Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 5462 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Can't get authenticated relay to work

jtv
Setup:

Two email domains, using profile mode.  Each domain has a seperate external IP.
Exchange domain has all clients internal, so no external relaying is needed, works fine.  SMTP proxy is on.

The MDaemon domain, however, has all external clients.  I want the Astaro SMTP proxy to be used for antivirus/antispam.  So if I turn it on I need authenticated relay so the external clients can send out.

However, I've been completely unable to get authenticated relay to work.  If I understand, all I should have to do is:

1.  Create user accounts with local authentication (obviously these should match the MDaemon account information, but shouldn't be needed).
2.  Add those user accounts to the "authenticated relay" option in the SMTP options, and make sure the checkbox is checked.
2.  Setup the email client (in this case Outlook) with the user/pass that matches the account created on the Astaro.
3.  Turn on the SMTP proxy for the desired domain.

Every time I try this however, any attempt to send out email comes back with a "relaying denied" error.  I've tried this for both the exchange and the MDaemon domains - neither seems to work.

Are there any additional steps I am missing?  Are there any recommended troubleshooting tips?   I need to have the Astaro antispam/antivirus running on both domains.


This thread was automatically locked due to age.
Parents
  • 0
    No disrespect taken, and I hope you feel the same way.  I still think this is easier than you suspect...

    1.a. If the MDaemon server is capable of receiving SMTP emails, then create an SMTP Profile for the domain(s) on it, and configure the Profile just as you would with an Exchange server.  That is, 'Static host' in the 'Routing' section and add the MDaemon server to 'Host-based relay' on the 'Relaying' tab of 'SMTP'.  Again, 'Transparent mode' must not be enabled, and the MDaemon server must be configured to use the IP of "Internal (Address)" as a smart host.

    1.b. The emails sent by outside clients will be scanned when they are relayed from MDaemon by the Astaro; they shouldn't be scanned on the way in.  In order to do this, a DNAT is needed.  I bet MDaemon can be configured to have clients connect on "SMTP SSL" (port 465); in which case, your DNAT would look like: 'Any -> SMTP SSL -> External (Address) : DNAT to {MDaemon server IP}'.  If the clients are using Outlook, they simply configure to send on port 465, probably selecting SSL (MDaemon docs should supply the details).

    2. As you are experiencing, it's really difficult to allow authenticated relay for external clients - in essence, you have to create and manage individual accounts on the Astaro that duplicate accounts already managed on the Daemon server.  In fact, the emails sent by an authenticated user would never go through your MDaemon server - or is that what you want?

    Once you understand what the Astaro is doing, I think you'll be amazed that you were trying to make this so complicated.  Then again, maybe there's something unique about MDaemon that I don't suspect!

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    No disrespect taken, and I hope you feel the same way.  I still think this is easier than you suspect...

    1.a. If the MDaemon server is capable of receiving SMTP emails, then create an SMTP Profile for the domain(s) on it, and configure the Profile just as you would with an Exchange server.  That is, 'Static host' in the 'Routing' section and add the MDaemon server to 'Host-based relay' on the 'Relaying' tab of 'SMTP'.  Again, 'Transparent mode' must not be enabled, and the MDaemon server must be configured to use the IP of "Internal (Address)" as a smart host.

    1.b. The emails sent by outside clients will be scanned when they are relayed from MDaemon by the Astaro; they shouldn't be scanned on the way in.  In order to do this, a DNAT is needed.  I bet MDaemon can be configured to have clients connect on "SMTP SSL" (port 465); in which case, your DNAT would look like: 'Any -> SMTP SSL -> External (Address) : DNAT to {MDaemon server IP}'.  If the clients are using Outlook, they simply configure to send on port 465, probably selecting SSL (MDaemon docs should supply the details).

    2. As you are experiencing, it's really difficult to allow authenticated relay for external clients - in essence, you have to create and manage individual accounts on the Astaro that duplicate accounts already managed on the Daemon server.  In fact, the emails sent by an authenticated user would never go through your MDaemon server - or is that what you want?

    Once you understand what the Astaro is doing, I think you'll be amazed that you were trying to make this so complicated.  Then again, maybe there's something unique about MDaemon that I don't suspect!

    Cheers - Bob


    For #1, that's already done.  Messages being sent out from MDaemon are being scanned.  Which is a good start.

    1b.  Is SSL required to have the Astaro scan?  Because there is DNAT configured, but not SSL:

    Any -> SMTP -> External address (which is a unique, seperate IP for MDaemon)[:D]NAT to Internal Address of mail server.  

    My understanding (and from what I'm seeing from the lack of logs) is that this is bypassing the Astaro completely for incoming mails.  Users are still getting loads of spam which the Astaro isn't catching.  This is where I've been stuck.

    2.  I do know it's a real hassle to have to create duplicate accounts, but I was willing to do it to fix the lack of incoming smtp scanning.  But I can't even get a successful authenticated relay.  Which was why I was posting.

    Thinking about it, I'd even be happy to just get the POP proxy enabled, as it would accomplish much the same function (ie weeding out spam/threats as the user collected their mail), but even that doesn't seem to work - the clients time out when trying to connect when I enable it.
Reply
  • 0 in reply to BAlfson
    No disrespect taken, and I hope you feel the same way.  I still think this is easier than you suspect...

    1.a. If the MDaemon server is capable of receiving SMTP emails, then create an SMTP Profile for the domain(s) on it, and configure the Profile just as you would with an Exchange server.  That is, 'Static host' in the 'Routing' section and add the MDaemon server to 'Host-based relay' on the 'Relaying' tab of 'SMTP'.  Again, 'Transparent mode' must not be enabled, and the MDaemon server must be configured to use the IP of "Internal (Address)" as a smart host.

    1.b. The emails sent by outside clients will be scanned when they are relayed from MDaemon by the Astaro; they shouldn't be scanned on the way in.  In order to do this, a DNAT is needed.  I bet MDaemon can be configured to have clients connect on "SMTP SSL" (port 465); in which case, your DNAT would look like: 'Any -> SMTP SSL -> External (Address) : DNAT to {MDaemon server IP}'.  If the clients are using Outlook, they simply configure to send on port 465, probably selecting SSL (MDaemon docs should supply the details).

    2. As you are experiencing, it's really difficult to allow authenticated relay for external clients - in essence, you have to create and manage individual accounts on the Astaro that duplicate accounts already managed on the Daemon server.  In fact, the emails sent by an authenticated user would never go through your MDaemon server - or is that what you want?

    Once you understand what the Astaro is doing, I think you'll be amazed that you were trying to make this so complicated.  Then again, maybe there's something unique about MDaemon that I don't suspect!

    Cheers - Bob


    For #1, that's already done.  Messages being sent out from MDaemon are being scanned.  Which is a good start.

    1b.  Is SSL required to have the Astaro scan?  Because there is DNAT configured, but not SSL:

    Any -> SMTP -> External address (which is a unique, seperate IP for MDaemon)[:D]NAT to Internal Address of mail server.  

    My understanding (and from what I'm seeing from the lack of logs) is that this is bypassing the Astaro completely for incoming mails.  Users are still getting loads of spam which the Astaro isn't catching.  This is where I've been stuck.

    2.  I do know it's a real hassle to have to create duplicate accounts, but I was willing to do it to fix the lack of incoming smtp scanning.  But I can't even get a successful authenticated relay.  Which was why I was posting.

    Thinking about it, I'd even be happy to just get the POP proxy enabled, as it would accomplish much the same function (ie weeding out spam/threats as the user collected their mail), but even that doesn't seem to work - the clients time out when trying to connect when I enable it.
Children
No Data
Cookie Information Banner