SMTP IP on a different IP then the UTM

Brian,

Here's what I want in a nut shell:
 STMP IN -> UTM Any configured IP (or at least being able to bind it to what ever IP(s) I want) -> Exchange Server (Or any e-mail server)
 
Exchange Server (Or any e-mail server) -> UTM NAT to what ever IP I configure -> SMTP OUT.

That's how it is now - ALL inbound traffic.  'SNAT : External (Address) -> SMTP -> Internet : from External [Mail IP] (Address)' works for outbound traffic that has had AV & AS done by the SMTP Proxy.  If you want to skip using the Proxy for outbound mail, you can use 'SNAT : {Mail Server} -> SMTP -> Internet : from External [Mail IP] (Address)'.  If you want the traffic to go out a different interface, you need a Multipathing rule or a Static Route depending on whether you're doing Uplink Baancing.

One-to-One NAT

'1-to-1' NAT in the UTM is different from "One-to-One NAT" in Cisco.  I agree that the name is a bit confusing.  I'm not sure why they didn't just use the iptables term "netmap."

Cheers - Bob
PS You might want to vote for and comment on SMTP: Multiple Hostnames/Interfaces Support

It's not working on my system that way. Now I don't have it limited to only SMTP, I have it at :
SNAT
Traffic selector: Internal mail server → Any → Any IPv4
Source translation: External (WAN) [Server] (Address)

DNAT:
Traffic selector: Internet IPv4 → Any → External (WAN) [Server] (Address)
Destination translation: Internal mail server

I currently have the SMTP proxy in simple mode and all my domains configured. It shows it has 1 e-mail caught today (trust me dozens have come through)? I'm guessing something tried to send an e-mail to it's IP. Any and all SPAM being marked is either by my host/outlook based or server based anti-spam.

Maybe I have something configured wrong, that's why I came here looking to see if I did and found this post.

Hi ,

If you are using SMTP PROXY you can not use SNAT from your internal mail server to use another external IP address.
All traffic will be caught by the default gateway IP address and sent by it.
As I told you in my example you can only do SNAT for SMTP from your WAN  ( default gateway address ) to change it to send with another IP address for all internals mail servers to send mail not from default WAN address.


All my best.
Gilipeled

Bob I gave 3 votes but,
Is possible to masquerade the MailServer with additional address?
EDIT: Or Policy Route

I can't do this simple test cause I have only one ip

Hi ,

Only One IP address can serve all internal mail servers for sending mails if SMTP PROXY is enable , the default Galway Address or if this changed by an SNAT like the example I gave.
There is no option to use different external addresses for sending mails from different internal servers yet. ( I really wish it was :-) )
It is just not supported yet when the smtp proxy is on.
I was asking the support about that few times lately and the answer was clear - not supported yet. 

All my best
Gilipeled

Okay, Brian, first a couple preliminaries...

Because of how iptables (the underlying technology of the UTM) works, you need to be aware of what I call Rule #2:

In general, a packet arriving at an interface is handled only by one of the following, in order:
DNATs first, then VPNs and Proxies and, finally, manual Routes and Firewall rules.

So, your DNAT is a problem because it captures the inbound traffic before the SMTP Proxy sees it.

Because of potential routing problems, follow what I call Rule #3:

Never create a Host/Network definition bound to a specific interface.
Always leave all definitions with 'Interface: >'.

If your DNAT wasn't getting traffic to the mail server, this is probably the reason.

As I said above, for outbound traffic that has had AV & AS done by the SMTP Proxy (the mail server uses the UTM as a smart host), you need:

SNAT : External (Address) -> SMTP -> Internet : from External (WAN) [Server] (Address)

Even if you don't have Exchange, most of SMTP Proxy with Exchange applies.

Cheers - Bob

I set this up about a month ago if you are still having trouble.  Here is the highlites of doing it if you still aren't getting it to work right.

First, enable the smtp proxy.  Doing this will intercept all smtp traffic passing through the astaro on all interfaces and all ip addresses (including internal ip addresses).
Email Protection --> SMTP --> Advanced

Second, on the same screen, create an exception to skip transparent mode for your internal network and then check the box that says "Allow smtp traffic for listed hosts/nets".

And finally, create a SNAT entry in NAT so email leaving your organization leaves with the proper external IP address.  Note, ideally you want your forward and reverse dns for your mx record external IP address to match for spam reasons.  The rule should look like this.    10.1.1.10 --> SMTP --> ANY to source translation x.x.x.114

This assumes 10.1.1.10 is the internal ip address of your mailserver.

First, enable the smtp proxy. Doing this will intercept all smtp traffic passing through the astaro on all interfaces and all ip addresses (including internal ip addresses).
 Email Protection --> SMTP --> Advanced
 
Second, on the same screen, create an exception to skip transparent mode for your internal network and then check the box that says "Allow smtp traffic for listed hosts/nets".

Tom, this will work, but I recommend against using Transparent.  I prefer to SNAT non-proxied traffic from an Additional Address different from the one used for the Proxy.  That keeps you off blacklists when a Trojan sends spam from an infected PC.  This NAT rule should come after the one in my post above and looks like:

SNAT : Internal (Network) -> SMTP -> Internet : from External (WAN) [Individuals] (Address)

The other approach is to block non-mailserver SMTP traffic altogether.

Cheers - Bob

Tom, this will work, but I recommend against using Transparent.  I prefer to SNAT non-proxied traffic from an Additional Address different from the one used for the Proxy.  That keeps you off blacklists when a Trojan sends spam from an infected PC.  This NAT rule should come after the one in my post above and looks like:

SNAT : Internal (Network) -> SMTP -> Internet : from External (WAN) [Individuals] (Address)

The other approach is to block non-mailserver SMTP traffic altogether.

Cheers - Bob

I think we might be saying the same thing?