Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 4666 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Exim times out sending relay traffic

AlatarK
We have been using Astaro for some years now, but are trying for the first time to implement mail security. Most of it works well, but when our own staff are outside the office and use SMTP to send a message to an outside party (i.e. authenticated relay traffic), the messages wind up in the SMTP spool and repeatedly fail with timeouts from the destination email server. E.g.:

2012-07-29 17:33:52 mx4.hotmail.com [65.55.92.168]:25 Connection timed out
2012-07-29 17:34:13 mx4.hotmail.com [65.55.92.184]:25 Connection timed out
2012-07-29 17:34:34 mx4.hotmail.com [65.54.188.94]:25 Connection timed out
2012-07-29 17:34:55 mx4.hotmail.com [65.55.37.72]:25 Connection timed out
2012-07-29 17:35:16 mx4.hotmail.com [65.55.92.152]:25 Connection timed out
2012-07-29 17:35:16 @hotmail.com R=dnslookup T=remote_smtp defer (110): Connection timed out
2012-07-29 17:36:21 mx3.hotmail.com [65.54.188.94]:25 Connection timed out


This happens for many, if not all, external destinations (I can't find any that worked properly). But traffic sent via the internal exchange server (be it from people inside the office, outside staff accessing via OWA, or outside staff using Exchange over RPC/HTTP) works fine.

Testing with nslookup shows that the addresses are correct, and I can telnet from an internal machine into port 25 at hotmail and get valid reponses -- I have tried using both HELO ourcompany.com and HELO firewallmachinename.internaldomain.local and don't get kicked off, so it's not because of how the SMTP proxy identifies itself. The relay traffic is set to use AD-authentication, which is apparently working fine, as the proxy has accepted the relay and is trying to send it out. 

Could the SMTP proxy be sending out on the wrong interface? The default gateway is correct, and everything else works fine.

The SMTP proxy log provides no further info:
2012:07:29-20:55:00 friday exim-out[11843]: 2012-07-29 20:55:00 Start queue run: pid=11843
2012:07:29-20:55:21 friday exim-out[11845]: 2012-07-29 20:55:21 1SvbA6-0003Jj-99 mx0.gmx.com [74.208.5.90]:25 Connection timed out
2012:07:29-20:55:21 friday exim-out[11844]: 2012-07-29 20:55:21 1SvbA6-0003Jj-99 == @insurer.com R=dnslookup T=remote_smtp defer (110): Connection timed out
2012:07:29-20:55:42 friday exim-out[11855]: 2012-07-29 20:55:42 1Svb7C-0003Io-EJ mx4.hotmail.com [65.55.37.88]:25 Connection timed out
2012:07:29-20:56:03 friday exim-out[11855]: 2012-07-29 20:56:03 1Svb7C-0003Io-EJ mx4.hotmail.com [65.55.37.72]:25 Connection timed out
2012:07:29-20:56:24 friday exim-out[11855]: 2012-07-29 20:56:24 1Svb7C-0003Io-EJ mx4.hotmail.com [65.54.188.72]:25 Connection timed out
2012:07:29-20:56:45 friday exim-out[11855]: 2012-07-29 20:56:45 1Svb7C-0003Io-EJ mx4.hotmail.com [65.54.188.110]:25 Connection timed out
2012:07:29-20:57:06 friday exim-out[11855]: 2012-07-29 20:57:06 1Svb7C-0003Io-EJ mx4.hotmail.com [65.55.37.120]:25 Connection timed out
2012:07:29-20:57:06 friday exim-out[11854]: 2012-07-29 20:57:06 1Svb7C-0003Io-EJ == @hotmail.com R=dnslookup T=remote_smtp defer (110): Connection timed out
2012:07:29-20:57:06 friday exim-out[11843]: 2012-07-29 20:57:06 End queue run: pid=11843


Short of putting a managed switch in between the firewall and the modem and running wireshark to see the actual exchange between the proxy and the other server, how can I see what's actually going on?


This thread was automatically locked due to age.
Parents
  • 0
    Is there a reason to open up this SMTP relay to the world?


    Yes. As I said, we need this to be open so (e.g.) employees visiting abroad and using odd mail clients (e.g. Thunderbird) can still send out from the corporate Exchange server, which they choose to access using SMTP. If there's a better alternative we'd be happy to consider it, but these are people using their own laptops so we don't have total control over their mail clients.

    It's not open to the world, only to users who authenticate with our corporate AD (as I understand it, this is the whole point of authenticated relay). This works fine when Exchange handles the relay, but as soon as we enable the Astaro mail proxy, with the result that the proxy does the relay, Hotmail (and everyone else too, for that matter) rejects the connection. Note that the mail proxy successfully authenticates the user against the AD, and accepts the message for relay out to Hotmail.

    This can't be a totally unexpected configuration for ASG as there is a checkbox specifically to enable it (Allow Authenticated Relaying, on the SMTP Relaying tab).

    I can't see any way to monitor the mail proxy to Hotmail interchange, except to put a managed switch in-between and attach a monitoring tool like Wireshark.
Reply
  • 0
    Is there a reason to open up this SMTP relay to the world?


    Yes. As I said, we need this to be open so (e.g.) employees visiting abroad and using odd mail clients (e.g. Thunderbird) can still send out from the corporate Exchange server, which they choose to access using SMTP. If there's a better alternative we'd be happy to consider it, but these are people using their own laptops so we don't have total control over their mail clients.

    It's not open to the world, only to users who authenticate with our corporate AD (as I understand it, this is the whole point of authenticated relay). This works fine when Exchange handles the relay, but as soon as we enable the Astaro mail proxy, with the result that the proxy does the relay, Hotmail (and everyone else too, for that matter) rejects the connection. Note that the mail proxy successfully authenticates the user against the AD, and accepts the message for relay out to Hotmail.

    This can't be a totally unexpected configuration for ASG as there is a checkbox specifically to enable it (Allow Authenticated Relaying, on the SMTP Relaying tab).

    I can't see any way to monitor the mail proxy to Hotmail interchange, except to put a managed switch in-between and attach a monitoring tool like Wireshark.
Children
No Data
Cookie Information Banner