การพิสูจน์ตัวตน SASL เข้าสู่ระบบล้มเหลว: UGFzc3dvcmQ6 - ค้นหาชื่อผู้ใช้

ก่อนอื่นให้ฉันระบุว่าเซิร์ฟเวอร์อีเมลทำงานได้ดีและผู้ใช้สามารถเชื่อมต่อและส่งอีเมลได้

โดยทั่วไปจะมีเว็บสคริปต์ท้องถิ่นเชื่อมต่อกับเซิร์ฟเวอร์อีเมลพยายามส่งจดหมายทุกสองสามนาที รหัสผ่านผิด ปัญหาคือเราไม่ทราบว่าสคริปต์กำลังเชื่อมต่อกับอะไรเรากำลังมองหาวิธีที่จะได้รับชื่อผู้ใช้ที่กำลังพยายาม

UGFzc3dvcmQ6 - ถอดรหัสเป็นรหัสผ่าน: ดังนั้นจึงไม่ได้ช่วยอะไรมาก บรรทัดบันทึกแบบเต็มอยู่ด้านล่าง

Dec 11 20:15:37 HOST postfix/smtpd[642]: warning: HOST[x.x.x.x]: SASL LOGIN authentication failed: UGFzc3dvcmQ6

เซิร์ฟเวอร์กำลังเรียกใช้ Debian / Postfix / Dovecot

เราสามารถติดตามชื่อผู้ใช้โดยใช้ Dovecot เอง

ในการกำหนดค่า/etc/dovecot/conf.d/10-logging.confเราเปิดใช้การบันทึกการตรวจสอบอย่างละเอียดโดยใช้

auth_verbose = yes

สิ่งนี้ทำให้ข้อมูลใน

/etc/dovecot/info.log

ฉันสามารถป้องกันได้โดยการตั้งค่า SSL และต้องการการรับรองความถูกต้องผ่าน SSL เท่านั้น

smtpd_tls_auth_only = yes

นี่ไม่ได้แสดงAUTHตัวเลือกไปยังไคลเอนต์ระยะไกลหลังจากEHLOนั้นผู้ส่งอีเมลขยะ / แฮ็กเกอร์ก็ยอมแพ้เพราะการสร้างการเชื่อมต่อ SSL นั้นใช้เวลานานเกินไป พวกเขาทำงานเกมตัวเลข ตอนนี้แทนที่จะวางสายเมื่อพวกเขาพยายามAUTHและฉันได้รับสิ่งนี้ในบันทึกของฉัน:

Jan  7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: warning: 91.200.12.140: hostname vps863.hidehost.net verification failed: No address associated with hostname
Jan  7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: connect from unknown[91.200.12.140]
Jan  7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: lost connection after AUTH from unknown[91.200.12.140]
Jan  7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: disconnect from unknown[91.200.12.140]

หากคุณติดตั้งfail2banไว้คุณสามารถเปิดใช้งาน sasl (หรือบางครั้งเรียกว่า postfix-sasl) ใน jail.local (หรือ jail.d) ของคุณและควรทำให้สิ่งรบกวนหายไป

## for me this is in /etc/fail2ban/jail.d/defaults-debian.conf
[postfix]
enabled = true

[postfix-sasl]
enabled = true