Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 2 subscribers
  • Views 1542 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Problems with inbound SMTP to dmz

jfernb
I have an ASL4 with the following setup:

eth0 - inside, 192.168.10.0
eth1 - outside, public dynamic ip
eth2 - dmz, 192.168.12.0

I'm have a machine (mailhost) in the dmz with and SMTP and HTTP server, so it listens on ports 25 and 80. This has been verified. I currently have the following packet filter rules: 

eth0_network/Any -> Any  ALLOW
Any/HTTP -> mailhost ALLOW
Any/SMTP -> mailhost ALLOW
dmz_network/SMTP -> Any ALLOW

There are no DENY rules. I also have the following nat/masq:

dmz_network->All / All  MASQ_eth1 None
All->eth1_interface/SMTP none mailhost
All->eth1_interface/HTTP none mailhost

HTTP works ok, I can reach the webserver on the mailhost machine from the outside without problems. SMTP does not work from the outside, I've checked with tcpdump on the mailhost machine and not a single packet arrives to port 25 when I try to connect from the outside. 

As far as I can see, the ASL config for HTTP and SMTP is identical. The SMTP proxy is not enabled. Nothing shows up in the PF livelog. What could be wrong?  


This thread was automatically locked due to age.
Parents
  • 0
     A lot of things....  One, make sure you have a MX record for your domain.  Two, set up SMTP service for SNAT/DNAT not masq.  Three, you might need to enable SMTP proxy.  I have SMTP proxy enbable but I think it will work fine without smtp proxy enabled.  
  • 0 in reply to soupbone
    Correct.  The main thing you need to make sure of is that you do have an MX record for your domain.  Without this special DNS record, other SMTP servers would not know what the DNS name of your SMTP server is.A

    Also, what happens when you TELNET to port 25 from the outside?  i.e. TELNET MAILHOST.DOMAIN.COM 25  
Reply
  • 0 in reply to soupbone
    Correct.  The main thing you need to make sure of is that you do have an MX record for your domain.  Without this special DNS record, other SMTP servers would not know what the DNS name of your SMTP server is.A

    Also, what happens when you TELNET to port 25 from the outside?  i.e. TELNET MAILHOST.DOMAIN.COM 25  
Children
  • 0 in reply to Chris Lynch
    I think the best way to set this up is to use the SMTP proxy.  Make sure your MX record is defined with you domain provider.  Then define a network entry in the Astarofor your server.  Next activate the SMTP proxy enter the MX record host name, enter the psotmaster address for your server.  Next create an entry in the SMTP route table that points your MX record to your server in the DMZ.  MX Host Records --> mailhost.  Also check your SMTP server to make sure it not an open relay.  This will vary from vendor to vendor, and you should be able to find the procedure on the net. 

    Craig