This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Recipient Verification: Verify recipients: With callout not working as expected

Helo world,

I am trying to use the Email Protection of a Sophos UTM as a replacement for an aging Barracuda Spam Firewall on which the license will go dark on Jan. 30 and will not be renewed. Sophos Email Protection is my first choice as the company desires migrating to all Sophos UTM hardware in the near future and is working with a Partner. My backup solution is a VM from mailcleaner.org but I really want the Sophos UTM to work. I would love to open a support ticket, but alas I am only using a trail version until...I can prove it actually works so I can get the PO approved for the Sophos hardware.

In my testing it is working except for one important thing. When setting up the SMTP Proxy, I of course wish to use the Recipient Verification With Callout to prevent the huge amount of spam sent to invalid recipients from ever being sent to the destination mail server as this is one of the main reasons to use an SMTP Proxy (a.k.a. Spam Firewall), but it is not working as expected. The Sophos UTM and the destination mail server are both on public static IPs resolvable with reverse DNS, and there is currently no way to move the hosted cPanel that runs the destination mail server behind the Sophos UTM. I am not sure if this is part of my problem or not since mail is flowing. UTM Version I am using is latest 9.306-6 and cPanel Exim is 4.82

The User Guide States:
Recipient Verification
Verify Recipients: Here you can specify whether and how email recipients are to be verified.
With Callout: A request is sent to the server to verify the recipient.

User Guide never states which server but the assumption is that it would get verification from the actual destination mail server as the sending server and the UTM would have no knowledge of if a recipient is valid or not.

Can someone please clarify if my assumption is correct and if so, I can confirm that is not what actually seems to be happening. Instead, the Live Log would seem to indicate that the verification is done by the sending server and it succeeds and then proceeds to Greylisting and then delivers the email to the work queue and sends it to the destination server even if the user does not exist. This makes no sense. How can an address that does not exist on the destination mail server get verified and from whom???

Additionally, a tail of the Exim mainlog on the destination server shows no evidence of ever being asked to perform a recipient verification and only shows the mail being received after it leaves the UTM. For non-existent mail accounts, the destination mail server log shows "Unrouteable address" and bounces a permanent error message to sender which sender receives. For mail accounts that exist, the message is delivered as expected.

I will post some of the logs in a moment, but I sure would appreciate some help. Thanks!


This thread was automatically locked due to age.
Parents
  • All of the exim lines are in the SMTP log. You can watch the SMTP Live Log, put exim in the filter box, hit enter and watch just those lines.

    To get more detail, you would need to use tcpdump at the command line.  However, my guess is that the setting that needs to changed is something your email provider needs to change as their configuration of exim doesn't seem to respond correctly to the RCPT TO command. 

    Cheers - Bob

    Sorry for any short responses.  Posted from my iPhone.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • All of the exim lines are in the SMTP log. You can watch the SMTP Live Log, put exim in the filter box, hit enter and watch just those lines.

    To get more detail, you would need to use tcpdump at the command line.  However, my guess is that the setting that needs to changed is something your email provider needs to change as their configuration of exim doesn't seem to respond correctly to the RCPT TO command. 

    Cheers - Bob

    Sorry for any short responses.  Posted from my iPhone.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • All of the exim lines are in the SMTP log. You can watch the SMTP Live Log, put exim in the filter box, hit enter and watch just those lines.

    To get more detail, you would need to use tcpdump at the command line.  However, my guess is that the setting that needs to changed is something your email provider needs to change as their configuration of exim doesn't seem to respond correctly to the RCPT TO command. 

    Cheers - Bob

    Sorry for any short responses.  Posted from my iPhone.


    No worry for the short response. I have full root access to the cPanel WHM and SSH root access, as I share this server with the provider. I am glad you agree with me that the problem is on the cPanel, but neither I nor the host owner have any idea where to apply the fix or what?

    Would you have any idea?

    Best Regards - HTG
    Frustrated Sophos Partner seeing all the things
    that brought me to Sophos slowly slip away.
    RIP astaro.org

  • Gentleman, it looks like I got it working by fixing the cPanel problem thanks to some great tips in the mailcleaner forums. Hat tip to cgimicro for post 13 at  MailCleaner Anti Spam Community Edition: View topic - SMTP callout not working?

    For the record it was never a Sophos UTM problem, but a cPanel Exim configuration problem. The destination cPanel mail server tips from the above link worked to make the Sophos UTM SMTP Proxy happy with instant deny of invalid recipients even though the solution was intended for a Mail Cleaner box to do recipient callouts to a cPanel server. 

    I made the following changes to my cPanel server and share them here should this be helpful to someone else expecting Recipient Verification With Callout to just work when routing from a UTM to a cPanel mail server.

    1. All of my cPanel mail accounts were set to to discard mail to non existant users with error to sender (at SMTP time): fail, No such person at this address under Mail: Default Address in cPanel.

    2. The host provider while trying to get mail flowing placed my Sophos UTM IP address (96.253.126.67) under Trusted SMTP IP addresses Access List in WHM -- I removed it -- Result: recipient verification on invalid recipients now works. Valid still greylisted.

    3. The host provider while trying to get mail flowing placed my Sophos UTM IP address (96.253.126.67) under Sender verification bypass IP addresses Access List in WHM  -- I removed it --  Result: everything still works.

    4. I added my Sophos UTM IP address (96.253.126.67) under Only-verify-recipient Access List in WHM to bypass spam checks on cPanel since that is done by the UTM and there is no point in doing it twice - Result: cPanel delivers mail to valid recipients with out running additional spam checks.

    5. I added my Sophos UTM FQDN (7552-5.UTM-server.com) under Backup MX Hosts Access List in WHM to bypass rate limits by cPanel - Result: Still shows rate limit increase count when mail sent to nonexistent user. Might be a problem later as many rejects could rate limit host.

    Thats it! All works now! Thanks so much for your help!

    Note: After making these changes, hit Save on each one and then Save again at the bottom of the page or changes will be lost and Exim Mail will not restart for the changes to take effect.

    Best Regards - HTG
    Frustrated Sophos Partner seeing all the things
    that brought me to Sophos slowly slip away.
    RIP astaro.org

  • I decided to start a new thread since I have resolved this issue and now I just am annoyed by Greylisting and the server has to go into production tomorrow.

    Please relay to my new thread at: https://community.sophos.com/products/unified-threat-management/astaroorg/f/56/t/49781

    Any help appreciated.

    Best Regards - HTG
    Frustrated Sophos Partner seeing all the things
    that brought me to Sophos slowly slip away.
    RIP astaro.org