Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 1 subscriber
  • Views 17369 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SMTP Relaying

ntoupin
Hi,
Currently using Mail Proxy in Simple mode, have my relay set to Host-based relay for my internal network.  We're using a internal exchange server.

This is working fine however obviously with this no one can send any mail from an outside network (such as connecting through imap/smtp etc. via a phone or home computer that isn't vpn-ing in or going through OWA).  

Just looking for the best way to allow such things without having a security risk;  Allowing any on the host-based I could easily see being an issue.  Obviously not possible to allow each individual's host network on the list.  


Just wanted to know if there was another way that could be done that I'm not seeing, perhaps a way to say if it comes from the internal domain, regardless of the host address, let it send/relay through the smtp?
Thanks.


This thread was automatically locked due to age.
Parents
  • 0
    Just a little confused by what you said about the "additional" IP. Do we need another separate IP from that to do the DNAT with SMTP for the devices?

    No, the one is fine.  Just add the needed services (SMTP, etc.) to your current DNAT.

    50.**.***.122 (the external IP used for OWA access)

    If this already works, then the following is meant only for others that read this thread.  Assuming that this IP is an Additional Address named "Exchange" on the External interface, the traffic selector can't work with a regular Host definition in the traffic selector - the target must be the object created by WebAdmin when the address was defined: "External [Exchange] (Address)".

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    Just a little confused by what you said about the "additional" IP. Do we need another separate IP from that to do the DNAT with SMTP for the devices?

    No, the one is fine.  Just add the needed services (SMTP, etc.) to your current DNAT.

    50.**.***.122 (the external IP used for OWA access)

    If this already works, then the following is meant only for others that read this thread.  Assuming that this IP is an Additional Address named "Exchange" on the External interface, the traffic selector can't work with a regular Host definition in the traffic selector - the target must be the object created by WebAdmin when the address was defined: "External [Exchange] (Address)".

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • 0 in reply to BAlfson
    No, the one is fine.  Just add the needed services (SMTP, etc.) to your current DNAT.


    If this already works, then the following is meant only for others that read this thread.  Assuming that this IP is an Additional Address named "Exchange" on the External interface, the traffic selector can't work with a regular Host definition in the traffic selector - the target must be the object created by WebAdmin when the address was defined: "External [Exchange] (Address)".

    Cheers - Bob


    Hi Bob, have been waiting for a non-crucial time here to try this so there's no interruption of email.  Thanks for the info will let you know the outcome.
  • 0 in reply to ntoupin
    Hi Bob, have been waiting for a non-crucial time here to try this so there's no interruption of email.  Thanks for the info will let you know the outcome.


    Hi Bob,

    Here's what I did:

    - Added the internal address of the ASG as a smarthost via an exchange connector on the exchange server 
    - Changed the DNAT rule to the following:
         
    Traffic selector:		Any	→		Exchange DNAT (Port 80, 143, 25)	→		External (WAN) (Address)

    Destination translation:		Internal mail server

    Automatic Firewall rule:	checked



    This did allow the devices to send and receive mail without issue however enabling this dnat rule for smtp (25) makes all mail skip the smtp proxy on the firewall (nothing is in the live log for smtp once the dnat for smtp 25 is enabled and no spam is filtered).
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?

Unfiltered HTML