are doing RPC over HTTP (or HTTPS) to connect with the email server, so you don't need an SMTP DNAT, just: 'Any -> HTTP -> External (Address) : DNAT to {internal IP of mail server}' with 'Auomatic packet filter' selected.

The mail server should point at the IP of "Internal (Address)" as its smart host.

I think that's all the steps.

Cheers - Bob

I appreciate the help Bob, but it seems like you're missing what I'm saying.

The clients are not using RCP over HTTP, the backend server is not exchange - it's a vanilla 25/110 config.  

I've configured the Astatro to be the smarthost for the mail server and outgoing SMTP is being picked up by the proxy.  The problem is incoming.

Like I said before, both domains have static routing entries (different for their respective profiles).  The difference is that there is no DNAT for the "original" server, and when I telnet in I'm hitting the astaro.  The new environment does have a DNAT and when I telnet in it's hitting the actual server, not the Astaro.

So it looks like the DNAT is overriding the static route in the SMTP proxy, and thus incoming SMTP to that server are not being scanned by the Astaro.  I can confirm this because no spam is being caught by the Astaro for this domain.


So, the next logical step is to remove the DNAT so it functions like my original domain (ie telnetting in hits the Astaro rather than the server directly).  However, when I do that, external clients they get the  "relaying not permitted" error.  This  happens EVEN if I have the smtp server listed as an allowed relay.  

This makes sense to me, as the it's the external clients that are trying to relay the mail, NOT the server.

So this leads me back to how to allow these external clients to relay without allowing ALL connections to relay.   As I mentioned earlier, I would be fine with setting the allowed relays to "all" IF the servers behind the Astaro still enforced their individually configured restrictions.  But I suspect this is not the case.

You're right... the general sequence for the Astaro is "DNATs first, then Proxies, then manual routes and packet filter rules, then SNATs."

So, if the clients are doing 25/110, you will need a DNAT for the client connections that doesn't interfere with the proxy.  The two possibilities are an additional address on the External interface or using an alternate port, like 587, instead of 25.  Of course, transparent should not be used with this.

Cheers - Bob

You're right... the general sequence for the Astaro is "DNATs first, then Proxies, then manual routes and packet filter rules, then SNATs."

So, if the clients are doing 25/110, you will need a DNAT for the client connections that doesn't interfere with the proxy.  The two possibilities are an additional address on the External interface or using an alternate port, like 587, instead of 25.  Of course, transparent should not be used with this.

Cheers - Bob

The issue here is that I want the SMTP Proxy to function for incoming SMTP connections.  Right now it's configured with a DNAT so it skips the proxy.  This means the Astaro is not doing antivirus/spam scanning on anybody outside the LAN sending email into the domain.   

If I disable the DNAT and actually have the Astaro intercept incoming SMTP connections, it then uses the relay settings configured in the proxy - which do not allow outside users to relay, which they HAVE to do to send out emails through the domain.

What I'm trying to do is figure out how to allow the SMTP proxy to scan incoming connections while still allowing outside clients to relay. 

If I add the SMTP server to "host-based relay", it does not work.  I know you said not to use transparent mode to test it, but what exactly about transparent mode would make any difference?  I thought it just automatically intercepted port 25 traffic, and everything else about the proxy remained the same.

I have a kludge way for this to work.  Not exactly as you want, but better than nothing.
 
1)  No DNAT Rule
2)  You will need to create a user account for each of your remote workers on the Astaro.  Either use backend auth or have it be a separate local account, but the password MUST match the one entered into their email client.  I believe that the username is case sensitive for Astaro as well (had an issue with this a long time ago, maybe it's resolved now, but I still just make certain that the account entered in Astaro and the email client have matching case.).
3)  Add these user accounts to the authenticated relay box.
 
When a remote user tries to send an email, they will be authenticated against Astaro, which will then forward the email onto your internal email server.  This way you get security from unauthorized realy and filtering capabilities.
 
It would be great if Astaro could do filtering AND forward authentication requests onto the mail server, but that capability just doesn't exist that I've been able to figure out.

What I'm trying to do is figure out how to allow the SMTP proxy to scan incoming connections while still allowing outside clients to relay.

If you'll reread my post, this is exactly what I said - hopefully, the following will be clearer.

Presently, your NAT rule is: 'Any -> SMTP -> External (Address) : DNAT to {mail server}', and that captures the traffic, diverting it directly to the mail server before it ever gets to the SMTP Proxy.

The recommended solution is to put an 'Additional Address' on the External interface that becomes the target of the mail users' clients; say "Mail_Ext" is what you name it, then your NAT rule would be:

Any -> SMTP -> External [Mail_Ext] (Address) : DNAT to {mail server}

You might want to add an A-record like 'mailserver.yourdomain.com -> {IP of Add'l Address}' to your public authoritative name server.

The alternative is to have the clients use port 587 instead of 25, and then create a service "Alt-SMTP=587" and a DNAT that changes to port-25 like:

Any -> Alt-SMTP -> External (Address) : DNAT SMTP to {mail server}

Cheers - Bob
PS As before, this is not using transparent mode.  The mail server must be in 'Host-based relay'.

If you'll reread my post, this is exactly what I said - hopefully, the following will be clearer.

Presently, your NAT rule is: 'Any -> SMTP -> External (Address) : DNAT to {mail server}', and that captures the traffic, diverting it directly to the mail server before it ever gets to the SMTP Proxy.

The recommended solution is to put an 'Additional Address' on the External interface that becomes the target of the mail users' clients; say "Mail_Ext" is what you name it, then your NAT rule would be:

Any -> SMTP -> External [Mail_Ext] (Address) : DNAT to {mail server}

You might want to add an A-record like 'mailserver.yourdomain.com -> {IP of Add'l Address}' to your public authoritative name server.

The alternative is to have the clients use port 587 instead of 25, and then create a service "Alt-SMTP=587" and a DNAT that changes to port-25 like:

Any -> Alt-SMTP -> External (Address) : DNAT SMTP to {mail server}

Cheers - Bob
PS As before, this is not using transparent mode.  The mail server must be in 'Host-based relay'.

My NAT/DNS is already as you described as the "solution".  I have an additional address on the firewall dedicated to the mail server.   The DNAT is configured for external SMTP to forward to the internal IP.  The proxy is still not scanning incoming SMTP traffic.

Besides, I'm not sure why exactly why having an additional address would make any difference, they're both DNAT rules that take precedence over the proxy.

I have a kludge way for this to work.  Not exactly as you want, but better than nothing.
 
1)  No DNAT Rule
2)  You will need to create a user account for each of your remote workers on the Astaro.  Either use backend auth or have it be a separate local account, but the password MUST match the one entered into their email client.  I believe that the username is case sensitive for Astaro as well (had an issue with this a long time ago, maybe it's resolved now, but I still just make certain that the account entered in Astaro and the email client have matching case.).
3)  Add these user accounts to the authenticated relay box.
 
When a remote user tries to send an email, they will be authenticated against Astaro, which will then forward the email onto your internal email server.  This way you get security from unauthorized realy and filtering capabilities.
 
It would be great if Astaro could do filtering AND forward authentication requests onto the mail server, but that capability just doesn't exist that I've been able to figure out.

Thank you, this is exactly what I've been trying to ask.  So, as long as the username/pass is the same between both the SMTP server and the Astaro, it will work?  You don't have to disable user authentication on the SMTP server?