SASL 로그인 인증 실패 : UGFzc3dvcmQ6-사용자 이름 찾기


21

먼저 메일 서버가 제대로 작동하고 사용자가 연결하고 전자 메일을 보낼 수 있다고 설명하겠습니다.

기본적으로 메일 서버에 연결하는 로컬 웹 스크립트가 몇 분마다 메일을 보내려고합니다. 비밀번호가 잘못되었습니다. 문제는 스크립트가 어떤 스크립트에 연결되어 있는지 알 수 없으므로 시도중인 사용자 이름을 얻는 방법을 찾고 있다는 것입니다.

UGFzc3dvcmQ6-비밀번호로 디코딩하므로 별다른 도움이되지 않습니다. 전체 로그 라인은 다음과 같습니다.

Dec 11 20:15:37 HOST postfix/smtpd[642]: warning: HOST[x.x.x.x]: SASL LOGIN authentication failed: UGFzc3dvcmQ6

서버가 데비안 / Postfix / Dovecot를 실행 중입니다.


5
나는 같은 로그를 가지고 있습니다. IP 주소는 항상 변경되며 전 세계에서 요청이 수신됩니다. 시도가 중단되었을 가능성이 높습니다.
nagylzs

3
좋은 오래된 UGFzc3dvcmQ6. 몇 년이 지난 후에도 여전히 서버에 로그인하려고합니다. 그냥 무시해야합니다.
TommyPeanuts

UGFzc3dvcmQ6은 base64로 인코딩 된 '암호'이며, '사용자 이름'인 'VXNlcm5hbWU6'도 있습니다.
Jason Morgan

답변:


16

Dovecot 자체를 사용하여 사용자 이름을 추적 할 수있었습니다.

에서 /etc/dovecot/conf.d/10-logging.conf설정 우리가 사용하는 인증 로깅 자세한 가능

auth_verbose = yes

이것은 정보를 넣어

/etc/dovecot/info.log

로그가 없어야합니까 /var/log/dovecot-info.log?
Chloe

1
광산은 시스템 로그에
ISparkes

6

SSL을 설정하고 SSL을 통해서만 인증 시도를 요구하여이를 방지 할 수있었습니다.

smtpd_tls_auth_only = yes

이것은 AUTH원격 클라이언트에 옵션을 제공하지 않으므로 EHLOSSL 연결을 설정하는 데 시간이 너무 많이 걸리므로 스패머 / 해커가 포기합니다. 그들은 숫자 게임을합니다. 이제 그들은 시도 할 때 끊어지고 AUTH내 로그에 이것을 얻 습니다 .

Jan  7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: warning: 91.200.12.140: hostname vps863.hidehost.net verification failed: No address associated with hostname
Jan  7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: connect from unknown[91.200.12.140]
Jan  7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: lost connection after AUTH from unknown[91.200.12.140]
Jan  7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: disconnect from unknown[91.200.12.140]

1

fail2ban을 설치 한 경우 jail.local (또는 jail.d)에서 sasl (또는 postfix-sasl이라고도 함)을 활성화하면 성가신 문제가 해결됩니다.

## for me this is in /etc/fail2ban/jail.d/defaults-debian.conf
[postfix]
enabled = true

[postfix-sasl]
enabled = true
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.