Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 10 replies
  • Subscribers 0 subscribers
  • Views 3638 views
  • Users 0 members are here
Options
Suggested

[7.386 and -] Authenticated Smart Host Relay Fails Authentication

theproto
I have been struggling with this for some time now as well as another Astaro user.   The SMTP proxy will not authenticate correctly to a remote relay ie: DynDNS MailHop Outbound:

Mail Manager Log:
2009-01-26 21:53:01 recipient@domain2.com R=smarthost_route T=remote_smtp: SMTP error from remote mail server after MAIL FROM: SIZE=3746: host outbound.mailhop.org [63.208.196.179]: 550 You must authenticate to use MailHop Outbound

SMTP Proxy Log:
2009:01:26-21:52:08 gateway exim[29930]: 2009-01-26 21:52:08 exim 4.69 daemon started: pid=29930, no queue runs, listening for SMTP on port 25 (IPv4) port 587 (IPv4) and for SMTPS on port 465 (IPv4)
2009:01:26-21:52:53 gateway exim[29930]: 2009-01-26 21:52:53 SMTP connection from [10.0.0.58]:60726 (TCP/IP connection count = 1)
2009:01:26-21:52:54 gateway exim[29950]: 2009-01-26 21:52:54 [10.0.0.58] F= R= Accepted: from relay
2009:01:26-21:52:54 gateway exim[29950]: 2009-01-26 21:52:54 1LRf0Q-0007n4-0M sender@domain1.com H=(mail.domain1.com) [10.0.0.58]:60726 P=esmtps X=TLSv1:AES256-SHA:256 S=2701 id=1233028372740600000@unknown
2009:01:26-21:52:54 gateway exim[29950]: 2009-01-26 21:52:54 SMTP connection from (mail.domain1.com) [10.0.0.58]:60726 closed by QUIT
2009:01:26-21:52:55 gateway smtpd[4052]: QMGR[4052]: 1LRf0Q-0007n4-0M moved to work queue
2009:01:26-21:53:00 gateway smtpd[29957]: SCANNER[29957]: id="1000" severity="info" sys="SecureMail" sub="smtp" name="email passed" srcip="10.0.0.58" from="sender@domain1.com" to="recipient@domain2.com" subject="Test" queueid="0zpGAP-0007n4-0M" size="1954"
2009:01:26-21:53:01 gateway exim[29960]: 2009-01-26 21:53:01 0zpGAP-0007n4-0M server_plain authenticator failed H=outbound.mailhop.org [63.208.196.179] 535 Incorrect authentication data
2009:01:26-21:53:01 gateway exim[29960]: 2009-01-26 21:53:01 0zpGAP-0007n4-0M server_login authenticator failed H=outbound.mailhop.org [63.208.196.179] 535 Incorrect authentication data
2009:01:26-21:53:01 gateway exim[29959]: 2009-01-26 21:53:01 0zpGAP-0007n4-0M ** recipient@domain2.com R=smarthost_route T=remote_smtp: SMTP error from remote mail server after MAIL FROM: SIZE=3746: host outbound.mailhop.org [63.208.196.179]: 550 You must authenticate to use MailHop Outbound
2009:01:26-21:53:01 gateway exim[29966]: 2009-01-26 21:53:01 1LRf0X-0007nK-29 <> R=0zpGAP-0007n4-0M U=exim P=local S=3744
2009:01:26-21:53:01 gateway exim[29959]: 2009-01-26 21:53:01 0zpGAP-0007n4-0M Completed

I can use this service from my mail server directly however Astaro cannot authenticate.

Further service info can be found here.

I know the issue must be on the ASG side since I have connected to this server with Exchange, AXIGEN, Exim, Windows Mobile and Outlook directly unencrypted, again with TLS and SSL flawlessly for the last 2 years.

I have been fighting this one off and on for months now and have gotten nowhere but this is a better time than any to get the bug out in the open as I do believe it is a bug after combing the logs.

I would really like to be able to use this feature in the near future as well as even have the ability to choose TLS or SSL to send mail via a smart host relay.
Parents
  • 0
    Can you sniff the connection to see if the username/password setup in the smarthost authentication are being sent?
    (tcpdump is availble on the Astaro shell, fyi)

    Barry
  • 0 in reply to BarryG
    The network is a bit busy here at home right now with my wife watching something on hulu.com, my Sprint AIRAVE going and jungledisk backing up my notebook.

    "tcpdump -i eth1 -e -X -vv" will do the trick for this.

    I don't feel like running expressions against it right now as I don't have the time tonight but will have that answer tomorrow evening as the house should be empty.
  • 0 in reply to theproto
    Well...  I won't see if authentication did happen since I cannot toggle TLS on or off for testing.  

    06:15:00.893538 00:1e:4a:74:f4:48 (oui Unknown) > 00:1a:8c:10:63:3a (oui Unknown), ethertype PPPoE S (0x8864), length 92: PPPoE  [ses 0xccad] IP (0x0021), length 72: (tos 0x0, ttl 53, id 3897, offset 0, flags [DF], proto TCP (6), length 70) mho-02-bos.mailhop.org.smtp > gateway.domain1.com.47548: P, cksum 0xfe13 (correct), 414:432(18) ack 46 win 65535 
            0x0000:  1100 ccad 0048 0021 4500 0046 0f39 4000  .....H.!E..F.9@.        0x0010:  3506 e0f7 3fd0 c4b3 3fe0 111e 0019 b9bc  5...?...?.......        0x0020:  9008 7645 e250 df2c 8018 ffff fe13 0000  ..vE.P.,........        0x0030:  0101 080a 68f7 37fa 0260 95b7 3232 3020  ....h.7..`..220.
            0x0040:  544c 5320 676f 2061 6865 6164 0d0a       TLS.go.ahead..
  • 0 in reply to theproto
    I believe you can disable TLS by adding the 'ANY' network to the Skip TLS list on the Advanced page of the SMTP settings.

    Also, adding 
    port 25
    should narrow down your tcpdump.

    Barry
  • 0 in reply to BarryG
    Specifying only port 25 has yielded no packets so I gave up on that and just captured all the data in clear text and have verified that indeed there is no plain text login info passing.  

    For obvious reasons I do not with to post the results of my new scan without TLS (good tip as I didn't know that I could stop it from upstream hosts on that page for testing) however if I scan traffic from AXIGEN through the firewall I can see login information is I disable all encryption options for testing.
  • 0 in reply to theproto
    OK, so it does appear to be sending the authentication info correctly?

    Maybe this is a bug... does anyone else have a smarthost with auth they can test?

    Maybe I can try something when I get home too.

    Barry
Reply Children
  • 0 in reply to BarryG
    Hmm... it's working fine for me... using 7.386 with a sendmail 8.13.8 server as relay, with authenication required... it relayed an email to my gmail acct.

    Maybe double-check that you're using the right authentication settings?

    Did the sniff show the rejection from the smarthost server?

    Barry
  • 0 in reply to BarryG
    Without giving out too much information (I HAVE SET A TEMP PASSWORD) I see the following when I use AXIGEN:

    18:42:01.249262 PPPoE  [ses 0xccad] IP (tos 0x0, ttl 63, id 38963, offset 0, flags [DF], proto TCP (6), length 84) gateway.network.roundhere.us.39355 > mho-02-bos.mailhop.org.smtp: P, cksum 0xc938 (correct), 1:33(32) ack 255 win 54 
    	0x0000:  1100 ccad 0056 0021 4500 0054 9833 4000  .....V.!E..T.3@.
    	0x0010:  3f06 4def 3fe0 111e 3fd0 c4b3 99bb 0019  ?.M.?...?.......
    	0x0020:  a992 6dd5 ec6f 51ea 8018 0036 c938 0000  ..m..oQ....6.8..
    	0x0030:  0101 080a 1413 f7d0 6ba3 1a08 4548 4c4f  ........k...EHLO
    	0x0040:  206d 6169 6c2e 6e65 7477 6f72 6b2e 726f  .mail.network.ro
    	0x0050:  756e 6468 6572 652e 7573 0d0a            undhere.us..
    18:42:01.317728 PPPoE  [ses 0xccad] IP (tos 0x0, ttl 53, id 55770, offset 0, flags [DF], proto TCP (6), length 211) mho-02-bos.mailhop.org.smtp > gateway.network.roundhere.us.39355: P, cksum 0xdbf7 (correct), 255:414(159) ack 33 win 32947 
    	0x0000:  1100 ccad 00d5 0021 4500 00d3 d9da 4000  .......!E.....@.
    	0x0010:  3506 15c9 3fd0 c4b3 3fe0 111e 0019 99bb  5...?...?.......
    	0x0020:  ec6f 51ea a992 6df5 8018 80b3 dbf7 0000  .oQ...m.........
    	0x0030:  0101 080a 6ba3 1a4f 1413 f7d0 3235 302d  ....k..O....250-
    	0x0040:  6d68 6f2d 3032 2d62 6f73 2e6d 6169 6c68  mho-02-bos.mailh
    	0x0050:  6f70 2e6f 7267 2048 656c 6c6f 2067 6174  op.org.Hello.gat
    	0x0060:  6577 6179 2e6e 6574 776f 726b 2e72 6f75  eway.network.rou
    	0x0070:  6e64 6865 7265 2e75 7320 5b36 332e 3232  ndhere.us.[63.22
    	0x0080:  342e 3137 2e33 305d 0d0a 3235 302d 5349  4.17.30]..250-SI
    	0x0090:  5a45 2035 3234 3238 3830 300d 0a32 3530  ZE.52428800..250
    	0x00a0:  2d50 4950 454c 494e 494e 470d 0a32 3530  -PIPELINING..250
    	0x00b0:  2d41 5554 4820 504c 4149 4e20 4c4f 4749  -AUTH.PLAIN.LOGI
    	0x00c0:  4e0d 0a32 3530 2d53 5441 5254 544c 530d  N..250-STARTTLS.
    	0x00d0:  0a32 3530 2048 454c 500d 0a              .250.HELP..
    18:42:01.319228 PPPoE  [ses 0xccad] IP (tos 0x0, ttl 63, id 38964, offset 0, flags [DF], proto TCP (6), length 125) gateway.network.roundhere.us.39355 > mho-02-bos.mailhop.org.smtp: P, cksum 0x6f10 (correct), 33:106(73) ack 414 win 63 
    	0x0000:  1100 ccad 007f 0021 4500 007d 9834 4000  .......!E..}.4@.
    	0x0010:  3f06 4dc5 3fe0 111e 3fd0 c4b3 99bb 0019  ?.M.?...?.......
    	0x0020:  a992 6df5 ec6f 5289 8018 003f 6f10 0000  ..m..oR....?o...
    	0x0030:  0101 080a 1413 f817 6ba3 1a4f 4155 5448  ........k..OAUTH
    	0x0040:  2050 4c41 494e 2062 576c 725a 5746 3063  .PLAIN.bWlrZWF0c
    	0x0050:  6d39 3162 6d52 6f5a 584a 6c41 4731 7061  m91bmRoZXJlAG1pa
    	0x0060:  3256 6864 484a 7664 5735 6b61 4756 795a  2VhdHJvdW5kaGVyZ
    	0x0070:  5142 305a 5731 7763 4746 7a63 7a4d 794d  QB0ZW1wcGFzczMyM
    	0x0080:  513d 3d0d 0a                             Q==..
    18:42:01.395325 PPPoE  [ses 0xccad] IP (tos 0x0, ttl 53, id 55824, offset 0, flags [DF], proto TCP (6), length 82) mho-02-bos.mailhop.org.smtp > gateway.network.roundhere.us.39355: P, cksum 0x0e06 (correct), 414:444(30) ack 106 win 32947 
    	0x0000:  1100 ccad 0054 0021 4500 0052 da10 4000  .....T.!E..R..@.
    	0x0010:  3506 1614 3fd0 c4b3 3fe0 111e 0019 99bb  5...?...?.......
    	0x0020:  ec6f 5289 a992 6e3e 8018 80b3 0e06 0000  .oR...n>........
    	0x0030:  0101 080a 6ba3 1a9e 1413 f817 3233 3520  ....k.......235.
    	0x0040:  4175 7468 656e 7469 6361 7469 6f6e 2073  Authentication.s
    	0x0050:  7563 6365 6564 6564 0d0a                 ucceeded..


    And here again using the smart host feature of ASG:

    18:55:40.696847 PPPoE  [ses 0xccad] IP (tos 0x0, ttl 64, id 26735, offset 0, flags [DF], proto TCP (6), length 87) gateway.network.roundhere.us.49886 > mho-02-bos.mailhop.org.smtp: P, cksum 0xde8d (correct), 1:36(35) ack 255 win 6432 
    	0x0000:  1100 ccad 0059 0021 4500 0057 686f 4000  .....Y.!E..Who@.
    	0x0010:  4006 7cb0 3fe0 111e 3fd0 c4b3 c2de 0019  @.|.?...?.......
    	0x0020:  1a4f c0b1 0a58 e0b5 8018 1920 de8d 0000  .O...X..........
    	0x0030:  0101 080a 030e a900 6baf 9ae6 4845 4c4f  ........k...HELO
    	0x0040:  2067 6174 6577 6179 2e6e 6574 776f 726b  .gateway.network
    	0x0050:  2e72 6f75 6e64 6865 7265 2e75 730d 0a    .roundhere.us..
    18:55:40.780083 PPPoE  [ses 0xccad] IP (tos 0x0, ttl 53, id 22914, offset 0, flags [DF], proto TCP (6), length 130) mho-02-bos.mailhop.org.smtp > gateway.network.roundhere.us.49886: P, cksum 0xf957 (correct), 255:333(78) ack 36 win 65535 
    	0x0000:  1100 ccad 0084 0021 4500 0082 5982 4000  .......!E...Y.@.
    	0x0010:  3506 9672 3fd0 c4b3 3fe0 111e 0019 c2de  5..r?...?.......
    	0x0020:  0a58 e0b5 1a4f c0d4 8018 ffff f957 0000  .X...O.......W..
    	0x0030:  0101 080a 6baf 9b3c 030e a900 3235 3020  ....k.. mho-02-bos.mailhop.org.smtp: P, cksum 0x6bec (correct), 36:83(47) ack 333 win 6432 
    	0x0000:  1100 ccad 0065 0021 4500 0063 6870 4000  .....e.!E..chp@.
    	0x0010:  4006 7ca3 3fe0 111e 3fd0 c4b3 c2de 0019  @.|.?...?.......
    	0x0020:  1a4f c0d4 0a58 e103 8018 1920 6bec 0000  .O...X......k...
    	0x0030:  0101 080a 030e a916 6baf 9b3c 4d41 494c  ........k....
    18:55:40.850197 PPPoE  [ses 0xccad] IP (tos 0x0, ttl 53, id 23037, offset 0, flags [DF], proto TCP (6), length 103) mho-02-bos.mailhop.org.smtp > gateway.network.roundhere.us.49886: P, cksum 0xf124 (correct), 333:384(51) ack 83 win 65535 
    	0x0000:  1100 ccad 0069 0021 4500 0067 59fd 4000  .....i.!E..gY.@.
    	0x0010:  3506 9612 3fd0 c4b3 3fe0 111e 0019 c2de  5...?...?.......
    	0x0020:  0a58 e103 1a4f c103 8018 ffff f124 0000  .X...O.......$..
    	0x0030:  0101 080a 6baf 9b82 030e a916 3535 3020  ....k.......550.
    	0x0040:  596f 7520 6d75 7374 2061 7574 6865 6e74  You.must.authent
    	0x0050:  6963 6174 6520 746f 2075 7365 204d 6169  icate.to.use.Mai
    	0x0060:  6c48 6f70 204f 7574 626f 756e 640d 0a    lHop.Outbound..


    The more I look at this the more broken I see this is...  

    Authentication isn't even tried.

    Has anyone used this feature before?  Does anyone know it it works with any remote server?
  • 0 in reply to theproto
    Hi, as I said above, it is working for me, with a remote sendmail server.
    Nonetheless, I agree that it's not working for you.

    By the way, what is AXIGEN?

    Barry
  • 0 in reply to BarryG
    AXIGEN is one of the better cross platform mail server that offers a nice administrative and webmail experience.

    I administer AD/Excahnge all day at work and wanted something a bit lighter weight on the administrative side for home.  But I also wanted all the abilities to tweak every aspect of the server though a since web interface.

    This fit the bill nicely.

    I can now administer ASG, Axigen and Sun SSGD all through web interfaces over SSL for my home environment.

    I hope Astaro take a look at this thread and does a battery of tests with remote mail servers to see if they can replicate the issue since I have gone through 3 reinstalls and each time I have the exact same results on any version with this feature.