Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 10 replies
  • Subscribers 0 subscribers
  • Views 3645 views
  • Users 0 members are here
Options
Suggested

[7.386 and -] Authenticated Smart Host Relay Fails Authentication

theproto
I have been struggling with this for some time now as well as another Astaro user.   The SMTP proxy will not authenticate correctly to a remote relay ie: DynDNS MailHop Outbound:

Mail Manager Log:
2009-01-26 21:53:01 recipient@domain2.com R=smarthost_route T=remote_smtp: SMTP error from remote mail server after MAIL FROM: SIZE=3746: host outbound.mailhop.org [63.208.196.179]: 550 You must authenticate to use MailHop Outbound

SMTP Proxy Log:
2009:01:26-21:52:08 gateway exim[29930]: 2009-01-26 21:52:08 exim 4.69 daemon started: pid=29930, no queue runs, listening for SMTP on port 25 (IPv4) port 587 (IPv4) and for SMTPS on port 465 (IPv4)
2009:01:26-21:52:53 gateway exim[29930]: 2009-01-26 21:52:53 SMTP connection from [10.0.0.58]:60726 (TCP/IP connection count = 1)
2009:01:26-21:52:54 gateway exim[29950]: 2009-01-26 21:52:54 [10.0.0.58] F= R= Accepted: from relay
2009:01:26-21:52:54 gateway exim[29950]: 2009-01-26 21:52:54 1LRf0Q-0007n4-0M sender@domain1.com H=(mail.domain1.com) [10.0.0.58]:60726 P=esmtps X=TLSv1:AES256-SHA:256 S=2701 id=1233028372740600000@unknown
2009:01:26-21:52:54 gateway exim[29950]: 2009-01-26 21:52:54 SMTP connection from (mail.domain1.com) [10.0.0.58]:60726 closed by QUIT
2009:01:26-21:52:55 gateway smtpd[4052]: QMGR[4052]: 1LRf0Q-0007n4-0M moved to work queue
2009:01:26-21:53:00 gateway smtpd[29957]: SCANNER[29957]: id="1000" severity="info" sys="SecureMail" sub="smtp" name="email passed" srcip="10.0.0.58" from="sender@domain1.com" to="recipient@domain2.com" subject="Test" queueid="0zpGAP-0007n4-0M" size="1954"
2009:01:26-21:53:01 gateway exim[29960]: 2009-01-26 21:53:01 0zpGAP-0007n4-0M server_plain authenticator failed H=outbound.mailhop.org [63.208.196.179] 535 Incorrect authentication data
2009:01:26-21:53:01 gateway exim[29960]: 2009-01-26 21:53:01 0zpGAP-0007n4-0M server_login authenticator failed H=outbound.mailhop.org [63.208.196.179] 535 Incorrect authentication data
2009:01:26-21:53:01 gateway exim[29959]: 2009-01-26 21:53:01 0zpGAP-0007n4-0M ** recipient@domain2.com R=smarthost_route T=remote_smtp: SMTP error from remote mail server after MAIL FROM: SIZE=3746: host outbound.mailhop.org [63.208.196.179]: 550 You must authenticate to use MailHop Outbound
2009:01:26-21:53:01 gateway exim[29966]: 2009-01-26 21:53:01 1LRf0X-0007nK-29 <> R=0zpGAP-0007n4-0M U=exim P=local S=3744
2009:01:26-21:53:01 gateway exim[29959]: 2009-01-26 21:53:01 0zpGAP-0007n4-0M Completed

I can use this service from my mail server directly however Astaro cannot authenticate.

Further service info can be found here.

I know the issue must be on the ASG side since I have connected to this server with Exchange, AXIGEN, Exim, Windows Mobile and Outlook directly unencrypted, again with TLS and SSL flawlessly for the last 2 years.

I have been fighting this one off and on for months now and have gotten nowhere but this is a better time than any to get the bug out in the open as I do believe it is a bug after combing the logs.

I would really like to be able to use this feature in the near future as well as even have the ability to choose TLS or SSL to send mail via a smart host relay.
Parents
  • 0
    Can you sniff the connection to see if the username/password setup in the smarthost authentication are being sent?
    (tcpdump is availble on the Astaro shell, fyi)

    Barry
  • 0 in reply to BarryG
    The network is a bit busy here at home right now with my wife watching something on hulu.com, my Sprint AIRAVE going and jungledisk backing up my notebook.

    "tcpdump -i eth1 -e -X -vv" will do the trick for this.

    I don't feel like running expressions against it right now as I don't have the time tonight but will have that answer tomorrow evening as the house should be empty.
  • 0 in reply to theproto
    Well...  I won't see if authentication did happen since I cannot toggle TLS on or off for testing.  

    06:15:00.893538 00:1e:4a:74:f4:48 (oui Unknown) > 00:1a:8c:10:63:3a (oui Unknown), ethertype PPPoE S (0x8864), length 92: PPPoE  [ses 0xccad] IP (0x0021), length 72: (tos 0x0, ttl 53, id 3897, offset 0, flags [DF], proto TCP (6), length 70) mho-02-bos.mailhop.org.smtp > gateway.domain1.com.47548: P, cksum 0xfe13 (correct), 414:432(18) ack 46 win 65535 
            0x0000:  1100 ccad 0048 0021 4500 0046 0f39 4000  .....H.!E..F.9@.        0x0010:  3506 e0f7 3fd0 c4b3 3fe0 111e 0019 b9bc  5...?...?.......        0x0020:  9008 7645 e250 df2c 8018 ffff fe13 0000  ..vE.P.,........        0x0030:  0101 080a 68f7 37fa 0260 95b7 3232 3020  ....h.7..`..220.
            0x0040:  544c 5320 676f 2061 6865 6164 0d0a       TLS.go.ahead..
  • 0 in reply to theproto
    I believe you can disable TLS by adding the 'ANY' network to the Skip TLS list on the Advanced page of the SMTP settings.

    Also, adding 
    port 25
    should narrow down your tcpdump.

    Barry
  • 0 in reply to BarryG
    Specifying only port 25 has yielded no packets so I gave up on that and just captured all the data in clear text and have verified that indeed there is no plain text login info passing.  

    For obvious reasons I do not with to post the results of my new scan without TLS (good tip as I didn't know that I could stop it from upstream hosts on that page for testing) however if I scan traffic from AXIGEN through the firewall I can see login information is I disable all encryption options for testing.
  • 0 in reply to theproto
    OK, so it does appear to be sending the authentication info correctly?

    Maybe this is a bug... does anyone else have a smarthost with auth they can test?

    Maybe I can try something when I get home too.

    Barry
  • 0 in reply to BarryG
    Hmm... it's working fine for me... using 7.386 with a sendmail 8.13.8 server as relay, with authenication required... it relayed an email to my gmail acct.

    Maybe double-check that you're using the right authentication settings?

    Did the sniff show the rejection from the smarthost server?

    Barry
Reply Children
No Data