Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 1 subscriber
  • Views 17377 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SMTP Relaying

ntoupin
Hi,
Currently using Mail Proxy in Simple mode, have my relay set to Host-based relay for my internal network.  We're using a internal exchange server.

This is working fine however obviously with this no one can send any mail from an outside network (such as connecting through imap/smtp etc. via a phone or home computer that isn't vpn-ing in or going through OWA).  

Just looking for the best way to allow such things without having a security risk;  Allowing any on the host-based I could easily see being an issue.  Obviously not possible to allow each individual's host network on the list.  


Just wanted to know if there was another way that could be done that I'm not seeing, perhaps a way to say if it comes from the internal domain, regardless of the host address, let it send/relay through the smtp?
Thanks.


This thread was automatically locked due to age.
Parents
  • 0
    If you put "Any" into 'Host-based relay', you will create an "open relay" and will get your IP blacklisted within hours as spammers will find it quickly.  The only thing that should be in there is the Host definition for your Exchange server.

    If people are allowed to use email clients internally to access other email services (like Google, etc.), then you should make one or more firewall rules like:

    Allow : Internal (Network) -> Email Messaging -> {Group with DNS Hosts for imap.gmail.com, smtp.gmail.com, mail.toupin.org, etc.}


    I don't like to open that up generally to "Internet" unless you have an extra IP on the External interface so that you can

    SNAT : Internal (Network) -> Email Messaging -> Internet : from External [Messaging] (Address)



    You might want to add "VPN Pool (SSL)" or other to "Internal (Network)" in the firewall and NAT rules.

    As for allowing relay without the individuals connecting to Exchange, that's possible, but why?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    If you put "Any" into 'Host-based relay', you will create an "open relay" and will get your IP blacklisted within hours as spammers will find it quickly.  The only thing that should be in there is the Host definition for your Exchange server.

    If people are allowed to use email clients internally to access other email services (like Google, etc.), then you should make one or more firewall rules like:

    Allow : Internal (Network) -> Email Messaging -> {Group with DNS Hosts for imap.gmail.com, smtp.gmail.com, mail.toupin.org, etc.}


    I don't like to open that up generally to "Internet" unless you have an extra IP on the External interface so that you can

    SNAT : Internal (Network) -> Email Messaging -> Internet : from External [Messaging] (Address)



    You might want to add "VPN Pool (SSL)" or other to "Internal (Network)" in the firewall and NAT rules.

    As for allowing relay without the individuals connecting to Exchange, that's possible, but why?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • 0 in reply to BAlfson
    If you put "Any" into 'Host-based relay', you will create an "open relay" and will get your IP blacklisted within hours as spammers will find it quickly.  The only thing that should be in there is the Host definition for your Exchange server.

    If people are allowed to use email clients internally to access other email services (like Google, etc.), then you should make one or more firewall rules like:

    Allow : Internal (Network) -> Email Messaging -> {Group with DNS Hosts for imap.gmail.com, smtp.gmail.com, mail.toupin.org, etc.}


    I don't like to open that up generally to "Internet" unless you have an extra IP on the External interface so that you can

    SNAT : Internal (Network) -> Email Messaging -> Internet : from External [Messaging] (Address)



    You might want to add "VPN Pool (SSL)" or other to "Internal (Network)" in the firewall and NAT rules.

    As for allowing relay without the individuals connecting to Exchange, that's possible, but why?

    Cheers - Bob


    Internal users are only using the local exchange server for email, they don't need access to  other email services.

    Basically due to various users using android mobile devices; the built-in "mail" apps can be configured through imap or pop.  Having the smtp proxy filter mail for the exchange server as it is now blocks the devices from sending mail through smtp because they don't have a source host of the internal network that is defined in the host-based relay.  

    So the mobile devices connect to the exchange server's imap fine, can receive mail, etc. but when they try to send via the virtual smtp on the exchange server it gets filtered by the smtp proxy: 
    2013:01:09-13:25:54 HS1ASG exim-in[26985]: 2013-01-09 13:25:54 H=78.sub-70-215-7.myvzw.com ([10.***.***.***]) [70.215.x.xx]:33252 F= rejected RCPT : Relay not permitted
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?

Unfiltered HTML