External Mail Clients can Receive, but Not Send

From a security point of view, you would be better off getting rid of those DNATs, closing all those open external ports and then using a VPN instead.  With SSL, IPsec or Cisco, you even can limit the Remote Access to just your mail server.

Cheers - Bob

I wouldn't mind the VPN approach, but it really sucks on a phone.

On my iPhone, i have to go to settings, vpn, turn it on, wait, enter password.  THEN, i can finally go check my mail.  Horrifically inefficient.

So, opening the port 25 to let my phone send smtp into my network, causes all incoming mail to bypass the proxy.  Suck.

I devised a trick.  i changed the DNAT rule so that the source server was port 255, and the dest was 25.  then told my phone to use 255 for smtp to that server.  Works great.   Since no other mail server out there is trying to send on 255, the mail is forced through the proxy.

Seem like a logical fix?

I have split-tunnel L2TP set to remember my password.  It takes me 2 seconds to activate, and I'm connected a few seconds later.  I can leave it on all day.  For a very small number of specific IPs, I can see opening a few ports, but my iPhone gets a random IP in a large range.  But, I admit to being uptight about security[;)]

This doesn't sound like any of the issues with the new IPS, so what is blocked in the packet filter log?

Cheers - Bob

My assumption is, and maybe it's wrong, that if i use the SMTP proxy, I shouldn't have to do any DNAT port forwarding for mail to be sent/received.  The only ports would be for the IMAP/IMAPS type connection.

Assuming that's correct:

I had everything setup, and the phone would get email.  When it would try to send, i would see the connection to the ASG, it would sit there, and eventually just say connection lost, and the phone would say it couldn't get to the mail server.

The SMTP connection would never actually get to the mail server.  So it was getting stopped at the ASG.

I have since changed my solution again.  The postfix mail server config allows for an alternate port (TCP587) to use when forauthenticated SMTP relays. I enabled that in the postfix config, poked the DNAT hole, and configured the clients.

While not as perfect as no ports open, having just IMAPS and 587 isn't too bad. [;)]

That seems like a healthy solution, especially since it's forwarded to a device that requires authentication.  You first post gave me the impression that you had to open lots of ports, so that's why you had me looking for garlic and a censer[;)]

I think your trick is the right way to allow an external client to relay off an internal mail server if you aren't using a VPN.  It is, in essence, the same thing I do to connect my iPhone and external Outlook Web Access users with our Exchange server.

Thanks for following up and posting your ultimate solution.

Cheers - Bob