Ошибка аутентификации SASL LOGIN: UGFzc3dvcmQ6 - Найти имя пользователя

21

Сначала позвольте мне заявить, что почтовый сервер работает нормально, и пользователи могут подключаться и отправлять электронную почту.

Обычно существует локальный веб-скрипт, подключающийся к почтовому серверу, который пытается отправлять почту каждые несколько минут. У него неправильный пароль. Проблема в том, что мы не знаем, к какому сценарию подключается, поэтому мы ищем способ получить имя пользователя, которое проверяется.

UGFzc3dvcmQ6 - декодирует по паролю: так что это мало чем поможет. Полная строка журнала приведена ниже.

Dec 11 20:15:37 HOST postfix/smtpd[642]: warning: HOST[x.x.x.x]: SASL LOGIN authentication failed: UGFzc3dvcmQ6

Сервер работает под управлением Debian / Postfix / Dovecot.

postfix dovecot sasl Ryaner
источник
5
У меня такие же логи. IP-адрес всегда меняется, и поступают запросы со всего мира. Это скорее перерыв в попытке.
nagylzs 13.09.16
3
Старый добрый UGFzc3dvcmQ6. Все еще пытаюсь войти в мой сервер со всех концов после всех этих лет. Просто надо это игнорировать.
TommyPeanuts
1
UGFzc3dvcmQ6 - это «Пароль», закодированный в base64, я также вижу «VXNlcm5hbWU6», то есть «Имя пользователя» - так было годами.
Джейсон Морган

Ответы:

16

Мы смогли отследить имя пользователя с помощью самого Dovecot.

В /etc/dovecot/conf.d/10-logging.confконфиге мы включили подробное ведение журнала авторизации, используя

auth_verbose = yes

Это помещает информацию в

/etc/dovecot/info.log
Ryaner
источник
Не должен ли быть логин /var/log/dovecot-info.log?
Хлоя
1
Моя в системном
журнале
6

Я смог предотвратить это, настроив SSL и требуя попытки авторизации через SSL только с

smtpd_tls_auth_only = yes

Это не дает AUTHопции удаленному клиенту после, EHLOи поэтому спамеры / хакеры сдаются, потому что установление SSL-соединения занимает слишком много времени. Они работают над игрой чисел. Теперь вместо этого он зависает, когда они пытаются, AUTHи я получаю это в моих журналах:

Jan  7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: warning: 91.200.12.140: hostname vps863.hidehost.net verification failed: No address associated with hostname
Jan  7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: connect from unknown[91.200.12.140]
Jan  7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: lost connection after AUTH from unknown[91.200.12.140]
Jan  7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: disconnect from unknown[91.200.12.140]
Хлоя
источник
1

Если у вас установлен fail2ban, вы можете включить sasl (или иногда называемый postfix-sasl) в вашем jail.local (или jail.d), и это должно устранить неприятности.

## for me this is in /etc/fail2ban/jail.d/defaults-debian.conf
[postfix]
enabled = true

[postfix-sasl]
enabled = true
Джейсон Морган
источник