Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 10 replies
  • Subscribers 0 subscribers
  • Views 3766 views
  • Users 0 members are here
Options
Suggested

[ANSWERED] SMTP server and traffic

brunomc
Hi,

- UTM 9.x functions in one setup as an email relay :
meaning : email from internet hits utm then sends it to an internal server and email going out hits the utm transparant proxy) then utm relays it to upstream host. This seems to be not possible with Copernicus ?
If there is a workaround please let me know.

on UTM 9x Email is scanned before relaying any email deemed not ok is quarantined and accessible through a user portal . This seems to be gone also ?
Documentation seems to imply there is such but i cannot find it at all.

user portal : totally gone ? (Else how to access , really cant find it)

If anyone knows how to resolve these with Copernicus would be great. The above features are critical to us.

thanks, and sorry if i couldnt find its a bit getting used to.
  • 0
    Hi, 
    there is a user portal, I found it while configuring COPERNICUS. 
    Haven't found it since.


    Ian
  • 0
    You can get to the user portal using https://ipaddress  (default port is stock 443)

    Port Settings are in "System / Administration / Settings"
    To change which zones can access this "System / Administration / Device Access"

    I haven't setup email much yet so guessing:

    For incoming you need to setup a policy using Non-HTTP Based Policy (Business) with smtp/s with the appropriate settings (in the future this will be handled by those rule templates??). Rest of the config is under "System / Email"

    Hope this helps.
  • 0 in reply to Corey3443
    Hi,

    thanks il check on the userportal @ 443

    As for email that is not the solution, as i am looking for internet -> UTM -> mailserver )and other way around), not simple passthrough as the usual dumb firewalls do it.  In utm 9.x the systems is actually a true smtp relay and filtering system. 

    It seems to be missing i hope not, anyone from Sophos knows the answer ?
  • 0
    There are two nob to configure that would start Copernicus processing emails.

    1) Firewall configuration (to forward email traffic to mail proxy) : i.e. Create Non-HTTP-based "Business Application policies". There are two types of policies are of interest for email processing.

    1.a) Create Public-Non-HTTP policy if require to scan outbound emails. (i.e. without virtual host)
    Common usage: protect own ip reputation
        
    1.b) create Non-HTTP policy to scan inbound emails (i.e. internal protected mail server) Common usage: protect internal mail servers

    2) Email filters: When traffic hits mail proxy, one may configure Email filters like RBL, SPAM, MALWARE, DLP, SPX rules form Email->Scanning Rules based on Domain/Email specific/Any traffic.     

    Copernicus don't have MTA and its has transparent proxy, so it don't require relay settings, and same can be achieved with virtual hosts.

    Hope it helps.

    -
    Thanks,
    Saurabh
  • 0 in reply to SPandya
    Hi Panda,

    (By the way do you work for Sophos and have been a cyberoam employee ?)

    Thats a shame if its true that the mta is totally gone , that will mean end of the road for us. The mta and its filtering capabilites in utm9 are just perfect.

    If i understand you correctly i need to 
    1. create nat rule so incoming smtp 25 traffic goes DIRECTLY to our mailserver (which we dont like ) and copernicus will do av and other scanning and whatever it does as a proxy ? See the nice feature of utm9 was mails is hand-off to the utm and then the utm delivers it to the email-systems.

    If i am not correct could you tell me how to set it up so internet smtp -> copernicus -> emailserver ?  

    Sorry to ask but all i can figure out is setup incoming rule all 25 traffic to x and then hope.
    And no way to setup upstream relay host ? Seems most of the more complex email features are not there. That is not at all the same functionality.

    Can you explain how i exactly achieve the same in copernicus ?
    email -> copernicus -> emailserver (and how to make copernicus know which the email servers are ?)
    outbound : email server hands off to copernicus then relays to upstream.

    If i get the logic correctly my emailserver now has to relay to upstream itself (which we do not want as that was the great feature of UTM9.)

    Edit : just discovered that roadmap, it seems those features might be part of copernicus 2 and most of the email protection isnt there yet.

    Lets hope copernicus will have the same featureset later then until then no go to migrate which is a shame as i love some of the new features in copernicus.

    Could be i misunderstood and i gladly love to hear differently (And appreciate the help to setup that emailrule) as i prefer to roll to copernicus.

    @sophos : as i see on the roadmap the utm will go further past 9.4 should we stick for all these features to utm for next year ? Its honestly a little confusing.

    regards,
  • 0
    Hi, You had right guess. 

    MTA stuff are not available at-least with Copernicus V1, with pure MTA functionalities (routing/relay/upstream host). You may access user-portal from port no @443 (think, you already got that).

    However, We don't have doubt with difference of use-cases supported by both deployments (Copernicus vs UTM9.4) i.e. MTA vs proxy, but Your mentioned (without upstream host) use-cases are possible with firewall (policies) and Email scanning rules.    

    @1: internet smtp -> copernicus -> emailserver: You need to create business application policy (a firewall rule). It will add virtual host for your (protected) mail server (you have SNAT/DNAT choice here, depends on your need for real public address at mail-server). After adding above policy, internet SMTP traffic to your (protected) mail server will reach via proxy, and proxy will able to apply email scanning/filtering rules (SPAM, RBL, IP reputation, DLP) for domains, you configured.

    [Note: Support teams will shortly place, sticky notes on step by step guide here]

    @2: email->copernicus->external/internal email server (Assume transparent mode): To have this work, you need to create business application policy with public template. This don't need virtual host. You may add "ANY" as protected server, may need to mark MASQ (if require). 

    No matters, where traffic is @1/@2 (i.e. inbound/outbound). Same level of mail scanning  ( RBL/IP reputation/ SPAM check/ malware/ DLP) is applicable in Copernicus (little difference than what we have with UTM9.4, i.e. "scan relayed mail" check with mail protection in UTM9.4).
     
    [Note: Being transparent proxy, Internal mail servers are not able to submit emails to Copernicus in non-transparent mode, but can be achieved with @2]

    Thanks,
    Saurabh
  • 0
    Saurabh,

    Because there is no MTA does that mean if the internal server is unreachable mail is dropped/rejected or is it held in Copernicus?
  • 0
    Copernicus don't accept TCP (e.g. port 25) connection from sending mail server when internal/protected mail server is down. (Mail Queuing likely to happen on sending SMTP server during downtime).

    -
    Thanks,
    Saurabh
  • 0
    This is exactly the SMTP engine of Cyberoam, and is absolutely WORST compared to UTM9. Also, logs are very, very, very poor (but this is true non only for SMTP). So far a very BAD idea not to use the SMTP engine of UTM9 in Copernicus.
  • 0
    Can someone from Sophos explain how new SMTP works? I love MTA on UTM 9 (apart ehlo for multidomain that is missing and bind interface too via web).
Unfiltered HTML