Échec de l'authentification SASL LOGIN: UGFzc3dvcmQ6 - Rechercher le nom d'utilisateur

21

Permettez-moi d'abord de dire que le serveur de messagerie fonctionne correctement et que les utilisateurs peuvent se connecter et envoyer des e-mails.

Fondamentalement, un script Web local se connecte au serveur de messagerie et essaie d'envoyer du courrier toutes les quelques minutes. Il a un mauvais mot de passe. Le problème est que nous ne savons pas dans quel script se connecte, nous recherchons donc un moyen d'obtenir le nom d'utilisateur qui est en cours d'essai.

UGFzc3dvcmQ6 - décode en mot de passe: il n'y a donc pas beaucoup d'aide. Une ligne de journal complète est ci-dessous.

Dec 11 20:15:37 HOST postfix/smtpd[642]: warning: HOST[x.x.x.x]: SASL LOGIN authentication failed: UGFzc3dvcmQ6

Le serveur exécute Debian / Postfix / Dovecot.

postfix  dovecot  sasl 
Ryaner
source
5
J'ai les mêmes journaux. L'adresse IP change toujours et des demandes arrivent de partout dans le monde. Il s'agit plus probablement d'une pause dans la tentative.
nagylzs
3
Bon vieux UGFzc3dvcmQ6. J'essaie toujours de me connecter à mon serveur de toutes parts après toutes ces années. Il suffit de l'ignorer.
TommyPeanuts
1
UGFzc3dvcmQ6 est 'Password' encodé en base64, je vois aussi 'VXNlcm5hbWU6' qui est 'Username' - comme ça depuis des années.
Jason Morgan

Réponses:

16

Nous avons pu retracer le nom d'utilisateur en utilisant Dovecot lui-même.

Dans la /etc/dovecot/conf.d/10-logging.confconfiguration, nous avons activé la journalisation d'authentification détaillée à l'aide de

auth_verbose = yes

Cela a mis les informations dans

/etc/dovecot/info.log
Ryaner
source
Le journal ne devrait-il pas être connecté /var/log/dovecot-info.log?
Chloé
1
Le mien est dans syslog
ISparkes
6

J'ai pu empêcher cela en configurant SSL et en exigeant des tentatives d'authentification sur SSL uniquement avec

smtpd_tls_auth_only = yes

Cela ne présente pas l' AUTHoption au client distant après EHLOet les spammeurs / hackers abandonnent car l'établissement d'une connexion SSL prend trop de temps. Ils travaillent un jeu de nombres. Maintenant, au lieu de cela, il raccroche lorsqu'ils essaient AUTHet j'obtiens ceci dans mes journaux:

Jan  7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: warning: 91.200.12.140: hostname vps863.hidehost.net verification failed: No address associated with hostname
Jan  7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: connect from unknown[91.200.12.140]
Jan  7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: lost connection after AUTH from unknown[91.200.12.140]
Jan  7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: disconnect from unknown[91.200.12.140]
Chloe
source
1

Si vous avez installé fail2ban, vous pouvez activer sasl (ou parfois appelé postfix-sasl) dans votre jail.local (ou jail.d) et cela devrait faire disparaître les ennuis.

## for me this is in /etc/fail2ban/jail.d/defaults-debian.conf
[postfix]
enabled = true

[postfix-sasl]
enabled = true
Jason Morgan
source
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.