SASL登录身份验证失败:UGFzc3dvcmQ6-查找用户名

21

首先让我说说邮件服务器工作正常,用户可以连接并发送电子邮件。

基本上,有一个本地Web脚本连接到邮件服务器,尝试每隔几分钟发送一次邮件。密码错误。问题是我们不知道正在连接什么脚本,因此我们正在寻找一种获取正在尝试的用户名的方法。

UGFzc3dvcmQ6-解码为密码:所以没有太大帮助。完整的日志行如下。

Dec 11 20:15:37 HOST postfix/smtpd[642]: warning: HOST[x.x.x.x]: SASL LOGIN authentication failed: UGFzc3dvcmQ6

服务器正在运行Debian / Postfix / Dovecot。

postfix  dovecot  sasl 
瑞纳
source
5
我有相同的日志。IP地址始终在变化,并且来自世界各地的请求不断涌入。它更有可能中断尝试。
nagylzs
3
好旧的UGFzc3dvcmQ6。这些年来,仍然尝试从所有位置登录我的服务器。只需忽略它。
TommyPeanuts
UGFzc3dvcmQ6是用base64编码的“密码”,我还看到了“ VXNlcm5hbWU6”,即“用户名”,已经有好几年了。
杰森·摩根

Answers:

16

我们可以使用Dovecot本身来跟踪用户名。

/etc/dovecot/conf.d/10-logging.conf配置中,我们使用以下命令启用了详细身份验证日志记录

auth_verbose = yes

这将信息放入

/etc/dovecot/info.log
瑞纳
source
日志不应该在/var/log/dovecot-info.log吗?
克洛伊
1
我的系统日志中
-ISparkes
6

我可以通过设置SSL并仅要求使用SSL进行身份验证尝试来防止这种情况

smtpd_tls_auth_only = yes

AUTH此后不会向远程客户端显示该选项EHLO,因此垃圾邮件发送者/黑客会放弃,因为建立SSL连接的时间过多。他们从事数字游戏。现在,当他们尝试时,它挂断了AUTH,我将其记录在日志中:

Jan  7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: warning: 91.200.12.140: hostname vps863.hidehost.net verification failed: No address associated with hostname
Jan  7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: connect from unknown[91.200.12.140]
Jan  7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: lost connection after AUTH from unknown[91.200.12.140]
Jan  7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: disconnect from unknown[91.200.12.140]
克洛伊
source
1

如果安装了fail2ban,则可以在jail.local(或jail.d)中启用sasl(或有时称为postfix-sasl),这将消除烦恼。

## for me this is in /etc/fail2ban/jail.d/defaults-debian.conf
[postfix]
enabled = true

[postfix-sasl]
enabled = true
杰森·摩根(Jason Morgan)
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.