Falha na autenticação do SASL LOGIN: UGFzc3dvcmQ6 - Encontre o nome de usuário

21

Primeiro, deixe-me declarar que o servidor de email está funcionando bem e que os usuários podem se conectar e enviar email.

Basicamente, há um script da web local conectado ao servidor de email tentando enviar emails a cada poucos minutos. Tem a senha errada. O problema é que não sabemos em que script está se conectando, portanto, estamos procurando uma maneira de obter o nome de usuário que está sendo tentado.

UGFzc3dvcmQ6 - decodifica para Senha: não é muita ajuda. Uma linha de registro completa está abaixo.

Dec 11 20:15:37 HOST postfix/smtpd[642]: warning: HOST[x.x.x.x]: SASL LOGIN authentication failed: UGFzc3dvcmQ6

O servidor está executando o Debian / Postfix / Dovecot.

postfix  dovecot  sasl 
Ryaner
fonte
5
Eu tenho os mesmos logs. O endereço IP sempre muda e solicitações são recebidas de todo o mundo. É mais provável uma quebra de tentativa.
Nagylzs 13/09/16
3
Bom e velho UGFzc3dvcmQ6. Ainda estou tentando fazer login no meu servidor de todo o lado depois de todos esses anos. Só tenho que ignorá-lo.
TommyPeanuts
UGFzc3dvcmQ6 é 'Password' codificado em base64, também vejo 'VXNlcm5hbWU6', que é 'Username' - é assim há anos.
Jason Morgan

Respostas:

16

Conseguimos rastrear o nome de usuário usando o próprio Dovecot.

Na /etc/dovecot/conf.d/10-logging.confconfiguração, ativamos o log de autenticação detalhado usando

auth_verbose = yes

Isso colocou as informações em

/etc/dovecot/info.log
Ryaner
fonte
O log não deveria estar dentro /var/log/dovecot-info.log?
Chloe
11
O meu está no syslog
ISparkes 3/17/17
6

Consegui evitar isso configurando o SSL e exigindo tentativas de autenticação por SSL apenas com

smtpd_tls_auth_only = yes

Isso não apresenta a AUTHopção para o cliente remoto depois EHLOe, portanto, os spammers / hackers desistem porque o estabelecimento de uma conexão SSL é muito demorado. Eles trabalham um jogo de números. Agora, ele desliga quando eles tentam AUTHe eu recebo isso nos meus logs:

Jan  7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: warning: 91.200.12.140: hostname vps863.hidehost.net verification failed: No address associated with hostname
Jan  7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: connect from unknown[91.200.12.140]
Jan  7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: lost connection after AUTH from unknown[91.200.12.140]
Jan  7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: disconnect from unknown[91.200.12.140]
Chloe
fonte
1

Se você tiver o fail2ban instalado, poderá ativar o sasl (ou algumas vezes chamado de postfix-sasl) no seu jail.local (ou jail.d) e isso deve fazer com que os aborrecimentos desapareçam.

## for me this is in /etc/fail2ban/jail.d/defaults-debian.conf
[postfix]
enabled = true

[postfix-sasl]
enabled = true
Jason Morgan
fonte
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.