Uwierzytelnianie przy logowaniu SASL nie powiodło się: UGFzc3dvcmQ6 - Znajdź nazwę użytkownika

21

Po pierwsze pozwól mi stwierdzić, że serwer pocztowy działa dobrze, a użytkownicy mogą łączyć się i wysyłać wiadomości e-mail.

Zasadniczo istnieje lokalny skrypt internetowy łączący się z serwerem pocztowym, który próbuje wysyłać pocztę co kilka minut. Ma nieprawidłowe hasło. Problem polega na tym, że nie wiemy, do którego skryptu się podłącza, dlatego szukamy sposobu na uzyskanie nazwy użytkownika, który jest testowany.

UGFzc3dvcmQ6 - dekoduje na hasło: więc nie ma wielkiej pomocy. Pełna linia dziennika znajduje się poniżej.

Dec 11 20:15:37 HOST postfix/smtpd[642]: warning: HOST[x.x.x.x]: SASL LOGIN authentication failed: UGFzc3dvcmQ6

Na serwerze działa Debian / Postfix / Dovecot.

Ryaner
źródło
5
Mam te same dzienniki. Adres IP się zmienia, a żądania przychodzą z całego świata. Bardziej prawdopodobne jest przerwanie próby.
nagylzs
3
Dobry stary UGFzc3dvcmQ6. Po tylu latach wciąż próbuję zalogować się na mój serwer. Po prostu zignoruj ​​to.
TommyPeanuts,
1
UGFzc3dvcmQ6 to „Hasło” zakodowane w base64, widzę też „VXNlcm5hbWU6”, który jest „Nazwa użytkownika” - taki był od lat.
Jason Morgan

Odpowiedzi:

16

Byliśmy w stanie prześledzić nazwę użytkownika za pomocą samego Dovecot.

W /etc/dovecot/conf.d/10-logging.confkonfiguracji włączyliśmy pełne logowanie przy użyciu uwierzytelniania

auth_verbose = yes

To wstawiło informację

/etc/dovecot/info.log
Ryaner
źródło
Czy log nie powinien być zalogowany /var/log/dovecot-info.log?
Chloe
1
Mój jest w syslog
ISparkes
6

Udało mi się temu zapobiec, konfigurując protokół SSL i wymagając prób uwierzytelnienia za pośrednictwem protokołu SSL tylko przy użyciu

smtpd_tls_auth_only = yes

To nie przedstawia AUTHopcji zdalnemu klientowi po, EHLOwięc spamerzy / hakerzy poddają się, ponieważ ustanowienie połączenia SSL to zbyt dużo czasu. Pracują w grę liczbową. Teraz zamiast tego zawiesza się, gdy próbują, AUTHi dostaję to do moich dzienników:

Jan  7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: warning: 91.200.12.140: hostname vps863.hidehost.net verification failed: No address associated with hostname
Jan  7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: connect from unknown[91.200.12.140]
Jan  7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: lost connection after AUTH from unknown[91.200.12.140]
Jan  7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: disconnect from unknown[91.200.12.140]
Chloe
źródło
1

Jeśli masz zainstalowany fail2ban , możesz włączyć sasl (lub czasem nazywany postfix-sasl) w jail.local (lub jail.d), co powinno sprawić, że irytacja zniknie.

## for me this is in /etc/fail2ban/jail.d/defaults-debian.conf
[postfix]
enabled = true

[postfix-sasl]
enabled = true
Jason Morgan
źródło