This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Email Protection, Routing to static host fails

I am new to Sophos UTM, so please forgive me my ignorance...

I am currently testing several scenarios where I use the UTM as email gateway. The UTM is not acting as firewall.

Basic problem seems to be that my VDSL provider (Swisscom) decided to ban port 25 from the internet they provide to me. I have instead to use port 587 for each email I send, for any mailhoster (i.e. gmx.net, etc.), even if it's not located on the Swisscom net. See Help - Spam Filter Port 25 | Swisscom
  
Anyway, my problem is that I:

1 - cannot see in any log what exactly happens when the UTM is forwarding emails to an outside SMTP server. I do have to wait for the UTM to generate an error message and send it back to the orginator. Is there anywhere a logfile which would show the connection attempts made from UTM to the routing host? Similar to what I see on incoming emails in SMTP live log?

2 - I seem not to be able to configure UTM to use port 587 instead 25 to forward email. I did try with the smart host setting, using port 587, but that does not work either. In any case, I anyway cannot use the smarthost setup for all my emails, since I intend to create several profiles.. see below.


This is how my setup looks like:
- I have an email hosting on hoststar (this is a hosting provider) for the email address "test1@utm.cu.cc".
- I send test messages either from gmail or gmx to the test address "test1@utm.cu.cc"
- utm is setup on a local LAN as VMware appliance
- the firewall (fritzbox) passes ports 25, 587, 465 from the WAN interface through to the UTM on the LAN
- DNS server for utm.cu.cc is located on hoststar as well
- I redirect mails with an MX record for utm.cu.cc that points towards the WAN interface of my LAN where the UTM resides
- On the UTM, I configured an SMTP profile that forwards the emails further (routing, static host, IP address) to the hoststar  where the email should be delivered into the hosted mailbox.
- I made sure that I do not create a mail loop. On hoststar, if you deliver email to an IP address, it is immediately put into the mailbox, even if the DNS MX record on the same host points to another host.

Expected Email flow:
Part 1:
gmail --> DNS MX lookup for utm.cu.cc --> WAN of firewall --> passed through to LAN and the UTM
..... at this moment, I can see the email arriving on the UTM in the SMTP proxy live log. However, I do not see in the same log that the email is forwarded...
Part 2:
UTM --> hosting provider machine IP --> mailbox
..... the problem lies in Part 2. According to returned emails, the forwarded email never arrives at the providers mailbox, as it is "hijacked" by that strange Swisscom rule to not let pass emails on port 25...

the returned email looks as follows:



This message was created automatically by the SMTP relay on utm.
  
A message that you sent could not be delivered to all of its recipients.
The following address(es) failed:

  test1@utm.cu.cc
    SMTP error from remote mail server after RCPT TO::
    host   []: 573 573  Swisscom Antispam:
    Authentifizierte Verbindung nicht moeglich. Bitte benutzen Sie den Port 587 anstelle von Port 25. Weitere Informationen:
    www.swisscom.ch/p25. Connexion authentifiee pas possible. Veuillez utiliser le port 587 a la place du port 25. Ulterieurs informations:
    www.swisscom.ch/p25. Collegamento autenticato non e possibile. Si prega di utilizzare la porta 587 invece di porta 25. Altra informazione:
    www.swisscom.ch/p25. Authenticated connection is not possible. Please use port 587 instead of port 25. More information:
    www.swisscom.ch/p25.

------ This is a copy of the message, including all the headers. ------

[...]




so, to summarize, it seems that I need to be able to tell the UTM to use port 587 instead port 25 when forwarding (routing) emails to a static host IP. 
I would have expected that at least with smarthost enabled, I should be able to forward emails. But it apparently fails. And since I cannot look into a connect log of some sorts, i cannot find enough details. 

Can anyone help me here?

Thanks

Dan


This thread was automatically locked due to age.
  • Hi, Dan, and welcome to the User BB!

    If your ISP blocks port 25 to you and does not offer an upstream relay host that sends on a different port, you will need to use a paid service. 

    Cheers - Bob

    Sorry for any short responses.  Posted from my iPhone.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Hi Bob,

    Thanks. I am aware of that.

    What I need to know is how I can tell UTM to use port 587 to forward emails, without to use a smarthost, and that per SMTP profile and not globally.

    Can this be done?

    Also, where do I find the detailed logging on send connect attempts, actually the messages that contain HELO, RCPT TO, MAIL FROM, etc...? Is there a logfile I can look at?

    Dan
  • There are no per-profile send options in the UTM, so you might want to vote for SMTP: Multiple Hostnames/Interfaces Support.  You can use a SNAT to send all mail on 587 or just to some hosts.

    The SMTP log file contains the information, but in a condensed format rather than the conversation one line at a time.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Hi Gonzzo

    On the UTM, I configured an SMTP profile that forwards the emails further (routing, static host, IP address) to the hoststar where the email should be delivered into the hosted mailbox.


    That does not work in this way. You can't just send E-mails to your Hosting Provider. You have to authenticate yourself before. Don't use a Profile, instead use a "Smarthost" under "Email Protection --> SMTP --> Advanced --> Smarthost Settings".
    With this your outgoing E-Mails are delivered to Hoststar and the UTM is authenticating itself with your Login information.

    By the Way, if you want to send anything before the @utm.cu.cc you have to add an *@utm.cu.cc in the Hoststar Control Panel so hoststar let you send any E-Mail Address with @utm.cu.cc.

    If you want to send other E-Mails like @domain1.ch that's not possible, your UTM has to deliver that by yourself because Hoststar (and nearly any hoster) does not relaying E-Mails for other Domains (Possibility of Spaming). If that is not possible because Swisscom has blocked your Port 25 i would investigate at Swisscom. Maybe you have to use a Business-Line instead.

    Also you can't just use a NAT Rule to rewrite the destination Port to 587, because the most Mail Servers do not accept E-Mails on this Port from other Mail Server. MTAs (message transfer agent) use Port 25. So even if you can Rewrite the Port, the most Mail Servers will not get your outgoing E-Mails.

    Michael
  • There are no per-profile send options in the UTM, so you might want to vote for SMTP: Multiple Hostnames/Interfaces Support.  You can use a SNAT to send all mail on 587 or just to some hosts.

    Hi Bob, 
    Done.. added 3 votes. This is really needed. 
    I was planning to use UTM for 3 onsite domains with Exchange 2010 - thus delivery locally directly to the Exchange hosts...
    ...and the scenario I was testing that has yet another domain hosted elsewhere. 
    With just one smarthost, this is not possible... :-(
    The SMTP log file contains the information, but in a condensed format rather than the conversation one line at a time.


    I'd would like to see the detailed connection og as well.. Let's see.. perhaps there is a feature request for that too?

    Thanks for your help!

    Dan
  • That does not work in this way. 


    Hi Michael,

    Got it... The send-to domains were actually set up on Hoststar and email traffic was possible to and from the email addresses before I started fiddling around with MX records. I  redirected the MX record to the UTM box at home and from there forwarded emails back to the host the mailbox resided on. 

    I thought I'd test what I had in mind from home over the weekend, as I am pretty new to UTM. 

    Man did I learn a lot! And I started to like this UTM and at the same time I saw some weak spots.

    At home, I am on a consumer DSL network where the provider does not assume that mail servers are located here. That is presumably why Swisscom has setup this change from port 25 to 587. I had a bit of a steep learning curve around this. I now believe it's a valid approach to try to eliminate or at least reduce those botnet's out there.

    With the setup I've done, I actually created a mail loop. I've not seen this since quite some years when I still did setup UUCP networks and mail was sent through those.. bang's (not sure if you young guys understand this.. I turned 50 today ;-).. Anyway, since I was a bad bad bad mail looping guy.. my home WAN IP got blacklisted on The Spamhaus Project - Policy Block List (PBL). This is not as bad as a malware or bot blacklist, but it led to some issues with the utm.ch.vu domain I've setup for testing. Interestingly not so on the utm.cu.cc domain..

    Reading about the Spamhaus PBL made me understand better what Swisscom is doing on it's consumer network. On the business side, I have several customers attached to the biz network of Swisscom and I do not have any issues there...

    Actually, the main reason which made me believe I could do it the way I tried, was that when I have two domains hosted on the same server, I easily can send emails between them even if I totally and completely screw up the DNS entries (also hosted on the same machine as the email accounts), and expecially the MX records. This setup once messed with two of my domains. 

    Anyway, wrong thinking... I (mis)use an account on our domain as "smarthost" for other customer's. That server apparently allows relaying if I authenticate the connection. 
    Now with this learning exercise over the weekend, I already can see some potential issues I might run into... soon.. 

    So, thanks for the help guys. I learned a lot.

    Regards

    Dan