Permettez-moi d'abord de dire que le serveur de messagerie fonctionne correctement et que les utilisateurs peuvent se connecter et envoyer des e-mails.
Fondamentalement, un script Web local se connecte au serveur de messagerie et essaie d'envoyer du courrier toutes les quelques minutes. Il a un mauvais mot de passe. Le problème est que nous ne savons pas dans quel script se connecte, nous recherchons donc un moyen d'obtenir le nom d'utilisateur qui est en cours d'essai.
UGFzc3dvcmQ6 - décode en mot de passe: il n'y a donc pas beaucoup d'aide. Une ligne de journal complète est ci-dessous.
Dec 11 20:15:37 HOST postfix/smtpd[642]: warning: HOST[x.x.x.x]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
Le serveur exécute Debian / Postfix / Dovecot.
Réponses:
Nous avons pu retracer le nom d'utilisateur en utilisant Dovecot lui-même.
Dans la
/etc/dovecot/conf.d/10-logging.conf
configuration, nous avons activé la journalisation d'authentification détaillée à l'aide deCela a mis les informations dans
la source
/var/log/dovecot-info.log
?J'ai pu empêcher cela en configurant SSL et en exigeant des tentatives d'authentification sur SSL uniquement avec
Cela ne présente pas l'
AUTH
option au client distant aprèsEHLO
et les spammeurs / hackers abandonnent car l'établissement d'une connexion SSL prend trop de temps. Ils travaillent un jeu de nombres. Maintenant, au lieu de cela, il raccroche lorsqu'ils essaientAUTH
et j'obtiens ceci dans mes journaux:la source
Si vous avez installé fail2ban, vous pouvez activer sasl (ou parfois appelé postfix-sasl) dans votre jail.local (ou jail.d) et cela devrait faire disparaître les ennuis.
la source