Otentikasi SASL LOGIN gagal: UGFzc3dvcmQ6 - Temukan nama pengguna

21

Pertama, izinkan saya menyatakan bahwa server email berfungsi dengan baik dan pengguna dapat terhubung dan mengirim email.

Pada dasarnya ada skrip web lokal yang terhubung ke server email mencoba mengirim email setiap beberapa menit. Kata sandi salah. Masalahnya adalah kita tidak tahu skrip apa yang terhubung sehingga kami mencari cara untuk mendapatkan nama pengguna yang sedang dicoba.

UGFzc3dvcmQ6 - menerjemahkan ke Kata Sandi: jadi tidak banyak membantu. Baris log lengkap ada di bawah ini.

Dec 11 20:15:37 HOST postfix/smtpd[642]: warning: HOST[x.x.x.x]: SASL LOGIN authentication failed: UGFzc3dvcmQ6

Server menjalankan Debian / Postfix / Dovecot.

postfix dovecot sasl Ryaner
sumber
5
Saya memiliki log yang sama. Alamat IP selalu berubah, dan permintaan datang dari seluruh dunia. Itu lebih mungkin istirahat dalam upaya.
nagylzs
3
UGFzc3dvcmQ6 tua yang bagus. Masih mencoba masuk ke server saya dari seluruh juga setelah bertahun-tahun. Hanya harus mengabaikannya.
TommyPeanuts
UGFzc3dvcmQ6 adalah 'Kata Sandi' yang disandikan di base64, saya juga melihat 'VXNlcm5hbWU6' yang merupakan 'Nama Pengguna' - sudah seperti itu selama bertahun-tahun.
Jason Morgan

Jawaban:

16

Kami dapat melacak nama pengguna dengan menggunakan Dovecot itu sendiri.

Di /etc/dovecot/conf.d/10-logging.confconfig kami mengaktifkan autent logging verbose menggunakan

auth_verbose = yes

Ini memasukkan informasi

/etc/dovecot/info.log
Ryaner
sumber
Bukankah seharusnya log itu masuk /var/log/dovecot-info.log?
Chloe
1
Milik
6

Saya dapat mencegah hal ini dengan mengatur SSL dan memerlukan upaya autentikasi hanya dengan SSL

smtpd_tls_auth_only = yes

Ini tidak menyajikan AUTHopsi untuk klien jarak jauh setelah EHLOdan spammer / peretas menyerah karena membuat koneksi SSL terlalu banyak waktu. Mereka mengerjakan permainan angka. Sekarang malah menutup ketika mereka mencoba AUTHdan saya mendapatkan ini di log saya:

Jan  7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: warning: 91.200.12.140: hostname vps863.hidehost.net verification failed: No address associated with hostname
Jan  7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: connect from unknown[91.200.12.140]
Jan  7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: lost connection after AUTH from unknown[91.200.12.140]
Jan  7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: disconnect from unknown[91.200.12.140]
Chloe
sumber
1

Jika Anda memiliki fail2ban terinstal, Anda dapat mengaktifkan sasl (atau kadang-kadang disebut postfix-sasl) di jail.local Anda (atau jail.d) dan itu akan membuat gangguan hilang.

## for me this is in /etc/fail2ban/jail.d/defaults-debian.conf
[postfix]
enabled = true

[postfix-sasl]
enabled = true
Jason Morgan
sumber