Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 5462 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Can't get authenticated relay to work

jtv
Setup:

Two email domains, using profile mode.  Each domain has a seperate external IP.
Exchange domain has all clients internal, so no external relaying is needed, works fine.  SMTP proxy is on.

The MDaemon domain, however, has all external clients.  I want the Astaro SMTP proxy to be used for antivirus/antispam.  So if I turn it on I need authenticated relay so the external clients can send out.

However, I've been completely unable to get authenticated relay to work.  If I understand, all I should have to do is:

1.  Create user accounts with local authentication (obviously these should match the MDaemon account information, but shouldn't be needed).
2.  Add those user accounts to the "authenticated relay" option in the SMTP options, and make sure the checkbox is checked.
2.  Setup the email client (in this case Outlook) with the user/pass that matches the account created on the Astaro.
3.  Turn on the SMTP proxy for the desired domain.

Every time I try this however, any attempt to send out email comes back with a "relaying denied" error.  I've tried this for both the exchange and the MDaemon domains - neither seems to work.

Are there any additional steps I am missing?  Are there any recommended troubleshooting tips?   I need to have the Astaro antispam/antivirus running on both domains.


This thread was automatically locked due to age.
Parents
  • 0
    Any -> SMTP -> External address (which is a unique, seperate IP for MDaemon) : NAT to Internal Address of mail server.

    My understanding (and from what I'm seeing from the lack of logs) is that this is bypassing the Astaro completely for incoming mails. Users are still getting loads of spam which the Astaro isn't catching. This is where I've been stuck.

    Exactly.  Unlike MDaemon and Exchange, Astaro can't differentiate between a client and a server - that's why the DNAT for the client connections must come in either on a different public IP or via a different port.  The easiest thing for you to do now is to just change the FQDN in the MX record for the MDaemon domain(s) to point to the primary IP on the External interface - in a few hours, all of the inbound emails will go through the Astaro proxy.

    The POP3 proxy wouldn't help you.  It is a client proxy and works only with servers reachable on the interface with the default gateway - your External interface.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    Any -> SMTP -> External address (which is a unique, seperate IP for MDaemon) : NAT to Internal Address of mail server.

    My understanding (and from what I'm seeing from the lack of logs) is that this is bypassing the Astaro completely for incoming mails. Users are still getting loads of spam which the Astaro isn't catching. This is where I've been stuck.

    Exactly.  Unlike MDaemon and Exchange, Astaro can't differentiate between a client and a server - that's why the DNAT for the client connections must come in either on a different public IP or via a different port.  The easiest thing for you to do now is to just change the FQDN in the MX record for the MDaemon domain(s) to point to the primary IP on the External interface - in a few hours, all of the inbound emails will go through the Astaro proxy.

    The POP3 proxy wouldn't help you.  It is a client proxy and works only with servers reachable on the interface with the default gateway - your External interface.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • 0 in reply to BAlfson
    Exactly.  Unlike MDaemon and Exchange, Astaro can't differentiate between a client and a server - that's why the DNAT for the client connections must come in either on a different public IP or via a different port.  The easiest thing for you to do now is to just change the FQDN in the MX record for the MDaemon domain(s) to point to the primary IP on the External interface - in a few hours, all of the inbound emails will go through the Astaro proxy.

    The POP3 proxy wouldn't help you.  It is a client proxy and works only with servers reachable on the interface with the default gateway - your External interface.

    Cheers - Bob


    So you're basically saying have ALL mail come in to the same external IP (ie for both the Exchange and MDaemon), and just have the Astaro route via static host lists?  That makes sense, but I'll have to check our internal config to make sure that changing the DNS entries won't gum anything up.  

    I guess what was confusing me is on the one hand you confirmed that DNAT-ing skips the proxy, but then one of your recommended solution was to create a DNAT on a different port - which seems like it would still skip the proxy.  Why would setting a DNAT on SMTP SSL trigger the Astaro to scan?
Cookie Information Banner