Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 29 replies
  • Subscribers 1 subscriber
  • Views 17391 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Outgoing SMTP Proxy ONLY | NO Incoming

Alvin
Hi All,  

I used to be able to configure SMTP Proxy for my LAN to scan Outgoing mails and then the SMTP Proxy -> ISP SMTP Server. 
This is perfect in the 6.x version as no SMTP Ports is opened to external.

Since the 7.x, I have never been able to do that.
The SMTP ports are always open as long as SMTP Proxy is enabled but cannot be used as a relay as I did not configure any domains, I only set my LAN to allow relay. But I do not like the fact port scan shows the port open.

I tried to block manually by setting firewall rules on top to block incoming but it remains open, i think it is some auto rules thus my block rules does not apply.

PORT 25, 465, 587.


I reinstalled 7.402 from Scratch as I could not figure our what I missed and at a stage, I noticed something.

On the Basic Setup Wizard, there is stage for e-mail security that says
" Email traffic can be scanned for spam, viruses and spyware. If you want to use the ASG as an SMTP relay for your internal email clients, enable the outbound SMTP Relay. If you want to scan incoming SMTP Traffic for malware and spam, enable the inbound SMTP relay.

[] Enable POP3 Poxy
[] Enable Inbound SMTP Relay

BUT There is NO Enable Outbound SMTP Relay on the screen which is what I need.

Please advice, thank you.[:S]


This thread was automatically locked due to age.
  • 0 in reply to Billybob
    Hi Billybob,
    thank you for those test results[:)].

    Ian M
  • 0 in reply to Billybob
    Billybob

    Thanks for doing the testing

    1) It is strange that in your case, Only port 25 is open with SMTP Proxy, mine have 3 ports, 25, 465 and 587.

    2) Did you Enable Transparent Mode?
        I try and error with every setting ON and OFF and I realized if I enable Transparent Mode, 25 opens, if I disable it, it closes.
       But I do need Transparent Mode so that laptops need not reconfigure in and out of the network.

    3) For the Routing, is it better to use MX Records or STATIC Host -> Blackhole?


    Thanks !
  • 0 in reply to Alvin
    Hi

    - I am quite sure it is that Transparent Proxy (Enabled) thus Port 25 is Open even with the DNAT.

    - But sometime when we try and error so much, I have to admit I get confused.

    - Can someone confirm Transparent Proxy Enabled, will have Port 25 open?

    - Any idea why I have other 2 ports when others only have 25?

    - Why is this the behavior since there is a section which allow us to define which network to allow relay? If we allow LAN, then it should simply Block WAN right based on the default is deny concept?

    - Please advice me for the routing, MX is better or Static -> Blackhole (non exist ip) is better, I am trying to make it as secure as possible but in this case both seems to work thus I cannot decide what is better.
  • 0 in reply to Billybob
    Hi All

    Just want to share more findings.

    1) 100% Confirmed my port 25 remains open even with DNAT to Blackhole is due to Transparent Proxy Enabled.

    2) The Counter Measure is to add WAN ADDRESS ( I hope I am right but if you think it is better to add WAN Network or the WAN Broadcast, please let me know) to the Skip transparent mode hosts/nets and UNCHECK the   Allow SMTP traffic for listed hosts/nets

    3) I believe the above Theory is the Transparent Mode Hijack much higher level than DNAT etc thus open.

    4) Please note that you still need those DNAT Rules to close other ports.

    5) I hope Astaro can fix it such that in future it only hijack the network under Relaying => Host-based relay => Allowed hosts/networks

    6) Note as a additional safety counter measure, I did put ANY under the Host/Network blacklist => Blocked hosts/networks

    This will block SMTP Traffic directly to the postmaster@[ip.ad.dr.es].

    7) For the Routing, I keep the domain list Empty , Static Host => Blackhole, if someone think it is better to set to MX please let me know. I honestly cannot see any difference. On one hand, it seems good to route anything if any to Blackhole since I do not have a SMTP Server. On the other hand route via MX seems to make sense as I am afraid it breaks my sending out mails which I yet to notice yet.


    YEAH ! Finally closed the unnecessary ports !

    Thank You all who bother to read and contributed and for the rest hope you find this useful !

    Time for another SecuritySpace Audit...
  • 0 in reply to Alvin
    Hi All,

    I used to set the Blackhole as 192.168.1.254 but recently it accidentally happen to be in use when I plug in a printer.

    Thus I felt it is safer to configure this Blackhole as a DNS HOST and hope it resolves to Nothing thus I set the DNS Host as Blackhole.

    It does Resolve 67.215.65.132 because I use OpenDNS which will give this IP Address for anything it does not know.

    1) Please advice if there is any specific IP whereby it is 100% safe to put in? I tried to set 12.0.0.1 and Astaro says invalid.
  • 0
    I just installed Version 8.0

    Please note that the 03 Ports listed above, Yes they remain Open if you ONLY want to use the SMTP as a Outgoing Relay to scan your mails before sending it to the ISP which most home users will do.
    You do need to do the Blackhole to close them.
    I documented the steps in great detail so just follow it.

    I do miss the close by default for OUT GOING SMTP Relay ONLY during the V6 era, but I also believe Astaro have it reasons for this change since V7.

    I do understand people with real mail servers internally need to keep it open but what about Home Users who use ISP to send their mails but still want Astaro to scan for Virus first and also add the nice footers below with disclaimers etc.
  • 0
    As part of Security Space Advance Audit.
    I purposely DISABLE the 03 NAT to Blackhole which will close th eexposed port.
    The reason I disable is just to simulate a Average user normal setup who wants Outgoing SMTP Relay to ISP will have the 03 ports open.

    I noticed Security Space actually managed to e-mailed to the Server with postmaster@[YOUR.WAN.IP.ADDRESS]

    Is this the Normal Behavior or one of the IEEE Standards that the SMTP will access mails to postmaster@[Your.Wan.IP.Address] ?

    I am very confident on top of the 03 ports being blackhole, even if it is not Blackhole, it wont be used as a Open Relay.

    Thus I am not sure why it accepted the e-mail.

    BID : 3027

    This script sends the 42.zip recursive archive to the
    mail server. If there is an antivirus filter, it may start eating huge
    amounts of CPU or memory.

    Solution: Reconfigure your antivirus / upgrade it

    Risk factor : High
  • 0 in reply to Alvin
    I know this an old post.  Hopefully it will help someone.

    I figured out how to do it, but not using the "transparent mode" checkbox.  

    Here's what I did:

    1) Turned on the standard email proxy without transparent mode.  Made sure internal hosts are allowed to relay.  

    2)  Created a blackhole DNAT for all inbound SMTP & SMTPS to my public IP.  

    3) Created a DNAT that will send any SMTP or SMTPS traffic from a host on the internal network to the internal address of the Astaro.  

    This seems to work perfectly.  Outbound SMTP gets redirected to the SMTP proxy and then relayed to the destination.  Inbound connections get blackholed.  

    Cheers!
  • 0
    Hello,

    I'm testing Astaro UTM Software Version 8.102 and I don't understand why port 25 is open.  I don't think the SMTP proxy is work for email. I'm lost on setting up SMTP Email Proxies 

    We have no internal mail server.  We use port 25 and for the other domain we use 26. 

    1) I notice that installation wizard added packet filter rule for internal address service email  to any network.
    2) SMTP is simply mode.
    3) Use transparent mode is OFF
    4) Use the text below as a footer is ON ( but not working)
    5) AntiVirus check footer is ON (but not working)

    Tried use transparent mode ON and turn OFF the packet filter rule for e-mail -> Email Fails
    Tried use transparent mode ON and turn ON the packet filter rule for e-mail -> Email fails

    I lost
    Randy :-(
Cookie Information Banner