Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 4641 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Exim times out sending relay traffic

AlatarK
We have been using Astaro for some years now, but are trying for the first time to implement mail security. Most of it works well, but when our own staff are outside the office and use SMTP to send a message to an outside party (i.e. authenticated relay traffic), the messages wind up in the SMTP spool and repeatedly fail with timeouts from the destination email server. E.g.:

2012-07-29 17:33:52 mx4.hotmail.com [65.55.92.168]:25 Connection timed out
2012-07-29 17:34:13 mx4.hotmail.com [65.55.92.184]:25 Connection timed out
2012-07-29 17:34:34 mx4.hotmail.com [65.54.188.94]:25 Connection timed out
2012-07-29 17:34:55 mx4.hotmail.com [65.55.37.72]:25 Connection timed out
2012-07-29 17:35:16 mx4.hotmail.com [65.55.92.152]:25 Connection timed out
2012-07-29 17:35:16 @hotmail.com R=dnslookup T=remote_smtp defer (110): Connection timed out
2012-07-29 17:36:21 mx3.hotmail.com [65.54.188.94]:25 Connection timed out


This happens for many, if not all, external destinations (I can't find any that worked properly). But traffic sent via the internal exchange server (be it from people inside the office, outside staff accessing via OWA, or outside staff using Exchange over RPC/HTTP) works fine.

Testing with nslookup shows that the addresses are correct, and I can telnet from an internal machine into port 25 at hotmail and get valid reponses -- I have tried using both HELO ourcompany.com and HELO firewallmachinename.internaldomain.local and don't get kicked off, so it's not because of how the SMTP proxy identifies itself. The relay traffic is set to use AD-authentication, which is apparently working fine, as the proxy has accepted the relay and is trying to send it out. 

Could the SMTP proxy be sending out on the wrong interface? The default gateway is correct, and everything else works fine.

The SMTP proxy log provides no further info:
2012:07:29-20:55:00 friday exim-out[11843]: 2012-07-29 20:55:00 Start queue run: pid=11843
2012:07:29-20:55:21 friday exim-out[11845]: 2012-07-29 20:55:21 1SvbA6-0003Jj-99 mx0.gmx.com [74.208.5.90]:25 Connection timed out
2012:07:29-20:55:21 friday exim-out[11844]: 2012-07-29 20:55:21 1SvbA6-0003Jj-99 == @insurer.com R=dnslookup T=remote_smtp defer (110): Connection timed out
2012:07:29-20:55:42 friday exim-out[11855]: 2012-07-29 20:55:42 1Svb7C-0003Io-EJ mx4.hotmail.com [65.55.37.88]:25 Connection timed out
2012:07:29-20:56:03 friday exim-out[11855]: 2012-07-29 20:56:03 1Svb7C-0003Io-EJ mx4.hotmail.com [65.55.37.72]:25 Connection timed out
2012:07:29-20:56:24 friday exim-out[11855]: 2012-07-29 20:56:24 1Svb7C-0003Io-EJ mx4.hotmail.com [65.54.188.72]:25 Connection timed out
2012:07:29-20:56:45 friday exim-out[11855]: 2012-07-29 20:56:45 1Svb7C-0003Io-EJ mx4.hotmail.com [65.54.188.110]:25 Connection timed out
2012:07:29-20:57:06 friday exim-out[11855]: 2012-07-29 20:57:06 1Svb7C-0003Io-EJ mx4.hotmail.com [65.55.37.120]:25 Connection timed out
2012:07:29-20:57:06 friday exim-out[11854]: 2012-07-29 20:57:06 1Svb7C-0003Io-EJ == @hotmail.com R=dnslookup T=remote_smtp defer (110): Connection timed out
2012:07:29-20:57:06 friday exim-out[11843]: 2012-07-29 20:57:06 End queue run: pid=11843


Short of putting a managed switch in between the firewall and the modem and running wireshark to see the actual exchange between the proxy and the other server, how can I see what's actually going on?


This thread was automatically locked due to age.
  • 0
    Is there a reason to open up this SMTP relay to the world?  That seems like something I wouldn't feel comfortable recommending to any of my clients.

    That said, it seems like the SMTP conversation barely gets started before the hotmail MTA stops the conversation.  Have you looked at the header of one of the emails that is not going out?  I wonder if the issue isn't that it's coming from a mail domain different from yours - one that fails the rDNS/HELO check at Hotmail.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Is there a reason to open up this SMTP relay to the world?


    Yes. As I said, we need this to be open so (e.g.) employees visiting abroad and using odd mail clients (e.g. Thunderbird) can still send out from the corporate Exchange server, which they choose to access using SMTP. If there's a better alternative we'd be happy to consider it, but these are people using their own laptops so we don't have total control over their mail clients.

    It's not open to the world, only to users who authenticate with our corporate AD (as I understand it, this is the whole point of authenticated relay). This works fine when Exchange handles the relay, but as soon as we enable the Astaro mail proxy, with the result that the proxy does the relay, Hotmail (and everyone else too, for that matter) rejects the connection. Note that the mail proxy successfully authenticates the user against the AD, and accepts the message for relay out to Hotmail.

    This can't be a totally unexpected configuration for ASG as there is a checkbox specifically to enable it (Allow Authenticated Relaying, on the SMTP Relaying tab).

    I can't see any way to monitor the mail proxy to Hotmail interchange, except to put a managed switch in-between and attach a monitoring tool like Wireshark.
  • 0
    This all sounds normal  to me.

    Instead of allowing relay off of the SMTP Proxy, give the external users direct connection via a DNAT (or WAF) to your Exchange server.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Well, I guess I could do that, but I would have to get them to use some other port than 25, because if I DNAT port 25 through to the Exchange server, all incoming SMTP mail will bypass the proxy.

    I suspect configuring iPhones and Androids to use a port other than 25 is not going to be easy, but I'll try it and see which types of mail clients I have problems with.

    Of course, it would be best if I could just figure out why the Authenticated Relay feature of the ASG isn't working properly.
  • 0
    I think the iPhones are using HTTP/S, not SMTP, if they're using the Exchange client.  If you already had OWA setup, then I think the phones do OMA over the same connection.

    If they do need port 25, then you could use an Additional Address on the External interface for that DNAT.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?