Permettez-moi d'abord de dire que le serveur de messagerie fonctionne correctement et que les utilisateurs peuvent se connecter et envoyer des e-mails.
Fondamentalement, un script Web local se connecte au serveur de messagerie et essaie d'envoyer du courrier toutes les quelques minutes. Il a un mauvais mot de passe. Le problème est que nous ne savons pas dans quel script se connecte, nous recherchons donc un moyen d'obtenir le nom d'utilisateur qui est en cours d'essai.
UGFzc3dvcmQ6 - décode en mot de passe: il n'y a donc pas beaucoup d'aide. Une ligne de journal complète est ci-dessous.
Dec 11 20:15:37 Host postfix/smtpd[642]: warning: Host[x.x.x.x]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
Le serveur exécute Debian/Postfix/Dovecot.
Nous avons pu retracer le nom d'utilisateur en utilisant Dovecot lui-même.
Dans le /etc/dovecot/conf.d/10-logging.conf
config nous avons activé la journalisation d'authentification détaillée en utilisant
auth_verbose = yes
Cela a mis les informations
/etc/dovecot/info.log
J'ai pu empêcher cela en configurant SSL et en exigeant des tentatives d'authentification sur SSL uniquement avec
smtpd_tls_auth_only = yes
Cela ne présente pas l'option AUTH
au client distant après EHLO
et les spammeurs/hackers abandonnent car l'établissement d'une connexion SSL prend trop de temps. Ils travaillent un jeu de nombres. Maintenant, il raccroche à la place lorsqu'ils essaient AUTH
et j'obtiens ceci dans mes journaux:
Jan 7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: warning: 91.200.12.140: hostname vps863.hidehost.net verification failed: No address associated with hostname
Jan 7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: connect from unknown[91.200.12.140]
Jan 7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: lost connection after AUTH from unknown[91.200.12.140]
Jan 7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: disconnect from unknown[91.200.12.140]
Si vous avez fail2ban installé, vous pouvez activer sasl (ou parfois appelé postfix-sasl) dans votre jail.local (ou jail.d) et cela devrait faire disparaître les ennuis.
## for me this is in /etc/fail2ban/jail.d/defaults-debian.conf
[postfix]
enabled = true
[postfix-sasl]
enabled = true