Blacklist IP

Ok, then the only thing left is to increase the timeout then?

it looks like that Email Protection now has higher priority than SMTP DNAT

You may want to take that to support, if paid license.  They will not be able to fix it, but can get it up the chain to dev.  Proxy having higher precedence than NAT has some severe connotations that'll break a lot of configurations.

I'm having the same exact issue.  Tech support has been less than helpful.  I'm chasing my own tail here to block an SMTP AUTH botnet.  Once I realized that firewall rules take lower precedence than Proxy, I tried using DNAT to route the bad logins to a bogus (blackhole) address.  
1.) It is crazy that I can't easily import and block a list of IP addresses (or better yet, use a service like dshield or blocklist.de)
2.) It is crazy that Sophos changed the precedence in 9.3x!  The spambots can still attempt a log in even though I have DNAT pointing ANY traffic FROM a group of spambot host entries TO an unused internal IP address. 

The failed login attempts are authenticating against backend AD servers.  And then too many bad login attempts locks out my users!

At least a DNAT blackhole sounds like it used to be somewhat helpful... I regret upgrading to 9.3! [:@]  So what is the new order of precedence?

What is the simplest way to let my home office/mobile/smart phone users send email?  Should I stop using relay for authenticated users on the UTM and instead port-forward directly to my Exchange box and let it handle authentication and relay?

Tech support has been less than helpful

Their knowledge level, skills, and abilities are too limited to actually assist with this.  Their usefulness in this situation is to get information about the problem to development, where it can actually be fixed.

So what is the new order of precedence

Ostensibly we've no idea, as these changes were not documented for 9.3.  Same with some other issues that are probably related, like the way the web proxy, NAT, and application control has changed, breaking necessary functionality.  Best case scenario is that these effects were unintentional and will be reverted back in an up2date or two.

hm.. same issue here.. my site is also permanently scanned by such a SMTP AUTH Spambot-network... i try to blacklist the ip-adresses under E-Mail-Protection/SMTP/Relaying/Host-Network blacklist but nothing. already got the "too many failed logins" from the password-guessing routine in smtp-auth.. 

i have block-time 86400s now...

Ok, I've done some testing.  I'm a little calmer now but very confused.

I created a host object "Cell" that has the IP address of my smart phone. I added Cell to a "BadComputers" group.  Traffic from BadComputers was set to be DNAT'd to a non-existing internal IP address.

For good measure, I added BadComputers to the SMTP relay blacklist.

The result was as desired; I could no longer send or receive email from my phone.  

Then I removed the Cell object from the BadComputers group and I could send email once again.

BUT block-password guessing in authentication services (fail2ban?) is running. I'm still getting notifications "Too many failed logins from w.x.y.z for facility smtp", where w.x.y.z is the IP of a host in the BadComputers group.  

How can I still be getting SMTP authentication attempts from an IP that is both SMTP relay blacklisted and DNAT blackholed? [:S]

86400 seconds (24 hours) is the max value on the UTM.  The bots just try again the next day.

Fail2ban allows for permanent blocking if you give a time value of -1, but the UTM web interface does not allow you to set a negative number.

How can I still be getting SMTP authentication attempts from an IP that is both SMTP relay blacklisted and DNAT blackholed? [:S]

Let me quote myself..[;)]:

..blacklisted hosts are rejected after RCPT TO command, but UTM allows them AUTH LOGIN which comes earlier in SMTP communication.

Explained here: SMTP Attacks - Block/Blacklist IP

DNAT doesn't work anymore for SMTP (it works for HTTP/S, based on my testing).

..blacklisted hosts are rejected after RCPT TO command, but UTM allows them AUTH LOGIN which comes earlier in SMTP communication.

Thanks, that makes sense!  

I'm not happy that we can't use DNAT for SMTP (and I'd had a gut feeling that I shouldn't upgrade from 9.2) but at least I know what's going on now.  

Is anyone else using backend auth and experiencing Active Directory account lockouts as a result?

I wrote that post on September 2014, testing with latest firmware version  -> 9.205.

Let's don't blame just 9.3 major version upgrade, that change could be introduced in every minor update since 9.205.