BUG REPORT: SMTP Authentication is not working

SMTP auth working without TLS was a bug in 4.0xx that was never fixed to stay backwards-compatible. AUTH was never intended to work over a unencrypted connection.

I fixed this for 5.0xx. Now I'm aware that this does create some problems when upgrading from 4.0xx [:)]cators. Then stop and start the proxy.

I've just had this query from a customer and found this thread. I am a little confused: why is it not possible to use authentication without encryption? The two are very different things for different purposes. If a  system administrator is happy sending passwords in the clear, Astaro should not prevent them from doing so. You could equally say that PPTP should not be allowed now that L2TP is available, but that would not be helpful for people happy with that level of security.

I've just had this query from a customer and found this thread. I am a little confused: why is it not possible to use authentication without encryption? The two are very different things for different purposes. If a  system administrator is happy sending passwords in the clear, Astaro should not prevent them from doing so. You could equally say that PPTP should not be allowed now that L2TP is available, but that would not be helpful for people happy with that level of security.

[ QUOTE ]
I've just had this query from a customer and found this thread. I am a little confused: why is it not possible to used authentication without encryption? 

[/ QUOTE ]

It certainly is possible to do this.  All you need is the IP address (or address block) of the remote site, then you put that network (or host address, as the case may be) in the allowed networks area under "Outgoing Mail" in the SMTP Proxy settings.  No encryption or authentication will then be required in order to use the SMTP Proxy.  HOWEVER, if a user is roaming (they don't have a fixed IP), then you will have to tell them to use SMTP Authentication and SSL encryption.  Of course, you could just put "Any" in the allowed networks area of your SMTP proxy, but I'd bet that within a few hours your firewall would be in heavy use by spammers, because you'd become an open relay.

The problem is with remote users who have mail clients which do not support TLS and who have dynamic IP addresses. The whole reason authentication exists is to avoid the open relay problem you describe.

[ QUOTE ]
The problem is with remote users who have mail clients which do not support TLS and who have dynamic IP addresses. The whole reason authentication exists is to avoid the open relay problem you describe. 

[/ QUOTE ]

They're obviously out there, but I don't know of any mail clients that don't support SMTP authentication and SSL encryption.  Not to be crass, but could it be time to look at some new mail client software?  Other than that, maybe Astaro would consider making the SSL encryption an option rather than a mandatory requirement for roaming users.

It should *definately* be put in as an option to be able to use clear text authentication.

With ver 4.XXX clear text worked OK.

When I switched to ver 5.XXX I had no end of problems with roaming users not being able to send email, ALL of whom are on dynamic IP's on mutliple ISPs.

Also I had to issue them all with certificates to get rid of the annoying message that pops up about the certificate not being trusted.

I'm happy to use clear text, it's highly unlikely a spammer is going to sniff the password.

Another issue is SSL SMTP auth seems to break with products like Norton Internet Security.  I've had five clients who couldn't send mail at all till I figured out it was NIS.  Quite hard to diagnose when the clients are 100's-1000's of kilometres away.

PLEASE put in a button or something to make SSL optional.

[ QUOTE ]
With ver 4.XXX clear text worked OK. 

[/ QUOTE ]

Actually, it worked in V4 only because the authentication mechanism was broken.  Astaro fixed the flaw in V5.  However, I totally agree that it should be possible to enable clear text authentication in the event that someone really needs it.  Ideally, it should be part of the user definition, not a global setting.  Out of curiosity, how does this compare to other firewalls -- do competing systems offer this as an option?

So what is the Offical answer from ASTARO..

I did the Fix which Tom suggested on our corporate Firewall.

But i dont like to EDIT in the files manually, Since now the support is AWAY. 

Tom will Astaro ADD a Button for Cleartext passwords?
Thinks this will e a big headache for me and many others.

B-R
Mathias

My SMTP relay worked perfectly till i upgraded our Symantec Anti-Virus Corporate Edition 8.1 to Version 9.
They seem to have implemented a block for outgoing SSL SMTP traffic just like Simon described in Symantec Internet Security. That took me about two weeks to figure out. 
Anyway,  it is not all Astaro's fault, but I still agree that authentication and SSL are two very different things which you should be able to (de)activated seperately.