It cannot be this difficult!!!!!!!!!!!!!!!!!

[ QUOTE ]
I am astounded at how, things just DONT work in this product, I am frustrated beyond belief. I have followed the Guidebooks and online suggestion, with absolutly nothing working. Its amazing to me that its this is the case, JUST WANT TO LET PEOPLE CHECK AND SEND MAIL  FROM THE INTERNET!!!!! Is that asking to much???????

Ryan 

[/ QUOTE ]That is kinda vauge...
Are you allowing pop/smtp traffic through?

im sorry ERASER, Im just fed up. 
1. Im using SMTP Proxy for SMTP, I have an internal mail server. Whenever I send to any email address, besides my domain name -- it says relaying not permitted. 
2. Here is my DNAT Rule for checking POP Mail -- Times OUT
Any -> External (Address) / POP3   None   MAIL_SERVER 
3. Here is my Packet Filter Rule
Any  0.0.0.0/0   POP3    192.168.1.5   MAIL_SERVER    Pop3  

Hope you can help,
Thanks
Ryan

I have tried this as well

Outgoing Mail
Allowed Networks
mail_server
Internal (NETWORK)

Thanks
Ryan

Have you checked the live log for SMTP whilst sending a mail in ?  This will help track down the issue.

Suggest you turn off AV and Content scanning whilst getting this running.

Does your MX record for the domain point to the firewall, or to your mailserver behind the firewall ?  It should point to the firewalls external address.

Simon, my MX record points to the internal mail server, not the firewall.

Well, that's going to be a problem.
Remove the DNAT and SMTP rules you added.
Have the internal mail server use a private network number (repost if you don't know what that is), and give the external interface of the firewall the IP address published in your MX either as your primary address on the external interface, or as an additional; but additionals cause a perfoirmance hit, and can be tricky to troubleshoot.

Your internal mail clients on the privately numbered LAN will have to either use the internal IP of the mail server stored in a setting of their mail clients or operating system settings, or use a DNS server on the LAN that publishes the mail server's address as the internal number; people on the Internet will not use that DNS server. This technique is known as split DNS.

OK, Do what SecApp says.  You need to have the MX record pointing to the Astaro red interface (external).  Otherwise Astaro SMTP proxy won't work.  (Since it's handling all SMTP mail comms).

hi,

in my installation it works this way:
mx pointing to Mail_IP - (this was mailservers adress before asl-time)
now Mail_ip is on ASL-box _internal_nic-alias.
mx still point in to Mail_IP.
mailserver got dmz-private ip.
incoming mail is forwarded to mailserver as relay for incoming mails.
outgoing mail goes from clients to Mail_ip (internal-nic of ASL), no NAT-translation, not sent to mailserver in dmz.
outgoing mail from mailserver get SNAT (source ip set to Mail_IP.

(internal network is subnet of external network in my case
else i believe it makes sense to point mx to external nic ... )

does it help?

kind regards from germany,

chris

I have it setup that way, internal clients use internal DNS of 192.168..... and people on the internet use the internet address of 209.210.201......  Still get the relay error

The message could not be sent because one of the recipients was rejected by the server. The rejected e-mail address was 'ryan@hemp-tech.com'. Subject 'TEsting', Account: 'smtp.stormwaterinc.com', Server: 'smtp.stormwaterinc.com', Protocol: SMTP, Server Response: '550 relay not permitted', Port: 25, Secure(SSL): No, Server Error: 550, Error Number: 0x800CCC79

Unless I insert ANY in the Outgoing Mail box, then it works. I dont want to be an open relay.

Ryan

I did a telnet test to the two MXes listed for hemp-tech.com (something you can try for yourself; Search for how to do, keywords telnet, SMTP). I get a banner announce of mail.zoneedit.com. Shouldn't I be seeing whatever.hemp-tech.com?? Looks like the domain is not set right, unless I am not talking to your Astaro but an ISP's relay...

That sounds like your real mailserver isn't allowing the connection from the ASL box.  You need to enable the domain(s) on your real mailserver to allow the relay (only) from the ASL box.

Yes hemp-tech.com mail is being forwarded by zoneedit.com to lanscrubber.com

Yes hemp-tech.com mail is being forwarded by zoneedit.com to lanscrubber.com

Your firewall is working then as it should. If you are on the outside, how is it to know that some randrom IP is supposed to be able to relay?

Only way you can do it is to use SMTP Authentication [:)]

My setup is:

mail.micromine.com.au A NAME 203.11.69.14 (DMZ Located Mailserver)
micromine.com.au MX micromine-gw.amnet.net.au (ASL External Interface)

In ASL SMTP Proxy:

SMTP Routes Table   
~~~~~~~~~~~~~~~~~~~~~~~~~~
Domain name   SMTP host
micromine.com.au   mail.micromine.com.au

I use the external interface of ASL for my users to send mail via SMTP.  I force them to authenticate using a username and password.

So: (SMTP Route)
(Internet)->ASL External IP->ASL SMTP Proxy->DMZ IP->Internal Mail Server Box

Thanks guys I can now send mail, but cannot check mail viia pop3. How do I set up rules etc? 

Thanks
Ryan

POP Proxy (if you purchased AV option, you can scan mail); or direct through the wall?

No I mean how do I check mail on the internal server when Im outside the newtwork?? What rules and DNAT must I setup?

You would have to setup a SNAT/DNAT rule to allow POP3 through to your internal mail server and a packet rule to match.

Here are my rules they still dont work

http://www.stormwaterinc.com/ryanh/

check them out

Thanks
Ryan

How about the DNAT?

Consider the thread closed. I have had enough.

I was just going to reply... try telnetting to port 110 from the outside, then look in the packet filter logs to see if it was blocked. 

If it was, then try allowing pop3 to the external interface as a pf rule.