Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 1 subscriber
  • Views 2550 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

How to switch to astaro mail security

tom11011
Hi Group,

We have an aging antispam/antivirus device sitting behind our astaro.  I would like to retire it out and use our astaro 320.

We have a block of ip addresses.

The astaro sits on x.x.x.1
Our current mail device sits on x.x.x.5 and then nats.

I would like to keep x.x.x.5 as we have reverse dns set with our isp already as well as a bunch of mx records for various domains in forward lookup set.

Looking through the forum posts it appears that astaro only wants to receive email on the primary address for us x.x.x.1

What's the work around here so reverse dns and a whole bunch of mx records don't have to be changed?


This thread was automatically locked due to age.
  • 0
    If I understand your topologie correctly you have to add the x.x.x.5 as additional address to your ext. interface and maybe create a snat rule to make your utm send from that .5 address.

    Regards
    Manfred
  • 0 in reply to Hallowach2
    If I understand your topologie correctly you have to add the x.x.x.5 as additional address to your ext. interface and maybe create a snat rule to make your utm send from that .5 address.

    Regards
    Manfred


    x.x.x.5 is already on the astaro as an additional address, our current spam/virus device sits behind the astaro.  I'm not sure what you mean by 'send from that address', I need to receive mail on that address.
  • 0
    Hi ,

    As said , if the x.x.x.5 is already on the astaro,
    Then enable the smtp proxy then configure it to forward mail to the mail server and because the x.x.x.5 need to be send the mail then you will have to add an SNAT rule that any smtp to WAN will change source to the x.5 address , otherwise it will be sent from the primary WAN address.
    You will have also to configure your mail server to use the astaro as smart host.

    All my best.
    Gilipeled

    Gil Peled.

    CEO- Expert2IT LTD.

    SOPHOS Platinum Partner.

    Gil@expert2it.co.Il.

  • 0 in reply to gilipeled
    Hi ,

    As said , if the x.x.x.5 is already on the astaro,
    Then enable the smtp proxy then configure it to forward mail to the mail server and because the x.x.x.5 need to be send the mail then you will have to add an SNAT rule that any smtp to WAN will change source to the x.5 address , otherwise it will be sent from the primary WAN address.
    You will have also to configure your mail server to use the astaro as smart host.

    All my best.
    Gilipeled


    Ok so you are saying to enable the proxy in order to capture inbound mail on any ip address?

    I already have a snat rule for our exchange server.  Our exchange server sends directly to the internet, but the snat rule makes it appear that it is going through our spam device so both forward and reverse lookups come from the same ip address.

    Why would I need to configure the mail server to use the astaro as a smart host?  For policy reasons, this is not possible.
  • 0
    Hi ,

    If you you want to use the astaro as a mail relay and scan for viruses then configure the mail server to use the astaro as smart host will case the astaro to manage all mail and you will be able to use the smtp to manage all mail , queue etc.
    This is the best way to use the astaro proxy.

    All my best.
    Gilipeled

    Gil Peled.

    CEO- Expert2IT LTD.

    SOPHOS Platinum Partner.

    Gil@expert2it.co.Il.

  • 0 in reply to gilipeled
    Hi ,

    If you you want to use the astaro as a mail relay and scan for viruses then configure the mail server to use the astaro as smart host will case the astaro to manage all mail and you will be able to use the smtp to manage all mail , queue etc.
    This is the best way to use the astaro proxy.

    All my best.
    Gilipeled


    Do I have to use the astaro for outbound email from the exchange server if proxy is turned on for inbound email?
  • 0
    Hi ,

    No you don't have to , but its the best way.

    All my best.
    Gilipeled

    Gil Peled.

    CEO- Expert2IT LTD.

    SOPHOS Platinum Partner.

    Gil@expert2it.co.Il.

  • 0
    Agreed with Gilipeled - check out Exchange with SMTP Proxy which I have improved based on comments here by gilipeled and hallowach.

    And, if you do use the UTM to scan outbound mail, you will need to change the source in the SNAT from the Exchange server to "External (Address)".

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    And don't forget to delete the DNAT to your old (Anti-)Spamsolution, because of the old rule 'DNAT before proxy before firewall rules'.

    Regards
    Manfred
Unfiltered HTML