SASL LOGIN-Authentifizierung fehlgeschlagen: UGFzc3dvcmQ6 - Suchen Sie den Benutzernamen

21

Lassen Sie mich zunächst feststellen, dass der Mailserver einwandfrei funktioniert und Benutzer eine Verbindung herstellen und E-Mails senden können.

Grundsätzlich verbindet sich alle paar Minuten ein lokales Web-Skript mit dem Mail-Server und versucht, E-Mails zu senden. Es hat das falsche Passwort. Das Problem ist, dass wir nicht wissen, in welchem ​​Skript die Verbindung hergestellt wird. Daher suchen wir nach einer Möglichkeit, den Benutzernamen zu ermitteln, der gerade ausprobiert wird.

UGFzc3dvcmQ6 - entschlüsselt sich zu Passwort: also nicht viel Hilfe. Eine vollständige Protokollzeile befindet sich unten.

Dec 11 20:15:37 HOST postfix/smtpd[642]: warning: HOST[x.x.x.x]: SASL LOGIN authentication failed: UGFzc3dvcmQ6

Auf dem Server läuft Debian / Postfix / Dovecot.

Ryaner
quelle
5
Ich habe die gleichen Protokolle. Die IP-Adresse ändert sich ständig und Anfragen kommen aus der ganzen Welt. Es ist eher eine Versuchspause.
Nagylzs
3
Guter alter UGFzc3dvcmQ6. Ich versuche nach all den Jahren immer noch, mich von überall auf meinem Server anzumelden. Muss es einfach ignorieren.
TommyPeanuts
UGFzc3dvcmQ6 ist in base64 'Passwort' verschlüsselt, ich sehe auch 'VXNlcm5hbWU6' was 'Benutzername' ist - schon seit Jahren so.
Jason Morgan

Antworten:

16

Wir konnten den Benutzernamen mithilfe von Dovecot selbst verfolgen.

In der /etc/dovecot/conf.d/10-logging.confKonfiguration haben wir die ausführliche Authentifizierungsprotokollierung mit aktiviert

auth_verbose = yes

Dies legte die Informationen in

/etc/dovecot/info.log
Ryaner
quelle
Sollte das Login nicht sein /var/log/dovecot-info.log?
Chloe
1
Meins ist im Syslog
ISparkes
6

Ich konnte dies verhindern, indem ich SSL einrichtete und Authentifizierungsversuche über SSL nur mit erforderte

smtpd_tls_auth_only = yes

Dies stellt keine AUTHOption für den Remote-Client nach EHLOund daher geben die Spammer / Hacker auf, da der Aufbau einer SSL-Verbindung zu viel Zeit in Anspruch nimmt. Sie arbeiten ein Zahlenspiel. Jetzt legt es stattdessen auf, wenn sie es versuchen AUTHund ich bekomme dies in meinen Protokollen:

Jan  7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: warning: 91.200.12.140: hostname vps863.hidehost.net verification failed: No address associated with hostname
Jan  7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: connect from unknown[91.200.12.140]
Jan  7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: lost connection after AUTH from unknown[91.200.12.140]
Jan  7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: disconnect from unknown[91.200.12.140]
Chloe
quelle
1

Wenn Sie fail2ban installiert haben, können Sie sasl (oder manchmal postfix-sasl genannt) in Ihrer jail.local (oder jail.d) aktivieren, und das sollte die Unannehmlichkeiten beseitigen.

## for me this is in /etc/fail2ban/jail.d/defaults-debian.conf
[postfix]
enabled = true

[postfix-sasl]
enabled = true
Jason Morgan
quelle