Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 2663 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

mailserver in dmz behind smtp proxy

bce
hi folks,

i have following problem:

i got my mailserver in my dmz. the smpt proxy is configured and activatied. reciving mails and forward them to the "real mailserver" is no problem and sending mail via the smpt proxy is no problem to.
but if users from the internet want to send mail via their mailclients this doesn´t work. because the authentication is must be done by the mailserver in the dmz. but the smpt proxy grabs all trafic so that users from external aren´t able to send mails via the mailserver.

i´ve solved it with a dnat/snat rule --> but now incoming mails ar bypassing the proxy. only outgoing mails are going out via the proxy.

is there any posibility to make it posible for external users to authenticate to the mailserver in the dmz but don´t bypass the smtp proxy ?


This thread was automatically locked due to age.
Parents
  • 0
    Hi,

    why not let the users use the SMTP proxy as relay? Do you have any centralized authentication mechanism like RADIUS?

    Do you really need the DMZ SMTP for external users? Where´s the problem not to use it for?

    Alex
  • 0 in reply to alasc
    no i have no radius.

    if i would allow them to use the smtp proxy than i should enter the accounts twice once i the mailserver and another time in the astaro box - this is to much work. and the other thing is that users who are using webmail have no copy of the sent mails then   anymore because everything goes directly via the proxy and not via the dmz server first.
    i thoght the proxy could understand that someone is trying to authenticate to the server behind it.
Reply
  • 0 in reply to alasc
    no i have no radius.

    if i would allow them to use the smtp proxy than i should enter the accounts twice once i the mailserver and another time in the astaro box - this is to much work. and the other thing is that users who are using webmail have no copy of the sent mails then   anymore because everything goes directly via the proxy and not via the dmz server first.
    i thoght the proxy could understand that someone is trying to authenticate to the server behind it.
Children
  • 0 in reply to bce
    I use a similar setup, with one exception. To send mail from outside my network I need to use SMTP over SSL on port 465 directly to my mail server. I receive SMTP (port 25) at the proxy and it is relayed to my internal mail server. Outgoing mail is sent direct except for certain domains, those are sent to my ASL relay that uses a smarthost (my ISP).
    External users should be using SMTP-SSL. Thsi can be forwarded directly to your mail server using DNAT.
  • 0 in reply to JimmyM
    this is one working solution but if you provide free mailaccounts to friends and others who aren´t so familiar with computing it´s to much work to explain them how to configure this in theri diferent clients
  • 0 in reply to bce
    Create a short How-To, and distribute it with their new new email account details. Sometimes the simplest solution for them isn't always the best solution. Find an ISP (att.net comes to mind) that uses SSL for off-network SMTP access and use their How-To as a guide.
  • 0 in reply to bce
    ok sorry guys,

    i have to correct my question. 
    if i would have 2 ip´s i could use it thist way -> filtermail.xxx.net MX=50)  and mail.xxx.net (MX=60)

    so that filtermail.xxx.net (wich is the smtp proxy) recives as first the incoming mails. and users could use mail.xxx.net to login or to authenticate.

    but i got just one ip so that i have to forward port 25 to mail.xxx.net to make it possible that users are able to authenticate and to send mails.
     or is there another way without the usage of ssl?