Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 3041 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Authenticated relaying not working when "Allow upstream/relay hosts only" enabled

MarCow
Hi,

I receive all inbound mail from the DynDNS MailHop forwarding service.  I was thinking I could prevent other upstream hosts from forwarding email to my ASG (v8.000) by checking the "Allow upstream/relay hosts only" box and that, if I did so, authenticated SMTP clients would still be able to relay too.  However, in practice my authenticated SMTP clients stop being able to send mail through the ASG proxy as soon as I restrict inbound email to my DynDNS host list.  I'm trying to figure out why this is.  The online help suggests that authenticated relays should still work:-

Upstream Host List 
An upstream host is a host that forwards e-mail to you, e.g., your ISPInternet Service Provider or external MX. If you get inbound e-mail from static upstream hosts, it is necessary that you enter the hosts here. Otherwise spam protection will not work properly.

To add an upstream host either click the plus icon or the folder icon for drag-and-drop from the Networks group tooltip. If you would like to only allow upstream hosts select the checkbox Allow Upstr[/LIST]eam/Relay Hosts Only. SMTP access will then be limited to the defined upstream hosts (and authenticated relays, see below). Click Apply to save your settings.

I'm assuming I've either not set up my SMTP clients correctly, or there's some interplay between these two settings that I don't understand.

Some more detail on my setup:-


  • DNAT/SNAT rules redirect inbound port 2525 traffic to port 25, so the SMTP proxy picks it up.
  • ASG SMTP proxy routes inbound email to an internal Exchange 2007 server.
  • Exchange 2007 is configured to use the ASG proxy as a smarthost when sending outbound email from hosts on my internal network.
  • For external SMTP clients, they authenticate to the ASG SMTP proxy directly when sending outbound mail.  I'm not 100% sure whether this still forwards the mail on to my internal Exchange server only to have it recognize it as outbound mail and send it back out via the ASG "smarthost" send connector, or if authenticating with the ASG SMTP proxy for outbound mail avoids Exchange altogether - an easy enough thing for me to test of course.  I'm wondering if this setup is part of my problem, and perhaps I'm just not understanding the best way to handle outbound SMTP mail for external hosts when both the ASG proxy and an internal Exchange 2007 server are in play.


I've hunted through the Astaro support site and the user forums but am still scratching my head.  Any help much appreciated.

Thanks,
Martin.


This thread was automatically locked due to age.
Parents
  • 0
    When I want to send email from the iPad, it's connecting to the same interface and port (External interface, port 2525) whether internal or external to my network. My thought was that this was the right thing to do; all mail goes through the proxy whether inbound or outbound.

    Best to avoid the proxy for this, and to have the client communicate directly with Exchange via a different port.  Having the proxy intercept what are, in essence, "internal" emails, is confusing at best.

    I guess this would still mean all outbound mail would go through the ASG proxy - maybe an flaw in my current approach is that any outbound mail actually never goes through Exchange at all; the ASG proxy may send it straight out to MailHop since it recognizes it as outbound mail. This in turn would mean my Exchange server would never see that mail, so it would never show up in a user's Sent Items in their mailbox. 

    Correctly configured, anything relayed by the Astaro is AV-checked.  Astaro sends to your smarthost instead of negotiating with the individual domains, but the check is performed.

    What I've been nervous about, however, is having the Exchange SMTP service directly accessible on the Internet for sending outbound mail.

    Not sure what you mean by that.  Even if you DNAT a port directly to Exchange, the user has to have an account to be able to send email - or maybe I'm missing the point.

    Maybe a better short-term solution for external Outlook is an SSL VPN Remote Access configuration that is limited to the Exchange Server.

    Cheers - Bob
    PS I've used iPhone O 3.x with Exchange ActiveSync - I'm surprized that the 3.0 version for iPad won't work!
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    When I want to send email from the iPad, it's connecting to the same interface and port (External interface, port 2525) whether internal or external to my network. My thought was that this was the right thing to do; all mail goes through the proxy whether inbound or outbound.

    Best to avoid the proxy for this, and to have the client communicate directly with Exchange via a different port.  Having the proxy intercept what are, in essence, "internal" emails, is confusing at best.

    I guess this would still mean all outbound mail would go through the ASG proxy - maybe an flaw in my current approach is that any outbound mail actually never goes through Exchange at all; the ASG proxy may send it straight out to MailHop since it recognizes it as outbound mail. This in turn would mean my Exchange server would never see that mail, so it would never show up in a user's Sent Items in their mailbox. 

    Correctly configured, anything relayed by the Astaro is AV-checked.  Astaro sends to your smarthost instead of negotiating with the individual domains, but the check is performed.

    What I've been nervous about, however, is having the Exchange SMTP service directly accessible on the Internet for sending outbound mail.

    Not sure what you mean by that.  Even if you DNAT a port directly to Exchange, the user has to have an account to be able to send email - or maybe I'm missing the point.

    Maybe a better short-term solution for external Outlook is an SSL VPN Remote Access configuration that is limited to the Exchange Server.

    Cheers - Bob
    PS I've used iPhone O 3.x with Exchange ActiveSync - I'm surprized that the 3.0 version for iPad won't work!
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • 0 in reply to BAlfson
    Best to avoid the proxy for this, and to have the client communicate directly with Exchange via a different port.  Having the proxy intercept what are, in essence, "internal" emails, is confusing at best.


    Makes sense - I've made that change so the SMTP session comes in on a different port for users sending outbound mail, and DNATs direct to the Exchange server.

    Correctly configured, anything relayed by the Astaro is AV-checked.  Astaro sends to your smarthost instead of negotiating with the individual domains, but the check is performed.


    Yes - the way I had it before, outbound mail was passing through the ASG but my Exchange server knew anything about it.  Now, all sent mail lands in my Sent Items correctly.  Since the vast majority of my users are on iPhones connecting via ActiveSync, I hadn't noticed this side-effect for the few SMTP/IMAP users.

    Not sure what you mean by that.  Even if you DNAT a port directly to Exchange, the user has to have an account to be able to send email - or maybe I'm missing the point.


    True - I'm just being paranoid.

    Maybe a better short-term solution for external Outlook is an SSL VPN Remote Access configuration that is limited to the Exchange Server.


    Yes - that's a good possibility too.  Slightly less convenient for those users but not terribly so.

    PS I've used iPhone O 3.x with Exchange ActiveSync - I'm surprized that the 3.0 version for iPad won't work!


    Yes - iPhone 3.x on the iPad works perfectly with Exchange ActiveSync.  My challenge is that I have two Exchange servers I'd like to connect to; one is a business Exchange account my company uses, and the other is my home Exchange server.  On my iPhone with OS 4.0, I'm able to set up two ActiveSync accounts, so no need for SMTP/IMAP there.  The iPad, however, is still limited to one ActiveSync account until it gets 4.x in a few months, so I'm using ActiveSync to my companies Exchange server and SMTP/IMAP for my home server.

    Thanks again Bob - you've been helping me out quite a lot lately.

    Cheers,
    Martin.
Cookie Information Banner