This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Authenticating with SMTP in routing

Hello,

I'm wondering how I could solve that: I have internal users who want to send mail using (external) source domain protected by SPF. I have no control over these domains and, at least in one major case, the providers aren't always willing to help and add our external SMTP gateway to their SPF.

So, I wanted to add static routes for these mail domains and pipe them through the provider's SMTP server. However, I can't do that without having the SMTP relay authenticate with these servers first.

I can't do that globally (otherwise, out own internal domains won't work any more). The only solution I see today is to allow the users to go directly to the provider server. This is a problem for many reasons (outlook is not good at this, users want to do that from a gazillon different devices, I really do not want to allow port 25 or even 587 from internal network, etc.)

So: how can I setup UTM to authenticate with the remote SMTP server when it's sending mail ? I'd also like to be able to use a different port than default (i.e. 587) and use TLS.

Thanks


This thread was automatically locked due to age.
  • MAY I ask some questions to understand the underlying requirements?  Are you running a mailing service like MailChimp or ConstantContact?  Is the only reason to try to use the SMTP Proxy your desire to avoid allowing SMTP traffic outbound?

    There is no method for the SMTP Proxy to authenticate a sender against an SMTP server - recipients, yes, but not senders.

    I wonder if, to avoid problems with exposing yourself to blacklisting, you wouldn't prefer a NAT with auto-firewall rules like:

    SNAT : Internal (Network) -> Email Messaging -> {Network Group of addresses of providers} : from {one of your public IPs other than your main email IP}


    You could limit Email Messaging to ports 993 and 587, thus forcing the Outlook users to configure TLS.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Hello,

    Thanks a lot for answering.

    No, we're not running any mailer system used for marketing (or any kind of mass-mailing). Quite the contrary, in fact: all mails sent from the internal systems are intended for a single recipient (some contain confidential information).

    The desire to use SMTP outbound is, as you state, at the root, the desire to avoid allowing SMTP connection from internal systems (this would actually be difficult because of the layered security in place: the internal machines have no direct access to the net whatsoever).

     There is no method for the SMTP Proxy to authenticate a sender against an SMTP server - recipients, yes, but not senders.


    That is what I gathered as well. Too bad, really. I guess I'll have to implement another mailer for this.

     I wonder if, to avoid problems with exposing yourself to blacklisting, you wouldn't prefer a NAT with auto-firewall rules like:


    Honestly, blacklisting isn't our concern: the volume of outgoing email is pretty low (a few thousand emails per day) and, as I explained, they are VERY targeted (most of them are actually users sending documents to their own account, although these mails don't pose any problem).

    In any case, many thanks for taking the time to answer my question