SASL 로그인 인증 실패 : UGFzc3dvcmQ6-사용자 이름 찾기

먼저 메일 서버가 제대로 작동하고 사용자가 연결하고 전자 메일을 보낼 수 있다고 설명하겠습니다.

기본적으로 메일 서버에 연결하는 로컬 웹 스크립트가 몇 분마다 메일을 보내려고합니다. 비밀번호가 잘못되었습니다. 문제는 스크립트가 어떤 스크립트에 연결되어 있는지 알 수 없으므로 시도중인 사용자 이름을 얻는 방법을 찾고 있다는 것입니다.

UGFzc3dvcmQ6-비밀번호로 디코딩하므로 별다른 도움이되지 않습니다. 전체 로그 라인은 다음과 같습니다.

Dec 11 20:15:37 HOST postfix/smtpd[642]: warning: HOST[x.x.x.x]: SASL LOGIN authentication failed: UGFzc3dvcmQ6

서버가 데비안 / Postfix / Dovecot를 실행 중입니다.

Dovecot 자체를 사용하여 사용자 이름을 추적 할 수있었습니다.

에서 /etc/dovecot/conf.d/10-logging.conf설정 우리가 사용하는 인증 로깅 자세한 가능

auth_verbose = yes

이것은 정보를 넣어

/etc/dovecot/info.log

SSL을 설정하고 SSL을 통해서만 인증 시도를 요구하여이를 방지 할 수있었습니다.

smtpd_tls_auth_only = yes

이것은 AUTH원격 클라이언트에 옵션을 제공하지 않으므로 EHLOSSL 연결을 설정하는 데 시간이 너무 많이 걸리므로 스패머 / 해커가 포기합니다. 그들은 숫자 게임을합니다. 이제 그들은 시도 할 때 끊어지고 AUTH내 로그에 이것을 얻 습니다 .

Jan  7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: warning: 91.200.12.140: hostname vps863.hidehost.net verification failed: No address associated with hostname
Jan  7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: connect from unknown[91.200.12.140]
Jan  7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: lost connection after AUTH from unknown[91.200.12.140]
Jan  7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: disconnect from unknown[91.200.12.140]

fail2ban을 설치 한 경우 jail.local (또는 jail.d)에서 sasl (또는 postfix-sasl이라고도 함)을 활성화하면 성가신 문제가 해결됩니다.

## for me this is in /etc/fail2ban/jail.d/defaults-debian.conf
[postfix]
enabled = true

[postfix-sasl]
enabled = true