Seperating external Proxy and SMTP firewall address

Good question. We also need this as some virus activity should make your external ip blacklisted. Which is so annoying.

Exactly! Lars

I don't know if this will work or not but try to create additional address on the external interfaces and configure your second IP on it, configure your MX to point to the new IP address, configure a snat rule with any as source address and smtp as service and put the second IP as the translated source.

please let me know it this worked out or if you find another solution


PS: Backup your configuration before doing any changes.

mhh, that's not the easiest way, playing with MX Records and smtp-Port in a productive system.
Does anybody have a test-system?

Lars

techuser has it right.  Lars:  the snat should NOT change the port.  It is saying the if there is an outbound packet on port 25 (SMTP), then rewrite the source address to be the additional address on the WAN interface and not the default one.  You will need to update your external DNS records to reflect this change as many anti-spam products use MX and rdns lookups to prevent spoofing.  You will want to time these changes for when you will have a few days where there will be little to no outbound email traffic, such as a holiday or extended weekend, since public DNS changes can take up to 72 hours to propagate world wide.  You will also want to reduce the ttl on the applicable records in advance of the changes to reduce the potential impact of cached records when the changes are made.