Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 25 replies
  • Subscribers 1 subscriber
  • Views 17083 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Alternate port for SMTP

MillardJK
I've been using an alternate port for SMTP in conjunction with an upstream anti-spam/anti-virus service. The advantage has been multiple: crap traffic that relies on the MX record never finds its way to my WAN link, and crap traffic that randomly selects my WAN IP never gets past the firewall because I block all inbound traffic on port 25.

I will continue to use my external filtering service, but I'd really like to get some assistance in configuring the ASG to proxy for me on inbound messages; I can't see where the mail proxy could be configured for a different port for use in a situation like mine.


This thread was automatically locked due to age.
Parents
  • 0
    Unless you explicitly open port 25, it's closed.  The SMTP Proxy allows you to open it up for a single IP by using the 'Upstream host list' on the 'Relaying' tab of 'Mail Security >> SMTP', then checking the 'only' box.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    Unless you explicitly open port 25, it's closed.  The SMTP Proxy allows you to open it up for a single IP by using the 'Upstream host list' on the 'Relaying' tab of 'Mail Security >> SMTP', then checking the 'only' box.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • 0 in reply to BAlfson
    My scenario: inbound, pre-filtered mail comes in on 2525; outbound mail is relayed to my ISP's mailhost (in Exchange parlance, I've configured a 'smart host' for delivery instead of originating everything locally) on 25.

    For outbound proxy:
    I see how I can set up a smart host for the ASG. Do I need to "point" the Exchange server at the ASG instead of the ISP as a different smarthost, or simply remove the Exchange smarthost entry and let the ASG intercept mail as Exchange tries to perform final delivery?

    But what about inbound? I see the relay setup, but there's no obvious way to select a non-standard port. More importantly, my filtering service has a group of addresses that is pretty much unpublished. I'd rather configure the inbound proxy to recognize SMTP traffic on the nonstandard port (regardless of source address) than to use a standard port and have to maintain a list of accepted source addresses.
  • 0 in reply to MillardJK
    Yes, point Exchange at the ASG.

    Why select a non-standard port?  The ASG will drop any port-25 packets if they don't come from your ISP's mailhost.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    In order for the messages to be filtered & accepted on port 25, I'd have to maintain the list of hosts used by the filtering service (NOT my ISP's mailhost). As this can/does change with some frequency, it's easier to use a non-standard port.
  • 0 in reply to MillardJK
    Well, yes, but doesn't the filtering service have some range of IPs or DNS records?

    Or, maybe you could SNAT the traffic coming in through the External interface and change 2525 to 25...

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Well, yes, but doesn't the filtering service have some range of IPs or DNS records?

    Not that I know of. I'll have to chat with their support to figure that out.
    Or, maybe you could SNAT the traffic coming in through the External interface and change 2525 to 25...


    Tried. Failed.
    1) I originally tried to use AD for address verification. I fails.
    2) Messages were logged in the SMTP log as inbound, but delivery to the inside mail host never occurred. Not sure where the test messages ended up going.

    I've reverted back to my "known good" until I can get at it again.
Cookie Information Banner