Autenticazione LOGIN SASL non riuscita: UGFzc3dvcmQ6 - Trova il nome utente

21

Prima di tutto lasciatemi dire che il server di posta funziona correttamente e che gli utenti possono connettersi e inviare e-mail.

Fondamentalmente c'è uno script web locale che si collega al server di posta cercando di inviare posta ogni pochi minuti. Ha la password sbagliata. Il problema è che non sappiamo a quale script si sta connettendo, quindi stiamo cercando un modo per ottenere lo username che si sta provando.

UGFzc3dvcmQ6 - decodifica in password: quindi non è di grande aiuto. Di seguito è riportata una riga di registro completa.

Dec 11 20:15:37 HOST postfix/smtpd[642]: warning: HOST[x.x.x.x]: SASL LOGIN authentication failed: UGFzc3dvcmQ6

Il server esegue Debian / Postfix / Dovecot.

postfix  dovecot  sasl 
Ryaner
fonte
5
Ho gli stessi registri. L'indirizzo IP cambia sempre e arrivano richieste da tutto il mondo. È più probabile una pausa nel tentativo.
nagylzs,
3
Buon vecchio UGFzc3dvcmQ6. Sto ancora cercando di accedere al mio server da ogni parte dopo tutti questi anni. Devo solo ignorarlo.
TommyPeanuts,
UGFzc3dvcmQ6 è 'Password' codificata in base64, vedo anche 'VXNlcm5hbWU6' che è 'Nome utente' - è stato così per anni.
Jason Morgan,

Risposte:

16

Siamo riusciti a rintracciare il nome utente utilizzando Dovecot stesso.

Nella /etc/dovecot/conf.d/10-logging.confconfigurazione abbiamo abilitato la registrazione di autenticazione dettagliata usando

auth_verbose = yes

Questo ha inserito le informazioni

/etc/dovecot/info.log
Ryaner
fonte
Il registro non dovrebbe essere inserito /var/log/dovecot-info.log?
Chloe,
1
Il mio è in syslog
ISparkes,
6

Sono stato in grado di impedirlo impostando SSL e richiedendo tentativi di autenticazione su SSL solo con

smtpd_tls_auth_only = yes

Questo non presenta l' AUTHopzione al client remoto dopo EHLOe quindi gli spammer / hacker rinunciano perché stabilire una connessione SSL è troppo tempo. Funzionano un gioco di numeri. Ora invece si blocca quando provano AUTHe lo ottengo nei miei registri:

Jan  7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: warning: 91.200.12.140: hostname vps863.hidehost.net verification failed: No address associated with hostname
Jan  7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: connect from unknown[91.200.12.140]
Jan  7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: lost connection after AUTH from unknown[91.200.12.140]
Jan  7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: disconnect from unknown[91.200.12.140]
Chloe
fonte
1

Se hai installato fail2ban puoi abilitare sasl (o talvolta chiamato postfix-sasl) in jail.local (o jail.d) e questo dovrebbe far sparire i fastidi.

## for me this is in /etc/fail2ban/jail.d/defaults-debian.conf
[postfix]
enabled = true

[postfix-sasl]
enabled = true
Jason Morgan
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.