Blacklist IP

Blackhole DNAT, check this post for explanation why:
https://community.sophos.com/products/unified-threat-management/astaroorg/f/56/t/49677

Thanks, will try that

No, that didn't work, still getting "Too many failed logins from ***.***.***.*** for facility smtp."

Can you give a screenshot of the Blackhole DNAT to ensure it is configured correctly?

Here is a screenshot

On the surface, it looks ok.

Are there multiple IPs, because it looks like you're using a Network Group for traffic from?

These are external IPs that you're trying to blacklist, correct?

Are you using the default SMTP service definition, where source port is 1:65,535 and destination port is 25?

The address for OpenFiber 100-100 is the one used in your external DNS MX record (the one mails will come into, correct?

Assuming that you have multiple external IPs, you've confirmed that the OpenFiber 100-100 address is the one that they are attempting to connect to, right?

As you have log initial packets checked, anything showing in the full firewall log for these connections?

On the surface, it looks ok.

Are there multiple IPs, because it looks like you're using a Network Group for traffic from?

These are external IPs that you're trying to blacklist, correct?

Are you using the default SMTP service definition, where source port is 1:65,535 and destination port is 25?

The address for OpenFiber 100-100 is the one used in your external DNS MX record (the one mails will come into, correct?

Assuming that you have multiple external IPs, you've confirmed that the OpenFiber 100-100 address is the one that they are attempting to connect to, right?

As you have log initial packets checked, anything showing in the full firewall log for these connections?

Yes there is multiple IPs, all external. SMTP is the default service definition. I only have one IP, so everything is coming in on OpenFiber 100-100.

In firewall log I see "Packet dropped" for the IPs in the Block-smtp network group, but only after they've been blocked after to many failed logins. Nothing about NAT in the log.

The SMTP Proxy listens for 25, 465 and 587 on all NICs, but probably you just need to add 465 to the DNAT.

Cheers - Bob

The SMTP Proxy listens for 25, 465 and 587 on all NICs, but probably you just need to add 465 to the DNAT.

Cheers - Bob

Yes, of course [:$]
Thanks

Edit: Did DNAT for ports 25,465 and 587, that didn't work. Still getting "Too many failed logins from ...."

Lionking, I've tested it again (with 9.310-11) and it looks like that Email Protection now has higher priority than SMTP DNAT. That architecture change was probably introduced somewhere in between 9.2 -> 9.3 path.

For HTTP/S, DNAT rules still have higher priority before forwarding traffic to Webserver Protection module.