SMTP she dare not

What mail server are you using?

I have verify recipients off on my Astaro and let Exchange 2007 handle the non delivery reports for non existent users.

we have a dedicated postfix on the LAN. The Astaro is the first point of entry for the leased line. it has its own smtp. The mail server also has its smtp relay, which is an external email service provider (Netcore), who maintains our postfix mail server.

Is Verify Recipient turned on in Astaro?

What mail server are you using?

I have verify recipients off on my Astaro and let Exchange 2007 handle the non delivery reports for non existent users.

Is Verify Recipient turned on in Astaro?

Hi Simon,
No, the 'Verify Recipient' is off in Astaro. I have the AD configured on the astaro too. Will turning on the verify recipient help? And will it pick up the mail address of all the valid users from the AD?

I'm a little confused.  It sounds like you're using the SMTP Proxy, but the mail-server sounds like it's configured for the Astaro to be using a DNAT instead.

In general, for an internal mailserver, you configure the Astaro SMTP Proxy with the mailserver in the 'Hosts list' on the 'Routing' tab, and in the 'Allowed hosts/networks' on the 'Relaying' tab.  If the ISP requires the use of one, the 'Smarthost sttings' are at the bottom of the 'Advanced' tab; near the top of this tab, 'Transparent mode' normally should not be selected.  In any case, the mailserver must point at the Astaro as its smarthost - not at the ISP's smarthost.

If that's the configuration you have, then 'Verify recipient' "by callout" should work for you.  Verification with AD also should work, but that adds an unnecessary link in the verification chain.  If I understand Simon's setup, he has chosen to have the Astaro pass any safe, non-spam emails to Exchange to reject instead of letting the Astaro reject emails to non-existant accounts in his domain.

Cheers - Bob

It is as you have pictured, 
the mail server is in the 'Hosts list'. 
Smarthost settings are blank though. 
Transparent mode is off.

Your statement - 'In any case, the mailserver must point at the Astaro as its smarthost - not at the ISP's smarthost.' has not been understood well by me.

Lastly, I tried 'Verify Recipient' by Callout, but it didn't change anything. The error posted by me for this post, still continues.

To make the picture more transparent:
The Mails server is only on the LAN (there is no wan on the mail server) . The MX IP address is defined on the mail domain DNS zones. This same IP is in 'Network > Interfaces > Additional Addresses' of the Astaro ASG 220, which points to the mail server LAN IP. Whenever an incoming mail hits the mail domain, it is MX forwarded to this IP on the firewall and the firewall smtp takes charge and accordingly forwards it to the mail server via the LAN.

All the mails (in/out) are working fine, except for the non existant mails, which should get the 'User does not exist' error.

The MX IP address is defined on the mail domain DNS zones.  This same IP is in 'Network > Interfaces > Additional Addresses' of the Astaro ASG 220, which points to the mail server LAN IP. Whenever an incoming mail hits the mail domain, it is MX forwarded to this IP on the firewall and the firewall smtp takes charge and accordingly forwards it to the mail server via the LAN.

Let me repeat in my own words to be sure I understand.  In the public authoritative name server for your domain, an MX record points at an FQDN that resolves to a public IP on the External interface of your Astaro.

What I still don't understand is whether the traffic is really going through the SMTP Proxy.  The SMTP Proxy only knows to use the primary IP in the interface definition; in order to send the traffic from a different IP, you need a NAT rule like 'External (Address) -> SMTP -> Any : SNAT from {additional address}'.  Please show pictures of the 'Routing' tab and of the 'Transparent mode' section on the 'Advanced' tab.  Also, please confirm that you do not have any DNATs for SMTP traffic.

Cheers - Bob