Issues setting up SMTP Proxy

UPDATE:


Apparently there is a developmental issue. When the UTM sends the quarantine report, it uses the email address specified under Management->Notifications but it does not use the external SMTP settings on the Management->Notifications->Advanced tab. The email address I specified for the UTM to use for notifications is for an actual account on the internal email server so naturally the email server is expecting authentication. It would not be wise to not require authentication from 192.168.0.1 since all incoming email is from that same IP address because the Sophos SMTP Proxy is enabled. When the quarantine report is sent, it should use the same settings specified under Management->Notifications or there needs to be an option to use an external SMTP server under the Quarantine Report settings.

Found another issue. I can send emails from the LAN to external but I'm no longer able to send emails from my mobile devices when I'm external. My mail client says there's no way to authenticate. I've tried ports 465 and 587. The SMTP Proxy log entries:

2014:12:30-14:30:55 gateway exim-in[4703]: 2014-12-30 14:30:55 SMTP connection from [66.87.82.190]:16449 (TCP/IP connection count = 1) 

2014:12:30-14:30:55 gateway exim-in[31991]: 2014-12-30 14:30:55 SMTP connection from (190-186-108-29.pools.spcsdns.net) [66.87.82.190]:16449 closed by QUIT 

2014:12:30-14:30:55 gateway exim-in[4703]: 2014-12-30 14:30:55 SMTP connection from [66.87.82.190]:12458 (TCP/IP connection count = 1) 

2014:12:30-14:30:56 gateway exim-in[31993]: 2014-12-30 14:30:56 SMTP connection from (190-186-108-29.pools.spcsdns.net) [66.87.82.190]:12458 closed by QUIT 

2014:12:30-14:30:56 gateway exim-in[4703]: 2014-12-30 14:30:56 SMTP connection from [66.87.82.190]:13521 (TCP/IP connection count = 1)

Not sure what I'm missing. I am receiving external server to internal server emails and the proxy is catching spam. I used to have DNAT rules to forward all email traffic to the internal email server but I disabled them when I enabled the proxy. I also have firewall rules allowing email traffic in. Are firewall rules for ports 25, 465, and 587 even neccessary with the proxy?

Jeff, I haven't seen this before.  Please post the lines from the SMTP log related to one of these issues.

Cheers - Bob

Sorry for any short responses.  Posted from my iPhone.

Bob, the second issue is my main focus.


Below are lines from the Sophos SMTP Proxy log:

...
2014:12:31-09:43:44 gateway smtpd[4545]: MASTER[4545]: (Re-)loading configuration from Confd 

2014:12:31-09:43:44 gateway smtpd[4545]: MASTER[4545]: Past 07:00:00, QR status one set to 'sent' 

2014:12:31-09:43:44 gateway smtpd[4545]: MASTER[4545]: Before 16:00:00, QR status two set to 'pending' 

2014:12:31-09:43:44 gateway exim-in[4703]: 2014-12-31 09:43:44 pid 4703: SIGHUP received: re-exec daemon 

2014:12:31-09:43:44 gateway exim-in[4703]: 2014-12-31 09:43:44 exim 4.76 daemon started: pid=4703, no queue runs, listening for SMTP on port 25 (IPv4) port 587 (IPv4) and for SMTPS on port 465 (IPv4) 

2014:12:31-09:43:46 gateway smtpd[4545]: MASTER[4545]: (Re-)loading configuration from Confd 

2014:12:31-09:43:46 gateway smtpd[4545]: MASTER[4545]: Past 07:00:00, QR status one set to 'sent' 

2014:12:31-09:43:46 gateway smtpd[4545]: MASTER[4545]: Before 16:00:00, QR status two set to 'pending' 

2014:12:31-09:43:46 gateway exim-in[4703]: 2014-12-31 09:43:46 pid 4703: SIGHUP received: re-exec daemon 

2014:12:31-09:43:46 gateway exim-in[4703]: 2014-12-31 09:43:46 exim 4.76 daemon started: pid=4703, no queue runs, listening for SMTP on port 25 (IPv4) port 587 (IPv4) and for SMTPS on port 465 (IPv4) 

2014:12:31-09:44:00 gateway exim-out[26570]: 2014-12-31 09:44:00 Start queue run: pid=26570 

2014:12:31-09:44:00 gateway exim-out[26570]: 2014-12-31 09:44:00 End queue run: pid=26570 

2014:12:31-09:44:29 gateway exim-in[4703]: 2014-12-31 09:44:29 SMTP connection from [66.87.83.227]:28190 (TCP/IP connection count = 1) 

2014:12:31-09:44:29 gateway exim-in[26606]: 2014-12-31 09:44:29 SMTP connection from 66-87-83-227.pools.spcsdns.net (227-131-105-30.pools.spcsdns.net) [66.87.83.227]:28190 closed by QUIT 

2014:12:31-09:44:29 gateway exim-in[4703]: 2014-12-31 09:44:29 SMTP connection from [66.87.83.227]:21041 (TCP/IP connection count = 1) 

2014:12:31-09:45:00 gateway exim-out[26650]: 2014-12-31 09:45:00 Start queue run: pid=26650 

2014:12:31-09:45:00 gateway exim-out[26650]: 2014-12-31 09:45:00 End queue run: pid=26650
...


Here's another line when I tried to send a test email:
...
2014:12:31-09:58:13 gateway exim-in[28749]: 2014-12-31 09:58:13 SMTP connection from 66-87-83-227.pools.spcsdns.net (227-131-105-30.pools.spcsdns.net) [66.87.83.227]:6323 lost 
...


There's nothing in the email server logs so I'm not reaching the email server.


For testing, I added the current public IP address of the mobile device as an allowed host for relaying in the SMTP proxy settings and I added the same IP on the exceptions tab but neither made a difference. I also tried unticking all of the spam and antivirus features in the SMTP proxy settings but that made no difference either.

I'm confused.  Is the SMTP Proxy enabled?  If so, I believe that the settings there take precedence over those in 'Notifications' 'Advanced'.  If that's not the issue, then someone needs to take a closer look.

Cheers - Bob

Yes. SMTP Proxy is enabled. When the quarantine report is sent, it uses whatever email address is specified under Management->Notifications but it does not use the external SMTP settings on the Management->Notifications->Advanced tab.


There aren't any SMTP settings specific to the SMTP Proxy other than postmaster address and SMTP hostname but they are not used for sending reports.


I'm more concerned with the second issue. I have tried everything I can think of but I cannot reach my email server and authenticate when I'm external. I don't know what else to try.

Jeff, you can delete the settings in 'Notifications' 'Advanced' as they will have no effect when the SMTP Proxy is enabled.  Make the appropriate settings in Email Protection.

Authenticate when you're external?  DON'T allow that!  If you must, allow relaying from the VPN Pool.  I don't know of a business environment today where it would make sense to allow authenticated relay.

Cheers - Bob

Jeff, you can delete the settings in 'Notifications' 'Advanced' as they will have no effect when the SMTP Proxy is enabled.  Make the appropriate settings in Email Protection.

I already did that.

Authenticate when you're external?  DON'T allow that!  If you must, allow relaying from the VPN Pool.

I'm confused. Sorry for the following elementary questions but this is not my field of expertise. 
 
So having a mobile device's email app setup to use port 465 or 587 with SSL/TLS is not secure enough? You are telling me I should install a VPN client app on the mobile devices? Using a VPN is the only way I can get past the SMTP Proxy to use the internal email server to send a message from a mobile device? So that means one would have to open the VPN app, login and wait for it to connect before one can simply reply to an email? Then what's the purpose of having ports with SSL/TLS if you have to use a VPN for security?
 
So if I allow only the VPN pool, in essence your saying I should create a DNAT like the following to bypass the Proxy:
 
VPN Pool ->Using port 587->Going to External WAN->Redirect to Internal Email Server.

I'm assuming you are recommending that I do the same for IMAP and POP as well. What about webmail?

I don't know of a business environment today where it would make sense to allow authenticated relay.

What about Gmail and other email providers? They allow users to use Outlook desktop clients that authenticate without VPN's.
 
I really appreciate you taking the time [:)]