Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 17 replies
  • Subscribers 1 subscriber
  • Views 17135 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Incoming mail just stopped

MikeRM275
Hello,

   Having an issue, currently have Sophos UTM 9.2 up and running.  Emails were coming in from the DynDNS SMTP mail forwarder with no issue.  All of a sudden with no configuration changes, incoming emails stopped.  Outgoing emails continue to work.  I checked the DynDNS site and can see that the incoming mails are being relayed.  I am still unsure if it is DynDNS's issue or the UTM.  I ran a Remote Connectivity Analyzer test and it shows that the test was unable to determine SMTP capabilities.  All the SMTP live log shows is Start queue run, and End queue run.

The following is the same setup it had when it was working as to when it was not working:

Global Tab:
Simple

Routing Tab:
Domain = mrm2inc.com
Route by = Static Host List
Host List = MRM2 Exchange Servers (Shows machine names and correct IPv4 addresses)
Recipient Verification = With callout

Antivirus Tab:
Reject Malware during SMTP Transaction = Checked

Antivirus = Quarantine
Dual Scan = checked
Default file extensions blocked

AntiSpam tab:
Reject at SMTP time = Confirmed Spam
Use recommended RBLs = checked
Use Greylisting = checked
Use BATV = checked
Use Perform SPF check = checked

Relaying Tab:
Upstream Hosts = Mailhop IP Address (216.146.32.0/23)
Allow authenticated relaying = checked
Allowed Hosts/Networks = Internal
Scan Relayed (outgoing) messages = checked

Advanced Tab:
SMTP Hostname = UTM machine hostname
Postmaster address = Postmaster@MRM2Inc.com

Smarthost = outbound.mailhop.org
Smarthost port: 10025
Smarthost authentication = checked
Username and password are correct for DynDNS.

I have checked Mail Manager and the queue there is empty, so it is not being blocked on the incoming.  This is for all users that mail is not coming into the system.  The following page is what DynDNS says about not receiving emails: Why am I not receiving email? - Dyn

Any help would be appreciated.

Thank You,

Michael R. Mastro II


This thread was automatically locked due to age.
  • 0

    Relaying Tab:
    Upstream Hosts = Mailhop IP Address (216.146.32.0/23)

    The upstream hosts should be left blank if you want email from everyone. Otherwise you can only accept email from that range of IPs. I tried connecting to your smtp server and it obviously times out since you are only accepting mail from 216.146.32.0/23. 

    If you don't have Allow upstream/relay hosts only checked then this should be fine but that is still a huge range of IPs. You sure they are all mail servers?


    gatekeeper:/var/mdw/scripts # telnet mrm2inc.com 25
    Trying 108.39.124.97...
    ^C
  • 0 in reply to Billybob
    The upstream hosts should be left blank if you want email from everyone. Otherwise you can only accept email from that range of IPs. I tried connecting to your smtp server and it obviously times out since you are only accepting mail from 216.146.32.0/23. 


    If you don't have Allow upstream/relay hosts only checked then this should be fine but that is still a huge range of IPs. You sure they are all mail servers?  



    Well I am going by what DynDNS has for their email forwarding.  This did work for a long time, but only within the past three days stopped working.  Here is what they have:

    •If you are not receiving Email, you should first make sure your server is reachable on port 25; you can telnet top it using: telnet domain.com 25
    •If not reachable, check your firewall to make sure you are not blocking our servers. The IP address blocks to whitelist are:


    Range:

    IP Address / Netmask:

    Netblock:

    216.146.32.0-216.146.33.255 216.146.32.0/255.255.254.0 216.146.32.0/23 
    •Make sure your server is accepting email for the user and domain you are sending to; your server logs will tell you if it is rejecting the mail we are trying to deliver, and why.

    Now that last part is the weird part because it is not being received by the Sophos UTM, since the logs are blank.  Though I will remove the upstream hosts and see what happens. 


    gatekeeper:/var/mdw/scripts # telnet mrm2inc.com 25

    Trying 108.39.124.97...

    ^C


    Well that is the IP address at my router, so it should be getting to the email servers.
  • 0
    Is your internet connection business class or a home connection  Many home internet service providers will actively block inbound port 25 connections.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0 in reply to MikeRM275

    •If not reachable, check your firewall to make sure you are not blocking our servers. The IP address blocks to whitelist are:
    216.146.32.0-216.146.33.255 216.146.32.0/255.255.254.0 216.146.32.0/23 
    Ok, its upto you then, you can safely remove those hosts from upstream hosts or leave them there. If you have no control over those servers, then mail forwarded by them will be treated as regular mail and that should be fine. Leaving them there shouldn't hurt anything but not needed.


    Well that is the IP address at my router, so it should be getting to the email servers.
    Yes what Scott_Klassen said makes sense also. If that doesn't apply to you then make sure your router is forwarding packets to astaro. Looks like it is blocking port 25 inbound. Go to grc.com website https://www.grc.com/x/ne.dll?bh0bkyd2 and do a user specified portscan of port 25 only. Don't do a regular scan of common / regular ports because astaro  blocks scans like that.

    What kind of router is it and network topology? Are you using NAT on the router?

    Router --->Astaro---->mail server ?
  • 0 in reply to Billybob
    Ok, its upto you then, you can safely remove those hosts from upstream hosts or leave them there. If you have no control over those servers, then mail forwarded by them will be treated as regular mail and that should be fine. Leaving them there shouldn't hurt anything but not needed.

    Yes what Scott_Klassen said makes sense also. If that doesn't apply to you then make sure your router is forwarding packets to astaro. Looks like it is blocking port 25 inbound. Go to grc.com website https://www.grc.com/x/ne.dll?bh0bkyd2 and do a user specified portscan of port 25 only. Don't do a regular scan of common / regular ports because astaro  blocks scans like that.

    What kind of router is it and network topology? Are you using NAT on the router?

    Router --->Astaro---->mail server ?


    On the router I have port forwarding that anything that hits port 25 is then sent via port 10025.  Yes the internet configuration is as follows:  internet--->router--->Astaro--->Exchange

    When I went to GRC and did a User-specified custom probe on port 25 it came back as Stealth.

    The one reason I am using DynDNS SMTP relay is to get around port 25, since Verizon blocks port 25.  I have been doing this for years, while I made no changes it just stopped working.  I also checked port 10025 and it is open.

    Over the past hour I have sent various emails from Gmail and Hotmail to  internal users with nothing going through.  The UTM live log stills shows Start queue run, end queue run.  That is everything it shows.
  • 0 in reply to MikeRM275
    Yeah you have a custom configuration due to blocked smtp port. If 10025 is open on your router then the only thing I can think of is that either the port forwarding is not working correctly or dyn has mucked up your configuration. Your mx records look fine, as far as I can see and if you are seeing queue runs in your logs then your smtp proxy is working correctly. You can send a mail out and check the logs to rule out proxy problem altogether.

    Double check your settings on dyn side, maybe change the port from 10025 to something else for testing just to make sure that the mail is being forwarded correctly. 

    Also not sure what router you have but you probably can look at active connections or similar logs after you send a mail to see if there is a TCP connection on port 10025
    Non-authoritative answer:
    mrm2inc.com     MX preference = 10, mail exchanger = mx1.mailhop.org
    mrm2inc.com     MX preference = 20, mail exchanger = mx2.mailhop.org

    mrm2inc.com     nameserver = ns1185.dns.dyn.com
    mrm2inc.com     nameserver = ns2164.dns.dyn.com
    mrm2inc.com     nameserver = ns3128.dns.dyn.com
    mrm2inc.com     nameserver = ns4198.dns.dyn.com
    ns1185.dns.dyn.com      internet address = 208.76.58.185
    ns2164.dns.dyn.com      internet address = 208.76.59.164
    ns3128.dns.dyn.com      internet address = 208.76.60.128
    ns4198.dns.dyn.com      internet address = 208.76.61.198



    EDIT: Tested port 10025 on your host mrm2inc.com and astaro is working fine. This would indicate dyn problem.
    gatekeeper:/var/mdw/scripts # telnet mrm2inc.com 10025
    Trying 108.39.124.97...
    Connected to mrm2inc.com.
    Escape character is '^]'.
    220 MRM2Sophos.mrm2inc.com ESMTP ready.
    helo me
    250 MRM2Sophos.mrm2inc.com Hello 207-119-***.*** [207.119.***.***]
    quit
    221 MRM2Sophos.mrm2inc.com closing connection
    Connection closed by foreign host.
  • 0 in reply to Billybob
    Well I checked all the settings on DynDNS and they look good.  So I have emailed DynSupport to get them involved and see what they can do.  Will keep this posted if they kick it back.
  • 0
    So I got with DynDNS to check their end, they say everything is working on their end.  Here is their reply:  
    Hello, 

    Thank you for contacting Dyn Technical Support,

    It looks like when I did a test directly to the server 'mrm2sophos.mrm2inc.com' at port 10025, with the recipient Michael.Mastro2@MRM2Inc.com, I am unable to connect directly with the mail server, and bypass the email gateway. There may be connection issues directly with the server that is preventing the relay.

    If you have any other questions or concerns please contact us again at any time.

    Thank you and take care,

    -- 
    Ryan W

    Dyn Customer Support Representative


    Now since the UTM logs are not showing anything, does this mean it is the UTM blocking the mails, or Exchange not receiving anything?  I am at a loss to where to go for this now, there are four areas that could be the issue:  Exchange, DynDNS, my ISP, or the UTM.  Exchange is not showing any issues, in the logs and mail works internal to the domain, though this not rule it out, there could be an issue that is not seen.  DynDNS says it is not their issue, so that leaves the UTM or my ISP.  Any help would be appreciated.
  • 0
    Here is the test I ran from telnet:
    220 MRM2Sophos.mrm2inc.com ESMTP ready.
    EHLO hotmail.com
    250-MRM2Sophos.mrm2inc.com Hello pool-108-39-124-97.nrflva.fios.verizon.net [108
    .39.124.97]
    250-SIZE 52428800
    250-PIPELINING
    250-AUTH PLAIN LOGIN
    250-STARTTLS
    250 HELP
    MAIL FROM:MikeRM2@hotmail.com
    250 OK
    RCPT TO:Administrator@MRM2Inc.com NOTIFY=success,failure
    500 unrecognized command
    RCPT TO:Administrator@MRM2Inc.com
    250 Accepted
    DATA
    354 Enter message, ending with "." on a line by itself
    Subject: Test from Hotmail.com
    This is a test message
    .
    451 Temporary local problem, please try again!
    .
    500 unrecognized command
    quit
    221 MRM2Sophos.mrm2inc.com closing connection
    220 MRM2Sophos.mrm2inc.com ESMTP ready.
    EHLO hotmail.com
    501 Syntactically invalid EHLO argument(s)
    EHLO hotmail.com
    250-MRM2Sophos.mrm2inc.com Hello pool-108-39-124-97.nrflva.fios.verizon.net [108
    .39.124.97]
    250-SIZE 52428800
    250-PIPELINING
    250-AUTH PLAIN LOGIN
    250-STARTTLS
    250 HELP
    MAIL FROM:MikeRM2@Hotmail.com
    250 OK
    RCPT TO:Michael.Mastro2@MRM2Inc.com NOTIFY=success,failure
    501Michael.Mastro2@MRM2Inc.com NOTIFY=success,failure: missing or malformed loca
    l part (expected word or "
  • 0 in reply to MikeRM275
    Here is their reply: 
     It looks like when I did a test directly to the server 'mrm2sophos.mrm2inc.com' at port 10025, with the recipient Michael.Mastro2@MRM2Inc.com, I am unable to connect directly with the mail server, and bypass the email gateway
     That is funny.... Email gateway by definition is a gateway to something. How does he expect to bypass the gateway and connect to anything. Freaking retards. To satisfy him, you can directly publish your mail server by a dnat rule. The instructions to do that are here How to Port Forward Service Ports with NAT: Astaro Security Gateway. Make sure you turn off the UTM mail protection while you publish the server for testing.

    In your case the DNAT rule would be
    Rule Type : DNAT
    Traffic From: ANY
    Using Service: SMTP
    Going to: External Address of UTM
    Change Destination to: YOUR BACKEND MAIL SERVER
    Service to : Leave Blank
    Make sure you select auto fireall rule.

    ....Now since the UTM logs are not showing anything, does this mean it is the UTM blocking the mails, or Exchange not receiving anything?  I am at a loss to where to go for this now, ... Any help would be appreciated.
    Without actually being there and seeing both ends of the queue, it seems to be a dyn issue. Your UTM is answering to the mail requests just fine as shown by my telnet logs and also by Ryan W (Dyn Customer Support Representative). If you look at your UTM logs, there would be some kind of indication where he tried to connect to the mail server.

    In any case, use DNAT temporarily to satisfy Dyn and ask them for help again. Since your port 25 is blocked by your ISP, this should be minimal risk but still, monitor your server closely.
Unfiltered HTML