Política de salida servidor de correo en DMZ

[Soni4]

Buen día,

No me queda claro cual sería la política de salida de la DMZ, actualmente tengo la siguiente política:
origen: IP privada del servidor de correo
destination interfaz: wan
destino: all
service: any
action: accept
Enable NAT : activo

El servidor de correo tiene una IP asociada al dominio, esta IP está configurada como IP virtual en la interfaz wan de tal manera que cuando se llama a esta IP publica se mapea en la IP privada del servidor, me permite enviar y recibir correos aparentemente con normalidad, excepto que desde hace un tiempo algunos dominios de correo no reciben nuestros correos devolviendo un error de DNS reverso.

El DNS reverso está configurado, pero cuando se envía un correo la IP que se muestra en la cabecera no es la IP asociada al dominio de correo sino la IP de la interfaz WAN del fortigate, es por esto que al comprobar el DNS reverso no se resuelve el dominio.

Como puedo poner la política para que al exterior se refleje la IP pública asociada al servidor de correo o debo configurar el DNS reverso con la IP de la interfaz de la WAN??

Agradezco su ayuda.

[Felipe]

Buenas,

nosotros tuvimos el mismo problema. Para resolverlo basta con que crees un IP pool en el firewall con la IP pública asociada a vuestro servidor de correo y en la política de salida del servidor de correo, en la parte de NAT, seleccionar la opción "Use Dynamic IP Pool" y seleccionar el IP pool creado de una única IP. De esta forma el servidor de correo saldrá a Internet con la misma IP pública que recibe las peticiones evitando el rechazo de servidores que utilicen la comprobación de DNS inverso.

Espero que te sirva. Saludos.

[Soni4]

Ya había optado por configurar el DNS reverso con la IP de la wan del fortigate, pero al retomar el tema por un cambio de IP públicas probé lo que dijiste y funcionó.
Muchas Gracias Felipe