Xác thực đăng nhập SASL không thành công: UGFzc3dvcmQ6 - Tìm tên người dùng

21

Trước tiên hãy để tôi nói rằng máy chủ thư đang hoạt động tốt và người dùng có thể kết nối và gửi email.

Về cơ bản, có một tập lệnh web cục bộ kết nối với máy chủ thư cố gắng gửi thư cứ sau vài phút. Nó có mật khẩu sai. Vấn đề là chúng tôi không biết tập lệnh nào đang kết nối vì vậy chúng tôi đang tìm cách để có được tên người dùng đang được thử.

UGFzc3dvcmQ6 - giải mã thành Mật khẩu: vì vậy không có nhiều trợ giúp. Một dòng nhật ký đầy đủ dưới đây.

Dec 11 20:15:37 HOST postfix/smtpd[642]: warning: HOST[x.x.x.x]: SASL LOGIN authentication failed: UGFzc3dvcmQ6

Máy chủ đang chạy Debian / Postfix / Dovecot.

postfix  dovecot  sasl 
Ryaner
nguồn
5
Tôi có nhật ký rất giống nhau. Địa chỉ IP luôn thay đổi và các yêu cầu đến từ khắp nơi trên thế giới. Nó có nhiều khả năng phá vỡ trong nỗ lực.
nagylzs
3
Tốt UGFzc3dvcmQ6 cũ. Vẫn đang cố gắng đăng nhập vào máy chủ của tôi từ khắp nơi sau nhiều năm. Chỉ cần bỏ qua nó.
TommyPeanuts 16/12/18
UGFzc3dvcmQ6 là 'Mật khẩu' được mã hóa trong cơ sở64, tôi cũng thấy 'VXNlcm5hbWU6' là 'Tên người dùng' - đã như thế trong nhiều năm.
Jason Morgan

Câu trả lời:

16

Chúng tôi có thể theo dõi tên người dùng bằng cách sử dụng chính Dovecot.

Trong /etc/dovecot/conf.d/10-logging.confcấu hình, chúng tôi đã kích hoạt đăng nhập autbose bằng cách sử dụng

auth_verbose = yes

Điều này đưa thông tin vào

/etc/dovecot/info.log
Ryaner
nguồn
Không nên đăng nhập /var/log/dovecot-info.log?
Chloe
1
Của tôi là trong syslog
ISparkes
6

Tôi đã có thể ngăn chặn điều này bằng cách thiết lập SSL và yêu cầu các lần thử xác thực qua SSL chỉ với

smtpd_tls_auth_only = yes

Điều này không đưa ra AUTHtùy chọn cho máy khách từ xa sau đó EHLOvà vì vậy những kẻ gửi thư rác / tin tặc từ bỏ vì thiết lập kết nối SSL là quá nhiều thời gian. Họ làm việc một trò chơi số. Bây giờ thay vào đó nó bị treo khi họ thử AUTHvà tôi nhận được điều này trong nhật ký của mình:

Jan  7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: warning: 91.200.12.140: hostname vps863.hidehost.net verification failed: No address associated with hostname
Jan  7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: connect from unknown[91.200.12.140]
Jan  7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: lost connection after AUTH from unknown[91.200.12.140]
Jan  7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: disconnect from unknown[91.200.12.140]
Chloe
nguồn
1

Nếu bạn đã cài đặt fail2ban, bạn có thể kích hoạt sasl (hoặc đôi khi được gọi là postfix-sasl) trong jail.local (hoặc jail.d) của bạn và điều đó sẽ khiến những phiền toái biến mất.

## for me this is in /etc/fail2ban/jail.d/defaults-debian.conf
[postfix]
enabled = true

[postfix-sasl]
enabled = true
Jason Morgan
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.