SMTP authentication error

[warlock]

Получил жалобу на недоставку письма. Начал копать логи и в логах Exim'а нашёл вот такую ошибку:

2009-10-09 09:54:24 1Mw9Mt-000FbI-71 ** gabriela.stephan@rmg.at R=dnslookup T=remote_smtp: SMTP error from remote mail server after RCPT TO:<gabriela.stephan@
rmg.at>: host ns4.abax.at [212.69.162.80]: 550 5.7.1 <gabriela.stephan@rmg.at>... Relaying denied. Proper authentication required.

Начал копать. Толкнул их вражеский 212.69.162.80:

> telnet ns4.abax.at 25
220 ns4.abax.at ESMTP Mail-Relay Fri, 9 Oct 2009 15:52:06 +0200
ehlo go.go.go
250-ns4.abax.at Hello tiger.uni-ocean.com.ua [78.24.78.124], pleased to meet you
250-ENHANCEDSTATUSCODES
250-PIPELINING
250-8BITMIME
250-SIZE
250-DSN
250-AUTH PLAIN LOGIN DIGEST-MD5 CRAM-MD5
250-STARTTLS
250-DELIVERBY
250 HELP

Толкнул свой сервер, который идёт как промежуточный почтовый релей, и который выплюнул им письмо:

> telnet localhost 25
220 ESMTP - we hope today Fri, 09 Oct 2009 16:55:43 +0300
ehlo go.go.go
250-lion.uni-ocean.com.ua Hello localhost [127.0.0.1]
250-SIZE 52428800
250-PIPELINING
250 HELP

Подозрения упали на то, что на моём сервере аутентификации просто нет. Глянул в конфиг Exim'а - раскомментирована всего одна строчка:
begin authenticators. Почтовая система не моя - досталась по наследству. Вопрос - копаю ли в правильном направлении и если в правильном - то тогда как решить такой вопрос, что почта вся уходит через промежуточный релей, на котором нет базы пользователей.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Alex_hha]

Пользователи отправляют через твой релей в мир?

[warlock]

Пользователи отправляют через твой релей в мир?

Именно. На нём стоит спаморезка, антивирус и т.д. Также он алиасами распределяют почту внутри компании.
Но почтовые ящики он не держит. Их держат другие сервера, настроенные manualrout'ами пересылать почту на промежуточный релей.
И теперь вопрос - где промежуточный релей возмёт базу для аутентификации по AUTH PLAIN или AUTH CRAM-MD5?

[Alex_hha]

На релеях обычно такого не делают, там разрешают по ip, например для всей подсети сразу 192.168.1.0/24. А откуда твой релей берет список валидных ящиков?

[warlock]

Примерную схему системы я приложил.
Список валидных ящиков экзим на промежуточных релеях берёт из файлика /etc/mail/aliases.
На серверах, где находится почта пользователей, экзим вытаскивает их из sasldb.
До этого я с такой проблемой сталкивался, когда настраивал смартхосты, которые всю почту отсылали на провайдерский smtp-сервер.
При такой схеме провайдер просто просит логин/пароль зарегистрированного пользователя. Меня удивляет сама суть требовать SMTP аутентификацию от неизвестного релея. Какие челленджи тогда требует удалённый сервер для осуществления SMTP аутентификации ?