Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 25 replies
  • Subscribers 1 subscriber
  • Views 17095 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Alternate port for SMTP

MillardJK
I've been using an alternate port for SMTP in conjunction with an upstream anti-spam/anti-virus service. The advantage has been multiple: crap traffic that relies on the MX record never finds its way to my WAN link, and crap traffic that randomly selects my WAN IP never gets past the firewall because I block all inbound traffic on port 25.

I will continue to use my external filtering service, but I'd really like to get some assistance in configuring the ASG to proxy for me on inbound messages; I can't see where the mail proxy could be configured for a different port for use in a situation like mine.


This thread was automatically locked due to age.
  • 0 in reply to stuartcol
    Hi, glad it's working, but it would probably be best to change the DNAT destination of 'ANY' to the EXT Address.

    Barry
  • 0
    Thanks Barry

    You are right, that is probably best practice...but I would think not necessary. Would welcome your view on my comments below.

    1. Since it is already hitting my external interface, destination is probably already the external interface
    2. Even if external interface wasn't the destination, it is being redirected there anyway and from there standard SMTP rule in Astaro would take control preventing open relay.
  • 0
    The potential problem is that any other traffic on that port would get misdirected.
    I'm not sure if reply traffic gets seen by DNAT, but if so, it's quite likely that it will happen.

    Long ago, on another Linux firewall, I used to have a DNAT for ICQ, around port 4000, and I frequently would have problems surfing the web... I eventually realized that my PC was using incrementing ports for browser and other return traffic, and 4000 would occasionally come up.

    Barry
  • 0
    I agree with points made by both you and Barry.  This is how your DNAT should look in order for you to have what you want with the most reliablility:

    Network Security\DNAT/SNAT
    New Nat rule
    Name:Mail

    Traffic Source: Any
    Traffic Service: MySMTP
    Traffic Destination: External (WAN) Address

    Nat mode: DNAT

    Destination: [leave blank]
    Destination Service: SMTP



    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Now I understand why I thought it wasn't working for me: I would see the SMTP livelog appear to accept the message, but it didn't get relayed to my internal mail server (or so I thought). However, while working on this today, I was more patient and simply started working on other things.
    Lo and behold, here come the test emails, trickling in to my mail server.
    Now I wonder what I can do to improve the performance of the intra-ASG SMTP...
Cookie Information Banner