Question Échec de l'authentification de connexion SASL: UGFzc3dvcmQ6 - Rechercher le nom d'utilisateur


Tout d’abord, permettez-moi de dire que le serveur de messagerie fonctionne correctement et que les utilisateurs peuvent se connecter et envoyer un courrier électronique.

En gros, un script Web local se connectant au serveur de messagerie tente d'envoyer du courrier toutes les quelques minutes. Le mot de passe est incorrect. Le problème est que nous ne savons pas à quel script se connecte, nous cherchons donc un moyen d’obtenir le nom d’utilisateur en cours d’essai.

UGFzc3dvcmQ6 - décode en mot de passe: donc pas beaucoup d'aide. Une ligne de journal complète est ci-dessous.

Dec 11 20:15:37 HOST postfix/smtpd[642]: warning: HOST[x.x.x.x]: SASL LOGIN authentication failed: UGFzc3dvcmQ6

Le serveur exécute Debian / Postfix / Dovecot.


16
2017-12-11 21:47


origine


J'ai les mêmes journaux. L'adresse IP change toujours et les demandes arrivent du monde entier. C’est plutôt une tentative de rupture. - nagylzs


Réponses:


Nous avons pu retracer le nom d'utilisateur en utilisant Dovecot lui-même.

dans le /etc/dovecot/conf.d/10-logging.conf config, nous avons activé la journalisation des autorisations authentiques en utilisant

auth_verbose = yes

Cela a mis l'information dans

/etc/dovecot/info.log

14
2018-01-21 12:26



Le journal ne devrait-il pas être en /var/log/dovecot-info.log? - Chloe
Le mien est dans syslog - Ian Sparkes


J'ai pu empêcher cela en configurant SSL et en exigeant des tentatives d'authentification sur SSL uniquement avec

smtpd_tls_auth_only = yes

Cela ne présente pas le AUTH option pour le client distant après EHLO et donc les spammeurs / hackers abandonnent parce qu’établir une connexion SSL prend trop de temps. Ils travaillent un jeu de nombres. Maintenant, au lieu de cela, il raccroche quand ils essaient AUTH et je reçois cela dans mes journaux:

Jan  7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: warning: 91.200.12.140: hostname vps863.hidehost.net verification failed: No address associated with hostname
Jan  7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: connect from unknown[91.200.12.140]
Jan  7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: lost connection after AUTH from unknown[91.200.12.140]
Jan  7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: disconnect from unknown[91.200.12.140]

4
2018-01-07 22:18