Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 29 replies
  • Subscribers 1 subscriber
  • Views 17403 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Outgoing SMTP Proxy ONLY | NO Incoming

Alvin
Hi All,  

I used to be able to configure SMTP Proxy for my LAN to scan Outgoing mails and then the SMTP Proxy -> ISP SMTP Server. 
This is perfect in the 6.x version as no SMTP Ports is opened to external.

Since the 7.x, I have never been able to do that.
The SMTP ports are always open as long as SMTP Proxy is enabled but cannot be used as a relay as I did not configure any domains, I only set my LAN to allow relay. But I do not like the fact port scan shows the port open.

I tried to block manually by setting firewall rules on top to block incoming but it remains open, i think it is some auto rules thus my block rules does not apply.

PORT 25, 465, 587.


I reinstalled 7.402 from Scratch as I could not figure our what I missed and at a stage, I noticed something.

On the Basic Setup Wizard, there is stage for e-mail security that says
" Email traffic can be scanned for spam, viruses and spyware. If you want to use the ASG as an SMTP relay for your internal email clients, enable the outbound SMTP Relay. If you want to scan incoming SMTP Traffic for malware and spam, enable the inbound SMTP relay.

[] Enable POP3 Poxy
[] Enable Inbound SMTP Relay

BUT There is NO Enable Outbound SMTP Relay on the screen which is what I need.

Please advice, thank you.[:S]


This thread was automatically locked due to age.
Parents
  • 0
    Scanning outbound mail has never been available in V7.

    Post-install:
    'Mail Security >> SMTP' 'Relaying' tab - 'Scan relayed (outgoing) messages' checkbox

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hi,
    If you do a search in this forum for my user id, sometime in the last 3 months I posted a detailed description on how to setup scanning on out going smtp mail using the proxy for a home user.

    Ian M
  • 0 in reply to Alvin
    Have you tried to set a smarthost in the current version?
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to Billybob
    Hi Alvin,
    I have just finished a basic security scan of my ASG with the same website you refer to in your message and not found any open ports. I will try again with the IPS disabled and see what happens.

    Ian M

    I ran the "No Risk Audit". It returned one intermediate threat ??, 3 minors and 6 others. The 3 minors were all about my non existent e-mail server which happens to be my hp7150 printer. The "others" were informational only "no risk".

    I did forget to add in my configuration post that I block all packet filter traffic below 1024 to ensure everything goes through the proxy. Some applications are very dumb and can't work with a proxy even when they have the ability to. I then put specific packet filter rules to allow them to talk to specific sites eg microsoft update, adobe update, Australian Tax Office (e-tax) etc.
  • 0 in reply to RFCat_vk_01
    Hi

    Balfson - Yes I added my ISP SMTP to the smarthost and looking at headers, yes it is working fine.

    RFCat_vk - Ensure your port scan detection under IPS is disabled.

    [:D]
  • 0 in reply to Alvin
    Hi Alvin,
    yes, I had detect portscan disabled, I also disabled the DOS rules as well.

    Put them all back after I finished the tests.

    Ian M
  • 0 in reply to RFCat_vk_01
    RFCAT_VK

    So did your SMTP Ports shows Open?
  • 0 in reply to Alvin
    Ok I have repeated the same test multiple times on grc.com. All tests with antiportscan turned off

    SMTP Proxy on, all ports are stealth, port 25 open
    SMTP proxy off, all ports are stealth
    SMTP proxy on, DNAT to no existing IP, ALL Ports Stealth Again.

    Again this is all with astaro 7.401.
  • 0 in reply to Billybob
    Hi Billybob,
    thank you for those test results[:)].

    Ian M
  • 0 in reply to Billybob
    Billybob

    Thanks for doing the testing

    1) It is strange that in your case, Only port 25 is open with SMTP Proxy, mine have 3 ports, 25, 465 and 587.

    2) Did you Enable Transparent Mode?
        I try and error with every setting ON and OFF and I realized if I enable Transparent Mode, 25 opens, if I disable it, it closes.
       But I do need Transparent Mode so that laptops need not reconfigure in and out of the network.

    3) For the Routing, is it better to use MX Records or STATIC Host -> Blackhole?


    Thanks !
  • 0 in reply to Alvin
    Hi

    - I am quite sure it is that Transparent Proxy (Enabled) thus Port 25 is Open even with the DNAT.

    - But sometime when we try and error so much, I have to admit I get confused.

    - Can someone confirm Transparent Proxy Enabled, will have Port 25 open?

    - Any idea why I have other 2 ports when others only have 25?

    - Why is this the behavior since there is a section which allow us to define which network to allow relay? If we allow LAN, then it should simply Block WAN right based on the default is deny concept?

    - Please advice me for the routing, MX is better or Static -> Blackhole (non exist ip) is better, I am trying to make it as secure as possible but in this case both seems to work thus I cannot decide what is better.
  • 0 in reply to Billybob
    Hi All

    Just want to share more findings.

    1) 100% Confirmed my port 25 remains open even with DNAT to Blackhole is due to Transparent Proxy Enabled.

    2) The Counter Measure is to add WAN ADDRESS ( I hope I am right but if you think it is better to add WAN Network or the WAN Broadcast, please let me know) to the Skip transparent mode hosts/nets and UNCHECK the   Allow SMTP traffic for listed hosts/nets

    3) I believe the above Theory is the Transparent Mode Hijack much higher level than DNAT etc thus open.

    4) Please note that you still need those DNAT Rules to close other ports.

    5) I hope Astaro can fix it such that in future it only hijack the network under Relaying => Host-based relay => Allowed hosts/networks

    6) Note as a additional safety counter measure, I did put ANY under the Host/Network blacklist => Blocked hosts/networks

    This will block SMTP Traffic directly to the postmaster@[ip.ad.dr.es].

    7) For the Routing, I keep the domain list Empty , Static Host => Blackhole, if someone think it is better to set to MX please let me know. I honestly cannot see any difference. On one hand, it seems good to route anything if any to Blackhole since I do not have a SMTP Server. On the other hand route via MX seems to make sense as I am afraid it breaks my sending out mails which I yet to notice yet.


    YEAH ! Finally closed the unnecessary ports !

    Thank You all who bother to read and contributed and for the rest hope you find this useful !

    Time for another SecuritySpace Audit...
Reply
  • 0 in reply to Billybob
    Hi All

    Just want to share more findings.

    1) 100% Confirmed my port 25 remains open even with DNAT to Blackhole is due to Transparent Proxy Enabled.

    2) The Counter Measure is to add WAN ADDRESS ( I hope I am right but if you think it is better to add WAN Network or the WAN Broadcast, please let me know) to the Skip transparent mode hosts/nets and UNCHECK the   Allow SMTP traffic for listed hosts/nets

    3) I believe the above Theory is the Transparent Mode Hijack much higher level than DNAT etc thus open.

    4) Please note that you still need those DNAT Rules to close other ports.

    5) I hope Astaro can fix it such that in future it only hijack the network under Relaying => Host-based relay => Allowed hosts/networks

    6) Note as a additional safety counter measure, I did put ANY under the Host/Network blacklist => Blocked hosts/networks

    This will block SMTP Traffic directly to the postmaster@[ip.ad.dr.es].

    7) For the Routing, I keep the domain list Empty , Static Host => Blackhole, if someone think it is better to set to MX please let me know. I honestly cannot see any difference. On one hand, it seems good to route anything if any to Blackhole since I do not have a SMTP Server. On the other hand route via MX seems to make sense as I am afraid it breaks my sending out mails which I yet to notice yet.


    YEAH ! Finally closed the unnecessary ports !

    Thank You all who bother to read and contributed and for the rest hope you find this useful !

    Time for another SecuritySpace Audit...
Children
  • 0 in reply to Alvin
    Hi All,

    I used to set the Blackhole as 192.168.1.254 but recently it accidentally happen to be in use when I plug in a printer.

    Thus I felt it is safer to configure this Blackhole as a DNS HOST and hope it resolves to Nothing thus I set the DNS Host as Blackhole.

    It does Resolve 67.215.65.132 because I use OpenDNS which will give this IP Address for anything it does not know.

    1) Please advice if there is any specific IP whereby it is 100% safe to put in? I tried to set 12.0.0.1 and Astaro says invalid.
Cookie Information Banner