SMTP Proxy, DMZ and MX record questions?

First off, Yes, you can put your mail server on the DMZ as this is the main purpose of the SMTP Proxy. The MX record needs to be accessible to the world and point to the ASL box. With the smtp proxy running, it will listen on port 25.

Then configure the smtp proxy to listen for smtp for your domain and setup to deliver to the mail server on the dmz. You will also need a filer rule to allow the traffic.

As for pop, you can just dnat the traffic in and create a filter to allow.

You asked if the MX record should stay on the mail server. Is the mail server also a dns server? If so, turn on the dns proxy and set the upstream dns server to your mail server and a filter to allow. 

Iviper writes: "You asked if the MX record should stay on the mail server. Is the mail server also a dns server? "

I mis-spoke. The MX record for the domain is pointed at the mail server. Your saying that the MX record should not be pointed at the server, but rather it should be pointed at the ASL address. What has got me confused is that the ASL help section says:

"However, when doing so you must make sure that the firewall itself is NOT the primary MX for the domain, since it will not deliver mail to itself. "

Once I tell my DNS provider to change my MX record to point to the ASL box am I not doing what the above quote says will not work?

Also, you say that there needs to be a "filter to allow the traffic". Is this SMTP traffic between the world and my mail server? SMTP traffic between the world and the ASL box? Or SMTP traffic between the ASL box and my mail server? This is of course, assuming that we are only talking about incoming mail (SMTP) to my mail server.

I'm not trying to be thick about this, it's just that the directions seem a bit ambiguous to me.

Thanks  

They mean don't tell it that the IP of the ASL box is the mail server.
Set primary MX record to ASL.

In SMTP proxy, forward the domain to your internal mail server.

ie: MX record for mail.com  X.X.X.X 

From my experience, especially if you want to email AOL you will want to change the reverse DNS for the mail server to point the IP of the ASL to resolve to the mail servers real name as well.

Also don't forget to use setup the mail server to point to ASL internal NIC IP (or DMZ NIC IP) as its relay if you want to be able to scan/filter email on the way out as well as on the way in. 

From my experience, especially if you want to email AOL you will want to change the reverse DNS for the mail server to point the IP of the ASL to resolve to the mail servers real name as well.

Also don't forget to use setup the mail server to point to ASL internal NIC IP (or DMZ NIC IP) as its relay if you want to be able to scan/filter email on the way out as well as on the way in.