7.101 SMTP Proxy Smart Host Only?

Hi Alvin,

Do a  quick search of this forum, there are a number of threads on the subject.

I have a couple under my id.

Ian M

Hi Ian,

Tried to search but could not find it.

I play around further and tried the following

1) I set the internal server to smtp.isp.net just to get that proxy enabled.
2) Setup Smart Host smtp.ispnet
3) Setup Allowed Network to Internal
4) " Seems to work" looking at headers but then doubt again as I do not see the "footer" about antivirus checked.
5) I went to GRC and did a scan, saw several ports including 25 open which is not what I want, so disabled everything.

Can share how to go about doing it?

Basically I do not want it to be accessible from outside, all SMTP from Inside would be "hijacked" by this proxy, scanned etc and throw to my ISP SMTP.

Hi Alvin,
1/. enable the smtp proxy
2/. enable and create a dummy email domain
3/. internal server, it is only an address of a local device, I use a printer which is has a host name in the ASG
4/. set to "transparent"
5/. save each section before leaving the page
6/. relaying - your local network in the allowed host/network
7/. save 
8/. use smarthost - I use the ISP's e-mail server
9/. save
10/. enable the per domain profile which should have been automatically created and populated
11/. save
12/. make sure you don't have a packet filter rule allowing smtp (port 25) out.

The whole thing works well. I also scan my outgoing e-mails and add a footer. Because you are sending to your ISP you can disable the checking functions like BATV. If you have a dynamic IP address you will have your e-mails rejected, so it is best to leave those checks turned off.

Ian M[[[:)]]][[[:)]]][[[:)]]]

Hi

Thanks for the steps, I did think of pointing the "internal" server to my computer to get pass that stage but was worried a mis configuration may result in my system compromise.

Anyway I followed the steps and it seems to work but 

1) Port 25, 465 and 567 are Open when I did a scan at GRC.
    During 6.312, I do not have them open.

2) I only have my Internal in the Allowed Relay.

3) No offence but it does not seem logical need to cheat the system with a domain and a internal server, it seems like a bug and would be fixed or am I understanding wrongly.

4) I disabled all the Anti Spam options.

Hi Alvin,
the smtp proxy became a lot more sophisticated under v7.1xx. I used to use it under v6.x without a problem, very simple to use. The same approach doesn't work under v7.1xx
Under v6.*** you were only using the outgoing function, so possibly the proxy was smart enough to learn this and block any incoming traffic. 
Under v7.1xx I don't really care because nothing is listening on that port anyway and the proxy will give it a hard time.

Ian M

As a "Counter Measure" for that 3 open ports, Enable Anti Port Scan and it would appear stealth under GRC so hopefully that defend against simple port scan.

I purposely created 3 Packet Filter rule so that specific traffic to that port from external is denied but it remains opens.

Rules as follow.

ANY -> External WAN Address DROP SMTP
ANY -> External WAN Address DROP Port 465 (Definied as TCP/UDP)
ANY -> External WAN Address DROP Port 587 (Definied as TCPUDP
Below Rules are for my Internal Interfaces out ANY Allow.
Internal -> ANY Allow

Strange that purposely drop the packet and it is still open, the Proxy "overwrite"  manual rules?

Did I specify the rule wrongly or this is the new behavior so that anyone who turn on Proxy would definitely get it to work and not mess with rules as there would be automatic rules that overwrite any others.

Just want to make it as secure as possible.

[H]

The automatic rules for the proxies have precedence over any manually created rules.

Barry

Thank You for confirming the automatic rules wins manual rules.

I do agree automatic rules indeed make the product far much easier to use.
I know as I used 5.x till now and every version I do from scratch to see how easy it is from scratch and very impressed with 7.1 as I got it running with NAT in less than 10 mins.

But I think 

1) Automatic Rules should appear in the packet filter so that we have a better overall picture and not must remember there is a SMTP rule as SMTP proxy is ON etc.

2) Manual Packet Filter should be capable of overwriting automatic rules.
   If a user need to make a manual rule when there is automatic rule, there must be a reason.

3) I still do not think External Port 25 need to be opened for people who simply want Smart Host to ISP SMTP Server which majority of home users would be using.

4) I do not understand what is the reason for Port 465 and 587.
    Initially I thought it is those Anti Spam mechanism that need to query those RBL etc thus need port open but I disabled all the anti spam and the ports remains open.  Anybody understand why the need for 465, 587?

5) I run a No Risk Audit from SecuritySpace and it managed to e-mail me.
It sends a mail to postmaster@[MY IP ADDRESS] and the Firewall further relay to the e-mail I specified under administrator e-mail address.
How can I stop this? I do not want it to accept mails from the WAN Interface.

6) SecuritySpace reports shows a High Risk but as it is a free scan, I cannot see what is the vulnerability.

7) SecuritySpace also attempts a E-mail with a file to cause AV DoS and that caught at SMTP proxy so that is cool rather than crash or high CPU.

Content-Description 42.zip recursive archive
Content-Disposition attachment; filename=42.zip
Content-Transfer-Encoding base64
Content-Type application/zip
From null@securityspace.com
Lines 786
MIME-Version 1.0
Organization Nessus kabale
Received from scanner5.securityspace.com ([69.28.227.215]:47007 helo=example.com) by Astaro with smtp (Exim 4.63) (envelope-from ) id 1JAW6Y-0001nS-4n for postmaster@[MY IP ADDRESS]; Fri, 04 Jan 2008 03:51:51 +0800
Subject Nessus antivirus DoS 1: base64 attachment
To postmaster@[MY IP ADDRESS]
X-cff-LastScanner av
X-cff-Reason infected
X-cff-id 1009
X-cff-run 1
X-cff-srcip 69.28.227.215

8) Now thinking should I continue with the SMTP Proxy since I cannot manually block those 3 ports.

Learn a lot, Thanks all....do advice if I can further secure the system.

Thank You for confirming the automatic rules wins manual rules.

I do agree automatic rules indeed make the product far much easier to use.
I know as I used 5.x till now and every version I do from scratch to see how easy it is from scratch and very impressed with 7.1 as I got it running with NAT in less than 10 mins.

But I think 

1) Automatic Rules should appear in the packet filter so that we have a better overall picture and not must remember there is a SMTP rule as SMTP proxy is ON etc.

2) Manual Packet Filter should be capable of overwriting automatic rules.
   If a user need to make a manual rule when there is automatic rule, there must be a reason.

3) I still do not think External Port 25 need to be opened for people who simply want Smart Host to ISP SMTP Server which majority of home users would be using.

4) I do not understand what is the reason for Port 465 and 587.
    Initially I thought it is those Anti Spam mechanism that need to query those RBL etc thus need port open but I disabled all the anti spam and the ports remains open.  Anybody understand why the need for 465, 587?

5) I run a No Risk Audit from SecuritySpace and it managed to e-mail me.
It sends a mail to postmaster@[MY IP ADDRESS] and the Firewall further relay to the e-mail I specified under administrator e-mail address.
How can I stop this? I do not want it to accept mails from the WAN Interface.

6) SecuritySpace reports shows a High Risk but as it is a free scan, I cannot see what is the vulnerability.

7) SecuritySpace also attempts a E-mail with a file to cause AV DoS and that caught at SMTP proxy so that is cool rather than crash or high CPU.

Content-Description 42.zip recursive archive
Content-Disposition attachment; filename=42.zip
Content-Transfer-Encoding base64
Content-Type application/zip
From null@securityspace.com
Lines 786
MIME-Version 1.0
Organization Nessus kabale
Received from scanner5.securityspace.com ([69.28.227.215]:47007 helo=example.com) by Astaro with smtp (Exim 4.63) (envelope-from ) id 1JAW6Y-0001nS-4n for postmaster@[MY IP ADDRESS]; Fri, 04 Jan 2008 03:51:51 +0800
Subject Nessus antivirus DoS 1: base64 attachment
To postmaster@[MY IP ADDRESS]
X-cff-LastScanner av
X-cff-Reason infected
X-cff-id 1009
X-cff-run 1
X-cff-srcip 69.28.227.215

8) Now thinking should I continue with the SMTP Proxy since I cannot manually block those 3 ports.

Learn a lot, Thanks all....do advice if I can further secure the system.

tcp port 465 is SMTP over TLS/SSL
(http://seifried.org/security/ports/0/465.html)

tcp port 587 is the "alternate submission port" which was standardized after ISPs started blocking port 25 outgoing, so that people travelling can still send through their company email servers, etc. (RFC 2476)

The other questions will probably need to be answered by Astaro.

Barry

Thank You for explaining about the alternate port.

Saw it on GRC but do not understand what it means as it mentioned submission.

1) SecuritySpace was kind enough to release the scan report free of charge and turns out the High Vulnerability is because it is able to send a e-mail which contain a Antivirus DOS Code. 
The good news is SMTP Proxy did detect it and did not crash or hang the Antivirus Engine.
The bad news is it should have been closed for people like me who do not have a SMTP Server but forced to turn on to get over it.

2) The postmaster@MyIPaddress send to my personal e-mail turns out to be a RFC Requirement, saw that on one of the configuration page. on the right side.  So this again won't be possible if not for point 1 whereby we must specify ******x.com domain and get it pointed to something to use other features.

3) Hope Astaro can read this or any vendors can bring this up to Astaro.

Everything else seems to work fine and no other vulnerability detected in SecuritySpace which is good news.

** Those who is keen to try out securityspace / grc scan, ensure Anti Port scan is not enabled so that you see the real sesults.

Now I can only depend on the Anti port Scan and IDS to hope my SMTP do not get abused and hopefully the allowed network is working correctly too.

[:)]

I brought this up to them (astaro support) again today but have been unsuccessful in finding a solution for port 25.

port 465 can be blocked/stealthed using the following NAT rule

Traffic Source: Any
Traffic Service: Email Messaging
Traffic Destination: External (Address)
NAT mode: DNAT
Destination: (blank)
Destination Service: (some port that you don't use & block on the WAN of your firewall)
Automatic
packet filter rule: (yes please...)


But this doesn't seem to be effective for SMTP [:(]
If/When the support crew finds a solution I'll follow up here... (and in case I forget feel free to private message me)

Kury, you have contact with Astaro support because you use it at work?

Anyway hope they can remove the component that is it is a must to 

define ***xx.com -> something before we can use other SMTP Proxy features and that should solve all 3 ports.

Thank YoU ![H]

i just talked with erik from the Burlington office earlier today and among other issues that i've been having switching my company to v7 i hear there are plans to create a separate pre/post snat/dnat rules section under network security tab in the next up2date release. if this a true it means we will have the ability as users to screw with all the default proxy rules by modifying source/destination and to/from ports on any/all services that create there own rules on hard coded interfaces and/or ports/addresses........          so needless to say i'm excited to get my hands on the next release and it should fix this problem for both of us...