Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 1 subscriber
  • Views 3868 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SMTP Login - I hope this is not standard behaviour

eclipse79oldacct
Hello,
In my SMTP proxy I have set 3 hosts in Host Based Relay that are authorized to use the built-in SMTP server. I have noticed that if a user tries to send mail throught Astaro, my asg queries the active directory in order to see if the user is authorized or not to relay, even if its ip address is not listed in Host Based Relay. The result of this is that my astaro was under attack (thousands of smtp transaction, all of these failed cause of unallowed user/password) and my Domain Controller received a lot of query. 

Is it normal? How can I block ip if they fails login attempts?

Thank You
eclipse79


This thread was automatically locked due to age.
Parents
  • 0
    If I understand your situation, I think the DNAT you had before would work if you created an Additional Address on your External interface and had them "aim" at that instead of your primary IP.

    I don't know if the Astaro insists on capturing all traffic that hits the interface regardless of the IP.  If it does, then you'll need to have them use a different port (SMTP-Alt is 587) and change the DNAT to 'Any -> SMTP-ALT -> External (Address) : DNAT SMTP to {mailserver}'.

    In this way, they will be authenticated by the mail server and you can disable user auth for the SMTP Proxy.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson

    I don't know if the Astaro insists on capturing all traffic that hits the interface regardless of the IP. 


    Hi bob, 
    I'll try to follow your suggestion as soon as possible. Anyway I think that I will have to use SMTP-ALT port. I remember that, the first time I used SMTP proxy, at first time it didn't work because I didn't disable NAT. So I think that NAT has priority to SMTP proxy.

    Thank you [:)]
Reply
  • 0 in reply to BAlfson

    I don't know if the Astaro insists on capturing all traffic that hits the interface regardless of the IP. 


    Hi bob, 
    I'll try to follow your suggestion as soon as possible. Anyway I think that I will have to use SMTP-ALT port. I remember that, the first time I used SMTP proxy, at first time it didn't work because I didn't disable NAT. So I think that NAT has priority to SMTP proxy.

    Thank you [:)]
Children
  • 0 in reply to eclipse79oldacct
    DNATs come before Proxies; Proxies come before manual packet filter rules and routes; SNATs come last.  So, if you had a DNAT like 'Any -> SMTP -> External (Address) : DNAT to {mailserver}', you are right that the proxy would not see the traffic.

    I wasn't clear enough that you might be able to use:

    Any -> SMTP -> External {Alternate} (Address) : DNAT to {mailserver}


    instead of the second approach I listed above.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Cookie Information Banner