Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 1 subscriber
  • Views 5897 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SMTP Proxy and SMTP Auth

Krycek
Hi,

I'm using the transparent SMTP proxy. It has worked for a couple of years now and I'm mostly satisfied.

Lately there are more and more users bringing their Laptops to work and connect to the guest-wifi, which is a seperate network on the asg with internet connection available but all ports to the internal network blocked.

However if they want to use their private SMTP accounts, it get's stuck because they have smtp-authentication activated in their outlook client which they usually need to authenticate against their private email-host. However this doesn't work when they are behind our ASG. Then they have to turn off the authentication and it works. When they go anywhere else they have to activate it again.
I know i can enter their smtp server in the "skip"-list, but I really don't want to do that with a bunch of 3rd party smtp-servers.
It's a pain for either me or the user. Is there a "nice" way around this issue?

Thanks,
Chris


This thread was automatically locked due to age.
  • 0
    Hi,

    I'm using the transparent SMTP proxy. It has worked for a couple of years now and I'm mostly satisfied.

    Lately there are more and more users bringing their Laptops to work and connect to the guest-wifi, which is a seperate network on the asg with internet connection available but all ports to the internal network blocked.

    However if they want to use their private SMTP accounts, it get's stuck because they have smtp-authentication activated in their outlook client which they usually need to authenticate against their private email-host. However this doesn't work when they are behind our ASG. Then they have to turn off the authentication and it works. When they go anywhere else they have to activate it again.
    I know i can enter their smtp server in the "skip"-list, but I really don't want to do that with a bunch of 3rd party smtp-servers.
    It's a pain for either me or the user. Is there a "nice" way around this issue?

    Thanks,
    Chris


    I wonder how your firewall rules are done.  Also are they using ssl/tls for their auth?

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0
    Let's say I have a rule "guest network --> any service --> internet --> allow". It's a little more complicated than this but it's not related.

    However the smtp get's intercepted by the proxy and therefore is not really affected by the firewall as I understand.

    TLS/SSL is not used. Imagine a free private email hoster like "web.de" or "gmx.de" (I'm in germany). They use smtp auth on port 25. No tls or ssl.

    Is this not supposed to happen? Is it working at your place?
  • 0
    No ideas on this? Seems to me it would be a common problem. Obviously not.
  • 0
    how exactly do you have smtp proxy setup?  On my network guests can send things on smtp w/0 an issue.  do you have support?

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0
    Chris, Do you have "Transparent" selected on the 'Advanced' tab or anything other than your mail server in 'Allowed hosts/networks' on the 'Relaying' tab?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Yes "transparent" is activated. The whole local network is allowed under "allowed hosts/networks".

    So I guess I should turn that off? But I still want all incoming traffic (and if possible outgoing as well) filtered and scanned by the asg. I just don't want the different auth-mechanism.
  • 0
    I would turn that off and have only your mail server in 'Allowed hosts/networks' on the 'Relaying' tab.  Also, you might want to masq the Guest traffic with an IP different from the main one used for email.  You don't want a guest client with a Trojan putting your main IP on blacklists.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    And how do I allow clients in my internal network to send out with their private email-accounts then?
    I know, bad policy, but that's how it is here...
  • 0
    Just via a firewall rule like 'Guest (Network) -> Email Messaging -> Internet : Allow'.  You definitely will want to have a masquerading rule like 'Guest (Network) -> External / {Additional Address}' to have those emails originate from an IP other than your primary one.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    I'm not talking about my guest network anymore. It's my internal LAN I'm concerened about. That's where the exchange is located and where some clients send to private accounts as well.
Cookie Information Banner