Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 1972 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SMTP Proxy Setup on Additional Addresses

AceCrosley
Hello,

I'm using a Astaro 120 which has replace a Juniper SSG5. I want to use the Astaro SMTP Proxy to filter Spam and AV. My SBS2003 server sits behind the Astaro on a private address.

The Astaro's interface's are on xx.xx.xx.202 and xx.xx.xx.146 as I have two DSL connections. my MX records are xx.xx.xx.203 and xx.xx.xx.146. These currently are additional address within the two main interfaces and I have DNAT rules inplace to translate the addresses to the private address of the server on 192.168.90.1. finally I have Packet Filtering rules to allow SMTP traffic from Any address to the private IP of the mail server.

All is working find however when I switch on the SMTP proxy no data is being received by the Astaro... is this because the Astaro can only reveice mail on the main interface and not Additional ones? i.e. do I need to change the MX records to 202 & 146?

Last point we have over 18 domain all receiving mail on the 203 and 147 addresses so not changing the MX records would be best...

JC


This thread was automatically locked due to age.
Parents
  • 0
    Hi, AceCrosley, and welcome to the User BB!

    Let's start with a bit of "philosophy" of operation.  First, the Astaro processes each arriving packet through ordered lists of rules.  In any one list, when the packet meets the specifications of the "traffic selector" (like 'Any-SMTP-XX.XX.XX.147'), none of the succeeding rules in the list are considered.

    Another important concept is the sequence of processes in the Astaro: DNATs first, then proxies, then manual packet filters and static routes, finally SNATs.  So, in your case, your DNAT is capturing the traffic and sending it directly to your server before the SMTP Proxy has a chance to consider it.

    To start, choose the interface of your public IP with the first priority in your MX records, and confirm that it is the one with a default gateway.  Disable your DNAT and confirm that the SMTP Proxy is handling arriving traffic.

    If it's not working, check your SMTP configuration against the following:

    [LIST=1]

    • From the 'Global' tab of 'Mail Security >> SMTP', enable the Proxy in 'Simple' mode.
    • On the 'Routing' tab, add your domain name, yourdomain.com, select 'Route by :' "Static host list" and put {the host definition for mailserver} in the 'Host list'
    • On the 'Relaying' tab, put {the host definition for mailserver} in 'Allowed hosts/networks'
    • On your mailserver, put the IP of the Astaro's "Internal (Address)" in as its smart host.
    [/LIST]



    Your next challenge is to configure 'Uplink Balancing'.  Enable that first, and add the interface for your other ISP.  The first interface should be on top.   Now, you'll be able to add the default gateway for your second ISP.  If you don't aready have one, create a traffic selector 'Any -> SMTP -> Any'.  Use that traffic selector to create a multipath rule with persistance by destination.

    Please report your results or ask more questions.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    Hi, AceCrosley, and welcome to the User BB!

    Let's start with a bit of "philosophy" of operation.  First, the Astaro processes each arriving packet through ordered lists of rules.  In any one list, when the packet meets the specifications of the "traffic selector" (like 'Any-SMTP-XX.XX.XX.147'), none of the succeeding rules in the list are considered.

    Another important concept is the sequence of processes in the Astaro: DNATs first, then proxies, then manual packet filters and static routes, finally SNATs.  So, in your case, your DNAT is capturing the traffic and sending it directly to your server before the SMTP Proxy has a chance to consider it.

    To start, choose the interface of your public IP with the first priority in your MX records, and confirm that it is the one with a default gateway.  Disable your DNAT and confirm that the SMTP Proxy is handling arriving traffic.

    If it's not working, check your SMTP configuration against the following:

    [LIST=1]

    • From the 'Global' tab of 'Mail Security >> SMTP', enable the Proxy in 'Simple' mode.
    • On the 'Routing' tab, add your domain name, yourdomain.com, select 'Route by :' "Static host list" and put {the host definition for mailserver} in the 'Host list'
    • On the 'Relaying' tab, put {the host definition for mailserver} in 'Allowed hosts/networks'
    • On your mailserver, put the IP of the Astaro's "Internal (Address)" in as its smart host.
    [/LIST]



    Your next challenge is to configure 'Uplink Balancing'.  Enable that first, and add the interface for your other ISP.  The first interface should be on top.   Now, you'll be able to add the default gateway for your second ISP.  If you don't aready have one, create a traffic selector 'Any -> SMTP -> Any'.  Use that traffic selector to create a multipath rule with persistance by destination.

    Please report your results or ask more questions.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
No Data
Cookie Information Banner