Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 3743 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

email protection on incoming port other then 25

tekpoint
Hello Everyone,

Due to ISP restrictions on incoming port 25, in order to recieve mails i am forced to use an external mail forwarding service (such as no-ip mail reflector).

The Dnat rule i have setup is:

Traffic selector: Any → Service: port 25000 → External WAN Network
Destination translation: EXCHANGE SERVER  → Service: port 25

Now this rule works, since the mails are all coming in

The problem is that the Mail Protection does not detect or process any incoming mails. 

The basic config i have done on Mail Protection up to now is:

Email Protection -> SMTP -> Relaying -> Upstream hosts/networks -> the 2 servers used by the alternative forwarding service. 
Email Protection -> Routing -> Domains (my email FQDN)
Email Protection -> Routing -> Hosts Lists (my exchange server)

What did I miss? 

Eddy


This thread was automatically locked due to age.
  • 0
    Eddy,

    See #2 in https://community.sophos.com/products/unified-threat-management/astaroorg/f/51/t/22065.

    I bet it won't work, but you can try:

    Any → {25000} → External (Address) : change to SMTP


    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Eddy,

    See #2 in http://www.astaro.org/gateway-products/general-discussion/49065-rulz.html.

    I bet it won't work, but you can try:

    Any → {25000} → External (Address) : change to SMTP


    Cheers - Bob


    Hi Bob, thanks for your suggestion.

    If this is what you were meaning...


    Then you are right...is not helping.
    I must say, originally port 25000 was also the port i setup in the recieve connector in exchange. In that way my dnat was forwarding service 25000 from the wan to service 25000 on exchange, then i thought to change it to 25 internally in the hope that the UTM would intercept the traffic and apply the antispam and antivirus but still no luck.

    Would it help to go back to my original settings (xchange connector also on 25000) and modify through CLI the astaro smtp proxy into listening to port 25000 rather then 25?
    If yes, how can i change that by CLI?
    I really would like to solve this...such a good spam system without the possibility to change listening port. Pity [:(]
  • 0
    My suggestion was to take SBS2011 out of the DNAT.  If you looked at the Rulz, you know that the DNAT intercepts the traffic before it gets to the SMTP Proxy.

    The only way traffic might go through the Proxy is if it's possible to change the service while leaving the traffic in the INPUT chain.  To do this, I would try with nothing and with "External (WAN) (Address)" in 'Destination translation'.

    Cheers - Bob
    PS You can attach images to your post and display them by using the [Go Advanced] button below.  That means you don't need to use another service, and the rest of us will know that your pictures weren't hacked after you uploaded them. [;)]
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    My suggestion was to take SBS2011 out of the DNAT.  If you looked at the Rulz, you know that the DNAT intercepts the traffic before it gets to the SMTP Proxy.

    The only way traffic might go through the Proxy is if it's possible to change the service while leaving the traffic in the INPUT chain.  To do this, I would try with nothing and with "External (WAN) (Address)" in 'Destination translation'.

    Cheers - Bob
    PS You can attach images to your post and display them by using the [Go Advanced] button below.  That means you don't need to use another service, and the rest of us will know that your pictures weren't hacked after you uploaded them. [;)]


    Bob,
    You lost the bet...your solution does work [:)]
    Attached, a screenshot with the correct configuration for future reference (cannot find the "go advanced" function/button you are telling me)

    For the record, the service "SMTP FWD" that i created, is the port of your choice that will be used by your mail forwarding provider (NO-IP Mail reflector or Dyn or GhettoSmtp etc). 
    After configuration of the Dnat rule, let's not forget to go on our server into the EMC: Server Configuration > Hub Transport > Properties > Network tab and insert into "receive mail from remote server that have these ip addresses " the IP address of your UTM. That should be it.

    Thanks for your help Bob, appreciated 

    Cheers

    Eddy
  • 0
    Cool!  Thanks for doing the work!  In the past, I had experimented with leaving the 'Destination translation' field empty, but I think I remember that that didn't work.

    Today was the first time I thought to try putting the interface "(Address)" object into that field.  I realized that that might be the trick because I remembered that to make a firewall rule apply to traffic in the INPUT chain, you use an "(Address)" object.  This also is related to #4 in https://community.sophos.com/products/unified-threat-management/astaroorg/f/51/t/22065.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML