Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 2791 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

bind exim to only one interface alias?

hagman_01
My external interface has several alias IPs (for several internal servers).
It seems that the Email Protection automatically binds to all these IPs. How can I make sure that it replies only to one of them? The obvious method (Network Protection - Firewall - new rule "Any-SMTP-Interface reject") did not work (I guess that's one of those thiungs to prevent admins from locking themselves out). Another attempt (DNATting SMTP on one alias-interface to nirwana) worked too well - it blocks all interfaces.


This thread was automatically locked due to age.
  • 0
    The DNAT is the right answer, but, instead of using the "External (Network)" object, use a group of "External [additional] (Address)" objects as the destination in the traffic selector.  The reason the firewall rule didn't work is explained by #2 in Rulz.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    I found this topic while investigating another problemI encountered. At least it explaines, why I cannot block specific hosts with a firewall rule from connecting to the smtp proxy. I will try a DNAT rule like hagman later for this.

    I want to block these hosts, as they are doing dictionary attacks against our smtp proxy. So it may be only a matter of time until they found a valid password. I already activated the option "Block password guessing" at Definition and Users -> Authetication Services -> Advanced but want to block known hosts completely. So I added these hosts to a group and put this in the field Email Protection -> SMTP -> Relaying -> Host/Network blacklist. But this list has no noticeable effect. The hosts can still try to authenticate.

    Is there a similar explanation for this behaviour?
  • 0
    Hi, Lutz, and welcome to the User BB!

    You're not allowing external users to connect to the UTM's SMTP Proxy are you?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to LutzBHF

    Is there a similar explanation for this behaviour?


    Yep, check this post/thread:
    SMTP Attacks - Block/Blacklist IP

    Blackhole DNAT is a solution.
  • 0 in reply to BAlfson
    You're not allowing external users to connect to the UTM's SMTP Proxy are you?

    Hi Bob,

    no, I am not hosting an open relay, if that's what you wanted to know. The SMTP proxy is acting as our mail gateway to filter out spam and other unwanted stuff. Only mails for defined domains are accepted. But we allow authentication to get rights for relaying. This is needed because some clients connect via IMAP and SMTP from external IPs.

    The only bad thing is, that the bad guys can try to guess passwords because they are allowed to authenticate against the smtp proxy. So it is only a matter of time til a weak password may be discovered. I wanted to block the known bad IPs completely so they cannot even try to authenticate.

    Thanks to vilic for showing me a solution for this.

    Lutz
Unfiltered HTML