SASLログイン認証に失敗しました:UGFzc3dvcmQ6-ユーザー名を見つける

21

まず、メールサーバーが正常に動作しており、ユーザーが電子メールに接続して送信できることを説明します。

基本的に、数分ごとにメールを送信しようとするメールサーバーに接続するローカルWebスクリプトがあります。パスワードが間違っています。問題は、どのスクリプトが接続されているのかわからないため、試行されているユーザー名を取得する方法を探していることです。

UGFzc3dvcmQ6-パスワードにデコードするため、あまり役に立ちません。完全なログ行は以下にあります。

Dec 11 20:15:37 HOST postfix/smtpd[642]: warning: HOST[x.x.x.x]: SASL LOGIN authentication failed: UGFzc3dvcmQ6

サーバーはDebian / Postfix / Dovecotを実行しています。

postfix  dovecot  sasl 
ライアー
ソース
5
私はまったく同じログを持っています。IPアドレスは常に変化し、世界中からリクエストが寄せられています。それは試みの中断の可能性が高いです。
nagylzs
3
古き良きUGFzc3dvcmQ6。これらすべての年月が過ぎても、やはり私のサーバーにログインしようとしています。無視してください。
トミーピーナッツ
UGFzc3dvcmQ6はbase64でエンコードされた「パスワード」ですが、「ユーザー名」である「VXNlcm5hbWU6」も表示されます。
ジェイソンモーガン

回答:

16

Dovecot自体を使用して、ユーザー名を追跡することができました。

構成では、次/etc/dovecot/conf.d/10-logging.confを使用して詳細な認証ログを有効にしました

auth_verbose = yes

これにより、情報が

/etc/dovecot/info.log
ライアー
ソース
ログを入れるべきではありません/var/log/dovecot-info.logか?
クロエ
1
私はsyslogにあります
-ISparkes
6

SSLをセットアップし、SSLを介した認証試行のみを要求することで、これを防ぐことができました。

smtpd_tls_auth_only = yes

これAUTHにより、リモートクライアントにオプションが提示されなくEHLOなり、SSL接続の確立に時間がかかりすぎるため、スパマー/ハッカーはtheめます。彼らは数字ゲームをします。今では代わりに彼らがしようAUTHとするとハングアップし、私はこれをログに記録します:

Jan  7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: warning: 91.200.12.140: hostname vps863.hidehost.net verification failed: No address associated with hostname
Jan  7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: connect from unknown[91.200.12.140]
Jan  7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: lost connection after AUTH from unknown[91.200.12.140]
Jan  7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: disconnect from unknown[91.200.12.140]
クロエ
ソース
1

あなたが持っている場合はfail2banのは、あなたがSASLを有効にすることができますインストール(または時々のpostfix-SASLと呼ばれる)あなたのjail.local(またはjail.d)で、それは頭痛の種が消える行う必要があります。

## for me this is in /etc/fail2ban/jail.d/defaults-debian.conf
[postfix]
enabled = true

[postfix-sasl]
enabled = true
ジェイソン・モーガン
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.