BUG REPORT: SMTP Authentication is not working

SMTP auth working without TLS was a bug in 4.0xx that was never fixed to stay backwards-compatible. AUTH was never intended to work over a unencrypted connection.

I fixed this for 5.0xx. Now I'm aware that this does create some problems when upgrading from 4.0xx [:)]cators. Then stop and start the proxy.

SMTP auth working without TLS was a bug in 4.0xx that was never fixed to stay backwards-compatible. AUTH was never intended to work over a unencrypted connection.

I fixed this for 5.0xx. Now I'm aware that this does create some problems when upgrading from 4.0xx [:)]cators. Then stop and start the proxy.

Thanks for the explanation Tom.

However, I'd prefer not to edit exim.conf, especially when up2dates are coming out so often, I'd be editting it quite often I think.
Could we have a button for this in SMTP proxy?

Also, it does not explain why SSL authentication doesn't work from inside the firewall with Outlook 2000.

It still appears to me as if different email clients act differently depending on the authentication used.  I need a consistent setup for our corporate environment.

[ QUOTE ]
SMTP auth working without TLS was a bug in 4.0xx that was never fixed to stay backwards-compatible. AUTH was never intended to work over a unencrypted connection.
 

[/ QUOTE ]

I'm really not a mail protocol expert, but I'm seeing the same thing where a Pocket PC client could relay in 4.xx but can't under 5.xx with the same configuration.    

Are you saying that it's because 5.xx now enforces TLS encryption, and for whatever reason, some clients (like the Pocket PC) aren't able to properly negotiate the TLS encryption and that's why we get the "Cannot Relay" error message?

I will try some testing later tommorow with the fix you mentioned to see if that works.

Here's a trick that may help resolve this.  Many of us who have witnessed SMTP proxy problems imported a configuration from version 4.  Try shutting down the SMTP proxy and then restarting it (using the switch in WebAdmin).  Rebooting the firewall will NOT achieve the same results.  Apparently, this causes SMTP configuration data to be rewritten to the database, fixing what may be a glitch in the v4 import process.  We tried it here, and it seems to have resolved the SMTP authentication troubles.  Of course, you'll still have to enable SMTP authentication and SSL encryption on the client side.  Hope this helps.

I have discovered the problem that was causing SMTP authentication to fail.

The culprit is Symantec Internet Security product.  This software intercepts outgoing mails and somehow causes the connection to fail.

Outlook 2003 gives the error:
Task 'mail.micromine.com.au - Sending' reported error (0x800CCC7D) : 'Your outgoing (SMTP) server does not support SSL-secured connections. If SSL-secured connections have worked in the past, contact your server administrator or Internet service provider (ISP).'

Uninstalling this software and installing Symantec Antivirus appears to fix the issue.
I have not tried just disabling the mail checking in the Symantec Internet Security product, (well I did disable it and it still didn't work, but I didn't reboot the client to test completely, you may get more mileage than I did.)

Symantec Internet Security comes preinstalled on many machines so please beware.

Apologies for ranting to much about this issue, but it was driving me crazy.

I've just had this query from a customer and found this thread. I am a little confused: why is it not possible to use authentication without encryption? The two are very different things for different purposes. If a  system administrator is happy sending passwords in the clear, Astaro should not prevent them from doing so. You could equally say that PPTP should not be allowed now that L2TP is available, but that would not be helpful for people happy with that level of security.

[ QUOTE ]
I've just had this query from a customer and found this thread. I am a little confused: why is it not possible to used authentication without encryption? 

[/ QUOTE ]

It certainly is possible to do this.  All you need is the IP address (or address block) of the remote site, then you put that network (or host address, as the case may be) in the allowed networks area under "Outgoing Mail" in the SMTP Proxy settings.  No encryption or authentication will then be required in order to use the SMTP Proxy.  HOWEVER, if a user is roaming (they don't have a fixed IP), then you will have to tell them to use SMTP Authentication and SSL encryption.  Of course, you could just put "Any" in the allowed networks area of your SMTP proxy, but I'd bet that within a few hours your firewall would be in heavy use by spammers, because you'd become an open relay.

The problem is with remote users who have mail clients which do not support TLS and who have dynamic IP addresses. The whole reason authentication exists is to avoid the open relay problem you describe.

[ QUOTE ]
The problem is with remote users who have mail clients which do not support TLS and who have dynamic IP addresses. The whole reason authentication exists is to avoid the open relay problem you describe. 

[/ QUOTE ]

They're obviously out there, but I don't know of any mail clients that don't support SMTP authentication and SSL encryption.  Not to be crass, but could it be time to look at some new mail client software?  Other than that, maybe Astaro would consider making the SSL encryption an option rather than a mandatory requirement for roaming users.

It should *definately* be put in as an option to be able to use clear text authentication.

With ver 4.XXX clear text worked OK.

When I switched to ver 5.XXX I had no end of problems with roaming users not being able to send email, ALL of whom are on dynamic IP's on mutliple ISPs.

Also I had to issue them all with certificates to get rid of the annoying message that pops up about the certificate not being trusted.

I'm happy to use clear text, it's highly unlikely a spammer is going to sniff the password.

Another issue is SSL SMTP auth seems to break with products like Norton Internet Security.  I've had five clients who couldn't send mail at all till I figured out it was NIS.  Quite hard to diagnose when the clients are 100's-1000's of kilometres away.

PLEASE put in a button or something to make SSL optional.

[ QUOTE ]
With ver 4.XXX clear text worked OK. 

[/ QUOTE ]

Actually, it worked in V4 only because the authentication mechanism was broken.  Astaro fixed the flaw in V5.  However, I totally agree that it should be possible to enable clear text authentication in the event that someone really needs it.  Ideally, it should be part of the user definition, not a global setting.  Out of curiosity, how does this compare to other firewalls -- do competing systems offer this as an option?