Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 1 subscriber
  • Views 1569 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Astaro 7.5 - SMTP changes outgoing mail?

Rumak18
Hallo,
we're using Astaro 7.5 as firewall and smtp proxy is active to route domains. Just before an email leaves our system it is signed or/and encrypted. But not with Astaro. We have another product in using for this. Now, every time i fetch those singed e-mails with a pop3 client, the client (Outlook and Thunderbird) say that the mail was changed and the signature is not trustworthy. Now an other administrator of our customers claims, that our Astaro changes the mail. But how can i confirm this? 
The options, that might trigger this behavior and whose i consider as possible for changing mails are:

- Antivirus scanning on Astaro is on, but anti virus checkfooter is off.
- Content scan for relayed (outgoing) messages is on
- Reject invalid HELO / missing RDNS is on
- Use Greylisting is on
- Use BATV is on
- Perform SPF check is on
- Footers mode IS "Inline, unicode conversion"
- "Confidentiality footer" is OFF
Can anyone help me?


This thread was automatically locked due to age.
Parents
  • 0
    Here is the answer i got from astaro support, but i do not know how to realize the proposal:

    We do add SMTP headers to the message that can not be disabled (this is very
    common for MTAs).  The better topology would be to put the mail proxy behind the
    email encryption device.  That way when the mail encryption device receives the
    message it will have final headers intact.  Then when the signing happens, the
    headers will be part of the hash and the integrity will be kept.

    I only have one firewall, so i don't know how to put the smtp proxy behind the signing gateway by keeping the ASG as firewall.
Reply
  • 0
    Here is the answer i got from astaro support, but i do not know how to realize the proposal:

    We do add SMTP headers to the message that can not be disabled (this is very
    common for MTAs).  The better topology would be to put the mail proxy behind the
    email encryption device.  That way when the mail encryption device receives the
    message it will have final headers intact.  Then when the signing happens, the
    headers will be part of the hash and the integrity will be kept.

    I only have one firewall, so i don't know how to put the smtp proxy behind the signing gateway by keeping the ASG as firewall.
Children
  • 0 in reply to Rumak18
    I guess the easiest is, when you use the 'transparent' proxy for email scanning, to set the signing device in the 'to skip the transparant scanning' list, so the mails go out directly... Or when not using the proxy in transparent mode, to just allow smtp traffic from the signing box to any in the packet filter... That way it will not be processed by the ASG when being sent...
  • 0 in reply to BramKortleven
    So i just have to check the box for "transparent proxy" and add the server to the "skip list" ... that's all? But by using the "skip list" even incoming mail isn't checked by the ASG. But i assume, that if i create an SMTP outgoing packet filter for the signing server and remove it from the "telaying" list , all incominng mails are still checked, but not the outgoing ones. Am i mistaken?
Cookie Information Banner