it-swarm-eu.dev

Échec de l'authentification de la CONNEXION SASL: UGFzc3dvcmQ6 - Rechercher le nom d'utilisateur

Permettez-moi d'abord de dire que le serveur de messagerie fonctionne correctement et que les utilisateurs peuvent se connecter et envoyer des e-mails.

Fondamentalement, un script Web local se connecte au serveur de messagerie et essaie d'envoyer du courrier toutes les quelques minutes. Il a un mauvais mot de passe. Le problème est que nous ne savons pas dans quel script se connecte, nous recherchons donc un moyen d'obtenir le nom d'utilisateur qui est en cours d'essai.

UGFzc3dvcmQ6 - décode en mot de passe: il n'y a donc pas beaucoup d'aide. Une ligne de journal complète est ci-dessous.

Dec 11 20:15:37 Host postfix/smtpd[642]: warning: Host[x.x.x.x]: SASL LOGIN authentication failed: UGFzc3dvcmQ6

Le serveur exécute Debian/Postfix/Dovecot.

22
Ryaner

Nous avons pu retracer le nom d'utilisateur en utilisant Dovecot lui-même.

Dans le /etc/dovecot/conf.d/10-logging.conf config nous avons activé la journalisation d'authentification détaillée en utilisant

auth_verbose = yes

Cela a mis les informations

/etc/dovecot/info.log
18
Ryaner

J'ai pu empêcher cela en configurant SSL et en exigeant des tentatives d'authentification sur SSL uniquement avec

smtpd_tls_auth_only = yes

Cela ne présente pas l'option AUTH au client distant après EHLO et les spammeurs/hackers abandonnent car l'établissement d'une connexion SSL prend trop de temps. Ils travaillent un jeu de nombres. Maintenant, il raccroche à la place lorsqu'ils essaient AUTH et j'obtiens ceci dans mes journaux:

Jan  7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: warning: 91.200.12.140: hostname vps863.hidehost.net verification failed: No address associated with hostname
Jan  7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: connect from unknown[91.200.12.140]
Jan  7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: lost connection after AUTH from unknown[91.200.12.140]
Jan  7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: disconnect from unknown[91.200.12.140]
6
Chloe

Si vous avez fail2ban installé, vous pouvez activer sasl (ou parfois appelé postfix-sasl) dans votre jail.local (ou jail.d) et cela devrait faire disparaître les ennuis.

## for me this is in /etc/fail2ban/jail.d/defaults-debian.conf
[postfix]
enabled = true

[postfix-sasl]
enabled = true
4
Jason Morgan