Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 3981 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SMTP Proxy, DMZ and MX record questions?

MJacobs
I have a couple of questions about the configuration of a DMZ, Mail Server and SMTP proxy.

1. As a proxy, if I specific the domain, and machine on whose behalf the SMTP proxy is acting, then I don't need to have any rules reqarding traffic between the server and the world? That is, the world does not need to be able contact the actual mail server and the mail server does not need to talk to anything other that the firewall?

2. Should I place my mail server in a  DMZ if I intend to have pop and SMTP access to it proxied?

3. Do I need to place the DNS- MX record IP on the firewall or can I leave it on the mail server. If I leave it on the server, does the firewall proxy just check for tcp port 25 traffic destine for the server and redirect it to it's own internal mail service (more simply put, is the firewall's proxy activity transparent to the server)?

Thanks in advance  


This thread was automatically locked due to age.
  • 0
    First off, Yes, you can put your mail server on the DMZ as this is the main purpose of the SMTP Proxy. The MX record needs to be accessible to the world and point to the ASL box. With the smtp proxy running, it will listen on port 25.

    Then configure the smtp proxy to listen for smtp for your domain and setup to deliver to the mail server on the dmz. You will also need a filer rule to allow the traffic.

    As for pop, you can just dnat the traffic in and create a filter to allow.

    You asked if the MX record should stay on the mail server. Is the mail server also a dns server? If so, turn on the dns proxy and set the upstream dns server to your mail server and a filter to allow. 
  • 0 in reply to lviper
    Iviper writes: "You asked if the MX record should stay on the mail server. Is the mail server also a dns server? "

    I mis-spoke. The MX record for the domain is pointed at the mail server. Your saying that the MX record should not be pointed at the server, but rather it should be pointed at the ASL address. What has got me confused is that the ASL help section says:

    "However, when doing so you must make sure that the firewall itself is NOT the primary MX for the domain, since it will not deliver mail to itself. "

    Once I tell my DNS provider to change my MX record to point to the ASL box am I not doing what the above quote says will not work?

    Also, you say that there needs to be a "filter to allow the traffic". Is this SMTP traffic between the world and my mail server? SMTP traffic between the world and the ASL box? Or SMTP traffic between the ASL box and my mail server? This is of course, assuming that we are only talking about incoming mail (SMTP) to my mail server.

    I'm not trying to be thick about this, it's just that the directions seem a bit ambiguous to me.

    Thanks  
  • 0 in reply to MJacobs
    They mean don't tell it that the IP of the ASL box is the mail server.
    Set primary MX record to ASL.

    In SMTP proxy, forward the domain to your internal mail server.

    ie: MX record for mail.com  X.X.X.X 
  • 0 in reply to Simon Shaw
    From my experience, especially if you want to email AOL you will want to change the reverse DNS for the mail server to point the IP of the ASL to resolve to the mail servers real name as well.

    Also don't forget to use setup the mail server to point to ASL internal NIC IP (or DMZ NIC IP) as its relay if you want to be able to scan/filter email on the way out as well as on the way in. 
  • 0 in reply to MJacobs
    You want to set the MX record to point to the ASL. What you don't want to do is tell the smtp proxy to deliver mail for your domain via a dns record. Instead, tell the proxy to deliver mail for your domain to the internal mail server. You will probably need to create a defination for this.

    Example:
    Network Defination: mailserver 10.10.10.10/32
    Turn smtp proxy on.

    Incoming section: 
    Domain=yourdomain.com 
    SMTP Host=mailserver (Pick from list)

    Outgoing Section:
    Allowed Networks: mailserver

    Then set your mail server to send outgoing emails via the ASL internal nic.

    For the filter rules, you will need a rule to allow your asl to talk to your mailserver on 25 and another for your mailserver to talk to asl on 25. Both of these are the internal nics.

    I hope that clears things up. If not, yell at me to be clearer. 
  • 0 in reply to lviper
    Thanks Simon

    Yes Iviper, that was very clear and exactly what was needed. Thanks

    Biffa, are you saying the MX record for my domain (the external interface of my ASL box) and the name my mail server needs to resolve to the same address. For example:

    asl-box = 100.100.100.1
    mail server = 100.100.100.1
    MX record for the domain = 100.100.100.1

    Thanks   
  • 0 in reply to MJacobs
    The address of your public MX record and the hostname associated with that record has to be the public address of you firewall.  For example you have a host mail.acme.com and an associated A record and you have an MX record for acme.com that points to the host mail.acme.com, the public address of your firewall must be the address associated with mail.acme.com.