Помилка аутентифікації SASL LOGIN: UGFzc3dvcmQ6 - Знайдіть ім'я користувача

21

Спочатку дозвольте мені зазначити, що поштовий сервер працює нормально, і користувачі можуть підключатися та надсилати електронну пошту.

В основному існує локальний веб-скрипт, який з'єднується з поштовим сервером, намагаючись надсилати пошту кожні кілька хвилин. У ньому неправильний пароль. Проблема полягає в тому, що ми не знаємо, до якого сценарію підключається, тому ми шукаємо спосіб отримати ім'я користувача, яке перевіряється.

UGFzc3dvcmQ6 - розшифровується до пароля: тому не дуже допоможе. Нижче наведено повний рядок журналу.

Dec 11 20:15:37 HOST postfix/smtpd[642]: warning: HOST[x.x.x.x]: SASL LOGIN authentication failed: UGFzc3dvcmQ6

На сервері працює Debian / Postfix / Dovecot.

postfix  dovecot  sasl 
Ryaner
джерело
5
У мене такі самі журнали. IP-адреса завжди змінюється, і запити надходять з усього світу. Це скоріше розрив спроби.
nagylzs
3
Добрий старий UGFzc3dvcmQ6. Все ще намагаюся ввійти на свій сервер з усіх кінців теж після всіх цих років. Просто треба ігнорувати це.
TommyPeanuts
1
UGFzc3dvcmQ6 - "Пароль", закодований в base64, я також бачу "VXNlcm5hbWU6", що є "Ім'я користувача" - таке було роками.
Джейсон Морган

Відповіді:

16

Нам вдалося простежити ім’я користувача, використовуючи сам Dovecot.

У /etc/dovecot/conf.d/10-logging.confналаштуваннях ми ввімкнули багатослівний авторизацію аутентифікації за допомогою

auth_verbose = yes

Це вклало інформацію

/etc/dovecot/info.log
Ryaner
джерело
Чи не повинен увійти журнал /var/log/dovecot-info.log?
Хлоя
1
Шахта знаходиться в syslog
ISparkes
6

Мені вдалося запобігти цьому, встановивши SSL та вимагаючи авторизованих спроб через SSL лише за допомогою

smtpd_tls_auth_only = yes

Це не дає AUTHможливості віддаленому клієнту після, EHLOі тому спамери / хакери відмовляються, оскільки для встановлення SSL-з'єднання занадто багато часу. Вони працюють гру з цифрами. Тепер замість цього він зависає, коли вони намагаються, AUTHі я отримую це у своїх журналах:

Jan  7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: warning: 91.200.12.140: hostname vps863.hidehost.net verification failed: No address associated with hostname
Jan  7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: connect from unknown[91.200.12.140]
Jan  7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: lost connection after AUTH from unknown[91.200.12.140]
Jan  7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: disconnect from unknown[91.200.12.140]
Хлоя
джерело
1

Якщо у вас встановлено fail2ban, ви можете ввімкнути sasl (або іноді називається postfix-sasl) у своєму jail.local (або jail.d), і це повинно змусити роздратування.

## for me this is in /etc/fail2ban/jail.d/defaults-debian.conf
[postfix]
enabled = true

[postfix-sasl]
enabled = true
Джейсон Морган
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.